Zum Inhalt springen
P2k1

ING (DiBa) - Die Bank für mich?

Empfohlene Beiträge

mattes77

Weil ihr euch über die Kritik an der ING beschwert habt, mal eine postive Rückmeldung von mir. Nachdem ich vorgestern und gestern die Kündigung des Girokontos durch Nachricht im Onlinebanking und entsprechende Schreiben an die ING widerrufen hatte, kam heute die Antwort. "Wir können ihnen noch ,,,,,,,,, geben, wir schauen uns die Sache genau an. wir melden uns bald."

Auf jeden Fall sind Sie doch zeitnah mit ihrer Antwort!:news:

Diesen Beitrag teilen


Link zum Beitrag
Guardvan
vor 2 Minuten von mattes77:

Weil ihr euch über die Kritik an der ING beschwert habt, mal eine postive Rückmeldung von mir. Nachdem ich vorgestern und gestern die Kündigung des Girokontos durch Nachricht im Onlinebanking und entsprechende Schreiben an die ING widerrufen hatte, kam heute die Antwort. "Wir können ihnen noch ,,,,,,,,, geben, wir schauen uns die Sache genau an. wir melden uns bald."

Auf jeden Fall sind Sie doch zeitnah mit ihrer Antwort!:news:

Solange du dann doch mal weißt was du willst...

Diesen Beitrag teilen


Link zum Beitrag
jawe

Ich bin vor vier Wochen von der Comdirect zur ING gewechselt und habe auch direkt einen Depotumzug veranlasst. Bisher ist noch nichts geschehen. Ist das normal, dass es so lange dauert?

 

 

Diesen Beitrag teilen


Link zum Beitrag
Xaro
vor 6 Stunden von jawe:

Ist das normal, dass es so lange dauert?

Die Frage ist im Comdirect-Thema wohl besser aufgehoben, denn für den Übertrag ist maßgeblich die abgebende Bank verantwortlich.

Bei der ING kannst du dir die Papiere selbst ausbuchen. Diese sind in ca. 3 Tagen bei der neuen Depotbank.

Diesen Beitrag teilen


Link zum Beitrag
firsthippi
vor 8 Stunden von jawe:

Ich bin vor vier Wochen von der Comdirect zur ING gewechselt und habe auch direkt einen Depotumzug veranlasst. Bisher ist noch nichts geschehen. Ist das normal, dass es so lange dauert?

 

 

Ich habe auch Ende Februar einen Umzug von einzelnen Wertpapieren über die ING angestoßen. Bisher kam bei mir auch noch nichts bei  der ING an. Lt. Ing liegt es an Comdirect.

Eine Anfrage gestern bei Comdirect ist noch unbeantwortet. Wobei in der Nähe des Kontaktformulars zu lesen ist, "dass man von Anrufen bla bla bla wir haben so viel zu tun bla bla bla"

 

Ein Umzug eines Wertpapiers vor 4-5 Jahre war da wesentlich schneller bilde ich mir ein.

Diesen Beitrag teilen


Link zum Beitrag
oktavian
Am 20.3.2021 um 19:37 von Xivender:

Wenn Du Dich in der APP, egal ob per Fingerabdruck oder per Passwort anmelden musst, ist hast Du wieder vollen Kto. Zugriff.

Also faktisch keine 2Faktoren-Sicherheit.

Theoretisch lässt es sich so programmieren, dass die app nicht kopierbar ist, aber wie wollen sie die Funktionalität bei diversen android Geräten sicherstellen? Sie hängen da mit an der Gerätesicherheit (TPM). Man kann fingerprint einfach von Gegenständen kopieren und das linux-android hacken mit root, aber kenne da keinen Weg ohne direkten physischen Gerätezugriff - evtl mit ADB an wenn mit PC verbunden und der Pc auch gehackt wurde. Fido2 usb-key mit NFC wäre besser. Man kann aber ja auch ein Papierkonto hacken, indem die Unterschrift gefälscht wird. Insgesamt sind es 2Faktoren und ja es ginge besser, aber die Kunden könnten es dann eh nicht mehr bedienen/verstehen. Zudem bietet die app sogar an bei Überweisungen den pin extra zum finger print noch zu verlangen, das würde ich einschalten. Sicherheit/Komfort ist immer ein Kompromiss.

Diesen Beitrag teilen


Link zum Beitrag
mattes77
· bearbeitet von mattes77

Aus den oben genannten Gründen nutze ich stets Chip Tan oder Photo Tan mit Generatoren! Es ist natürlich weniger bequem!:myop:

Diesen Beitrag teilen


Link zum Beitrag
Schlumich
vor 11 Stunden von mattes77:

Aus den oben genannten Gründen nutze ich stets Chip Tan oder Photo Tan mit Generatoren! Es ist natürlich weniger bequem!:myop:

+1

 

Diesen Beitrag teilen


Link zum Beitrag
Staatenverbund
Am 21.3.2021 um 10:07 von Xaro:

https://www.chip.de/news/Nahezu-unloeschbar-perfider-Android-Trojaner-uebersteht-sogar-den-Werksreset_182614129.html

 

Wenn jemand so beschränkt ist und Apps aus unseriösen Drittquellen installiert, ist demjenigen auch nicht mehr zu helfen.

Nutzt du den Playstore als offizielle Quelle, hast du nichts zu befürchten. -

Magst Du mal kurz erklären, wie der Playstore sicherstellt, dass die darüber installierte Software keine Malware ist?

Diesen Beitrag teilen


Link zum Beitrag
Staatenverbund
Am 21.3.2021 um 08:20 von Belgien:

Daher ist beim „einfachen“ Online-Banking über die Weboberfläche immer nur der Faktor Wissen erfüllt. Genau das ist beim mobilen Zugriff über die App anders, da besteht Gerätebindung, so dass eine Authentifizierung den Faktor Besitz überprüfen kann

Nein, kann sie nicht. Sie kann lediglich Zugriffsmöglichkeit prüfen, und das wiederum reduziert sich potentiell auf Wissen.

 

Wenn ich einen separaten Generator verwende, dessen einziger Ausgabekanal ein Display ist, dann kann man tatsächlich näherungsweise ableiten, dass, wenn ich ein Geheimnis kenne, das nur von diesem Generator zu erfahren ist (also z.B. eine TAN), ich wohl im Besitz des Generators bin, da ich nur bei Besitz des Generators realistisch an dessen Displayinhalt gelange. Seitenkanalangriffe klammere ich hier einmal aus.

 

Wenn ich aber ein Smartphone benutze, das am Internet hängt, um an die gleiche Art von Geheimnis zu gelangen, um meinen "Besitz" nachzuweisen, dann ist halt mitnichten garantiert, dass dieses Geheimnis das Smartphone ausschließlich über das Display verlassen kann. Irgendwo in dem Smartphone befindet sich das "Grundgeheimnis" (Secret Key oder Shared Secret), aus dem das "Autorisierungs-Geheimnis" (also die TAN) erzeugt wird. Zwischen dem Speicherort dieses Grundgeheimnisses und dem Display ist der gesamte Software-Stack des Smartphones inkl. der  Banking-App, und alle diese Komponenten können auf viele andere Kommunikationskanäle zur Außenwelt zugreifen, und interagieren über diese auch regelmäßig mit der Außenwelt, sodass auch etwaige Sicherheitslücken in diesen tendentiell von außen erreichbar sind, um das System zu kompromittieren. Im Falle einer solchen Kompromittierung wäre es sehr gut möglich, dass ein Angreifer z.B. per Internet TANs auf dem Telefon generieren und diese "am Display vorbei" aus dem Telefon "herausschmuggeln" könnte, womit die Kenntnis eines solchen Geheimnisses eben nur etwas über die Zugriffsmöglichkeit und nicht über den Besitz verrät, da der Zugriff per Internet offensichtlich keinen Besitz voraussetzt.

 

Der definitionsgemäße Zweck von 2FA-Verfahren ist, die Sicherheit gegen bestimmte Angriffsszenarien auch bei Kompromittierung des Systems zu gewährleisten. Im Zusammenhang mit Bankinganwendungen geht es dabei regelmäßig primär um Vermögensverfügungen. Der Zweck von 2FA ist hier also z.B., dafür zu sorgen, dass, auch wenn das genutzte Endgerät (Smartphone oder PC) aufgrund wie auch immer gearteter Sicherheitsmängel keine Sicherheitseigenschaften mehr garantieren kann, trotzdem keine unautorisierten Überweisungen ausgelöst werden können.

 

Das kann eine "Gerätebindung" aber nicht leisten, da sie genau in der Situation versagt, gegen die 2FA schützen soll: Bei Kompromittierung des Endgerätes. Solange das Endgerät nicht kompromittiert ist, ist alles wunderbar. Aber solange das Endgerät nicht kompromittiert ist, wäre auch eine Freigabe von Überweisungen ausschließlich mit einem (nicht One-Time-)Passwort am PC kein Sicherheitsproblem.

Diesen Beitrag teilen


Link zum Beitrag
Staatenverbund
Am 18.3.2021 um 21:29 von Xivender:

Aber woher soll der Hacker meine Telefonnummer kennen wenn ich mich nicht übers Handy sondern nur am Computer ins Online Konto einlogge?

Es ist einfach generell eine schlechte Idee, Sicherheit darauf zu bauen, dass etwas, das nicht explizit als Geheimnis vereinbart ist, ein Geheimnis ist.

 

Beispiele, wie ein Angreifer an die Telefonnummer kommen könnte: Die Bank zeigt die Nummer irgendwo im Onlinebanking an, Du erhältst auf Deinem Computer E-Mails von dem betreffenden Mobilfunkanbieter, Du hast auf dem Computer mal einen Brief an den betreffenden Mobilfunkanbieter geschrieben.

 

Und noch ein etwas abgefahreneres Beispiel, das sehr auf die Umstände ankommt - nur, um zu illustrieren, wie kreativ ein Angreifer im Zweifelsfall Deine Technik gegen Dich verwenden könnte: Wie wäre es mit dem temporären Austausch der Firmware auf Deinem WiFi-Adapter, um per SDR im Mobilfunkband rumzuschnüffeln und z.B. Signalling-Traffic mit stillen SMS an einen größeren Nummernraum zu korrelieren, um so zu finden, welche Rufnummern zu Reaktionen von Mobilfunkgeräten in der Nähe Deines Computers führen?

Diesen Beitrag teilen


Link zum Beitrag
Staatenverbund
Am 18.3.2021 um 19:16 von kleinerfisch:

Noch besser wäre allerdings, wenn das Bankensystem eine Möglichkeit schafft, gestohlene Gelder zurückzuholen. Eine Sperrfrist von 1-3 Tagen auf dem Eingangskonto und eine Benachrichtigung per Mail/SMS/Telefon bei Geldausgängen (vielleicht abgestuft nach Beträgen) würde wahrscheinlich in den meisten Fällen ausreichen.

Das scheint mir keine gute Idee, weil das praktisch eine schnellere Zahlung unmöglich macht. Solange die Zahlung rückgängig gemacht werden kann (also, außer per Klage, Urteil und Zwangsvollstreckung ...), muß jeder, der diese Möglichkeit z.B. vor der Erbringung einer Gegenleistung ausschließen will, den Ablauf dieser Frist abwarten. Es ist durchaus eine Stärke der Überweisung, das ich mich als Zahlungsempfänger darauf verlassen kann, dass eine gutgeschriebene Buchung endgültig ist.

 

Außerdem eröffnet die Möglichkeit, Zahlungen rückgängig zu machen, andere Betrugsformen nach dem Muster des Scheckbetruges: Da die meisten Zahlungsempfänger sich nicht bewusst sind, dass die Gutschrift nicht endgültig ist, kann ein Betrüger eine solche "vorläufige Gutschrift" verursachen und dann das Opfer per Social Engineering unter irgendeinem Vorwand dazu bringen, dieses "zuviel gezahlte Geld" oder sowas auf einem anderen Wege "zurückzuzahlen", idR. dann halt auf einem Weg, der sich nicht rückgängig machen lässt (Bargeld, Gutscheinkarten, whatever), bevor die ursprüngliche Zahlung platzt oder sonst irgendwie rückgängig gemacht wird.

Diesen Beitrag teilen


Link zum Beitrag
Staatenverbund
Am 18.3.2021 um 15:35 von dimido:

Aber man muss auch nicht so tun, als ob da nur Volldeppen am Start sind die die Banking-Apps programmieren.

 

Ich arbeite bei einer Bank. Und ihr könnt davon ausgehen, daß man da sehr wohl darauf bedacht ist, sichere Lösungen anzubieten. Völlig unabhängig von der Haftung.

Denn es geht auch um das Reputationsrisiko. Denn sowas ist heute angesichts der sozialen Medien nicht mehr so leicht unter den Teppich zu kehren.

Niemand tut so, "als ob da nur Volldeppen am Start sind", das grenzt an ein Strohmann-Argument. Aber solange es Banken gibt, die ihren Kunden verbieten, sichere Passwörter zu benutzen, wäre es naiv, einfach blind davon auszugehen, dass bei einer gegebenen Bank keine Volldeppen am Start sind. Banken haben in der Vergangenheit so beeindruckend und so flächendeckend ihre entweder Inkompetenz oder ihr Desinteresse an ernstzunehmender IT-Sicherheit demonstriert, dass blindes Vertrauen vollkommen fehl am Platze ist (bis hin zu Banken, die universitäre Forscher im Bereich IT-Sicherheit zum schweigen bringen wollten, um Sicherheitsprobleme nicht fixen zu müssen). Und meine persönliche Erfahrung, wenn ich IT-Sicherheitsprobleme an Banken melde, ist auch sehr durchwachsen.

 

Und die Argumentation mit dem Reputationsrisiko ist auch ziemlich schwach. Es ist ja nun, weit über Banken hinaus, übliche Strategie, der Öffentlichkeit einfach irgendeinen Spin zu präsentieren, wenn ein Unternehmen Murks fabriziert hat, der dem fachlich nicht weiter qualifizierten Bürger den Eindruck vermittelt, es sei wohl alles in Ordnung, und meistens ist das auch ziemlich erfolgreich. Und Deine Argumentation mit "Promon Shield" geht ja auch schon in die Richtung. Das ist ja eigentlich mehr Snake-Oil als ernsthafte IT-Sicherheit.

 

Du sagst, Du arbeitest bei einer Bank, und implizierst, dass bei Euch ernsthafte IT-Sicherheit für den Kunden eine hohe Priorität hat. Heißt das, dass ihr die Details Eurer Sicherheitsverfahren für den Kunden nachvollziehbar dokumentiert, sodaß ich als Kunde prüfen kann, ob das Murks ist? Das ist nämlich, wie ernsthafte IT-Sicherheit sonst überall funktioniert, und genau das, wobei Banken bisher sonst flächendeckend versagen. Nur ein Sicherheitsverfahren, das unabhängig begutachtet werden kann, verdient vertrauen.

Diesen Beitrag teilen


Link zum Beitrag
Mrtn17

So viel Text, mag ja für irgendwelche IT-Spezis interessant sein - aber fällt dir auf, dass die Beiträge nichts mit der ING-Diba zu tun haben?! Könnten wir bitten mit dem IT-Sicherheits-Spam aufhören, das Offtopic beenden, und zum Thema ING-DIba zurückkommen?

Diesen Beitrag teilen


Link zum Beitrag
Belgien
· bearbeitet von Belgien
vor 38 Minuten von JimmyG:

So viel Text, mag ja für irgendwelche IT-Spezis interessant sein - aber fällt dir auf, dass die Beiträge nichts mit der ING-Diba zu tun haben?! Könnten wir bitten mit dem IT-Sicherheits-Spam aufhören, das Offtopic beenden, und zum Thema ING-DIba zurückkommen?

Die ING muss durch den Gesetzgeber gezwungen werden Filialen aufzumachen. Nur dort können dann - nachdem PSD3 auf Initiative  der AppTAN-Querdenker-Bewegung  in ganz Europa eingeführt wurde, um jegliche Transaktion im Sinne des Kunden hundertprozentig sicher zu machen - Transaktionen nach Vorlage des Personalausweises oder eines Reisepasses mit zusätzlichem Iris- und Fingerabdruck-Check authentifiziert werden. Transaktionen über andere Kanäle wie AppTAN, mTAN etc. freizugeben, wird durch PSD3 mit einer Übergangsfrist von zwei Jahren, um den bislang ohne Filialnetz arbeitenden Banken die Möglichkeit zum Aufbau der notwendigen Infrastruktur zu geben, endgültig verboten. Das einzig sichere und damit im Sinne des Kundenwohls zu vertretende Banking ist das Filialbanking, die Phase des Onlinebankings wurde aus Sicherheitsbedenken in der gesamten EU als vorübergehender Irrweg identifiziert und daher verboten. Bei der Begründung der PSD3-Einführung wurde im EU-Parlament insbesondere auf die seit Jahren in einem deutschen Onlineforum von IT-Experten vorgebrachten Bedenken hingewiesen, die zur Gründung der AppTAN-Querdenker-Bewegung geführt hatten. Der Aktienkurs der ING Group brach nach der Ankündigung von PSD3 an der Amsterdamer Börse um mehr als 40% an einem einzigen Tag ein.

 

P.S.: Dies war mein 888. Beitrag in meinen nunmehr fast 13 Jahren in diesem Forum. Da  musste es schon etwas Besonderes sein ;)

Diesen Beitrag teilen


Link zum Beitrag
vanity

Ich hätte an deiner Stelle damit bis zum nächsten Donnerstag gewartet. Da is eh' nix los.

Diesen Beitrag teilen


Link zum Beitrag
Xivender
vor 6 Stunden von JimmyG:

So viel Text, mag ja für irgendwelche IT-Spezis interessant sein - aber fällt dir auf, dass die Beiträge nichts mit der ING-Diba zu tun haben?! Könnten wir bitten mit dem IT-Sicherheits-Spam aufhören, das Offtopic beenden, und zum Thema ING-DIba zurückkommen?

Also ich habe die Beiträge von Staatenverbund sehr gerne gelesen.

 

Man sollte dankbar sein, dass er sich solche Mühe macht.

Wenn es dich nicht interessiert, dann musst du es ja nicht lesen.

 

Und selbstverständlich hat das etwas mit der IngDiba zu tun, denn genau darum geht es ja. Um die Sicherheitstechnik der ING, wo die Schwachstellen der App sind und was die Alternativen sind.

vor 6 Stunden von Belgien:

Die ING muss durch den Gesetzgeber gezwungen werden Filialen aufzumachen. Nur dort können dann - nachdem PSD3 auf Initiative  der AppTAN-Querdenker-Bewegung  in ganz Europa eingeführt wurde, um jegliche Transaktion im Sinne des Kunden hundertprozentig sicher zu machen - Transaktionen nach Vorlage des Personalausweises oder eines Reisepasses mit zusätzlichem Iris- und Fingerabdruck-Check authentifiziert werden. Transaktionen über andere Kanäle wie AppTAN, mTAN etc. freizugeben, wird durch PSD3 mit einer Übergangsfrist von zwei Jahren, um den bislang ohne Filialnetz arbeitenden Banken die Möglichkeit zum Aufbau der notwendigen Infrastruktur zu geben, endgültig verboten. Das einzig sichere und damit im Sinne des Kundenwohls zu vertretende Banking ist das Filialbanking, die Phase des Onlinebankings wurde aus Sicherheitsbedenken in der gesamten EU als vorübergehender Irrweg identifiziert und daher verboten. Bei der Begründung der PSD3-Einführung wurde im EU-Parlament insbesondere auf die seit Jahren in einem deutschen Onlineforum von IT-Experten vorgebrachten Bedenken hingewiesen, die zur Gründung der AppTAN-Querdenker-Bewegung geführt hatten. Der Aktienkurs der ING Group brach nach der Ankündigung von PSD3 an der Amsterdamer Börse um mehr als 40% an einem einzigen Tag ein.

 

P.S.: Dies war mein 888. Beitrag in meinen nunmehr fast 13 Jahren in diesem Forum. Da  musste es schon etwas Besonderes sein ;)

Dadurch dass du es durch Übertreibungen ins Lächerliche siehst wird es auch nicht besser.

vor 10 Stunden von Staatenverbund:

Nein, kann sie nicht. Sie kann lediglich Zugriffsmöglichkeit prüfen, und das wiederum reduziert sich potentiell auf Wissen.

 

Wenn ich einen separaten Generator verwende, dessen einziger Ausgabekanal ein Display ist, dann kann man tatsächlich näherungsweise ableiten, dass, wenn ich ein Geheimnis kenne, das nur von diesem Generator zu erfahren ist (also z.B. eine TAN), ich wohl im Besitz des Generators bin, da ich nur bei Besitz des Generators realistisch an dessen Displayinhalt gelange. Seitenkanalangriffe klammere ich hier einmal aus.

 

Wenn ich aber ein Smartphone benutze, das am Internet hängt, um an die gleiche Art von Geheimnis zu gelangen, um meinen "Besitz" nachzuweisen, dann ist halt mitnichten garantiert, dass dieses Geheimnis das Smartphone ausschließlich über das Display verlassen kann. Irgendwo in dem Smartphone befindet sich das "Grundgeheimnis" (Secret Key oder Shared Secret), aus dem das "Autorisierungs-Geheimnis" (also die TAN) erzeugt wird. Zwischen dem Speicherort dieses Grundgeheimnisses und dem Display ist der gesamte Software-Stack des Smartphones inkl. der  Banking-App, und alle diese Komponenten können auf viele andere Kommunikationskanäle zur Außenwelt zugreifen, und interagieren über diese auch regelmäßig mit der Außenwelt, sodass auch etwaige Sicherheitslücken in diesen tendentiell von außen erreichbar sind, um das System zu kompromittieren. Im Falle einer solchen Kompromittierung wäre es sehr gut möglich, dass ein Angreifer z.B. per Internet TANs auf dem Telefon generieren und diese "am Display vorbei" aus dem Telefon "herausschmuggeln" könnte, womit die Kenntnis eines solchen Geheimnisses eben nur etwas über die Zugriffsmöglichkeit und nicht über den Besitz verrät, da der Zugriff per Internet offensichtlich keinen Besitz voraussetzt.

 

Der definitionsgemäße Zweck von 2FA-Verfahren ist, die Sicherheit gegen bestimmte Angriffsszenarien auch bei Kompromittierung des Systems zu gewährleisten. Im Zusammenhang mit Bankinganwendungen geht es dabei regelmäßig primär um Vermögensverfügungen. Der Zweck von 2FA ist hier also z.B., dafür zu sorgen, dass, auch wenn das genutzte Endgerät (Smartphone oder PC) aufgrund wie auch immer gearteter Sicherheitsmängel keine Sicherheitseigenschaften mehr garantieren kann, trotzdem keine unautorisierten Überweisungen ausgelöst werden können.

 

Das kann eine "Gerätebindung" aber nicht leisten, da sie genau in der Situation versagt, gegen die 2FA schützen soll: Bei Kompromittierung des Endgerätes. Solange das Endgerät nicht kompromittiert ist, ist alles wunderbar. Aber solange das Endgerät nicht kompromittiert ist, wäre auch eine Freigabe von Überweisungen ausschließlich mit einem (nicht One-Time-)Passwort am PC kein Sicherheitsproblem.

Danke für deine Mühe, und deine Ausführungen.

Ich kann allem was du schreibst hundertprozentig zustimmen, auch du siehst das Problem, was andere hier anscheinend nicht wahrnehmen wollen.

Am 25.3.2021 um 10:36 von oktavian:

Theoretisch lässt es sich so programmieren, dass die app nicht kopierbar ist, aber wie wollen sie die Funktionalität bei diversen android Geräten sicherstellen? Sie hängen da mit an der Gerätesicherheit (TPM). Man kann fingerprint einfach von Gegenständen kopieren und das linux-android hacken mit root, aber kenne da keinen Weg ohne direkten physischen Gerätezugriff - evtl mit ADB an wenn mit PC verbunden und der Pc auch gehackt wurde. Fido2 usb-key mit NFC wäre besser. Man kann aber ja auch ein Papierkonto hacken, indem die Unterschrift gefälscht wird. Insgesamt sind es 2Faktoren und ja es ginge besser, aber die Kunden könnten es dann eh nicht mehr bedienen/verstehen. Zudem bietet die app sogar an bei Überweisungen den pin extra zum finger print noch zu verlangen, das würde ich einschalten. Sicherheit/Komfort ist immer ein Kompromiss.

Die App muss ja auch nicht kopierbar sein. Ich sehe du hast das von mir beschriebene Szenario wahrscheinlich nicht ganz verstanden.

Es geht um einen Fernzugriff.

 

Es gibt doch bei Windows zum Beispiel verschiedene Programme die es ermöglichen, z.b. eine Fernwartung vorzunehmen.

 

Dann kann ich mit meinem PC zu Hause mich mit einem anderen PC, z.b. dem Leitrechner der in der Firma steht, verbinden.

Über diese Fernsteuerungssoftware habe ich dann den Desktop vom Leitrechner, der eigentlich in der Firma steht, auf meinem PC zu Hause.

 

Jeden Mausklick, den ich von zu Hause aus führe und an den Leitrechner übermitteln, nimmt der Leitrechner so wahr als ob jemand direkt vor ihm sitzt und diese Eingabebefehle tätig.

 

Und genau das ist mit einem Trojaner der dein Handy z.b. infiziert oder deinen Computer auch möglich.

Diesen Beitrag teilen


Link zum Beitrag
mattes77

Können wir uns einfach darauf einigen, dass App. Tan nicht das "Musterbeispiel" an Sicherheit ist, dass aber natürlich auch ein Generator nichts hilft, wenn der eigene Rechner gehackt wurde?:welcome:

Diesen Beitrag teilen


Link zum Beitrag
oktavian
vor 3 Stunden von Xivender:

Die App muss ja auch nicht kopierbar sein. Ich sehe du hast das von mir beschriebene Szenario wahrscheinlich nicht ganz verstanden.

Es geht um einen Fernzugriff.

Und genau das ist mit einem Trojaner der dein Handy z.b. infiziert oder deinen Computer auch möglich.

So ein Angriff ist extrem teuer und lohnt bei Privatpersonen nicht, da du da sehr heftige spezifische zero day exploits brauchst oder der user muss den Trojaner explizit authorisieren.

 

Mal eine Frage zur ING: Wenn jemand da ein Depot ohne Girokonto aufmacht, kann man dann die app Nutzen und gibt es Vorteile wegen geringeren Anforderungen nach PSD2, wenn das Referenzkonto fix ist? Das ETF sparen ist ja sehr gut mit Null Kosten und würde das gerne ein paar Freunden empfehlen.

Diesen Beitrag teilen


Link zum Beitrag
etf-friese
vor 17 Minuten von oktavian:

Mal eine Frage zur ING: Wenn jemand da ein Depot ohne Girokonto aufmacht, kann man dann die app Nutzen und gibt es Vorteile wegen geringeren Anforderungen nach PSD2, wenn das Referenzkonto fix ist? Das ETF sparen ist ja sehr gut mit Null Kosten und würde das gerne ein paar Freunden empfehlen.

Ja, man kann die app nutzen. Der Login auf der Website ist dann ohne app möglich, nur mir Kontonummer des Verrechnungskontos, PIN und Diba-Key - so wie früher. Bisher zumindest.

Zur Freigabe von Transaktionen wird dann die app genutzt.

Diesen Beitrag teilen


Link zum Beitrag
DarkBasti
vor 14 Stunden von Staatenverbund:

Nein, kann sie nicht. Sie kann lediglich Zugriffsmöglichkeit prüfen, und das wiederum reduziert sich potentiell auf Wissen.

 

Wenn ich einen separaten Generator verwende, dessen einziger Ausgabekanal ein Display ist, dann kann man tatsächlich näherungsweise ableiten, dass, wenn ich ein Geheimnis kenne, das nur von diesem Generator zu erfahren ist (also z.B. eine TAN), ich wohl im Besitz des Generators bin, da ich nur bei Besitz des Generators realistisch an dessen Displayinhalt gelange. Seitenkanalangriffe klammere ich hier einmal aus.

 

Wenn ich aber ein Smartphone benutze, das am Internet hängt, um an die gleiche Art von Geheimnis zu gelangen, um meinen "Besitz" nachzuweisen, dann ist halt mitnichten garantiert, dass dieses Geheimnis das Smartphone ausschließlich über das Display verlassen kann. Irgendwo in dem Smartphone befindet sich das "Grundgeheimnis" (Secret Key oder Shared Secret), aus dem das "Autorisierungs-Geheimnis" (also die TAN) erzeugt wird. Zwischen dem Speicherort dieses Grundgeheimnisses und dem Display ist der gesamte Software-Stack des Smartphones inkl. der  Banking-App, und alle diese Komponenten können auf viele andere Kommunikationskanäle zur Außenwelt zugreifen, und interagieren über diese auch regelmäßig mit der Außenwelt, sodass auch etwaige Sicherheitslücken in diesen tendentiell von außen erreichbar sind, um das System zu kompromittieren. Im Falle einer solchen Kompromittierung wäre es sehr gut möglich, dass ein Angreifer z.B. per Internet TANs auf dem Telefon generieren und diese "am Display vorbei" aus dem Telefon "herausschmuggeln" könnte, womit die Kenntnis eines solchen Geheimnisses eben nur etwas über die Zugriffsmöglichkeit und nicht über den Besitz verrät, da der Zugriff per Internet offensichtlich keinen Besitz voraussetzt.

 

Der definitionsgemäße Zweck von 2FA-Verfahren ist, die Sicherheit gegen bestimmte Angriffsszenarien auch bei Kompromittierung des Systems zu gewährleisten. Im Zusammenhang mit Bankinganwendungen geht es dabei regelmäßig primär um Vermögensverfügungen. Der Zweck von 2FA ist hier also z.B., dafür zu sorgen, dass, auch wenn das genutzte Endgerät (Smartphone oder PC) aufgrund wie auch immer gearteter Sicherheitsmängel keine Sicherheitseigenschaften mehr garantieren kann, trotzdem keine unautorisierten Überweisungen ausgelöst werden können.

 

Das kann eine "Gerätebindung" aber nicht leisten, da sie genau in der Situation versagt, gegen die 2FA schützen soll: Bei Kompromittierung des Endgerätes. Solange das Endgerät nicht kompromittiert ist, ist alles wunderbar. Aber solange das Endgerät nicht kompromittiert ist, wäre auch eine Freigabe von Überweisungen ausschließlich mit einem (nicht One-Time-)Passwort am PC kein Sicherheitsproblem.

Super Beitrag. Besser kann man es nicht erklären. 

 

Ich habe mir den Tan Generator eingerichtet und er funktioniert. Ein bisschen weine ich den SMS Tan und den 30€ hinterher. Aber ich bin stark und werde es überstehen ;)

 

Wenn Bargeld weitgehend verboten wird und es praktisch nur noch Geld in Form von 0 und 1 gibt, dann wird man froh sein, die wirklich sicherste Zahlungsart zu benutzen. 100 Prozent Sicherheit gibt es nicht, aber man kann es Angreifer möglichst schwer machen. 

Der Unterschied von Kasse ausrauben zu hacken ist, beim einfachen Raub sind die Tageseinnahmen weg oder was eben da ist. Bei Sicherheitslücken können Millionen und Milliardenschäden zu stande kommen. 

Die Diba hat rund 10Mio Kunden mal ein Durchschnittsbetrag auf den Konto von 10000€ (aus der Luft gegriffen) sind 100Mrd. Da lohnt doch ein Angriff auf eine popelige App. 

Eine App ist übrigens ein Marketingname für ein Computerprogramm. App hört sich aber cooler an. Das sagt aber nichts über die Sicherheit oder Angreifbarkeit aus. Und ein Smartphone ist auch nur ein Computer mit einer weiteren Kommunikationsmöglichkeit. 

 

Und ja IT bzw. IT Sicherheit ist bei einer Onlinebank wichtig! 

Diesen Beitrag teilen


Link zum Beitrag
stargate
· bearbeitet von stargate
Am 24.3.2021 um 23:08 von jawe:

Ich bin vor vier Wochen von der Comdirect zur ING gewechselt und habe auch direkt einen Depotumzug veranlasst. Bisher ist noch nichts geschehen. Ist das normal, dass es so lange dauert?

 

 

Ich habe auch vor ca 4 Wochen einen Depotübertrag von der Codi zur DKb beantrag bisher ist bei mir auch noch nichts passiert. Laut Auskunft kann es bis zu 8 Wochen dauern. Es ist schon ein Trauerspiel dass 2021 ein einfacher Depotumzug 2 Monate dauern kann, nur um ein paar 1en und 0en hin und her zu schieben.Ich habe sogar den „vollautomatischen Depotumzug“ verwendet. Es wurden allerdings nur die Anzahl meiner Aktien „automatisch“ übertragen den Rest musste ich selber ausfüllen. Da weiß man echt nicht was man dazu noch sagen soll, peinlicher geht es echt nicht mehr...

 

mfg Stargate

Diesen Beitrag teilen


Link zum Beitrag
beamter97
vor 3 Stunden von etf-friese:

Zur Freigabe von Transaktionen wird dann die app genutzt.

und da ich die App nicht habe, wird eine iTAN angefordert.

Diesen Beitrag teilen


Link zum Beitrag
Staatenverbund
vor 4 Stunden von mattes77:

Können wir uns einfach darauf einigen, dass App. Tan nicht das "Musterbeispiel" an Sicherheit ist, dass aber natürlich auch ein Generator nichts hilft, wenn der eigene Rechner gehackt wurde?:welcome:

Nein, können wir nicht, denn genau diesen Fall abzusichern ist der Zweck eines echten zweiten Faktors. Wenn ich z.B. chipTAN für ein Konto benutze, dann kann ich Dir unbeschränkten Zugriff auf meinen Rechner geben, Du wirst keine Verfügungen auf dem Konto auslösen können, solange Du die zugehörige Chipkarte nicht hast.

 

Das chipTAN-Lesegerät kriegt vom Rechner die Transaktionsdaten (Ziel-IBAN, Betrag) übertragen (Blinkerei, 2D-Barcode), diese zeigt es mir an, und wenn ich die Angaben bestätige, lässt es von der Chipkarte eine TAN erzeugen, die für genau diese Transaktionsdaten gültig ist. Wenn der kompromittierte Rechner mir manipulierte Transaktiondaten an das Lesegerät schickt, dann sehe ich das auf dem Display des Lesegerätes und breche die TAN-Generierung ab, wenn der kompromittierte Rechner die von mir erzeugte TAN abfängt und mit manipulierten Transaktionsdaten an die Bank schickt, lehnt die Bank den Auftrag ab, da die TAN nicht zu den Transaktionsdaten passt.

 

(Alles unter der Annahme, dass die Bank bei der Implementation des chipTAN-Verfahrens auf der Chipkarte keinen Murks gebastelt hat.)

Diesen Beitrag teilen


Link zum Beitrag
Xivender
vor 9 Minuten von Staatenverbund:

Nein, können wir nicht, denn genau diesen Fall abzusichern ist der Zweck eines echten zweiten Faktors. Wenn ich z.B. chipTAN für ein Konto benutze, dann kann ich Dir unbeschränkten Zugriff auf meinen Rechner geben, Du wirst keine Verfügungen auf dem Konto auslösen können, solange Du die zugehörige Chipkarte nicht hast.

 

Das chipTAN-Lesegerät kriegt vom Rechner die Transaktionsdaten (Ziel-IBAN, Betrag) übertragen (Blinkerei, 2D-Barcode), diese zeigt es mir an, und wenn ich die Angaben bestätige, lässt es von der Chipkarte eine TAN erzeugen, die für genau diese Transaktionsdaten gültig ist. Wenn der kompromittierte Rechner mir manipulierte Transaktiondaten an das Lesegerät schickt, dann sehe ich das auf dem Display des Lesegerätes und breche die TAN-Generierung ab, wenn der kompromittierte Rechner die von mir erzeugte TAN abfängt und mit manipulierten Transaktionsdaten an die Bank schickt, lehnt die Bank den Auftrag ab, da die TAN nicht zu den Transaktionsdaten passt.

 

(Alles unter der Annahme, dass die Bank bei der Implementation des chipTAN-Verfahrens auf der Chipkarte keinen Murks gebastelt hat.)

Danke. Perfekt und besser erklärt als ich hätte es erklären können.

Wer es jetzt nicht versteht, dem kann nicht mehr geholfen werden.

 

Diesen Beitrag teilen


Link zum Beitrag

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×
×
  • Neu erstellen...