Von (Zwei-Faktor-)Authentisierung, (zu?) mächtigen Apps, Smartphones, TAN-Generatoren und Sicherheitsbedenken

[PKW]

vor 30 Minuten von Lou_Mannheim:

Datensammelei für sich genommen auch ein Sicherheitsrisko darstellen könnte

Natürlich, ein Prinzip der Datensicherheit heißt Datenvermeidung bzw. Datensparsamkeit.
Jede Datenbank, die Datensätze von dir enthält, ist ein potentielles Sicherheitsrisiko. Jede weitere Datenbank erhöht dieses Risiko.
Man kann jetzt streiten, ob dieses erhöhte Risiko immer noch so gering ist, dass man es vernachlässigen kann. Da kannst du 6 Spezialisten aus 7 Ländern befragen und kriegst 9 verschiedene Antworten.

[Lou_Mannheim]

Ich bin mit meiner Befragung der Spezialisten auch noch nicht am Ende ;-) Ist ja auch interessant und man lernt was dabei.

[MilchreisMogul]

Was dürfte beim Online-Banking (C24) bzw. Online-Depotverwaltung (Smartbroker +) mehr Sicherheit bringen? 

 

a) Banking auf dem alltäglichen Gerät (Android 13, Gigaset, zu den Arbeitszeiten mit einem quasi öffentlichen, aber passwortgeschützen WLAN-Netz mit Sicherheitszertifikat verbunden). Auf dem alltäglichen Gerät befinden sich nur fünf zusätzlich installierte Apps (neben den vorinstallierten; WhatsApp, Bahn bspw.) und es wird großenteils fürs Telefonieren, WhatsApp und YouTube verwendet. Im Browser gesurft wird aus Sicherheitsgründen so gut wie gar nicht.

 

oder

 

b) Banking auf einem eigenen Gerät, was dezidiert dafür angeschafft wurde und auch nur dafür genutzt wird, allerdings mit Android 10. Es handelt sich um ein Google Pixel von Ende 16. Man bedenke das ältere Android.

 

Welche Option ist, wenn es um Sicherheit geht, eher zu empfehlen? 

[wpf-leser]

Wenn es nur diese beiden zur Wahl gibt, würde ich a) wählen.

 

Ansonsten könnte man das Szenario (auch etwas abhängig von der WLAN-Konfiguration) um die Nutzung der Mobilfunkverbindung anreichern.

 

Das Pixel ließe sich mit LineageOS 20 (Android 13; Google Apps nicht vergessen) ausstatten.

 

In beiden Fällen sehe ich keine besonders deutliche Überlegenheit. Insofern könnte ich mit a) auch so leben.

Alle genannten Apps sollten natürlich aus dem Play Store kommen...

[MilchreisMogul]

vor 13 Stunden von wpf-leser:

Wenn es nur diese beiden zur Wahl gibt, würde ich a) wählen.

 

Ansonsten könnte man das Szenario (auch etwas abhängig von der WLAN-Konfiguration) um die Nutzung der Mobilfunkverbindung anreichern.

 

Das Pixel ließe sich mit LineageOS 20 (Android 13; Google Apps nicht vergessen) ausstatten.

 

In beiden Fällen sehe ich keine besonders deutliche Überlegenheit. Insofern könnte ich mit a) auch so leben.

Alle genannten Apps sollten natürlich aus dem Play Store kommen...

a), weil bei b) das Android 10 problematisch sein könnte, obwohl das Gerät nur für Banking angeschaltet & genutzt wird? Auf dem Gerät b wären jedenfalls nur die Banking-Apps installiert.

 

Gebe es bei LineageOS 20 nicht Sicherheitsrisiken geben, da die Apps für konventionelles Android entwickelt wurden?

 

Danke jedenfalls für deine Einschätzung :-)

[wpf-leser]

vor 8 Stunden von MilchreisMogul:

a), weil bei b) das Android 10 problematisch sein könnte, obwohl das Gerät nur für Banking angeschaltet & genutzt wird?

Nein. Weil ich das Sicherheitsniveau für vergleichbar halte, aber a) darüber hinaus mehr Komfort und gleichzeitig weniger Aufwand bedeutet.

 

vor 8 Stunden von MilchreisMogul:

Gebe es bei LineageOS 20 nicht Sicherheitsrisiken geben, da die Apps für konventionelles Android entwickelt wurden?

LineageOS ist imho ein noch konventionelleres Android (i.S.v. näher am Google-"Original"), als es z.B. die Betriebssysteme auf Samsungs oder Xiaomis Smartphones sind. Ungefähr so, wie es nicht "das" Linux oder nicht "die" Jeanshose gibt, gibt es auch nicht "das" Android.

[MilchreisMogul]

vor 45 Minuten von wpf-leser:

Nein. Weil ich das Sicherheitsniveau für vergleichbar halte, aber a) darüber hinaus mehr Komfort und gleichzeitig weniger Aufwand bedeutet.

Ah okay. Ne, dann dürfte Option b) für mich eher in Betracht kommen, weil ich dann unbekümmerter mein Haupthandy betätigen kann (sprich ein paar mehr Apps, bspw. Nachrichten-Apps oder Facebook auf das Handy laden kann), wenn die beiden Banking-Apps sich auf einem anderen Gerät (dem first gen Pixel) befinden.  

 

vor 45 Minuten von wpf-leser:

LineageOS ist imho ein noch konventionelleres Android (i.S.v. näher am Google-"Original"), als es z.B. die Betriebssysteme auf Samsungs oder Xiaomis Smartphones sind. Ungefähr so, wie es nicht "das" Linux oder nicht "die" Jeanshose gibt, gibt es auch nicht "das" Android.

Ah okay. Damit werde ich mal beschäftigen. Die Sicherheit dürfte gegenüber dem original-Android 10 auf dem Pixel damit also gesteigert werden?

[ein_johannes]

Also ich würde da dann doch B wählen.

 

Grund: Software, welche Zugangsdaten abgreift muss ja auf das Gerät kommen. Wie kommt sie aufs Gerät:

 

1: Vorinstalliert (ja, das gibt es; kann z.B. auch beim Exporteur/Importeur aufgespielt worden sein)

2: Man hat entsprechende Schadsoftware auf dem PC und verbindet das Handy mit diesem, etwa, um es zu laden. Die Schadsoftware installiert dann entsprechende Software auf dem Telefon nach; mein Bruder benutzt daher immer ein sogenanntes USB-Kondom, das ist ein Adapter bei dem ausschließlich die Stromleitungen durchkontaktiert sind, nicht aber die Datenleitungen.

3:  Übers nutzen des Internets/Wlans

 

Das alte Android ist sicher im Grunde deutlich anfälliger, wenn ich aber ein Handy dediziert ausschließlich zum Kontozugang nutze, dann denke ich, dass durch das Nutzungsprofil sehr geringe Möglichkeiten der Infizierung bestehen.

Ich habe ein entsprechendes Handy, es verlässt nie das Haus, ist immer weggeschlossen, wird nur am Originalladegerät geladen, hängt als einziges Gerät im Gäste-WLan unseres Routers (hat mein Sohn eingerichtet, hört sich sinnvoll an) und wird wirklich nur für die TanApp genutzt.

Da ich weder 100 Millionen in Bitcoin besitze noch ein von den USA gesuchter Top-Terrorist bin fühle ich mich damit ausreichend sicher. Ich habe noch nie eine Email oder den Browser geöffnet.

Gleichwohl wäre ein aktuelles Android auf diesem Handy natürlich noch besser.

[MilchreisMogul]

vor 1 Stunde von ein_johannes:

Also ich würde da dann doch B wählen.

 

Grund: Software, welche Zugangsdaten abgreift muss ja auf das Gerät kommen. Wie kommt sie aufs Gerät:

 

1: Vorinstalliert (ja, das gibt es; kann z.B. auch beim Exporteur/Importeur aufgespielt worden sein)

2: Man hat entsprechende Schadsoftware auf dem PC und verbindet das Handy mit diesem, etwa, um es zu laden. Die Schadsoftware installiert dann entsprechende Software auf dem Telefon nach; mein Bruder benutzt daher immer ein sogenanntes USB-Kondom, das ist ein Adapter bei dem ausschließlich die Stromleitungen durchkontaktiert sind, nicht aber die Datenleitungen.

3:  Übers nutzen des Internets/Wlans

 

Das alte Android ist sicher im Grunde deutlich anfälliger, wenn ich aber ein Handy dediziert ausschließlich zum Kontozugang nutze, dann denke ich, dass durch das Nutzungsprofil sehr geringe Möglichkeiten der Infizierung bestehen.

Ich habe ein entsprechendes Handy, es verlässt nie das Haus, ist immer weggeschlossen, wird nur am Originalladegerät geladen, hängt als einziges Gerät im Gäste-WLan unseres Routers (hat mein Sohn eingerichtet, hört sich sinnvoll an) und wird wirklich nur für die TanApp genutzt.

Da ich weder 100 Millionen in Bitcoin besitze noch ein von den USA gesuchter Top-Terrorist bin fühle ich mich damit ausreichend sicher. Ich habe noch nie eine Email oder den Browser geöffnet.

Gleichwohl wäre ein aktuelles Android auf diesem Handy natürlich noch besser.

 

Vielen Dank für die Auskunft. Der dritte Punkt wäre bei mir womöglich die wahrscheinlichste Leitung für schadhafte Software und da ich das Handy ja nur ganz selten mit dem WLAN verbinde (nur eben fürs Banking), ist die Entscheidung auch auf Option b (dezidiertes Gerät mit älteren Android) gefallen. 

 

Allerdings verbinde ich das Händi manchmal mit meinem (quasi privaten) Laptop, der sich auf der Arbeit mit einem öffentlichen, aber passwortgeschützten Netzwerk verbindet. Sprich der Laptop fungiert als Hotspot für das Händi. Das Händi ist selber nicht mit dem WLAN verbunden. Smartphones lassen sich in dem Netzwerk via Sicherheitszertifikat verbinden. Was ist von der Verbindung "Laptop als Hotspot -> Banking-Händi" zu halten? Lieber Händi im WLAN mit Sicherheitszertifikat oder die Internet-Verbindung über den Laptop? 

 

Zur weiteren Info: Bei meinem Broker Smartbroker+ gibt es leider keine separate TAN-App. 

[ein_johannes]

Da der Datentransfer heute immer SSL-Verschlüsselt stattfindet wäre für mich beides gut genug. Keine Software ist perfekt, es gibt immer Sicherheitslücken. Solange die beiden Endpunkte sicher sind, solange sollte es egal sein, über welche Stationen der verschlüsselte Datenstrom fliest. Soll er doch abgefangen werden, nach derzeitigen Standards ist er nicht zu entschlüsseln.

 

Die Gefahr die ich sehe, ist halt ein wirklich guter Trojaner auf dem Dienstlaptop, der ein passendes Modul für ein altes (bzw. veraltetes) Android laden kann und das dann über USB installieren kann. Das wäre eine echt üble Kombination, denn dann werden die Daten vorm verschlüsseln schon abgegriffen...

Eine Ende-zu-Ende-Verschlüsslung ist immer nur so sicher wie die Enden. Dazwischen kann auch Murks sein, im Fall der Fälle kommt die Verbindung dann halt nicht mehr zu stande...

[SlowHand7]

vor einer Stunde von ein_johannes:

Da der Datentransfer heute immer SSL-Verschlüsselt stattfindet wäre für mich beides gut genug. Keine Software ist perfekt, es gibt immer Sicherheitslücken. Solange die beiden Endpunkte sicher sind, solange sollte es egal sein, über welche Stationen der verschlüsselte Datenstrom fliest. Soll er doch abgefangen werden, nach derzeitigen Standards ist er nicht zu entschlüsseln.

 

Das Thema hat sich dann schon erledigt wenn dein Arbeitgeber beschließt auf den Geräten seiner Angestellten eigene Root-Zertifikate zu installieren.   

Alles was ich mache geht über einen proprietären VPN nach USA, wird dort gespeichert und vielleicht gelesen bevor es zurück nach Deutschland geht.

[ein_johannes]

Das dürfte doch egal sein - das Handy hat doch das richtige Zertifikat und verschlüsselt die Übertragung App -> Bankserver. Das der Laptop das verschlüsselte Paket ggf. noch mal verschlüsselt und das dann durch einen VPN (der auch noch mal verschlüsselt) dann sonst wohin schickt dürfte schnuppe sein, solange Handy und Bankserver ihren Job richtig und sicher machen. Alles, was der Arbeitgeber in den USA sehen kann wenn er das Paket auf macht ist nur, das sich drinnen ein noch mal verschlüsseltes Paket befindet für das er eben kein Zertifikat hat. Er kann halt sehen das die ZielIP dieses Pakets der Server einer Bank ist, aber mehr nicht. Unter der ersten Zwiebelschale ist schlicht die nächste Zwiebelschale.

[ein_johannes]

vor 7 Stunden von SlowHand7:

Das Thema hat sich dann schon erledigt wenn dein Arbeitgeber beschließt auf den Geräten seiner Angestellten eigene Root-Zertifikate zu installieren.   

Alles was ich mache geht über einen proprietären VPN nach USA, wird dort gespeichert und vielleicht gelesen bevor es zurück nach Deutschland geht.

Bezieht sich deine Aussage auf deinen Laptop (der als Hotspot dienen soll) oder auf das Handy, auf dem die TanApp läuft ? Wenn es sich aufs Handy bezieht, dann ist dieses Gerät in meinen Augen nicht mehr fürs Banking geeignet.

Wenn sie sich auf den Laptop bezieht ist es in meinen Augen nicht relevant, da dieser ja dann nur ein bereits durch die TanApp verschlüsseltes Paket noch mal verschlüsselt (mit dem Zertifikat des Arbeitgebers).  Dieser kann dann nur sehen, das du ein verschlüsseltes Paket an den Server einer deutschen Bank schickst...

[MilchreisMogul]

Am 20.1.2024 um 01:18 von ein_johannes:

Da der Datentransfer heute immer SSL-Verschlüsselt stattfindet wäre für mich beides gut genug. Keine Software ist perfekt, es gibt immer Sicherheitslücken. Solange die beiden Endpunkte sicher sind, solange sollte es egal sein, über welche Stationen der verschlüsselte Datenstrom fliest. 

Du meinst mit "beides gut" die direkte Verbindung von Händi ins WLAN mit Sicherheitszertifikat und die Verbindung mit dem Laptop als Hotspot, der wiederum mit dem WLAN verbunden ist? Also bei beiden Optionen gibt es keine nennenswerten Vor- oder Nachtteile, die auf die (wahrscheinlichere) Auswirkungen auf die Sicherheit haben können?

 

Am 20.1.2024 um 01:18 von ein_johannes:

Die Gefahr die ich sehe, ist halt ein wirklich guter Trojaner auf dem Dienstlaptop, der ein passendes Modul für ein altes (bzw. veraltetes) Android laden kann und das dann über USB installieren kann. Das wäre eine echt üble Kombination, denn dann werden die Daten vorm verschlüsseln schon abgegriffen...

Eine Ende-zu-Ende-Verschlüsslung ist immer nur so sicher wie die Enden. Dazwischen kann auch Murks sein, im Fall der Fälle kommt die Verbindung dann halt nicht mehr zu stande...

Ich verstehe nicht so recht, was du meinst. Mein Händi ist jedenfalls über WLAN mit dem Laptop (als Hotspot) verbunden. 

 

[stagflation]

SPON berichtet von einem interessanten Fall:

Zitat

Bank haftet nicht für Phishingbetrug

 

Gleich doppelt soll ein Rechtsanwalt und Steuerberater auf Onlinebetrüger hereingefallen sein. Seine Bank muss ihm die erbeuteten 50.000 Euro laut Oberlandesgericht Frankfurt nicht zurückerstatten.

Weil er Kriminellen nicht nur fahrlässig den Zugang zu seinem Bankkonto gegeben, sondern zudem die Erhöhung des Überweisungslimits bestätigt haben soll, bleibt ein Rechtsanwalt und Steuerberater nach Entscheidung des Oberlandesgerichts Frankfurt auf einem Schaden von 50.000 Euro sitzen. Der Betrogene verlangt sein Geld weiterhin von der Bank zurück.

 

EDIT:

• Weitere Informationen: https://ordentliche-gerichtsbarkeit.hessen.de/presse/keine-haftung-der-bank 
• Oberlandesgericht Frankfurt am Main, Urteil vom 06.12.2023, Az. 3 U 3/23
• vorausgehend Landgericht Frankfurt am Main, Urteil vom 09.12.2022, Az. 2-25 O 41/22

[SlowHand7]

vor 11 Minuten von stagflation:

SPON berichtet von einem interessanten Fall:

Nun ja, der Mann hat sich extrem dämlich angestellt. Keine Ahnung wie so jemand Anwalt werden konnte.

Die nächste Instanz wird er sicher auch verlieren. Aber er kann sich ja selbst vertreten und sein Auftreten vor Gericht verbessern. 

 

[stagflation]

SPON hat einen weiteren interessanten Fall:

Zitat

Wie eine Finanzkolumnistin in wenigen Stunden 50.000 Dollar verlor

 

Seien es Schockanrufe oder der »Tinder-Trading-Scam«: Viele Menschen halten sich für gewappnet gegen Betrugsmaschen. Der Fall einer New Yorker Journalistin jedoch zeigt, wie schnell die Vernunft aussetzen kann.

Die Betrüger werden immer raffinierter...

[oktavian]

Am 14.1.2024 um 22:34 von PKW:

Jede Datenbank, die Datensätze von dir enthält, ist ein potentielles Sicherheitsrisiko. Jede weitere Datenbank erhöht dieses Risiko.
Man kann jetzt streiten, ob dieses erhöhte Risiko immer noch so gering ist, dass man es vernachlässigen kann. Da kannst du 6 Spezialisten aus 7 Ländern befragen und kriegst 9 verschiedene Antworten.

Ich habe z.B. ein dropbox Konto und dort einen fake CV (Lebenslauf) hinterlegt usw. Viel Spaß das ganze zu entpuzzlen. Habe auch mehrere Google accounts. Mit KI kann man noch besser das Nutzungsverhalten in der Zukunft verschleiern, wenn es denn möchte.

Am 18.1.2024 um 18:51 von MilchreisMogul:

b

Bin für b) Pixel vs Gigaset. Z.b. mit lineageos 21 (Android 14). Flugmodus an - dann immer kurz WLAN an und wieder aus. Einschließen braucht man nicht, aber statt 4-stellige pin bin ich für Passwort.

Am 16.2.2024 um 14:36 von stagflation:

Die Betrüger werden immer raffinierter...

Als Jugendlicher wurde bei uns aufs Festnetz angerufen und am Telefon wurde gesagt mein Vater sei Held des Monats geworden. Ich habe das nicht geglaubt und gesagt ich gebe am Telefon keine Infos raus und wenn es stimmt sollen Sie die Urkunde per Post zuschicken. Im Nachhinein hat sich herausgestellt es stimmte und war live im Radio übertragen worden (heutzutage wohl nicht DSGVO konform). Jeder ist eben anders gepolt und ohne Misstrauen ist man auch unbeschwerter unterwegs. Naja - schon diese überfreundliche, professionals Moderatorenstimme kam mir unnormal vor.

 

Am 20.1.2024 um 01:18 von ein_johannes:

über USB installieren kann

USB debugging kann man ausschalten.