Risiko Smartphone

[wpf-leser]

vor 1 Minute von Rick_q:

Leider habe ich keine Lust für jede Bank einem ChipTAN zu kaufen. 

"Keine Lust" = Risiko ist nicht ausreichend groß?

[PKW]

vor 1 Minute von Rick_q:

Leider habe ich keine Lust für jede Bank einem ChipTAN zu kaufen.

Nein, das war ja das Schöne an ChipTAN.
Mit meinem einen Reinert SCT und der jeweiligen Karte konnte ich mich bei Postbank (die haben das gerade abgestellt), DKB, Sparkasse und Volksbank anmelden.

Was auch nicht richtig gewürdigt wird, ist das Vorhandenseinmüssen der Karte. Ich habe z.B. meine Mutter auf Onlinebanking (keine Filiale mehr vor Ort) umgestellt, Überweisungen sind nur möglich wenn sie mir ihre "EC"-Karte gibt. Sie hat also weiterhin Kontrolle über ihr Konto, auch wenn ich es für sie online führe.

[Gast230807]

vor 17 Minuten von wpf-leser:

"Keine Lust" = Risiko ist nicht ausreichend groß?

Die Dinger sind auch nicht ganz Risikolos. Wenn ich im Urlaub bin und jemand einbricht, weiß ich evtl. wochenlang nicht, dass die meine ChipTAN haben. 

[west263]

vor 2 Minuten von Rick_q:

Wenn ich im Urlaub bin und jemand einbricht, weiß ich evtl. wochenlang nicht, dass die meine ChipTAN haben. 

ich denke, bei all deiner bisher geäußerten Panik zum Thema Online, Smartphone und nun auch ChipTAN, sollten die Sparkasse, Deutsche Bank oder Volksbank, ohne Onlinezugang, der richtige Partner für dich sein.

[monstermania]

vor 1 Stunde von stagflation:

Abgesehen davon ist jede auf Deinem Smartphone installierte App (von der Du nicht den Quellcode hast) ein Sicherheitsrisiko. Wenn Du Sicherheit willst: installiere möglichst wenige Apps.

Ach so, und wenn ich den Quellcode habe ist die App dadurch automatisch sicherer!? Ich kann aber gar nicht programmieren. Wie soll ich da überprüfen, ob die App fehlerfrei läuft oder ob der Programmierer wissentlich/unwissentlich eine Backdoor eingebaut hat. Außerdem nutzen die Apps viele API-Schnittstellen, die bereits vom Hersteller des Smartphones oder gar dem Hersteller des genutzten Chipsatzes bereit gestellt wurden. 

PS: Ich mache auch jeden Tag Fehler bei meiner Arbeit. 

Im Umkehrschluss wäre dann der Verzicht auf ein Smartphone wohl die bessere Alternative! 

 

Von großflächig gehackten Smartphones habe ich noch nichts gehört. Zumeist werden die Zugangsdaten per Phishing/Social Engineering auf dem Computer abgegriffen. Das Smartphone ist hier i.d.R. kein lohnenswertes Ziel.

Ach ja, was machst Du, wenn Dir oder Deiner Mutter/Frau/Kind ein Messer an den Hals hält um die Herausgabe von Passwörtern zu erzwingen...

 

Es gibt keine absolute Sicherheit. 

[stagflation]

vor 13 Minuten von monstermania:

Von großflächig gehackten Smartphones habe ich noch nichts gehört.

 

Edward Snowden hat sein ganzes Leben aufgegeben um der Welt zu zeigen, dass das Internet ein gigantischer Überwachungsapparat ist.

 

Die Smartphones sind die Speerspitze dieser Überwachungsmaschine. Dein Smartphone ist der Feind in Deinem Haus. Der Feind in Deiner Intimsphäre.

 

Also behandle Dein Smartphone auch so: traue keiner App, die auf Deinem Smartphone läuft. Gehe davon aus, dass alles, was Du dort eintippst (persönliche Daten, Rufnummern, Passwörter, Chats, E-Mails, aufgerufene Websites, Bestellungen), oder was das Smartphone über seine Sensoren mitbekommt (Bilder und Videos über die Kamera, Sprache über das Mikrophon, Positionsdaten über GPS, usw.) übertragen wird und in die falschen Hände gelangen kann oder bereits gelangt ist.

[PKW]

vor 32 Minuten von Rick_q:

Die Dinger sind auch nicht ganz Risikolos. Wenn ich im Urlaub bin und jemand einbricht, weiß ich evtl. wochenlang nicht, dass die meine ChipTAN haben. 

Unfug!
Die Geräte ermöglichen ohne die Giro-Karte gar nix.
Im Gegenteil, die Gerätchen sind hoch austauschbar, wenn meins defekt ist leih ich mir das von meinem Bruder und geb es anschließend zurück.

[Barqu]

16 minutes ago, stagflation said:

Dein Smartphone ist der Feind in Deinem Haus. Der Feind in Deiner Intimsphäre.

 

Also behandle Dein Smartphone auch so: traue keiner App, die auf Deinem Smartphone läuft. Gehe davon aus, dass alles, was Du dort eintippst (persönliche Daten, Rufnummern, Passwörter, Chats, E-Mails, aufgerufene Websites, Bestellungen), oder was das Smartphone über seine Sensoren mitbekommt (Bilder und Videos über die Kamera, Sprache über das Mikrophon, Positionsdaten über GPS, usw.) übertragen wird und in die falschen Hände gelangen kann oder bereits gelangt ist.

In anderen Bereichen schreibst du Lesenswertes, aber das hier ist laecherlich. Beschäftige dich doch bitte etwas mehr - wie man es von dir gewohnt ist - mit dem Thema statt auf ein solches Niveau herab zu sinken.

Ein Smartphone iat zunächst mal nur ein Stk Hardware und ob man als informierter Nutzer darauf jede Spyware laufen lässt, kann man weitestgehend selbst entscheiden. Stichwort: graphene os

[Saek]

4 hours ago, stagflation said:

SMS-TAN akzeptiere ich, aber ich installiere keine Banking-Apps.

Das ist in meinen Augen Unsinn.

Der Übertragungskanal von SMS ist unsicherer als eine Postkarte. Bei Apps dürfte eine gute Verschlüsselung vom Bank-Server zum Handy Stand der Technik sein und die Übertragung kann nicht abgefangen oder mitgehört werden (anders als bei SMS, da geht das mit wirklich einfachen Mitteln).

Auf dem Handy sind Apps gesandboxed und wenn das Gerät nicht gerootet ist, ist es meines Wissens (bis auf Sicherheitslücken natürlich) unmöglich, auf den Speicher anderer Apps zuzugreifen. Anders bei SMS, da gibt es vermutlich offizielle Berechtigungen, mit denen beliebige Apps die SMS lesen dürfen.

Also SMS ist einfach unsicherer als per App, sowohl bzgl der Übertragung als auch bzgl der Sicherheit auf dem Gerät.

 

Und man kann ohne Weiteres auf einem ausgemusterten alten Handy die Apps ebenfalls installieren, dann hat man gleich noch Ausfallsicherheit

 

1 hour ago, Barqu said:

Stichwort: graphene os

oder Calyxos (keine Ahnung, was da besser ist; ich bin aus Verfügbarkeitsgründen beim damals brandneuen Handy bei Calyxos gelandet und auch geblieben)

[Gast230807]

vor 2 Stunden von PKW:

Unfug!
Die Geräte ermöglichen ohne die Giro-Karte gar nix.
Im Gegenteil, die Gerätchen sind hoch austauschbar, wenn meins defekt ist leih ich mir das von meinem Bruder und geb es anschließend zurück.

Ich habe aber nicht bei jedem Broker eine Girokarte, deswegen für mich wohl sowieso diese Geräte nicht nutzbar. 

[stagflation]

vor 29 Minuten von Saek:

Das ist in meinen Augen Unsinn.

Der Übertragungskanal von SMS ist unsicherer als eine Postkarte. Bei Apps dürfte eine gute Verschlüsselung vom Bank-Server zum Handy Stand der Technik sein und die Übertragung kann nicht abgefangen oder mitgehört werden (anders als bei SMS, da geht das mit wirklich einfachen Mitteln).

Auf dem Handy sind Apps gesandboxed und wenn das Gerät nicht gerootet ist, ist es meines Wissens (bis auf Sicherheitslücken natürlich) unmöglich, auf den Speicher anderer Apps zuzugreifen. Anders bei SMS, da gibt es vermutlich offizielle Berechtigungen, mit denen beliebige Apps die SMS lesen dürfen.

Also SMS ist einfach unsicherer als per App, sowohl bzgl der Übertragung als auch bzgl der Sicherheit auf dem Gerät.

 

Es geht um meine Sicherheit. Wenn eine Bank mir eine Nummer per SMS überträgt und jemand diese abfängt, passiert mir nichts.

 

Wenn eine Bank eine App auf meinem Smartphone installiert und diese App anfängt, Daten von mir zu übertragen oder sonstige unerwünschte Dinge zu tun, dann wird meine Sicherheit gefährdet. Deshalb lasse ich das nicht zu.

 

Und nein, ich glaube nicht an Security by Obscurity. Software ohne Quellcode vertraue ich nicht. Deshalb glaube ich auch nicht an die diversen Sicherheitskonzepte, die die Smartphone-Hersteller versprechen. Abgesehen davon, dass Samsung, Apple und Co. selbst sehr viel mehr Daten von den Smartphones übertragen, als einem lieb sein kann.

[Saek]

7 minutes ago, stagflation said:

Es geht um meine Sicherheit.

Mir auch. Deshalb will ich, dass, wenn einer der zwei Faktoren (Zugangsdaten, also Wissen) kompromittiert ist, der zweite noch funktioniert und nicht von Haus aus nutzlos ist, wie es bei SMS der Fall ist. Da ist nicht mal obscurity.

7 minutes ago, stagflation said:

Software ohne Quellcode vertraue ich nicht. [...] Samsung, Apple und Co.

Aber dein Handy ohne Android o.ä., mit dem du SMS empfängst ist open source, anders als

2 hours ago, Barqu said:

graphene os

[dev]

vor 5 Stunden von Rick_q:

Es gibt keine große Auswahl an Onlinebanken ohne App. 

Ich habe Konten bei mehreren Banken und da geht's nur mit App. 

Und deswegen nur eine Bank zu benutzen welche keine App als Pflicht hat, ist auch ein Risiko alles bei einer Bank zu haben. Und die App kann dort auch bald kommen, so wie nach und nach bei anderen Banken es zur Pflicht wurde. 

Ich bin bei 3 ohne App ( alle mit offline-TAN-Geräten ), die Postbank will demnächst umstellen, dann sinds wohl nur noch 2.

vor 1 Stunde von Saek:

Der Übertragungskanal von SMS ist unsicherer als eine Postkarte.

Stimmt schon, kann sogar von mehreren App gelesen werden.

Aber eine App kann manipuliert werden, Zugang und Sicherheit laufen über den selben Router und auch diese sind nicht 100% sicher.

 

Bei einem Webbrowser kann ich kontrollieren, ob außer die Bankwebseite noch andere Quellen genutzt werden und diese sogar still legen.

Das kann ich bei einer App nicht so einfach.

 

So sieht einen gute Webseite aus:

 

Und so eine mit externen Datenkraken aus:

 

 

 

[PKW]

vor 49 Minuten von dev:

Ich bin bei 3 ohne App ( alle mit offline-TAN-Geräten ), die Postbank will demnächst umstellen, dann sinds wohl nur noch 2.

Postbank geht auch zukünftig ohne App, man muss nur die 30€ für ein Seal One ausgeben

[dev]

vor 2 Minuten von PKW:

Postbank geht auch zukünftig ohne App, man muss nur die 30€ für ein Seal One ausgeben

Ein Treiber ( für dieses USB-Gerät ) ist auch ein Stück Code mit Internetzugriff über den selben Router wie der Browser - aus meiner Sicht ein Sicherheitsverlust.

[PKW]

Ich habe das Ende von ChipTan bei der PB schon ausgiebig beheult, aber besser das Gerätchen am USB als eine App.

[Gast240408]

7 hours ago, Rick_q said:

Es gibt keine große Auswahl an Onlinebanken ohne App.

 

Wenn ich deine Ausgangsfrage lese, bist du mit dieser wiederholt geaeusserten Meinung aber ziemlich fest in deinen Antworten. Wenn es dir Angst macht, suche eine Loesung.

Die Meinung ist auch inhaltlich falsch, du stirbst am eigenen Vorurteil. Ich bin bei der DKB, die kann das - auch - anders. Und es gibt natuerlich auch andere Banken.

 

Auf der anderen Seite bin ich auch ein Fossil und meine Bankzugriffe geschehen prinzipiell aus minimal mit Software bestueckten Rechnern und smartphonefreien 2FA-Verfahren. Trotzdem ich dieses Fossil bin, schreibe ich auch seit vielen Jahren Software fuers Leben und schon bei einem PC koennte ich verschiedene drive-by-artige Verfahren nennen, mit denen dein technisches Spielzeug ueberhaupt nicht den Knueppel auf den Kopf erfordert oder ueberhaupt etwas an Anzeichen dafuer liefert, dass es komplett uebernommen wurde. Ein Teil mit dieser Funktionalitaet in beliebigem Umfeld staendig mit mir zu  fuehren sehe ich schon als relativ riskant an.

 

 

 

[wpf-leser]

Hinweis am Rande: TAN-Apps (zumindest solche, die mit optischen Codes arbeiten) sind i.d.R. mindestens zeitlich beschränkt offline-fähig. Das kann man sich bei entsprechendem Sicherheitsbedürfnis zu Nutze machen.

[dev]

vor 5 Stunden von wpf-leser:

Hinweis am Rande: TAN-Apps (zumindest solche, die mit optischen Codes arbeiten) sind i.d.R. mindestens zeitlich beschränkt offline-fähig. Das kann man sich bei entsprechendem Sicherheitsbedürfnis zu Nutze machen.

Du verstehst das Problem nicht, wenn dein Rechner/Phone einen Trojaner hat, dann ist es egal wie oft du offline gehst.

Wenn Banking und Sicherheit durch die selbe Internetverbindung gehen, ist es noch leichter für Manipulationen.

 

Bei Chip-Tan ist ein Gerät und die Girocard nötig, beides ist sehr selten am selben Ort.

Klar ich kann nicht an jedem Ort der Welt auf mein Konto zugreifen oder mit dem Depot spielen.

Und da ich das nicht benötige, möchte ich das sichere Verfahren ohne das dritter per Software manipulieren könnten.

 

Wenn so mancher wissen würde was sich über Netz zwischen Server/PC zu Server/Router/PC/Smartphone abspielt, würde mancher nicht mehr so leichtfertig alles auf einem mobilen Gerät machen, das ständig am Netz hängt.

[Ramstein]

Ich nutze mein 13 Jahre altes iPhone 3GS ohne Sim-Karte, WLAN aus, für die photoTAN-App der Deutschen Bank und das läuft einwandfrei und ohne Probleme.

[Cepha]

vor 19 Stunden von Rick_q:

Einfach so: Der Angreifer haut mir auf den Kopf, ich bin ohnmächtig und mit meinem Finger kann er sich einloggen (zumindest bei ING ohne Probleme) und alles verrichten. 

 

Für andere Banken denken ein paar Kriminelle bestimmt auch was cleveres aus. 

Wer seinem Smartphone und damit großen US Konzernen und womöglich chinesischen Smartphoneherstellern seine niemals änderbaren biometrischen Daten aus reiner Bequemlichkeit freiwillig gegeben hat, dem ist die Sicherheit seiner Daten doch eh vollkommen egal.

[pillul]

Unabhängig von der generellen Sicherheitsdebatte, dass muss jeder für sich selbst entscheiden, installiere ich auf meinen Smartphones Software um Geräte im Verlustfall wieder zu finden oder aus der Ferne löschen zu können.

Iphones mit aktivierter ICloud und entsprechenden Diensten können das ohne weitere App unter Android nutze ich https://www.androidlost.com/ v.a aber weil es einige praktische Funktionen hat.

 

Wenn ich mein Smartphone verliere/geklaut wird ist es relativ schnell gelöscht außer es ist nicht am Netz, dann geht vom Gerät aber auch keine direkte Gefahr aus.

[Gast230807]

vor 56 Minuten von Cepha:

Wer seinem Smartphone und damit großen US Konzernen und womöglich chinesischen Smartphoneherstellern seine niemals änderbaren biometrischen Daten aus reiner Bequemlichkeit freiwillig gegeben hat, dem ist die Sicherheit seiner Daten doch eh vollkommen egal.

Ich glaube nicht, dass Konzerne meine Wertpapiere stehlen, denn das würde aus für diese Konzerne bedeuten. 

[PeterS]

Ich fasse zusammen:

- Geräte Sicherheit kontrollieren (ob Tablet, PC oder Handy: 3th Party Security Software einsetzen [wie McAfee, ZoneAlarm,... Kaspersky? ;-)]

- Passwort-Manager bzw. ausreichend sichere einmalige Passwörter verwenden

- Login für Online-Banking sollte immer mit einen zweiten Faktor (2FA) bestätigt werden. Dieser zweite Faktor sollte nicht am gleichen Gerät erfolgen (z.B. Online Banking-App in Kombination mit einer TAN-App auf einem Gerät)

- Der zweite Faktor sollte bevorzugt ein offline Hardware-Gerät wie ein Chipkarten-Lesegerät sein.

[oktavian]

vor 18 Stunden von Rick_q:

Bei ING ist man mit der App aber komplett eingeloggt und kann alles tun. 

falsch, man kann Einstellen, dass Überweisungen eine 5-stellige pin erfordern statt nur Fingerabdruck. Zudem kann man auch beim login Fingerabdruck meines Wissens bei jeder Bank deaktivieren.

"Die mobilePIN besteht aus fünf Zahlen, die Sie sich selbst pro Gerät bei der Einrichtung vergeben."

 

---> login per Fingerabdruck immer deaktivieren, wenn im Ausland, alle Zugangsdaten auswendig lernen, nicht auf Papier mitnehmen. Alternative wäre keinen Zugang aufs Konto zu haben - ist das sicherer? Früher war es gang und gebe. Also  auch den Zugang aus den apps löschen und deaktiviere mindestens den FP, wenn Ausland, Schwimmbad, Saune, Garderobe, was auch immer. Für Profis geht auch ein Zweitprofil am smartphone (Arbeitsprofil) ohne Fingerprint und ohne pin, sondern langes PW schon zum starten des Profils. Dazu Verschlüsselung an.