Depot und Girokonto bei der selben Bank

[hattifnatt]

vor 52 Minuten von el_Mare:

Ich denke, damit habe ich für mich das Optimum aus Komfort und Sicherheit gefunden. 

[Schlumich]

vor 59 Minuten von el_Mare:

So. Noch mal eine Rückmeldung von mir:

 

Nach langer Recherche und Austausch mit Kollegen aus unserer IT Sicherheitsabteilung habe ich nun folgende optimale Lösung für mich gefunden:

 

TAN Generator für die ING bestellt.

Die App wird nicht mehr genutzt.  Outbank zum checken der Kontostände (und Information von Kontobewegungen über Push Nachricht).

Outbank hat den Vorteil, dass die ING ihre HBCI Schnittstelle nur zum Abruf der Umsätze und für keinerlei Transaktionen autorisiert. Somit ist eine Transaktion von meinem Girokonto wirklich nur noch über den TAN Generator am heimischen Mac möglich.

 

Ich denke, damit habe ich für mich das Optimum aus Komfort und Sicherheit gefunden. 

Outbank muss ich mir tatsächlich mal anschauen. Kannte ich nicht und klingt interessant.

Nutzt das jemand hier und mag Erfahrungen teilen?

[Andy72]

vor 1 Stunde von Schlumich:

Outbank muss ich mir tatsächlich mal anschauen. Kannte ich nicht und klingt interessant.

Nutzt das jemand hier und mag Erfahrungen teilen?

Habs ausprobiert. Funktioniert einwandfrei.

Dann mal kurz recherchiert, Konten entfernt und App gelöscht.

 

https://praxistipps.chip.de/stiftung-warentest-banking-apps-im-sicherheits-check_41064

[StE]

vor 2 Stunden von el_Mare:

Outbank hat den Vorteil, dass die ING ihre HBCI Schnittstelle nur zum Abruf der Umsätze und für keinerlei Transaktionen autorisiert.

Damit rechnen, daß diese Firma die ihnen nun sichtbaren Transaktionen versuchen werden zu monetarisieren. Phänomenologisch irgendwie die Bauchschmerzen durch Ohrensausen eingetauscht. Der Vorteil ist, daß das eine deutsche Bude ist, d.h. wenn gegen einen ermittelt wird, haben die Beamten nicht so viel Arbeit an irgendwelche Daten zu kommen. (Sarkasmus)

 

vor 4 Stunden von CorMaguire:

So wirds sein

Zur allgemeinen Erleichterung will ich hinzufügen als advocatus diavoli habe ich in diesem Faden alles gesagt, was ein junger Leser und Neukunde einer Bank mit schon ein bisschen Geld auf der Seite (löblich) bedenken können wöllte.

vor 2 Stunden von dimido:

Durch ausschließlich(!) technischen Betrug?

Das Gerät war längere Zeit schon infiltriert und man hat abgewartet. Die Ziel-IBAN wurde bei einer größeren Überweisung ausgetauscht. Ziel-Konto-Inhaberin war eine Rentnerin, der man ein bisschen Geld bezahlt hat, um als Trampolin zu fungieren. Der Klassiker.

[CorMaguire]

vor 27 Minuten von StE:

...Das Gerät war längere Zeit schon infiltriert und man hat abgewartet. Die Ziel-IBAN wurde bei einer größeren Überweisung ausgetauscht. ....

Gehts etwas genauer? Was für ein Gerät (bzw. Geräte)? Wie kompromittiert? Welches Sicherungsverfahren? Wann (das Jahr reicht)?

[dimido]

vor 23 Minuten von StE:

Die Ziel-IBAN wurde bei einer größeren Überweisung ausgetauscht.

Bei der 2FA per App bekommt man aber Kontonummer und Betrag angezeigt bevor man freigibt. Wurde das einfach ignoriert?

 

Meine Schwester ist Ü70 und ist nun (weil ihr TAN-Gerät den Geist aufgab) auch freiwillig(!) auf die App-Version für die Freigabe gewechselt (Sparkasse).
Ich habe ihr "eingebläut", immer nur das freigeben was man auch selbst initiiert hat (also keine Freigabe für Sachen die per gefakten Telefonanruf, SMS etc. "angekündigt" wurden unter Vorspiegelung es handele sich um Spaka-Mitarbeiter) und immer (absolut immer) zu prüfen was auf der Freigabe steht, Kontonummer+Betrag.

Und bei dem geringsten Zweifel eben auf 3 FA zu switchen, also mich als 3-ten Faktor zu fragen

Denn nichts ist so dringend als das es sofort sein muss (wird ja gerne mit der Furcht gespielt, das Konto wird gesperrt etc...)

 

Meiner Ansicht nach ist und bleibt der Mensch der Schwachpunkt.

[StE]

vor 2 Minuten von CorMaguire:

Gehts etwas genauer? Was für ein Gerät (bzw. Geräte)? Wie kompromittiert? Welches Sicherungsverfahren?

Geht erheblich genauer, aber ich will nicht. Android Handy aus China, Vektor wie der Trojaner draufkam allerdings unbekannt. App der Bank wurde lahmgelegt und stattdessen immer die Mobile Webseite der Bank im Browser gestartet. Ich meine SMS-TAN. Trojaner hat dem Browser zusätzlichen JS-Code injiziert und fertig war der Salat. Geld war weg, denn gleich hinterher hat BenutzerIn die IBAN nicht kontrolliert und erst als der echte Adressat das Ausbleiben monierte, dämmerte es. Da waren aber schon 3-4 Wochen ins Land gegangen und die Bank konnte nur noch "tja" sagen.

 

Wenn Android dann nur GrapheneOS auf einem Google Pixel, das flasht im Telefon wirklich alles einmal neu. Und sie versuchen sicherheitstechnisch herauszuholen was geht. Der Rest ist alles Schrott nach dem Motto "es crasht nicht mehr, let's ship it".

vor 18 Minuten von dimido:

Wurde das einfach ignoriert?

Ich war nicht dabei, aber man kann davon ausgehen, dass da quasi alles ignoriert wurde.

[CorMaguire]

vor 9 Minuten von StE:

Geht erheblich genauer, aber ich will nicht. Android Handy aus China, Vektor wie der Trojaner draufkam allerdings unbekannt. App der Bank wurde lahmgelegt und stattdessen immer die Mobile Webseite der Bank im Browser gestartet. Ich meine SMS-TAN. Trojaner hat dem Browser zusätzlichen JS-Code injiziert und fertig war der Salat. Geld war weg, denn gleich hinterher hat BenutzerIn die IBAN nicht kontrolliert und erst als der echte Adressat das Ausbleiben monierte, dämmerte es. Da waren aber schon 3-4 Wochen ins Land gegangen und die Bank konnte nur noch "tja" sagen.....

"Tja" würde ich auch sagen und das Problem bei UserIn und nicht bei der Technik verorten. Und SMS-TAN sollte inzwischen 2022? abgeschafft sein.

[StE]

vor 20 Minuten von dimido:

Meiner Ansicht nach ist und bleibt der Mensch der Schwachpunkt.

OP sagte was von 7-stellig. Haben hier im Forum dank Power-Run in den Equities die letzten Jahre ja einige Geldsäcke soviel am Konto, und mehr. Supi. Öfter mal was spenden btw, nicht nur zu Weihnachten...

 

Auch ich sitze selten aber doch manchmal vor einer durchgerutschten Spam-Nachricht und überlege, ist das nun echt ist oder nicht. Meist natürlich nicht echt, und auf Links klicke ich schon gleich 3x nicht. Gefeit ist aber niemand. Deswegen muss man den Faktor Mensch ausschalten. Mit Linux von USB-Stick und 2FA TAN-Generator schalte ich das Risiko Mensch um Größenordnungen herunter*. Würde ich den Aufwand betreiben bei 10k im Depot? Absolut nein. Bei 1000k? Absolut.

 

* UEFI-Trojaner hat man hoffentlich keinen. Gegen DNS-hijakten Router daheim in diesem Linux nur auf DNSoverHTTPS ohne opportunistic oder fallbacks setzen.

[CorMaguire]

vor 10 Minuten von StE:

... Mit Linux von USB-Stick und 2FA TAN-Generator schalte ich das Risiko Mensch um Größenordnungen herunter*. Würde ich den Aufwand betreiben bei 10k im Depot? Absolut nein. Bei 1000k? Absolut.....

D. h. der Vorschlag ist fürs Banking letztlich ein gesondertes Gerät (abgesehen von der Hardware) zu nutzen, oder nicht? Da kann man fürs Banking auch die Hardware trennen und ein zweites Smartphone kaufen, wenn man die Dinger so mag.

Oder ein Tablet das sonst nix tut, ohne Mobiltelefonfunktionalität machts das dann auch billiger.

 

 

[Malvolio]

Ich finde es nützlich, wenn man mehrere Geräte als 2FA-Instrument registrieren kann. Wenn einem z.B. das Mobiltelefon mal abhanden kommen sollte, kann man dann immer noch ausweichen. Sonst ist man erstmal ausgebremst. Ich habe z.B. mein Telefon, ein iPad und noch einen TAN-Generator. 

 

 

 

[dimido]

Ja, mache ich auch so.
Ich habe alle 2FA-Apps (für alle Banken und auch die Authenticator App für andere Accounts, wie mail etc.) sowohl auf dem iPhone (immer dabei) als auch auf meinem iPad (immer zuhause).

[W.Heisenberg]

vor einer Stunde von dimido:

Ich habe alle 2FA-Apps (für alle Banken und auch die Authenticator App für andere Accounts, wie mail etc.) sowohl auf dem iPhone (immer dabei) als auch auf meinem iPad (immer zuhause).

Auf je mehr Geräten man die 2FA-Apps drauf hat, desto höher ist das Risiko dass irgendwo was schief läuft

[el_Mare]

vor 4 Stunden von Andy72:

Dann mal kurz recherchiert,

Puh, der Test ist von 2022. Da hat sich mittlerweile einiges getan. Auf der Outbank Webseite kann man sehr detailliert nachlesen, welche Art von Daten in welchem Umfang von wem und wann verarbeitet werden. Ich hab da kein schlechtes Gefühl.

 

Ich denke, wir müssen zwischen Datenschutzbedenken und Sicherheitsbedenken unterscheiden:

Und selbst wenn... eine gute Leistung muss ich bezahlen, sei es monetär oder mit meinen Daten. Und da die gute Leistung hier aus Komfort und Sicherheit besteht, lebe ich sehr gut damit.

[Neverdo]

Am 30.7.2024 um 09:16 von ein_johannes:

Ich nehme das doch mal ganz stark an. Aber verlassen würde ich mich nicht drauf. Zumal auch Betrüger lernfähig sind und sich stehts was neues ausdenken werden.

Sehe ich jetzt erst, ist aber nicht uninteressant...

So einen Schutzmechanismus gibt es, allerdings nicht beim online banking , sondern nur bei der klassischen Variante, da ruft man schon mal an, wenn die Unterschrift bei Überweisungen nicht eindeutig ist oder aber der Vorgang durch die Summe an sich, hängt wohl mit den Haftungsverpflichtungen der Bank zusammen...

[Matunus]

vor 1 Minute von Neverdo:

[…] 

So einen Schutzmechanismus gibt es, allerdings nicht beim online banking , sondern nur bei der klassischen Variante, da ruft man schon mal an, […] 

Ich wurde auch bei einer im Onlinebanking aufgegebenen Überweisung schon angerufen, weil die Transaktion der Bank ungewöhnlich erschien und man eine separate Freigabe von mir wollte.

[Neverdo]

Gerade eben von Matunus:

Ich wurde auch bei einer im Onlinebanking aufgegebenen Überweisung schon angerufen, weil die Transaktion der Bank ungewöhnlich erschien und man eine separate Freigabe von mir wollte.

Danke, war mir so noch nicht bekannt , ich tippe mal Hausbank mit Online Freischaltung ?

[hattifnatt]

vor 13 Minuten von el_Mare:

Puh, der Test ist von 2022. Da hat sich mittlerweile einiges getan. Auf der Outbank Webseite kann man sehr detailliert nachlesen, welche Art von Daten in welchem Umfang von wem und wann verarbeitet werden. Ich hab da kein schlechtes Gefühl.

 

Ich denke, wir müssen zwischen Datenschutzbedenken und Sicherheitsbedenken unterscheiden:

Und selbst wenn... eine gute Leistung muss ich bezahlen, sei es monetär oder mit meinen Daten. Und da die gute Leistung hier aus Komfort und Sicherheit besteht, lebe ich sehr gut damit.

Außerdem wäre ich bei einem chip.de Artikel skeptisch, ob da der Inhalt korrekt wiedergegeben wird. Z.B. steht dort auch dieses (Hervorh. von mir): "Mit der Transaktionsnummer (TAN) geben Sie den Bank-Auftrag frei. Sehr sicher ist mTAN, da hier die TAN nur an ein registriertes Smartphone geschickt wird."

[Matunus]

Gerade eben von Neverdo:

Danke, war mir so noch nicht bekannt , ich tippe mal Hausbank mit Online Freischaltung ?

Keine klassische Filialbank, nein. GLS Bank. 

[Neverdo]

vor 4 Minuten von Matunus:

Keine klassische Filialbank, nein. GLS Bank. 

OK Kleinere Genossenschaft rd. 350.000 Kunden Ing Diba und andere Onliner liegen bei mehreren Millionen, aber danke für deinen Hinweis, in einer meiner letzten Besprechungen bei der Bank haben wir über diesen Kontrollmechanismus gesprochen und der wurde bei den klassiscehn Onlinern quasi ausgeschlossen .

Mir ist eigentlich bei Banken schon alles passiert, abgebuchter 1000er bei der Commerzbank was angeblich eine Buchung von Malle gewesen sein soll und das obwohl ich bei denen keine Kreditkarte, sondern nur Depot und Giro hatte, ich denke auch, es sind die kleinen Abbuchungen, die dann Hausintern geregelt und nicht gemeldet werden, war natürlich auch kein Thema, Geld war ruck zuck wieder auf dem Konto ohne irgendwelche Maßnahmen oder Niederschriften, aber wer nicht kontrolliert wird bei den ganzen Kartenabbuchungen mitunter so etwas auch nicht bemerken.

Der Commerzbank habe ich noch am selben Tag gekündigt, war eine meiner schlechtesten Erfahrungen insbesondere mit Einmischungen in Anlageentscheidungen, aber das ist dann wieder ein anderes Thema...

[Andy72]

vor 44 Minuten von hattifnatt:

Außerdem wäre ich bei einem chip.de Artikel skeptisch, ob da der Inhalt korrekt wiedergegeben wird. Z.B. steht dort auch dieses (Hervorh. von mir): "Mit der Transaktionsnummer (TAN) geben Sie den Bank-Auftrag frei. Sehr sicher ist mTAN, da hier die TAN nur an ein registriertes Smartphone geschickt wird."

Im Endeffekt kann ich nicht beurteilen was im Hintergrund passiert. 
Ich hab’s nur mal ausprobiert. An zwei Bankzugängen wo eigentlich nichts passieren kann (Festgelder)

Für meine Zwecke reicht eine Excel Liste, bzw. IOS Numbers.

Da sind meine Festgelder mit sämtliche  relevanten (für mich und die möglichen Erben) Informationen hinterlegt und ebenso die Depots mit automatischer Kursabfrage.

Bin also bis auf das Giro und Tagesgeldkonto Up to Date. 
Damit kann ich alles mögliche Auswerten und  rumspielen.

 

Aber prinzipiell macht die App einen guten Eindruck 

[Schlumich]

vor 7 Stunden von Andy72:

Habs ausprobiert. Funktioniert einwandfrei.

Dann mal kurz recherchiert, Konten entfernt und App gelöscht.

 

https://praxistipps.chip.de/stiftung-warentest-banking-apps-im-sicherheits-check_41064

Ok, danke Dir.

Dann scheint das auch nicht das Gelbe vom Ei zu sein 

[Malvolio]

Am 1.8.2024 um 14:37 von W.Heisenberg:

Auf je mehr Geräten man die 2FA-Apps drauf hat, desto höher ist das Risiko dass irgendwo was schief läuft

Wenn dein einziger 2FA Weg mal ausfällt und du dringend eine Transaktion machen willst, reden wir nochmal.

 

[hattifnatt]

vor 5 Stunden von Malvolio:

Wenn dein einziger 2FA Weg mal ausfällt und du dringend eine Transaktion machen willst, reden wir nochmal.

Naja, aber meistens liegen solche Ausfälle an der Bank (es sei denn, du lässt dein Handy vor Aufregung fallen ), da helfen dann auch meistens keine Alternativverfahren, oder?

[hquw]

vor 11 Minuten von hattifnatt:

(es sei denn, du lässt dein Handy vor Aufregung fallen )

So unrealistisch ist das doch nicht. Mit einem TAN-Generator laufe ich eher selten durch die Stadt.