Risiko Smartphone

[Cepha]

vor 26 Minuten von Rick_q:

Ich glaube nicht, dass Konzerne meine Wertpapiere stehlen, denn das würde aus für diese Konzerne bedeuten. 

Es geht nicht drum, dass sie Deine Wertpapauiere steheln, sondern dass Du Ihnen freiwillig Deine biometrischen Daten auf ewig schenkst, ohne die Chance, das jemals rückgängig machen zu können.

 

Aber ist Dein Ding, mich wundert nur, dass Du Dir dann Sorgen darüber machst.

 

Wzu brauche ich für mein Depot eine Zugangsapp auf dem Smartphone? Damit ich da 5x am Tag drauf schauen kann?

Wozu muss Apple oder Alphabet oder die Chinesen meine Fingerabdrücke haben?

[dev]

vor 4 Minuten von PeterS:

- Geräte Sicherheit kontrollieren (ob Tablet, PC oder Handy: 3th Party Security Software einsetzen [wie McAfee, ZoneAlarm,... Kaspersky? ;-)]

Ob Schlangenöl das richtige Mittel ist!?

 

[PeterS]

Gerade eben von dev:

Ob Schlangenöl das richtige Mittel ist!?

 

Deshalb das Fragezeichen mit dem Smilie hinter Kaspersky. Aber genauso kannst du auch eine kostenpflichtige Security-Suite von Microsoft auf ein Windows-System vertrauen?

[oktavian]

vor 1 Stunde von Cepha:

Wer seinem Smartphone und damit großen US Konzernen und womöglich chinesischen Smartphoneherstellern seine niemals änderbaren biometrischen Daten aus reiner Bequemlichkeit freiwillig gegeben hat, dem ist die Sicherheit seiner Daten doch eh vollkommen egal.

hast du eine Quelle, dass die Daten des Fingerabdrucks ins Internet übertragen werden und nicht lediglich auf dem smartphone verbleiben? Müsste dann viele Belege, weil es diese Smartphone mit FP schon lange gibt.

Ich möchte auch ergänzen, dass sich Fingerabdrücke recht simpel "offline" 'hacken' lassen, indem man sie von berührten Gegenständen abgreift. @Cephanutzt Du da zur Abwehr Aluhandschuhe oder andere Alternativen?

 

was ich nicht machen würde: Chinesisches Smartphone mit chinesischem Prozessor. Da setze ich lieber auf Qualcomm. Skeptisch bin ich da aber natürlich auch, für arme Menschen ist chinesische Hardware jedoch sehr verlockend. Apple ist mir zu teuer.

[Gast230807]

vor 56 Minuten von Cepha:

Es geht nicht drum, dass sie Deine Wertpapauiere steheln, sondern dass Du Ihnen freiwillig Deine biometrischen Daten auf ewig schenkst, ohne die Chance, das jemals rückgängig machen zu können

Finde ich nicht schlimm. Mir ist nur Sicherheit meines Vermögens bei der Bank wichtig. 

 

[oktavian]

Theoretisch sollten die biometrischen Daten meines Wissens auf dem Gerät verbleiben. Das ist ein extra Layer direkt im Design der ARM CPU angelegt. Also auch das android Betriebssystem kann nicht direkt auf den Fingerprint Sensor zugreifen, sondern nutzt eine Schnittstelle. Wie gut da die Verschlüsselung implementiert wurde und ob es Sicherheitslücken gibt, es mir nicht bekannt.

Jedenfalls geht der Fingerabdruck meines Wissens nicht an google und Co. (bitte Quellen wenn die doch biometrische Daten des FP Sensors abgreifen nennen) Ich nutze Android ab Version 11 / meist AOSP Lineageos. Alte Versionen waren evtl anders.

 

Natürlich kommt google an biometrische Daten, wenn da Bilder von sich hochlädt (Gesicht für Gesichterkennnung) oder auch Stimmprofile etc. Hier geht es aber rein um den fingerprint fürs banking.

[wpf-leser]

vor 5 Stunden von dev:

Du verstehst das Problem nicht

Na dann...

vor 5 Stunden von dev:

Wenn so mancher wissen würde was sich über Netz zwischen Server/PC zu Server/Router/PC/Smartphone abspielt, würde mancher nicht mehr so leichtfertig alles auf einem mobilen Gerät machen, das ständig am Netz hängt.

Allerdings würde dann manch einer möglicherweise auch mehr mit den Geräten machen als heute.

 

vor einer Stunde von Rick_q:

Mir ist nur Sicherheit meines Vermögens bei der Bank wichtig.

Die Frage "Wann ist genug genug?" darf hier wie da gestellt werden.

[DarkBasti]

Die ING Diba bietet den TAN Generator für paar € an.

Das war mir die Sicherheit wert.

Es gibt kein reelles Angriffsszenario, das den Generator umgehen kann.

 

 

Dagegen mit dem Smartphone, fängt man sich potential recht einfach Schadsoftware ein. So kann praktisch alles ausgehebelt werden.

Ich empfinde es als gefakte 2 Faktor Authentifizierung, wenn app und Banking auf einem Gerät funktioniert.

Angeblich ist das so vorgeschrieben und ein Sicherheitsmechianisnmus. Allerdings wurde da nicht so gründlich ein einer Stelle nachgedacht. Entweder auf Seite des Gesetzes oder auf Seite der Bank.

 

[Undercover]

vor 7 Minuten von DarkBasti:

Die ING Diba bietet den TAN Generator für paar € an.

Das war mir die Sicherheit wert.

Es gibt kein reelles Angriffsszenario, das den Generator umgehen kann.

 

 

Dagegen mit dem Smartphone, fängt man sich potential recht einfach Schadsoftware ein. So kann praktisch alles ausgehebelt werden.

Ich empfinde es als gefakte 2 Faktor Authentifizierung, wenn app und Banking auf einem Gerät funktioniert.

Angeblich ist das so vorgeschrieben und ein Sicherheitsmechianisnmus. Allerdings wurde da nicht so gründlich ein einer Stelle nachgedacht. Entweder auf Seite des Gesetzes oder auf Seite der Bank.

 

Der Gesetzgeber hat sicher nicht verlangt daß Banking und 2FA auf einem Gerät laufen.

So blöd kann doch eigentlich niemand sein. 

 

[Herr H.]

Werte Herren,

 

bei Girokonten sind Fragen der Anschnursicherheit nebensächlich, solange es noch preisgünstige Konten gibt, die ganz normal über Bargeldabhebung am Schalter, Einreichen von Überweisungsträgern usw. nutzbar sind.

Anders bei Wertpapierdepots. Hier ist es aber wohl nur wichtig, keine Ausgaben für unnötige Technik zu tätigen und auf die Sicherheit nicht bankbezogener persönlicher Daten bedacht zu sein. Wie gut hingegen ein Verfahren vor unbefugten Kontozugriffen schützt, sollte doch den Kunden nicht kümmern, solange ihm keine Haftung für die Sicherheit des Verfahrens auferlegt wird.

 

Mit freundlichem Gruß

H.

[wpf-leser]

vor 3 Stunden von DarkBasti:

Ich empfinde es als gefakte 2 Faktor Authentifizierung, wenn app und Banking auf einem Gerät funktioniert.

Ist doch prima, dass Leute wie du die Applikationen / Funktionen trennen können und Personen mit einem anderen Empfinden dies nicht tun müssen. Oder?

[odensee]

vor 8 Stunden von DarkBasti:

Ich empfinde es als gefakte 2 Faktor Authentifizierung, wenn app und Banking auf einem Gerät funktioniert.

Du brauchst Faktor „Besitz“ und Faktor „Wissen“ und schon hast du eine 2FA.

 

Ist bei der ING beides erforderlich. Da ist nichts „Fake“

[dev]

vor 9 Stunden von Undercover:

Der Gesetzgeber hat sicher nicht verlangt daß Banking und 2FA auf einem Gerät laufen.

So blöd kann doch eigentlich niemand sein. 

Er hats aber auch nicht untersagt.

 

Und was nicht untersagt wird und nebenbei noch Werte* bringt wird gemacht.

Mit einer App kann man man z.B. das Nutzerverhalten erfassen und *gewinnbringend veräußern.

 

Ich war mal bei einem Pitch eines Bankdienstleisters dabei, da wurde selbst den Mitarbeitern der Werbefirma kurz schlecht, aber dann wurden denen die möglichen Gewinne bewußt.

Win-Win, Opfer ist nur der dumme Kunde.

vor 5 Stunden von wpf-leser:

Ist doch prima, dass Leute wie du die Applikationen / Funktionen trennen können und Personen mit einem anderen Empfinden dies nicht tun müssen. Oder?

Ja, solange die Banken einem nicht zwingen zu gehen, weil man ihre neue Technik als nicht sicher ansieht.

 

Aktuell soll mir der Zugriff auf mein Postbankkonto per ChipTAN verwehrt werden und ich soll eine TAN-Generator mit Treiber und Internetzugang nutzen.

[odensee]

vor 10 Stunden von Undercover:

Der Gesetzgeber hat sicher nicht verlangt daß Banking und 2FA auf einem Gerät laufen.

So blöd kann doch eigentlich niemand sein. 

 

Der Gesetzgeber verlangt zwei Faktoren. Ist bei der ING gegeben.

Siehe BSI 

 

Ob man ein lediglich numerisches maximal fünfstelliges „Passwort“ als sinnvoll ansieht steht auf einem anderen Blatt und hat nichts mit 2FA zu tun

[oktavian]

vor 2 Stunden von dev:

Aktuell soll mir der Zugriff auf mein Postbankkonto per ChipTAN verwehrt werden und ich soll eine TAN-Generator mit Treiber und Internetzugang nutzen.

Alternative wäre ein altes Handy mit AOSP Android, Verschlüsselung und langes Passwort statt Pin. Darauf dann bestsign app. Evtl geht diese sogar ohne google apps (GAAPs); vermutlich dann ohne push. Im  eigenen Netzwerk (z.B. openwrt router) kann man alles per firewall blockieren mit Ziel dieses Handy, was nicht mit Postbank zu tun und dieses Handy dann per LAN anschließen. Wäre mir nur zu umständlich.

vor einer Stunde von odensee:

Ist bei der ING gegeben.

Du hast recht. Wie gesagt erlaubt die ING app auch eine 5-stellige PIN statt nur FP, was ich selbst aktivieren würde. Der FP ist offline nicht sicher. Kann jeder abgreifen. Wenn dann das Handy auch nur per FP gesichert ist, kommt man dran. Man wird generell nicht gezwungen FP zu nutzen. Der FP ersetzt nur den Faktor Wissen. Kann man auch immer wieder eingeben. Sehe da Null Vorteil vom browser, welcher noch phishing ermöglicht bei Unachtsamkeit. Die installierte APP auf dem jeweiligen Gerät ist der Faktor Besitz. Ihr könnt ja mal testen die app auf ein anderes Gerät lauffähig zu kopieren. Wäre extrem beeindruckt, wenn es gelingen würde (ohne Zugangsdaten erneut einzugeben).

vor 2 Stunden von dev:

Er hats aber auch nicht untersagt.

wenn die Software/Hardware sauber arbeitet, hat man keinen gegenseitigen Zugriff auch auf einem Gerät. Wir gehen jetzt von einem ungerooteten Handy aus. Wie soll der Angreifer root erreichen? Selbst gerootet hat man keinen Zugriff ohne weitere Sicherheitslücken.

 

Wenn das System gehackt ist, wäre schon eine session TAN unsicher (keine Anzeige weiterer individueller Vorgänge am zweiten Faktor vor Freigabe). Selbst mit zweitem Faktor auf anderem Gerät. Dann kann man remote andere Aufträge rein schmuggeln und die logout-Seite faken. Das schlimme wäre, dass diese dann von eurem Rechner abgesendet wurden, was von der Haftung interessant wäre. Generell sind die Verbrecher aber zu dumm.

 

Kenne einem, dem die Geldbörse mit allen Karten geklaut wurde und die Polizei hat das wieder aufgegabelt minus Bargeld, nachdem sie einen der Diebes-Truppe auf Wache hatten und die anderen haben es dann irgendwohin geschmissen, so dass die Polizei das finden konnte. Beweisen ließ sich dann nichts, aber generell hätten die mehr schaden mit Ausweis plus Bankkarten anrichten können, als nur Bargeld zu klauen.

 

Manche Attacken setzen schon ein halbes Studium + offline Beschattung/teils physischen Eingriff voraus (dann ist extrem viel möglich), aber die Standardverbrecher verkaufen Daten höchstens im Darknet weiter und bis dann hat man Zeit zum Sperren.

[dev]

vor 12 Minuten von oktavian:

Alternative wäre ein altes Handy mit AOSP Android, Verschlüsselung und langes Passwort statt Pin. Darauf dann bestsign app. Evtl geht diese sogar ohne google apps (GAAPs); vermutlich dann ohne push. Im  eigenen Netzwerk (z.B. openwrt router) kann man alles per firewall blockieren mit Ziel dieses Handy, was nicht mit Postbank zu tun und dieses Handy dann per LAN anschließen. Wäre mir nur zu umständlich.

Ich sehe nur Offline als Bankzugriffsoption oder eine andere Bank mit Offline als Bankzugriffsoption.

 

vor 12 Minuten von oktavian:

Wenn das System gehackt ist, wäre schon eine session TAN unsicher

Session TAN versuch eich zu vermeiden.

 

vor 12 Minuten von oktavian:

Kenne einem, dem die Geldbörse

Ich weis jetzt gar nicht ob der Verlust eines für "alles" genutzte Smartphone oder die Geldbörse mehr Probleme verursacht.

Bei mir wärs auf jeden Fall die Geldbörse.

[oktavian]

vor 7 Minuten von dev:

Ich sehe nur Offline als Bankzugriffsoption oder eine andere Bank mit Offline als Bankzugriffsoption.

wie meinst du das? Ich nutze schon seit Bestehen onlinebanking. Früher war es unsicherer, aber auch kein Angriffsziel. TAN Listen gab es auf Papier ohne Nummerierung. Hatte nie einen Trojaner/Virus auf dem PC und nie Probleme mit dem banking. Habe seit 20 Jahren keine Bank betreten, außer zum Besichtigen / alte Fremd-Währung offline tauschen o.ä. (Bank of England zum Beispiel). Mit dem (56)k modem hat man aber auch besser gesehen/gehört wann man online war.

 

Ich würde den Skeptikern empfehlen eine online-Bank Zwischenzuschalten und diese auf Guthabenbasis zu führen. Keine Lastschrift zum Abbuchen von anderen Konten und keine Kreditkarte hinterlegen. Dann ist der mögliche Verlust auf das Guthaben begrenzt. Hierzu nutze ich sogar Neo-onlinebanken mit zweifelhafter Solvenz. Nachteil ist, dass die dann auch Daten bei der Anmeldung bekommen. Deren Karten und IBAN gebe ich dann bei Einkäufen an. Ein (älterer) Freund von mir macht alle Banksachen offline. Durch Fahrten / physische Belege /Filialnetz mit Menschen kostet das in meinen Augen auch mehr Co2

[dev]

vor 20 Minuten von oktavian:

wie meinst du das? Ich nutze schon seit Bestehen onlinebanking. Früher war es unsicherer, aber auch kein Angriffsziel. TAN Listen gab es auf Papier ohne Nummerierung. Hatte nie einen Trojaner/Virus auf dem PC und nie Probleme mit dem banking. Habe seit 20 Jahren keine Bank betreten, außer zum Besichtigen / alte Fremd-Währung offline tauschen o.ä. (Bank of England zum Beispiel). Mit dem (56)k modem hat man aber auch besser gesehen/gehört wann man online war.

Ich möchte keine Softwaresicherheit, ich möchte eine Hardware-Sicherheit.

Sowie eine App oder ein Treiber dazwischen sind, ist es unsicherer als ohne. 

 

Eine iTAN-Liste ist in meinen Augen sicherer als ein App.

Zitat

Ich würde den Skeptikern empfehlen eine online-Bank Zwischenzuschalten und diese auf Guthabenbasis zu führen.

Das ist mir zu umständlich, ich möchte keine Software-Scheinsicherheit.

 

Ein gutes Password, ein TAN-Gerät mit Girocard sehe ich aktuell noch immer als die beste mögliche Sicherheit an.

Alle drei Faktoren sind nur am selben Ort, wenn ich es will bzw. bin.

 

Auch Router haben Sicherheitslücken, alle Betriebssysteme bekommen regelmäßig Updates wegen Sicherheitslücken, die meisten Applikationen werden mit Frameworks oder anderen Code dritter entwickelt, welche auch immer wieder Lücken haben.

 

In jeder Software wird irgendwann eine Sicherheitslücke gefunden und da hilft auch kein Schlangenöl.

 

Ein Offline-TAN-Gerät kann zwar auch irgendwann veraltet sein, aber Niemand kann in diesem eine Sicherheitslücke nutzen, weil es offline ist, es sei denn man kann auf diesem Gerät direkt zugreifen.

 

Man kann aktuell gar nicht so schnell patchen, wie Software-Lücken gefunden werden.

 

 

[dev]

vor 23 Minuten von oktavian:

Ein (älterer) Freund von mir macht alle Banksachen offline. Durch Fahrten / physische Belege /Filialnetz mit Menschen kostet das in meinen Augen auch mehr Co2

Da sehe ich mich auch bald und das als jemand der im IT-Sektor sein Geld verdient.

 

Es gibt da draußen zu viele Entscheider die nicht wissen was sie tun.

[Holgerli]

vor 11 Minuten von dev:

Es gibt da draußen zu viele Entscheider die nicht wissen was sie tun.

Das ist eine sehr zweitdeutige Aussage: Wenn Du Dich entscheidest Banking wieder Offline zu machen, dann bist Du so gesehen auch ein "Entscheider". Also: Per Defintion könntest Du auch zu den zu vielen Entscheidern gehören, die nicht wissen was sie tun.

[oktavian]

vor 16 Minuten von dev:

Da sehe ich mich auch bald

kennst du eine Bank deren Kernbankensystem offline läuft? Nur weil dein Zugang nicht online läuft, bedeutet dies nicht mehr Sicherheit von Seiten der Bank. Wenn du dadurch zu einer rückständigen Bank wechselst, könnte sich dein 'Softwarerisiko' erhöhen. Würde dann deine ideale Bank nur eine Filiale haben (wie kommen sonst die Daten/Aufträge in andere Filialen)? Wie werden backups erstellt? nur aus Interesse.

[Gast240408]

Raus kommt man aus den Problemen nicht. Meine Loesung ist erst einmal die Auswahl von Banken mit gescheitem 2FA (ChipTAN) und soft- und hardwareseitig Minimierung der Angriffsflaeche. Frueher habe ich einen extra Rechner mit verschleusselter Platte benutzt, Software und use cases zusammengeschnurrt, soweit es pragmatisch geht. Ich habe es leicht abgeschwaecht und benutze heute dazu eine VM (ja, Ausbruch daraus und Verbindung zum Hostsystem hat auch Probleme - eben pragmatisch). Das Prinzip ist aber dasselbe. Minimales Linux darauf, ein Browser der nix anderes macht als die Bankwebseite/n mit granuliert erlaubtem  JavaScript aufzumachen, sowie ein Bankingprogramm (MoneyPlex). Das isses. Schon der Verzicht auf ungezieltes Herumbrowsen bringt m.E. recht viel. Mehr erfordert eigentlich schon einen gezielten Angriff auf Person/deren Infrastruktur. Davor ist man aber nirgendwo sicher.

[Holgerli]

Naja, da man jetzt nicht von 10.000den leergeräumter Girokonten bei den etablierten Banken (Genos, SpaKas, Ing, DBK, DeuBa, CoDi, CoBa etc.) hört, gehe ich mal davon aus, dass das System hinreichend sicher ist, wenn der User sich nicht übermäßig dumm verhält. 

Wenn man dann noch einen weiten Bogen um "Problem-Banken" wie N26 macht, dann sehe ich keinen Grund einen Extra-PC bzw. eine Extra-Umgebung auf dem PC zu nutzen oder gar wieder vom Online- auf das Offline-Banking zurück zu wechseln.

[alsuna]

vor 4 Stunden von odensee:

Der Gesetzgeber verlangt zwei Faktoren. Ist bei der ING gegeben.

Nur habe ich noch keine befriedigende Antwort auf die Frage gelesen, warum beim Faktor "Besitz" ein Smartphone mit OS von 2017 und vom Benutzer nicht zu entfernenden vorinstallierten Apps besser sein soll als ein Rechner auf dem aktuellsten Stand...

 

Wirklich gut ist eigentlich nur Public Key Krypto, aber HBCI wird ja nach und nach überall abgeschafft...

[Gast240408]

27 minutes ago, Holgerli said:

Naja, da man jetzt nicht von 10.000den leergeräumter Girokonten bei den etablierten Banken (Genos, SpaKas, Ing, DBK, DeuBa, CoDi, CoBa etc.) hört, gehe ich mal davon aus, dass das System hinreichend sicher ist, wenn der User sich nicht übermäßig dumm verhält. 

Wenn man dann noch einen weiten Bogen um "Problem-Banken" wie N26 macht, dann sehe ich keinen Grund einen Extra-PC bzw. eine Extra-Umgebung auf dem PC zu nutzen oder gar wieder vom Online- auf das Offline-Banking zurück zu wechseln.

Verschiedene Leute hoeren verschieden viel. Da ich in meiner Umgebung als "der Computer guy" laufe, hoere ich das wohl oefter. Dazu gehoeren auch die stillen kulanten Abwicklungen von Seiten der Banken, die nicht interessiert an aergerlichen oeffentlichen Aussagen derartiger Natur sind. Aber das muss ja nicht zwingend immer so laufen.

Ansonsten stelle ich die Kosten eines PC (bei VM nichts) gegen den Inhalt meiner Konten und Papiere und damit ist die Frage des Handlings eigentlich schon beantwortet. Kostet mich auch kaum Aufwand, da man die VM-Images vorkonfiguriert vorhalten kann.

 

He, das ist mein Geld, da habe ich lange dafuer gearbeitet! Fuer die Bequemlichkeit irgendwelcher anfaelligen spiegelnden Schachteln setze ich das doch nicht aufs Spiel!