Sicherheit des Accountzugangs bei verschiedenen Brokern?

[NUssmann]

Hallo,

ich wollte mich jetzt mal intensiver mit dem Thema Wertpapiere beschäftigen und bei der Wahl des Brokers hätte ich eine Frage zur Accountsicherheit der verschiedenen Broker.

Denn ich lese hier zwar viele Diskussionen über verschiedene Konditionen, aber was bringen mir die besten Konditionen, wenn ich 10 Jahre einzahle und mir dann durch ungenügende Sicherheitsmechanismen der Account geleert wird?

Daher meine Frage, ob mir jemand sagen kann welche Sicherheitsmechanismen die einzelnen Broker, gerade Onlinebroker, bieten.

Wird einem da nur eine Tan-Liste zugeschickt oder kann man z.B auch einen Tan-Generator anfordern und was würde das kosten?

Vielen Dank für die Aufmerksamkeit.

[stefi009]

Die angebotenen TAN-Verfahren können sich natürlich ändern und stehen i.d.R. auf den Websites. Ob und welches Verfahren nun sicherer ist, muss jeder selbst beurteilen. Ich halte die meisten Broker für gleichwertig gut, was den Sicherheitsfaktor angeht. Auch eine TAN-Generator ist nicht das Allheilmittel.

 

Es gibt andere Faktoren, die bei der Auswahl entscheidender sind.

[west263]

ich nutze seit mehr als 10 Jahren konsequent Onlinebroker und davon mehr als einen, für verschiedene Zwecke.

Es gibt ITAN-Liste, Moblie TAN und Generator.

 

Ich gehe davon aus, das genügend Sicherheit gegeben ist. Wenn jemand mein Konto hacken möchte, kann ich nichts dagegen tun. Auch die Filiale der Sparkasse z.B. erledigt höchstwahrscheinlich ihre Aufgaben online und könnte gehackt werden. Also wo soll da der Unterschied sein.

 

 

[moonraker]

vor 25 Minuten schrieb NUssmann:

[..], aber was bringen mir die besten Konditionen, wenn ich 10 Jahre einzahle und mir dann durch ungenügende Sicherheitsmechanismen der Account geleert wird?

Daher meine Frage, ob mir jemand sagen kann welche Sicherheitsmechanismen die einzelnen Broker, gerade Onlinebroker, bieten.

Wird einem da nur eine Tan-Liste zugeschickt oder kann man z.B auch einen Tan-Generator anfordern und was würde das kosten?

Naja, man sollte die Kirche im Dorf lassen - so leicht wird Dein Depot nicht lehrgeräumt werden.

Es gibt oft mehrstufige Sicherheitsmaßnahmen, z.B. ist die Überweisung meist nur zum Referenzkonto möglich. Eine TAN (heute eigentlich mind. iTAN) aus der Liste zu haben reicht nicht aus.

 

Ansonsten gibt es keine Pauschalantwort, es sind alle möglichen Verfahren vertreten...

Eine Übersicht gibt es z.B. hier, wenn auch rechts im Kasten zum markierten Anbieter (nicht in der Liste direkt):

http://www.modern-banking.de/brokerage-vergleich-6.php?sort=bewertungab&a=9#details

Musst Du halt die Anbieter vergleichen.

[Ramstein]

Was hilft dir dein Depot, wenn du von einem Besoffenen überfahren oder von Hooligans totgeprügelt wirst?

Und das ist um viele Größenordnungen wahrscheinlicher.

[Schwachzocker]

vor 1 Stunde schrieb Ramstein:

Was hilft dir dein Depot, wenn du von einem Besoffenen überfahren oder von Hooligans totgeprügelt wirst?

Und das ist um viele Größenordnungen wahrscheinlicher.

Du sollst nicht relativieren! ...habe ich im Bereich Off-Topic gelernt.

Heute wird man von Terroristen in die Luft gesprengt oder mit dem Lkw plattgefahren. Alle anderen Risiken sind dagegen praktisch nicht existent.

 

[west263]

Ich hatte mich nicht getraut, so nah an den aktuellen Ereignissen, zu schreiben, das das Risiko größer ist von einem LKW auf dem Bürgersteig überfahren zu werden, als das das Konto gehackt wird.

Aber jetzt ist es ja raus.

[Mato]

Was ich bei der Consorsbank komisch fand, war die relativ kurze PIN mit nur 5 Stellen.

Habe aber dann das hier gefunden, was mich etwas beruhigte:

https://wissen.consorsbank.de/t5/PIN-TAN/Ist-meine-5-stellige-PIN-sicher/ta-p/15827

[odensee]

Neben allem, was schon gesagt wurde: wenn du dir ernsthaft Gedanken machst: trenne Depot/Verrechnungskonto von deinem Girokonto (andere Bank). Und wähle für dein Depot/Verrechnungskonto eine Bank, die nur Überweisungen auf das von dir festgelegte Refernzkonto erlaubt.

[Maciej]

vor 13 Stunden schrieb west263:

Ich hatte mich nicht getraut, so nah an den aktuellen Ereignissen, zu schreiben, das das Risiko größer ist von einem LKW auf dem Bürgersteig überfahren zu werden, als das das Konto gehackt wird.

Aber jetzt ist es ja raus.

Kannst du diese These mit Zahlen belegen?

[Ramstein]

vor 2 Stunden schrieb Maciej:

Kannst du diese These mit Zahlen belegen?

 

Nein. Mir reicht mein gesunder Menschenverstand. Das mag bei anderen anders sein.

[Schlumich]

Schätzt ihr das mTan-Verfahren als sicherer ein als das normale Papierlisten-Tan-Verfahren? (mal das Szenario weggelassen, wo ein Schurke in mein Haus kommt und die Liste findet....)

[CHX]

vor 9 Minuten schrieb Schlumich:

Schätzt ihr das mTan-Verfahren als sicherer ein als das normale Papierlisten-Tan-Verfahren? (mal das Szenario weggelassen, wo ein Schurke in mein Haus kommt und die Liste findet....)

Aus technischer Sicht sollte man ein TAN-Verfahren wählen, welches die TAN auftragsgebunden erzeugt. Dies ist bei allen Verfahren außer den papiergebundenen TAN-Listen der Fall. Letztere bieten eine vergleichsweise geringe Sicherheit und sollten nur gewählt werden, wenn es keine Alternative dazu gibt.

Ob ansonsten eher zum TAN-Generator (eTAN, smartTAN, chipTAN) oder zum Mobiltelefon (mTAN) gegriffen wird, ist im Grunde weniger wichtig, solange das gewählte Verfahren verstanden wird und alle Sicherheitsmaßnahmen und Anforderungen der Bank sorgfältig befolgt werden.

[Ziva]

Bei meiner Bank gibt es seit Februar nur noch mobileTan und Secure App.

Die Abschaffung von Itan und chipTan wurde damit begründet, das die BaFin dies empfohlen hätte.

 

Die BaFin hätte den Banken empfohlen auf neuere Methoden umzustellen, zum besseren Schutz vor Cyber-Kriminalität.

Ich denke, es geht dabei vor allem um Phishing-Mails.

 

[Sisyphos]

vor 49 Minuten schrieb Schlumich:

Schätzt ihr das mTan-Verfahren als sicherer ein als das normale Papierlisten-Tan-Verfahren? (mal das Szenario weggelassen, wo ein Schurke in mein Haus kommt und die Liste findet....)

 

Die große Gefahr bei einer TAN-Liste auf der TAN stehen, die nicht mit einem spezifischen Merkmal des Auftrags generiert wurden, ist nicht, dass die Liste einem Einbrecher in die Hände fällt sondern eine viel einfachere Man-in-the Middle-Attacke auf Deinem Rechner. Ein Einbrecher müßte zunächst einmal Deine Online-PIN für den Kontenzugang herausfinden, bevor Du den Einbruch bemerkst. Und wenn Du diese PIN nicht irgendwo aufgeschrieben hast, ist das für einen Einbrecher eher schwierig.

 

Ganz anders dagegen wenn sich ein Trojaner auf Deinem Rechner installiert hat und sich zwischen Deinen Rechner und den Bankrechner schaltet. Dann kann er alles mitlesen, was Du tippst - insbesondere also auch die Online-PIN und auch eine iTAN, die Du eingibst. Damit kann er dann einen Auftrag, den Du eingibst "kapern" und statt dessen eine ganz andere Überweisung ausführen.

 

Falls aber die TAN an den konkreten Auftrag gebunden ist, also z.B. die TAN aus den Überweisungsdaten generiert wird, ist dies nicht möglich - oder zumindest sehr deutlich schwerer. Solche TANs erzeugen in der Regel TAN-Generatoren. Mit einer mTAN werden in der SMS die Überweisungsdaten angezeigt, die man dann manuell überprüfen muss. Das ist vergleichsweise sicher, sofern man die Disziplin aufbringt, die Daten auch wirkliich zu überprüfen und die Übertragung über einen physikalisch getrennten Kanal erfolgt. Wenn die SMS aber nicht mit einem getrennten Mobiltelefon (am besten einem ganz simplen Telefon ohne Smartphone-Funktionen) empfangen wird, sondern mit dem Smartphone, über das auch der Auftrag eingegeben wurde, ist es sehr unsicher, denn ein Trojaner kann natürlich leicht eine Fake-SMS anzeigen.

[Sisyphos]

vor 16 Stunden schrieb Mato:

Was ich bei der Consorsbank komisch fand, war die relativ kurze PIN mit nur 5 Stellen.

Habe aber dann das hier gefunden, was mich etwas beruhigte:

https://wissen.consorsbank.de/t5/PIN-TAN/Ist-meine-5-stellige-PIN-sicher/ta-p/15827

 

Diese Darstellung der Consors Bank ist schon ein Blick durch die rosarote Brille. Da muss ich dann doch etwas Wasser in den Wein gießen.

Ich habe ein Depot bei Consors und benutze den TAN-Gernerator, weil ich ihn für vergleichsweise sicher halte. Gleichwohl sehe ich auch einige Angriffsszenarien. Dazu muss man wissen, dass es bei der Consorsbank eigentlich zwei verschiedene TANs gibt:

 

• einmal eine TAN, die nicht auftragsgebunden ist. Sie wird basierend auf dem individuellen TAN-Generator, den früher erzeugten TANs und der Uhrzeit erzeugt und ist für einige Minuten gültig. Mit dieser TAN werden Wertpapier-Aufträge signiert aber auch Änderungen der Kontoeinstellungen (Änderung von Refernzkonten, Überweisungslimits etc.). Zur Erleichterung für Trader kann sie auch als Session-TAN verwendet, so dass sie für beliebig viele Wertpapieraufträge in einer Session gilt
• dann eine auftragsbezogene TAN für Geldüberweisungen. Sie wird aus basierend auf dem individuellen TAN-Generator, den letzten 6 Stellen der Zielkontonummer und der aktuellen Uhrzeit generiert und ist ebenfalls für einige Minuten gültig. Mein subjektiver Eindruck ist, dass sie länger gültig ist als die herkömmliche TAN.

Daraus ergeben sich u.a. dann folgende Schwachstellen bzw. Angriffsszenarien:

 

• Beim Telefonbanking oder aber, wenn man der Kontenbetreuung anrufen muss, werden zur Authentifizierung zwei Stellen der PIN abgefragt. Sie sind also einem größeren Personenkreis bekannt und können auch akustisch mitgehört oder aber mitgeschnitten werden. Laut Auskunft eines Consors-Mitarbeiters werden auf diesem Wege zwei Stellen der PIN nie abgefragt. Zusätzlich fragen die Mitarbeiter häufig noch leicht zugängliche persönliche Daten ab (Wohnort, Geburtsdatum). Auf diesem Weg braucht ein Angreifer also nur maximal drei Stellen der PIN zu kennen und hat ggf. zwei davon schon mitgehört.
• Die Online-PIN kann leicht in einer Man-in-the-Middle-Attacke mitgelesen werden. Dazu genügt ein Trojaner auf dem Rechner/Smartphone. Damit kann ein Angreifer zunächst aber nur im Konto "lesen". Problematisch wird es, wenn der Trojaner mitliest, wenn man eine nicht auftragsbezogenen TAN z.B. für eine Wertpapierorder eingibt. Dann kann der Trojaner damit den Auftrag "kapern" und damit beispielsweise eine andere Wertpapierorder aufgeben oder gleich eine ganze Session mit Session-TAN eröffnen. Das Geld wird dann nicht per Überweisung abgezogen, sondern per Kauf eines Wertpapiers (z.B. eines eigentlich wertlosen Pennystocks).
• Man kann bei Verlust oder schwacher Batterie einen neuen TAN-Generator telefonisch anfordern (Authentifizierung wie im ersten Punkt beschrieben!). Der alte Generator wird (zumindest bei der Angabe schwache Batterie) dann nicht sofort gesperrt sondern kann zunächst weiter benutzt werden (der Benutzer merkt davon also ggf. gar nichts). Mit dem neuen Generator erhält man ein Formular, das man unterschrieben an die Consorsbank zurücksenden muss. Sobald das bei der Bank eintrifft, wird der neue Generator aktiviert. Um dies auszunutzen, muss ein Krimineller die Telefonbanking-Hürde überwinden (leicht), Zugriff zum Briefkasten haben (z.B. in der Urlaubszeit) und die Unterschrift kennen. Das ist nicht einfach sondern aufwendig, aber er hat dann vollen Zugriff auf das Konto. Bei großen Geldbeträgen auf dem Konto/Depot kann sich der Aufwand durchaus lohnen.

Für besonders problematisch sehe ich dabei vor allem das zweite und bei hohen Beträgen auch das dritte Szenario an. Leider hat die Consorsbank es versäumt, auch bei Wertpapieraufträgen die TAN an den Auftrag zu binden und auch die Authentifizierungsprozedur bei telefonischer Kontaktaufnahme ist verbesserungswürdig.

[vloi891]

Grundsätzlich zum Thema:

 

Die Onvista Bank hat garkein TAN-Verfahren - ein etwas mulmiges Gefühl bleibt hier stets.

 

Die Weboberfläche kann man (freiwillig) mit SMS absichern - sobald man sich von einem unbekannten Browser anmeldet, wird eine SMS geschickt.

Schlimmer: Das Tradingprogramm GTS von der Onvista nutzt aber diese SMS-Variante nicht, hier geht nur Benutzername und Kennwort.

 

Sowas habe ich vorher auch noch nirgendwo sonst erlebt.

[Maciej]

Am 9.4.2017 um 08:46 schrieb Ramstein:

Nein. Mir reicht mein gesunder Menschenverstand. Das mag bei anderen anders sein.

 

Ja, ich verlasse mich da lieber auf Fakten. In Deutschland werden jährlich deutlich weniger als 1000 Menschen von Lkws überfahren werden, dafür scheinen mehrere Millionen von Identitätsdiebstahl und gehacken E-Mail-Konten betroffen zu sein. Von daher scheint mir die obige Aussage nicht plausibel. Aber gut, dass mal wieder deinen Senf dazugegeben hast, obwohl du gar nicht gefragt warst ...

[Ramstein]

vor 3 Minuten schrieb Maciej:

Ja, ich verlasse mich da lieber auf Fakten. In Deutschland werden jährlich deutlich weniger als 1000 Menschen von Lkws überfahren werden, dafür scheinen mehrere Millionen von Identitätsdiebstahl und gehacken E-Mail-Konten betroffen zu sein. Von daher scheint mir die obige Aussage nicht plausibel. Aber gut, dass mal wieder deinen Senf dazugegeben hast, obwohl du gar nicht gefragt warst ...

 

Betroffenen E-Mail-Konten == Online-Depot leergeräumt? Mit der Argumentation hast du mich verloren. Mein gesunder Menschenverstand (bei dir mag das anders sein) sagt, dass - selbst wenn nur 10 Online-Depots leergeräumt würden - eine Mega-Sau durchs Online-Medien-Dorf getrieben würde. Ich (das mag jetzt aber an mir liegen) erinnere mich aber nicht an solche Vorfälle.

[Schwachzocker]

vor 2 Stunden schrieb Maciej:

 

Ja, ich verlasse mich da lieber auf Fakten. In Deutschland werden jährlich deutlich weniger als 1000 Menschen von Lkws überfahren werden, dafür scheinen mehrere Millionen von Identitätsdiebstahl und gehacken E-Mail-Konten betroffen zu sein.

Hervorhebung durch mich!

Du hältst Dich eben nicht an Fakten, sondern an einem Anschein. 

[Sisyphos]

vor 2 Stunden schrieb Ramstein:

 

Mein gesunder Menschenverstand (bei dir mag das anders sein) sagt, dass - selbst wenn nur 10 Online-Depots leergeräumt würden - eine Mega-Sau durchs Online-Medien-Dorf getrieben würde. Ich (das mag jetzt aber an mir liegen) erinnere mich aber nicht an solche Vorfälle.

 

Dann darf ich Deine Erinnerung ein wenig auffrischen - auch wenn es vorwiegend um Online-Konten ging.

 

Zwischen 2012 und 2015 gab es mehrere Angriffswellen gegen das mTAN-Verfahren. Wie so oft wurde gar nicht das Verfahren als solches angegriffen sondern Lücken im Prozessablauf ausgenützt. Im konkreten Fall griffen die Betrüger über einen eingeschleusten Trojaner die Online-Zugangsdaten der Kunden und deren Mobilfunknummer ab und bestellten dann einfach eine Zweit-SIM-Karte zu dem bestehenden Mobilfunk-Anschluß. Damit konnten sie dann problemlos die mTAN abgreifen und Überweisungen durchführen. Die Lücke war hier die fehlende bzw. mangelhafte Legitimationsprüfung bei der Bestellung einer Zweit-SIM-Karte. Der durchaus aufwendige Angriff richtete sich vor allem gegen Kunden, die hohe Überweisungslimite eingerichtet hatten.

 

Allein bei der Deutschen Telekom gab es 2015 wohl rund 100 betroffene Kunden, aber der Angriff richtete sich auch gegen Kunden anderer Netzbetreiber. Insgesamt hat man wohl eine noch dreistellige Zahl betroffener Kunden - also sicher mehr als die Zahl der von Hooligans totgeprügelten Menschen oder der vorsätzlich mit einem LKW angefahrenen Fußgänger in diesem Jahr.

 

Darüber wurde in der Presse durchaus berichtet - z.B. in der FAZ und beim Spiegel (Link) - aber die "Mega-Sau", die durchs Online-Medien-Dorf getrieben wurde, war doch eher ein kleines Ferkel. Man konnte den Eindruck gewinnen, dass sowohl die Banken als auch Netzbetreiber daran interessiert waren, die Geschichte eher lautlos unter der Decke zu halten - durchaus zum Vorteil der betroffen Kunden, die entschädigt wurden. Möglicherweise erinnerst Du Dich auch genau deswegen nicht mehr daran.

[HanniVector]

Vor ca. 10 Jahren war ich als externer Mitarbeiter bei einem Rechenzentrum eines Bankenverbuns angestellt. Das wahre Ausmaß an geplünderten Konten/Depots aufgrund Phishing etc wurde damals wohlweislich nicht veröffentlicht. Stattdessen wurde Betroffenen überaus kulant geholfen um auch möglichst wenig Medienaufmerksamkeit zu erhalten. Die Kosteinsparungen in Form von Filialnetzabbau waren schlicht signifikant höher als die Kulanzzahlungen (betrifft natürlich nur klassische Banken, die Direktbanken wiederum haben kein Interesse daran den Ruf "unsicher" zu haben).

[Ramstein]

Und wie viele Depots wurden "geleert" (denn darum ging es dem TO)?

[Maciej]

vor 11 Stunden schrieb Ramstein:

 

Betroffenen E-Mail-Konten == Online-Depot leergeräumt? Mit der Argumentation hast du mich verloren. Mein gesunder Menschenverstand (bei dir mag das anders sein) sagt, dass - selbst wenn nur 10 Online-Depots leergeräumt würden - eine Mega-Sau durchs Online-Medien-Dorf getrieben würde. Ich (das mag jetzt aber an mir liegen) erinnere mich aber nicht an solche Vorfälle.

 

Es ging in dem von mir zitierten Beitrag verallgemeinernd um gehackte Konten, nur deshalb habe ich überhaupt nachgefragt.

 

vor 9 Stunden schrieb Schwachzocker:

Du hältst Dich eben nicht an Fakten, sondern an einem Anschein. 

 

Streiche "scheinen". In dem verlinkten Artikel ist die Rede von "[m]ehrere[n] Millionen betroffene[n] Bürgerinnen und Bürger[n] in Deutschland".

[HanniVector]

In der Tat waren keine Depots betroffen da zu aufwändig. Betroffen waren Konten von denen üblicherweise Beträge in vierstelliger Höhe abgebucht wurden -> war unter den überwachten Schwellenwerten für auffällige Bewegungen und mussten daher nicht durch Sachbearbeiter geprüft und freigegeben werden. Das Problem waren auch nicht die einzelnen Überweisungen sondern die enorm hohe Anzahl an betroffenen Konten. 

Da die Angreifer Zugriff auf die gesamten Nutzeraccounts hatten, wären technisch auch Depotverkäufe möglich gewesen und anschließendes weiterleiten der Verkaufserlöse - das hätte aber wieder die Schwellenwertüberwachung anschlagen lassen.