Smartbroker / Smartbroker+

[dev]

vor 6 Minuten von Raccoon:

Du hast geschrieben, daß das Telefonnetz keine Verbindung zum Internet hat. Aber mit einigem Aufwand und unter bestimmten Bedingungen wäre es möglich, das dumme Handy zu klonen und die SMS auf dem 2. Gerät in parallel zu empfangen. Das ging übrigens schon lange bevor es Internet im Handy gab.

OK, wie schon geschrieben, empfehle ich nur noch Offline-TAN-Geräte.

[odensee]

vor 9 Minuten von Mangalica:

Genau, ein völlig unverschlüsseltes Medium, bei dem man die unverschlüsselte TAN über SS7-Angriffe einfach mal nach Russland routen kann, ist bestimmt ganz sicher, schließlich ist es ja vom Internet entkoppelt.

So ganz nebenher musst der Hacker dann aber entweder noch in die gerade offene Session im online-Banking kommen oder die PIN knacken. Ich bleibe mal bei der SMS-TAN, solange es die noch gibt. Für mehrere Bankverbindungen (gelegentlich gibt es gute Gründe dafür...) ein neues Teil zu kaufen ist mir zuwider. 

[Merol Rolod]

vor 8 Stunden von morini:

1. Jemand findet mein Smartphone und loggt sich über die im Browser abgespeicherten Zugangsdaten in meine Konto/Depot ein.

Hier fängt die Problemkette an und man kann direkt selbst ansetzen und Zugangsdaten nicht im Browser ablegen. Damit hat man schon mal eine ganz ordentliche Hürde aufgebaut. Ohne Zugang zum Konto nützt dem Angreifer der ganze Rest ja erstmal nüscht.

[Mato]

Außerdem sollte in dem Szenario auch daran gedacht werden, dass nicht jeder einfach mit einem gefundenen Smartphone machen kann, was er möchte. Da gehört sicher auch einiges dazu, den Zugangsschutz per PIN, Fingerabdruck usw. zu knacken.

[morini]

vor 8 Stunden von Federer273:

Habe nochmal auf Systemupdates gecheckt und jetzt den DAB-Support kontaktiert wegen meiner Login-Probleme bei der Secure-App. Leider konnte mir nicht kompetent geholfen werden. Lediglich eine schriftliche Rückmeldung wurde in Aussicht gestellt. Es gebe auch keine andere Möglichkeit. Die Einrichtung eines anderen Gerätes geht schließlich auch nur über die Secure App des Erstgeräts. Ich bin nun komplett handlungsunfähig:(

 

Edit:

 

Ein Aktiverungsbrief soll das Problem nun lösen, ich bin gespannt!

 

Wieso verwendest du nicht weiterhin die SMS-TAN, bis das Problem mit der Secure-App behoben worden ist?

 

Außerdem könntest du einen Kobil-TAN-Generator anfordern, den du innerhalb weniger Tage erhalten würdest, und diesen mit der SMS-TAN aktivieren.

 

Oder ist bei dir mit dem Umstieg auf die Secure-App das SMS-TAN-Verfahren außer Kreft gesetzt worden?

[morini]

vor 3 Stunden von dev:

OK, wie schon geschrieben, empfehle ich nur noch Offline-TAN-Geräte.

 

Wäre es schon ein Risiko, die Secure-App für den Fall, dass der Kobil-TAN-Generator mal nicht verfügbar sein sollte, auf dem Smartphone installiert zu haben?

Könnte jemand, dem das Smartphone in die Hände fällt, damit Unfug treiben?

[dev]

vor 2 Minuten von morini:

 

Wäre es schon ein Risiko, die Secure-App für den Fall, dass der Kobil-TAN-Generator mal nicht verfügbar sein sollte, auf dem Smartphone installiert zu haben?

Könnte jemand, dem das Smartphone in die Hände fällt, damit Unfug treiben?

Ich habe keine Ahnung wie diese gesichert ist, aber als Softwareentwickler mußte ich lernen, nichts ist sicher!

[alsuna]

vor 14 Minuten von morini:

Könnte jemand, dem das Smartphone in die Hände fällt, damit Unfug treiben?

Ich sehe grundsätzlich das größte Sicherheitsproblem (vom Inhaber des Depots mal abgesehen) auf dem Weg der TAN von der Bank zum Benutzer. Das Szenario eines Angriffs über ein verlorenes Handy scheint mir unwahrscheinlicher als ein erfolgreicher Angriff auf das Backend bzw die IT der Bank.

[Mangalica]

vor 13 Stunden von odensee:

So ganz nebenher musst der Hacker dann aber entweder noch in die gerade offene Session im online-Banking kommen oder die PIN knacken.

Das gilt immer und ist daher bei der Diskussion über die Sicherheit von TAN-Verfahren erst einmal irrelevant. Nehmen wir an, ein Hacker auf der anderen Seite der Welt erlangt durch einen Keylogger auf deinem PC die Zugangsdaten zu deinem Online-Banking. Da dein PC ja ohnehin kompromittiert ist, ist das Abschnorcheln von persönlichen Daten wie deiner Telefonnummer nicht mehr besonders schwierig.

1. Beim mTAN-Verfahren besteht nun die prinzipielle Möglichkeit, die TAN durch Schwachstellen im Telefonnetz (wie z.B. den SS7-Angriff) unverschlüsselt in das Land des Angreifers zu routen. Wie sicher das Telefon ist, auf dem du die mTAN empfängst, ist hier völlig irrelevant, da das überhaupt nicht der Angriffsvektor ist.
2. Bei einer ordentlich programmierten Smartphone-App, bei der die kryptografischen Schlüssel im Crypto-Chip der Hardware gespeichert (z.B. Secure Enclave im iPhone) sind, braucht der Angreifer physischen Zugriff auf das Telefon und die Möglichkeit, dieses und die TAN-App zu entsperren. Oder alternativ die Kenntnis einer drastischen Sicherheitslücke im Smartphone-Betriebssystem und der App. Solche Sicherheitslücken sind übrigens viel Geld wert, da lohnt es sich für den Angreifer mehr, die Sicherheitslücke auf dem Schwarzmarkt zu verkaufen oder dem Hersteller im Bug-Bounty-Programm zu melden, anstatt diese dazu zu nutzen, 50k€ vom Konto des Bankkunden zu räumen.

Der Unterschied ist hier also, dass man mTAN-Angriffe prinzipiell von beliebigen Orten der Welt durchführen kann. Dazu kommt noch, dass einige Banken das Zurücksetzen des Passworts für das Online-Banking über einen an die Telefonnummer gesendeten Code erlauben. Kombiniert mit der mTAN ist das fatal und z.B. beim Gratisbroker der Fall: Dort wird für das Login E-Mail-Adresse benutzt und die "Passwort vergessen"-Funktion geht so, dass an die hinterlegte Telefonnummer ein Verifizierungscode geschickt wird und man sich so ein neues Passwort setzen kann. An die gleiche Telefonnummer werden dann auch die mTANs verschickt. So erlangt man nur durch Kenntnis der E-Mail-Adresse und Zugriff auf die Telefonnummer recht leicht einen vollständigen Zugriff auf den Broker. Mit ein Grund, warum ich mein Depot zum Gratisbroker zum Smartbroker umgezogen habe, bei letzterem habe ich von Anfang an ausschließlich die QR-TAN benutzt.

 

Ich bevorzuge jederzeit eine TAN-App und bereibe dazu noch strikte Gerätetrennung, d.h. meine Zugangsdaten gebe ich nie auf dem Gerät ein, auf dem die TAN-App installiert ist.

[odensee]

vor 26 Minuten von Mangalica:

Das gilt immer und ist daher bei der Diskussion über die Sicherheit von TAN-Verfahren erst einmal irrelevant.

Ich gebe dir bei deinen Ausführungen durchaus weitestgehend recht.

vor 26 Minuten von Mangalica:

Da dein PC ja ohnehin kompromittiert ist, ist das Abschnorcheln von persönlichen Daten wie deiner Telefonnummer nicht mehr besonders schwierig.

Bei der comdirect kommt man nicht an die Telefonnummer, ohne eine TAN einzugeben. Bei der ING muss man bei jedem Login eine TAN eingeben, gleiches bei der Targobank.... will sagen: das Bankinterface sollte auch ordentlich programmiert sein, was ich bei manchen Billiganbietern anzweifle, ohne es genau begründen zu können (erschreckend fand ich onvista, die auf TANs ganz verzichten.) Und damit komme ich zu:

vor 26 Minuten von Mangalica:

1. Bei einer ordentlich programmierten Smartphone-App,

... auch das muss gewährleistet sein. Ist hier zugegeben off-topic. Vielleicht kann es ja ein neuer Mod hierher verschieben: https://www.wertpapier-forum.de/topic/51276-sicherheit-des-accountzugangs-bei-verschiedenen-brokern/page/2/

 

[Federer273]

12 hours ago, morini said:

 

Wieso verwendest du nicht weiterhin die SMS-TAN, bis das Problem mit der Secure-App behoben worden ist?

 

Oder ist bei dir mit dem Umstieg auf die Secure-App das SMS-TAN-Verfahren außer Kraft gesetzt worden?

So ist es.

 

Tatsächlich habe ich nun herausgefunden, dass ich mich in die App einloggen kann, wenn ich den Flugmodus aktiviere, jedoch werden dann nur invalide TANs erzeugt. Mich wundert es wirklich, dass keiner hier über das selbe Problem berichtet wie ich?? Ich habe im Grunde alle Fehlerquellen meinerseits ausgeschlossen...

[Federer273]

Wenn ein Offline-Login im Gegensatz zum Online-Login möglich ist, worin besteht dann der Fehler wahrscheinlich? Hat hier jmd. Expertise in diesem Bereich?

[hattifnatt]

vor 7 Minuten von Federer273:

Wenn ein Offline-Login im Gegensatz zum Online-Login möglich ist, worin besteht dann der Fehler wahrscheinlich? Hat hier jmd. Expertise in diesem Bereich?

Vielleicht crasht sie beim Versuch, den Server zu kontaktieren - das passiert bei mir auch manchmal. Probier doch mal folgendes:

• Einloggen im Flugmodus
• Flugmodus deaktivieren
• Versuchen, eine QR-Tan zu erzeugen

[Federer273]

Danke für die Rückmeldung. Habe ich schon probiert (und jetzt noch einmal), aber er akzeptiert auch diese TAN dann nicht. 

[snoop2day]

Es gibt jetzt einen (elektronischen?) Depotwechselservice (ohne Ausdruck?):

https://smartbroker.depotwechselservice.de/

[Merol Rolod]

Wie erfolgt die Rückgabe von ETF-Bruchstücken bei Smartbroker? Normal über den Verkaufsprozess? Und dann zu den üblichen Konditionen?

Oder muss man für die Bruchstücke selbst irgendwelche Klimmzüge machen, diese zum Beispiel separat kostenpflichtig verkaufen oder irgendwie per Formular zurückgeben?

[hattifnatt]

vor 1 Stunde von Federer273:

Danke für die Rückmeldung. Habe ich schon probiert (und jetzt noch einmal), aber er akzeptiert auch diese TAN dann nicht. 

Hast Du wirklich den QR-Code gescannt, wie in Schritt 6 hier erklärt:

https://www.wallstreet-online.de/nachricht/12723524-schritt-schritt-erklaert-smartbroker-aktien-kaufen

(ich habe die DAB-Secureplus-App, da heißt der Button "QR-TAN generieren", also der untere Button:

 

[Federer273]

1 hour ago, hattifnatt said:

Hast Du wirklich den QR-Code gescannt, wie in Schritt 6 hier erklärt:

https://www.wallstreet-online.de/nachricht/12723524-schritt-schritt-erklaert-smartbroker-aktien-kaufen

(ich habe die DAB-Secureplus-App, da heißt der Button "QR-TAN generieren", also der untere Button:

 

Ja, es hat ja auch wochenlang problemlos funktioniert.

[Aktie]

vor 3 Stunden von Merol Rolod:

Wie erfolgt die Rückgabe von ETF-Bruchstücken bei Smartbroker? Normal über den Verkaufsprozess? Und dann zu den üblichen Konditionen?

Oder muss man für die Bruchstücke selbst irgendwelche Klimmzüge machen, diese zum Beispiel separat kostenpflichtig verkaufen oder irgendwie per Formular zurückgeben?

Hab es noch nicht probiert, aber in der Ordermaske gibt es eine Möglichkeit zum Verkauf von Bruchstücken. Ansonsten kann man sie bestimmt auch ersatzlos kostenfrei ausbuchen lassen.

 

Falls die TAN-, Handy- und Internetdiskussion noch anhält: Wollen wir die lieber in ein eigenes Thema verlegen damit die Fragen und Beiträge zu Smartbroker hier noch auffindbar bleiben?

[whister]

vor 4 Stunden von Merol Rolod:

Wie erfolgt die Rückgabe von ETF-Bruchstücken bei Smartbroker? Normal über den Verkaufsprozess? Und dann zu den üblichen Konditionen?

Oder muss man für die Bruchstücke selbst irgendwelche Klimmzüge machen, diese zum Beispiel separat kostenpflichtig verkaufen oder irgendwie per Formular zurückgeben?

Ich habe Bruchstücke von einem Fonds in meinen Depot und diese könnte ich in der Ordermaske an die KAG zurückgeben. Kosten lt. Kostenausweis wären 4 Euro.

[Merol Rolod]

Danke für die Auskunft, @Aktie und @whister.

[blaky]

Etf-Bruchstücke kann man bei Smartbroker kostenfrei über Lang&Schwarz verkaufen.

[morini]

Am 18.9.2020 um 19:10 von dev:

Kannte ich noch nicht, somit fällt die von mir nie genutzte TAN-SMS  auch aus.

 

Wenn du die TAN-SMS nie genutzt hast, wie hast du dann bei Smartbroker Transaktionen ausführen können?

[dev]

vor 12 Minuten von morini:

 

Wenn du die TAN-SMS nie genutzt hast, wie hast du dann bei Smartbroker Transaktionen ausführen können?

Ja,

[Cai Shen]

vor 28 Minuten von morini:

Wenn du die TAN-SMS nie genutzt hast, wie hast du dann bei Smartbroker Transaktionen ausführen können?

Ich bin erst vor kurzem frei geschalten worden, von einer SMS Tan Funktion hat in den zur Anmeldung eintreffenden Schreiben nie einer was erwähnt... 

Außer der DAB Secure App brauchte ich bisher nichts anderes für die Funktionalität. 

Ebenso wundert mich, dass ich anfangs hier von einer Smartbroker Oberfläche las, bisher jedoch ausschließlich DAB Schreiben kamen und ich auf der benannten Seite DAB.COM bisher nur die Standardoberfläche wiederfinde.