ING (DiBa) - Die Bank für mich?

[Xivender]

vor einer Stunde von th23:

Also ich möchte hier eher mal ein Lob an die ING geben: Mit der QR-Anmeldung haben die überlegt, wie man es den Kunden trotz/mit PSD2 Anforderungen (um die man als Bank mit Giro nicht legal herum kommt) eine vereinfachte Anmeldung im Browser ermöglicht - jetzt also einfach in der App per Fingerabdruck legitimieren, 2 QR Codes scannen und schon ist man im Web angemeldet

 

(statt vorher Konto/Depotnummer eingeben, Internet Pin eingeben, 2 Stellen des Diba Key eingeben, und per App bestätigen)

 

Also alle in allem gleiche Sicherheit, aber für mich als Nutzer viel einfacher - Danke an die ING!

 

Wenn Du Dich in der APP, egal ob per Fingerabdruck oder per Passwort anmelden musst, ist hast Du wieder vollen Kto. Zugriff.

Also faktisch keine 2Faktoren-Sicherheit.

 

 

vor einer Stunde von Guardvan:

Schön das es wieder jemand geschafft hat, auch bei einem total vereinfachten Anmeldeprozess, zu meckern.

Natürlich muss man sich in der App anmelden, da es keine TAN-App gibt. Stichwort: 2-Faktoren.

Verstehe manche Probleme nicht....

Wie ich bereits schon schrieb.

Das ist nur eine Scheinsicherheit.

Das Problem ist, dass man sich erst einmal in der App anmelden muss, egal wie - ob per Fingerprint oder Passwort.

Und wenn ich in der App angemeldet bin, dann habe ich bereits vollen Zugriff auf das Kto. und kann Überweisungen tätigen.

vor einer Stunde von Rubberduck:

Antwort ING:in Summe 700 reicht aus. Muss nicht in einem Betrag sein.

Komplette Antwort maile ich später.

Das ist doch super 

[th23]

vor 11 Minuten von Xivender:

faktisch keine 2Faktoren-Sicherheit

 

Sorry, aber wenn Du es nicht verstehst (was kein Angriff sein soll) und nicht Experte bist, dann wäre ich mit so absoluten Statements etwas vorsichtig...das verunsichert andere im Zweifel unnötig.

 

Es sind 2 unabhängige Faktoren wie von PSD Richtlinie gefordert bei der Anmeldung:

 

1) physisch dieses exakte Handy (Gerät, das vorher einmal gekoppelt wurde, anders als ein beliebiger Browser)

 

+

 

2) Pin (= Wissen) oder Fingerabdruck (= Physiologisches Merkmal)

 

 

[Xivender]

vor 12 Minuten von th23:

 

Sorry, aber wenn Du es nicht verstehst (was kein Angriff sein soll) und nicht Experte bist, dann wäre ich mit so absoluten Statements etwas vorsichtig...das verunsichert andere im Zweifel unnötig.

 

Es sind 2 unabhängige Faktoren wie von PSD Richtlinie gefordert bei der Anmeldung:

 

1) physisch dieses exakte Handy (Gerät, das vorher einmal gekoppelt wurde, anders als ein beliebiger Browser)

 

+

 

2) Pin (= Wissen) oder Fingerabdruck (= Physiologisches Merkmal)

 

 

 

Ich weiß, laut den Richtlinien ist das anscheinend eine 2 Faktor Autorisierung, wenn auch, meiner Meinung nach mit einer relativ großzügigen Auslegung.

Um das ad Absurdum mal zu veranschaulichen, könnte ich auch sagen: Wir nehmen den Computer statt das Handy mit Login über die Webseite.

 

Der erste Faktor ist der Computer (Mit Hardware und CO) und der zweite Faktor ist dann der PIN ( Wissen)

Wenn ich jetzt einen Trojaner auf meinem Computer habe, dann wird mein Computer über Fernzugriff gesteuert und das Konto leer geräumt. Denn die Zwei Faktoren sind ja gegeben.

 

Und genau das selbe ist es mit der App.

Du brauchst Dir nur einen Trojaner auf dem Handy einfangen und dem ausspähen und fernsteuern steht nichts mehr im Wege!

 

Das ist für mich keine echte 2Faktor Autorisierung.

[mattes77]

Also, erst einmal um eure Spekulationen zu beenden. Ja, ich habe ein Girokonto bei der ING. Das habe ich zwar letzte Woche gekündigt. Aber noch ist es vorhanden. Ich werde wahrscheinlich dann doch die Kündigung zurücknehmen und ein drittes Mal einen Generator bestellen. Den der Kundenservice und auch das Onlinebanking sind ja eigentlich doch besser als bei DKB und Comdirect. 

 

Zur "alten" Diskussion über Sicherheit nur soviel. Es ist unter renommierten IT Experten kein Geheimnis, dass eine App. Lösung grundsätzlich weniger sicher ist als ein zusätzliches Hardware Gerät, sprich ein Generator. Aber die Banken erzählen den Kunden natürlich vor allem die "Bequemlichkeit" der App. Weil das Nutzen einer App hat zwei Vorteile. Die Kosten für m tans fallen weg und die App kann wunderbar Daten vom Handy der Kunden auslesen.

 

Es ist so ähnlich wie PIN First bzw. "kontaktlos - Zwang" bei Kreditkarten. Dem Kunden wird die Bequemlichkeit angepriesen. Die Sicherheit des Kunden ist weniger wichtig. Mit besserer Sicherheit ist leider meistens die "Sicherheit der Banken vor den Kunden" gemeint!

[dimido]

Wie zuvor geschrieben waren bei der ING in 2020 45% der Trades App-Trades.
Und bei der DeuBa sind mitterweile (Interview von Nov. 2020) auch schon über 30% aller Online-Trades App-Trades.
Im gleichen Interview auch die Aussage, daß mitterweile ~1 Mio Kunden pro Tag die DeuBa App nutzen (20% Zuwachs in 12 Monaten).

 

Alles nur weil die bösen Banken die unmündigen Kunden zur App-Nutzung zwingen?
Keineswegs, denn bei beiden kann man ohne App Traden. Es sind also die mündigen Kunden die den Banken die "mobile" Tür einrennen.
Millionenfache Nutzung jeden Tag (= lohnendes Angriffziel) aber wo sind denn all die Real-Life-Beispiele über gehackte Banking-Apps wenn es doch so einfach zu sein scheint?

 

Natürlich ist ein separater Hardware-Tan-Generator die oberste Stufe der Sicherheit.
Es ist aber trügerisch dem eigenen PC mehr zu vertrauen wenn jede Software-Installation schön mit admin-Rechten läuft. Man braucht also nicht mal einen Bug um Schadsoftware zu plazieren. Ist konkret einem meiner Arbeitskollegen passiert.
Bei ungerooteten Mobile-Systemen brauchts zumindest schonmal z.B. einen ungefixten OS-Bug im Bereich Privilege-Escalation um einen Angriff zu starten (am Ziel ist man dann aber auch noch lange nicht ...).

[BFler]

Meine Frau hat ein huawai Smartphone, wo gibt's da die banking to go zu installieren? Im huwai playstore gibt's die App nicht und Google-Dienste werden nicht unterstützt.

[Belgien]

vor 11 Stunden von Xivender:

 

Um das ad Absurdum mal zu veranschaulichen, könnte ich auch sagen: Wir nehmen den Computer statt das Handy mit Login über die Webseite.

 

Der erste Faktor ist der Computer (Mit Hardware und CO) und der zweite Faktor ist dann der PIN ( Wissen)

Wenn ich jetzt einen Trojaner auf meinem Computer habe, dann wird mein Computer über Fernzugriff gesteuert und das Konto leer geräumt. Denn die Zwei Faktoren sind ja gegeben.

Dein Beispiel ist Murks. Der Zugriff auf Dein Konto erfüllt den Faktor Besitz nicht, da Du eine Browsersoftware nicht „besitzt“, sondern nur an einem beliebigen PC nutzt. Um das Online-Banking der Bank zu nutzen, bedarf es keiner Gerätebindung, Du kannst es von beliebigen PCs aus nutzen. Daher ist beim „einfachen“ Online-Banking über die Weboberfläche immer nur der Faktor Wissen erfüllt. Genau das ist beim mobilen Zugriff über die App anders, da besteht Gerätebindung, so dass eine Authentifizierung den Faktor Besitz überprüfen kann und daher die PSD2 Bedingung, einen zweiten Faktor (neben Wissen) bei der Authentifizierung zu überprüfen, erfüllt ist.

[BFler]

Bei anderen onlinebanken, bekomme ich eine SMS mit Code, wenn ich mich von einem anderen PC anmelden will. Es geht also.

[Xivender]

vor 13 Stunden von Xivender:

Der erste Faktor ist der Computer (Mit Hardware und CO) und der zweite Faktor ist dann der PIN ( Wissen)

vor einer Stunde von Belgien:

Dein Beispiel ist Murks. Der Zugriff auf Dein Konto erfüllt den Faktor Besitz nicht, da Du eine Browsersoftware nicht „besitzt“, sondern nur an einem beliebigen PC nutzt.

Vielleicht kam das nicht so deutlich rüber, aber für den Faktor Besitz können wir den Computer mit all seiner Hardware (MAC Adressen), einmalig mit 2,3,4 i-Tans aktivieren, dann ist dieser PC, mit dieser Hardware mit diesen MAC Adressen als unser PC (Besitz) autorisiert.

 

So das ich über den Browser mich nur mit diesem PC einloggen kann.

Dann habe ich die scheinbare 2 Faktor Autorisierung hergestellt - oder irgendwelche Einwände?

 

Wie gesagt, dass soll nur als eine Analogie für die besser Veranschaulichung des eigentlichen Problems gegenüber der App darstellen.

 

So, jetzt komme ich mit meinem Trojaner, spähe deinen PC aus.

Und dann logge ich mich nebenbei über deinen PC/(Smartphone) ins onlinebanking ein und los gehts.

 

Und da gibt es doch auch fürs so sichere Smartphone so manchen Trojaner....

 

 

 

https://www.chip.de/news/Nahezu-unloeschbar-perfider-Android-Trojaner-uebersteht-sogar-den-Werksreset_182614129.html

 

[Nasenwasser]

Also ich sag mal so: Extra jedes Mal das Smartphone in die Hand nehmen zu müssen, um sich im Onlinebanking anzumelden, ist schon sehr nervig. Ich kenn das ja schon von der DKB. Wie oft saß ich am PC und wollte nur schnell den Kontostand checken ... Mist, geht nicht, weil das Teil am anderen Ende der Wohnung am Ladekabel hängt und ich fauler Sack jetzt wieder extra dafür aufstehen müsste ! Auf jeden Fall bringt das Frust. Von Hand bei der ING einloggen geht bei mir sowas von fix, ich muss gar nicht nachdenken. Das flutscht einfach aus den Fingern!

 

Edit: Okay, der "Zwang" besteht bei der ING wahrscheinlich nicht. Bequemer ist es mit QR aber auch nicht unbedingt.

[Xaro]

vor 22 Minuten von Xivender:

Und da gibt es doch auch fürs so sichere Smartphone so manchen Trojaner....

Zitat

Dennoch kommt es vor, dass einige User auch Apps aus unseriösen Quellen herunterladen

[...] 

Die Schadsoftware, die als Aufräum-App für Android-Geräte beschrieben wird, wird nicht in offiziellen App Stores angeboten, sondern aus inofffiziellen Quellen von dubiosen Anbietern bereitgestellt.

https://www.chip.de/news/Nahezu-unloeschbar-perfider-Android-Trojaner-uebersteht-sogar-den-Werksreset_182614129.html

 

Wenn jemand so beschränkt ist und Apps aus unseriösen Drittquellen installiert, ist demjenigen auch nicht mehr zu helfen.

Nutzt du den Playstore als offizielle Quelle, hast du nichts zu befürchten. -

Ach Stop, auf Phishing und dergleichen fällt man ja im Zuge vom MTAN nicht herein - warum also jetzt?

 

Ihr strickt euch ständig irgendwelche Szenarien und pickt euch von verschiedensten Themen Rosinen heraus, die ihr für eure Szenarien benötigt, damit sie eine möglichst logische und reale Bedrohung darstellen, die es so aber nicht gibt.

[Xivender]

vor 8 Minuten von Xaro:

https://www.chip.de/news/Nahezu-unloeschbar-perfider-Android-Trojaner-uebersteht-sogar-den-Werksreset_182614129.html

 

Wenn jemand so beschränkt ist und Apps aus unseriösen Drittquellen installiert, ist demjenigen auch nicht mehr zu helfen.

Nutzt du den Playstore als offizielle Quelle, hast du nichts zu befürchten.

 

Ihr strickt euch ständig irgendwelche Szenarien und pickt euch von verschiedensten Themen Rosinen heraus, die ihr für eure Szenarien benötigt, damit sie eine möglichst logische und reale Bedrohung darstellen, die es so aber nicht gibt.

Also als erstes kam von "eurer" Seite, wenn man es so nennen mag, der Hinweis dass mTan unsicher sei. Darauf habt "ihr" einen Spiegelartikel verwiesen, wo die Daten

durch Pishing abgefangen wurden... also wo der User auf Fake Webseiten reingefallen ist...  

Am 18.3.2021 um 20:38 von th23:

Kurze Internet-Suche zu "Angriff mTAN" mit Spiegel als (nach meiner Meinung seriöser Quelle): https://www.spiegel.de/netzwelt/web/online-banking-kriminelle-stehlen-geld-von-mtan-nutzern-a-1145843.html

Und  nun unterstellt eure "Seite", dass wir/ich nur die Rosinen rauspicken...

Das gleiche könnte ich zurückgeben.

 

Wie dem aber auch sei:

 

Wir scheinen da eine unterschiedliche Auffassung von Sicherheit und 2Faktor-Autorisierung zu haben.

Ist nicht schlimm, man muss ja nicht einer Meinung sein.

 

Von meiner Seite aus ist erst einmal alles gesagt.

[Gast230510]

vor 1 Stunde von BFler:

Bei anderen onlinebanken, bekomme ich eine SMS mit Code, wenn ich mich von einem anderen PC anmelden will. Es geht also.

Ich hoffe doch, dass du für 2FA und  sowas wie sms-tan nicht deine "richtige" Mobilfunknummer nutzt, sondern eine prepaid (die außer dir selber kein anderer kennt)! Das Bestätigen mittels sms ist in etwa genauso sicher, wie wenn man auf seine girokarte die pin draufschreibt.

[mattes77]

vor 36 Minuten von Entendieb:

Ich hoffe doch, dass du für 2FA und  sowas wie sms-tan nicht deine "richtige" Mobilfunknummer nutzt, sondern eine prepaid (die außer dir selber kein anderer kennt)! Das Bestätigen mittels sms ist in etwa genauso sicher, wie wenn man auf seine girokarte die pin draufschreibt.

Na ja! Das halte ich für ein gezieltes Gerücht der Banken zu m tan Abschaffung. Es ist doch viel lohnender, Smartphone Apps anzugreifen  oder Smartphones zu stehlen als "alte" Telefonnummern von Handys durch z.B. "Ersatz" Sim Karten zu kapern!

[troi65]

Um hier die schnöden Zugangsdiskussionen mal zu unterbrechen:

Seit gestern werden ( jedenfalls mir ) die kostenlosen ETF-Sparpläne ab 01.04.2021 angezeigt :
https://wertpapiere.ing.de/DE/Showpage.aspx?pageID=106&UseURL=Ja&Fondsart=nur+ETFs+(indexabbildend)&Sparplanfaehig=Ja&BHH_Reload=1&BHH_Reload=1#BHP

 

Sind zwar nicht die versprochenen mehr als 800 ; aber knapp daneben.

Als Beruhigungspille :

Die Sau im Forendorf mit der WKN A1JX52 ist auch dabei !

[TTT]

vor 4 Stunden von troi65:

Seit gestern werden ( jedenfalls mir ) die kostenlosen ETF-Sparpläne ab 01.04.2021 angezeigt :
Sind zwar nicht die versprochenen mehr als 800 ; aber knapp daneben.

Das Versprechen war doch einfach, dass alle ETF Sparpläne kostenlos werden. Also ändert sich an der Verfügbarkeit vermutlich nicht viel.

Habe das gerade noch mal verifiziert und alle meine angelegten Sparpläne stehen nun mit 0.00% Provision drin.

[TTT]

Am 20.3.2021 um 19:57 von th23:

 

Sorry, aber wenn Du es nicht verstehst (was kein Angriff sein soll) und nicht Experte bist, dann wäre ich mit so absoluten Statements etwas vorsichtig...das verunsichert andere im Zweifel unnötig.

 

Es sind 2 unabhängige Faktoren wie von PSD Richtlinie gefordert bei der Anmeldung:

 

1) physisch dieses exakte Handy (Gerät, das vorher einmal gekoppelt wurde, anders als ein beliebiger Browser)

 

+

 

2) Pin (= Wissen) oder Fingerabdruck (= Physiologisches Merkmal)

 

 

Sorry, aber wenn Du es nicht verstehst (was kein Angriff sein soll) und nicht Experte bist, dann wäre ich mit solchen Statements etwas vorsichtig...das wiegt andere im Zweifel unnötig in Sicherheit, die nicht gegeben ist.

 

Nur weil die PSD Richtlinie so schlecht formuliert ist, dass das danach als 2FA durchgeht, wird dir jeder, der Ahnung davon hat, trotzdem bestätigen, dass EINE App auf EINEM Gerät, die alles tun kann (egal, ob man dafür auf diesem Gerät eine PIN o.ä. eingeben muss) keine valide 2FA im eigentlichen Sinn sein kann.

 

vor 15 Stunden von Belgien:

Dein Beispiel ist Murks. Der Zugriff auf Dein Konto erfüllt den Faktor Besitz nicht, da Du eine Browsersoftware nicht „besitzt“, sondern nur an einem beliebigen PC nutzt. Um das Online-Banking der Bank zu nutzen, bedarf es keiner Gerätebindung, Du kannst es von beliebigen PCs aus nutzen. Daher ist beim „einfachen“ Online-Banking über die Weboberfläche immer nur der Faktor Wissen erfüllt. Genau das ist beim mobilen Zugriff über die App anders, da besteht Gerätebindung, so dass eine Authentifizierung den Faktor Besitz überprüfen kann und daher die PSD2 Bedingung, einen zweiten Faktor (neben Wissen) bei der Authentifizierung zu überprüfen, erfüllt ist.

Das Beispiel ist sehr gut und kein Murks. Du musst das Smartphone nicht besitzen sondern nur Zugriff darauf haben bzw. es kompromittieren. Dann gibt es auch keinen zweiten Faktor mehr.

Sein Beispiel ging davon aus, dass der Login eben nur auf diesem einen PC möglich wäre (wie mit der App auf diesem einen Smartphone). Also beim Login würde quasi die Hardware geprüft. Es wären die Bedingungen damit nicht mehr oder weniger erfüllt als mit der App. Und genau das ist der Punkt bei der App.

[Rubberduck]

Zitat

danke für Ihre Anfrage zu unseren Girokonto-Konditionen!

Ja, es stimmt: Wir haben zum 01.05.2020 ein Kontoführungsentgelt für Girokonten eingeführt, auf denen monatlich weniger als 700 Euro Gehalt eingehen.

Neben Gehalt und Rente berücksichtigen wir aktuell auch alle anderen Eingänge (z.B. Eigenüberweisungen, Daueraufträge oder Mieteinnahmen).

Wertpapierumsätze, eigene Überträge oder Gutschriften aus der Buchung von Rücklastschriften werden aber nicht als Geldeingang berücksichtigt.

Zu Ihrer Information: Die 700 Euro können auch in mehreren Zahlungen auf Ihrem Girokonto eingehen.
 

 

[Guardvan]

Bei mir wurde auch die Provision auf 0% gesetzt und außerdem kommt die Meldung "Die Maximalsparrate beträgt 1.000€"

Das heißt höhere Sparpläne als 1.000€ sind nicht mehr möglich.

Die doppelte Anlage desselben ETFs ist aber möglich.

[moonraker]

Am 21.3.2021 um 08:16 von BFler:

Meine Frau hat ein huawai Smartphone, wo gibt's da die banking to go zu installieren? Im huwai playstore gibt's die App nicht und Google-Dienste werden nicht unterstützt.

Bei den neueren Huawei-Smartphones ohne Google-Playstore kann man die ING-App standardmäßig nicht installieren.

Einige Nutzer haben es über alternative Wege geschafft.

 

Beispiel aus dem Netz (habe es selbst nicht probiert, da das Problem für mich nicht vorhanden):

https://www.huaweiblog.de/news/huawei-banking-apps/

Zitat

Marco (12. März 2021):

Die ING Banking App läuft übrigens komplett ohne Google Dienste – inklusive Freigabeverfahren. Ich nutze diese ohne Probleme auf dem Mate 40 Pro (ohne Google Dienste). Ich habe die App über den Aurora Store heruntergeladen. Anschließend das Mate 40 Pro als neues Gerät eingerichtet für Banking to go und das war’s.

 

[Vango]

vor 9 Stunden von moonraker:

Beispiel aus dem Netz (habe es selbst nicht probiert, da das Problem für mich nicht vorhanden):

https://www.huaweiblog.de/news/huawei-banking-apps/

Zitat

Marco (12. März 2021):

Die ING Banking App läuft übrigens komplett ohne Google Dienste – inklusive Freigabeverfahren. Ich nutze diese ohne Probleme auf dem Mate 40 Pro (ohne Google Dienste). Ich habe die App über den Aurora Store heruntergeladen. Anschließend das Mate 40 Pro als neues Gerät eingerichtet für Banking to go und das war’s.

Ob für solche Aktionen auch das Sicherheitsversprechen der ING gilt?

[mattes77]

vor einer Stunde von Vango:

Ob für solche Aktionen auch das Sicherheitsversprechen der ING gilt?

Wahrscheinlich eher nicht. Sie wollen ja, dass du am Besten die App nutzt. Aber bitte immer nach ihren Regeln! Kundenbedürfnisse nur im Rahmen der Bankbedürfnisse!

[Guardvan]

vor 30 Minuten von mattes77:

Wahrscheinlich eher nicht. Sie wollen ja, dass du am Besten die App nutzt. Aber bitte immer nach ihren Regeln! Kundenbedürfnisse nur im Rahmen der Bankbedürfnisse!

Das ist ja wohl klar und ist Basis des wirtschaftlichen Handelns.

 

Ich kann mich nur immer wiederholen: Bin sehr zufrieden mit der ING und kann das Gemeckere nicht verstehen.

[troi65]

Tut sich doch noch was an der ETF-Auswahl .

Seit heute werden 815 kostenlose ETF-Sparpläne angezeigt.

Warum allerdings für Thailand nur 2 ETFs als Länder-ETF zur Auswahl stehen , erschließt sich mir nicht.

[Guardvan]

vor 2 Stunden von troi65:

Tut sich doch noch was an der ETF-Auswahl .

Seit heute werden 815 kostenlose ETF-Sparpläne angezeigt.

Warum allerdings für Thailand nur 2 ETFs als Länder-ETF zur Auswahl stehen , erschließt sich mir nicht.

Kann schon jemand sagen, welche ETFs neu sind? Hat jemand was bemerkt?