ETF-Broker mit sehr sicherem Login

[mrfbn]

Hallo,

 

ich möchte mir ein ETF-Depot aufbauen und suche einen passenden Broker. Ich werde mich dort nur ein bis zwei Mal pro Jahr von zu Hause aus anmelden. Wichtig ist mir eine sehr sichere Anmeldung mit z.B. Photo-TAN-Generator (die kleinen Geräte die einen QR-Code am Bildschirm lesen und dann die TAN am Display anzeigen). Vermeiden möchte ich eine Smartphone-App oder SMS.

 

Mein Ziel ist dass ein Zugriff auf mein ETF-Depot nur mit meinem Wissen und dem Gerät zu Hause möglich ist und bei z.B. Verlust des Handys keine Zugriffsmöglichkeiten oder Aufwände (App-Reset) notwendig sind.

 

Kennt jemand einen Broker der sowas anbietet?

 

 

 

[Martie]

Reicht dir eine Direkt-Bank ohne Filialnetz? Ich bin aktuell auch am schauen, möchte aber zwingend die Möglichkeit haben im Fall der Fälle in eine Filiale gehen zu können. Da wird es dann allerdings hinsichtlich der Kosten bei steigender Depotgröße meist exorbitant teuer. 

[mrfbn]

Gerade eben von Martie:

Reicht dir eine Direkt-Bank ohne Filialnetz? Ich bin aktuell auch am schauen, möchte aber zwingend die Möglichkeit haben im Fall der Fälle in eine Filiale gehen zu können. Da wird es dann allerdings hinsichtlich der Kosten bei steigender Depotgröße meist exorbitant teuer. 

Ja reicht mir. Warum möchtest du in eine Filiale gehen können?

[Martie]

Weil ich die Gewissheit haben möchte, dass ich irgendwo einfach durch persönliches Erscheinen und vorzeigen der nötigen Ausweisdokumente Zugriff auf mein Depot habe. Ohne dass ich dafür zwingend auf irgendein technisches Gerät angewiesen wäre (egal ob TAN-Generator, Smartphone oder Laptop).

 

Es reicht ja unter Umständen schon, dass man den TAN-Generator verlegt um erstmal nichts mehr tun zu können, bis man einen neuen hat.

 

Zu deiner Frage: Die ING schneidet meist recht gut ab und bietet den von dir gewünschten TAN-Generator. Ist aber eben lediglich eine Direkt-Bank.

[PEOPLES]

vor 29 Minuten von mrfbn:

Wichtig ist mir eine sehr sichere Anmeldung mit z.B. Photo-TAN-Generator (die kleinen Geräte die einen QR-Code am Bildschirm lesen und dann die TAN am Display anzeigen). Vermeiden möchte ich eine Smartphone-App oder SMS.

 

So nen klassisches "Always-and-Never"-Problem, auf der einen Seite will man absolute Sicherheit und kein Fremdzugriff, auf der anderen Seite im Zweifel dann einfacher Zugriff sollte man selbst dann doch mal was verseppeln. Je sicherer es wird, desto unhandlicher. 

 

Aktuell ist eine MFA Stand der Dinge, dabei braucht man 2 Dinge: Das Wissen um die Anmeldedaten (BN und PW) UND ein physisches Gerät (TAN Generator oder APP). Bei modernen Handys kommt dann noch der Vorteil einer biometrischen Überprüfung hinzu, sprich man kommt an die TANs nur, wenn man sich auch biometrisch authentifiziert. 
Die Idee ist, selbst wenn man etwas ausspäht ODER dir etwas klaut, die andere Seite der MFA fehlt. Man kann diese 3 Dinge auch auf einem Gerät bündeln, das macht die Sache nicht per se unsicherer. Sprich Handy-klau oder sowas, auch wenn viele das glauben. Das Prinzip bleibt ja das gleiche. 

 

Einen extra TAN-Generator kann man machen, macht es aber IMHO nicht sicherer. Wer will, kann sich ein extra Handy nur zum Banking zulegen und eben zuhause lassen. Aber auch da kann das Ding geklaut werden.

 

Man kann zusätzlich Depot inkl. Verrechnungskonto vom normalen Konto trennen, sprich vom Verrechnungskonto sollte man dann nur mehr Geld auf das Girokonto bei deiner anderen Bank ueberweisen können. Sprich wer Zugriff auf dein Griokonto bekommt, kommt nicht ans Depot und andersrum.

 

"In die Bank laufen mit Dokumenten" ist die wahrscheinlich unsicherste Methode, ausser du kennst deinen Bänker der Dorfbank mit Vornamen und er ist der Einzige, der Ein/Auszahlungen bearbeitet. 

 

 

Meine Meinung: Der unsicherste Faktor ist der User, der auf Fishing-Mails reinfällt, hohe Summen ins Nirvana ueberweist, etc. pp. Klassischer "Enkeltrick" und das geht extrem schnell. Eine MFA und eine artgerechte Nutzung ist IMHO aktuell recht sicher. Wer sich damit sicherer fühlt, schafft sich halt ein altes iPhone fürs Banking an und lässt das zuhause. 

[W.Heisenberg]

Maxblue oder Targobank. Die Preise sind ok, bieten Photo-TAN Verfahren an und haben Filialen.

[b3rg]

Starke Authentifizierungsmethoden sind für alle Institute regulatorisch vorgeschrieben und müssen umgesetzt sein.
 

Richte dir ein Depot ein und lege als zweiten Faktor ein Handy zu, welches du sicher (nicht bei der Sparkasse Gelsenkirchen) aufbewahrst. Nicht ganz praktikabel der Ansatz, aber entspricht in etwa deinen Vorstellungen 

[Martie]

vor 5 Minuten von PEOPLES:

"In die Bank laufen mit Dokumenten" ist die wahrscheinlich unsicherste Methode, ausser du kennst deinen Bänker der Dorfbank mit Vornamen und er ist der Einzige, der Ein/Auszahlungen bearbeitet. 

Wir reden hier ja nicht vom Normalfall, wo alles reibungslos funktioniert. Sondern von Situationen, wo man kurzfristig Zugriff auf das Depot braucht und dabei aber irgendwelche Probleme auftreten. Den Gang zur Filiale würde ich sicher auch nicht als Standard wählen. Im Prinzip wie mit dem Girokonto. Auch das macht man heute alles online von Zuhause. Aber wenn es hier zu Problemen kommt will ich ebenso weiterhin die Möglichkeit haben über den Gang zur Filiale eine Überweisung zu tätigen.

 

Ich kenne mich damit nicht aus, aber wie verhält es sich beispielsweise, wenn mir etwas passiert (kein Todesfall) und ich meiner Partnerin für eben diesen Fall eine Vollmacht für mein Depot erteilt habe? Bei der Filialbank geht man mit den entsprechenden Dokumenten und Nachweisen hin und es wird zeitnah geregelt. Aber bei Direkt-Banken oder Neo-Brokern? Alles hin schicken und hoffen, dass sich schon irgendwer irgendwann darum kümmern wird? Da fehlt mir ehrlich gesagt das Vertrauen. 

[PEOPLES]

Vollmachten kann man ja noch zu Lebzeiten hinterlegen. 

 

Wie auch immer: Wenn du aus persönlichen Gründen noch eine Filiale willst, dann such dir eine Bank, die das macht. Macht die Sacher aber nicht "sicherer". 

 

Nur mal Interesse halber: Wie alt bist du und wie fit bist du mit IT, etc? Das ist nicht bös gemeint, aber für mich fühlt sich bissi so an, als bist du eher "konservativ" unterwegs und vertraust mehr auf Personen als auf Sicherheitssysteme. Betrugsmaschen gibt es viele und ziemlich raffiniert. Die Gefahr ist weniger, dass Leute dein Konto/Depot "hacken", sondern du ihnen unwissentlich Zugang verschaffst oder sogar überweist. 

Enkeltrick ist natürlich klar, aber auch so Dinge wie: "Sorry, ich hab dir Geld ueberwiesen, kannst du mir das zurück schicken" usw usw usw. 

[okay]

Ich zb habe ein Depot bei der DKB.

Die Wertpapiere müssten verkauft werden, was einige Zeit dauert, bis das Geld aufs Konto kommt UND das geht nur auf (m)ein DKB Girokonto. Das ganze ist erstmal durch biometrische authentifizieren machbar.

Man muss halt darauf achten nie auf E-Mails oder SMS zu reagieren. 

Alles via App und Hirn einschalten 

[Martie]

vor 11 Minuten von PEOPLES:

Nur mal Interesse halber: Wie alt bist du und wie fit bist du mit IT, etc? Das ist nicht bös gemeint, aber für mich fühlt sich bissi so an, als bist du eher "konservativ" unterwegs und vertraust mehr auf Personen als auf Sicherheitssysteme. Betrugsmaschen gibt es viele und ziemlich raffiniert. Die Gefahr ist weniger, dass Leute dein Konto/Depot "hacken", sondern du ihnen unwissentlich Zugang verschaffst oder sogar überweist. 

Das ist nicht ganz richtig und ich denke wir sehen die Sache aus unterschiedlichen Richtungen. Es geht mir weniger darum, dass ich anderen Personen eher vertraue als IT Sicherheitsmechanismen. Aber ich möchte mich einfach nicht für entweder/oder entscheiden müssen. Mir geht es auch darum, dass ich mich selbst als Person gewissermaßen als relevantes Risiko einschätze wenn es darum geht, dass die Familie im Notfall an das Depot kommt (verlegen von Geräten, schwere gesundheitliche Vorfälle und Zugangsdaten nur im Kopf und nirgendwo schriftlich hinterlegt..). Das mag absurd klingen, auch weil ich noch keine 40 Jahre alt bin, aber ich arbeite beruflich im medizinischen Bereich, gerade auch mit Demenzpatienten und habe da schon so einiges mitbekommen. Meine Sorge ist auch nicht, dass jemand mein Depot "hackt", sondern dass es, wie schon geschrieben, anderweitig Probleme gibt darauf zuzugreifen. Da ist für mich der Gang zur Filiale einfach der Plan B.

[Bolanger]

vor 54 Minuten von Martie:

ich meiner Partnerin für eben diesen Fall eine Vollmacht für mein Depot erteilt habe? Bei der Filialbank geht man mit den entsprechenden Dokumenten und Nachweisen hin und es wird zeitnah geregelt.

Bei den Schaudermärchen, die ich im Umfeld und auch hier im Forum mitbekomme zum Theam Vollmachten und Akzeptanz von Papierunterlagen würde ich mich darauf nicht verlassen. 

[Martie]

vor 2 Minuten von Bolanger:

Bei den Schaudermärchen, die ich im Umfeld und auch hier im Forum mitbekomme zum Theam Vollmachten und Akzeptanz von Papierunterlagen würde ich mich darauf nicht verlassen. 

Ich würde aber behaupten man hat in jedem Fall bessere Chancen, als wenn die ganze Angelegenheit nur über Emails geregelt werden soll.

vor einer Stunde von W.Heisenberg:

Maxblue oder Targobank. Die Preise sind ok, bieten Photo-TAN Verfahren an und haben Filialen.

Die Targobank wäre in meinem Fall tatsächlich eine Überlegung wert. Danke für den Tip!

Schade, dass es die Wechselprämie nicht für den Übertrag von ETFs gibt.

[blueprint]

vor 1 Stunde von PEOPLES:

Wer sich damit sicherer fühlt, schafft sich halt ein altes iPhone fürs Banking an und lässt das zuhause. 

Ein altes Handy, welches keine Sicherheitsupdates mehr bekommt fürs Banking - bestimmt eine gute Idee

[mrfbn]

Danke für eure Antworten! Ich bin aus der IT-Sicherheitsbranche und weiß wie raffiniert Angreifer oft vorgehen wenn es sich lohnt.

 

Mein Ziel ist dass der Zugang zum ETF-Depot nur von mir zu Hause und mit einem entsprechenden Gerät (TAN-Generator, FIDO-Key etc.) möglich ist. Dass ein Angreifer deswegen zu mir nach Hause kommt ist sehr unwahrscheinlich. Dass ein Smartphone oder die App des Brokers oder der Internettraffic irgendwelche Sachen macht ist zwar auch unwahrscheinlich aber eher möglich.

 

Da ich wirklich nur 1-2 Mal pro Jahr ins Depot schaue würde ich lange Zeit nicht merken wenn das Geld (wie auch immer) weg wäre, deshalb mein Anspruch auf Login mit physikalischem Gerät.

 

> Starke Authentifizierungsmethoden sind für alle Institute regulatorisch vorgeschrieben und müssen umgesetzt sein.

Das sehe ich leider nicht, bei einigen Banken/Brokern ist ein Login mit Benutzername + Passwort möglich (ohne MFA). Erst bei Transaktionen ist dann eine TAN notwendig und hier wird teilweise sogar noch SMS unterstützt - übel.

[stagflation]

vor 25 Minuten von mrfbn:

> Starke Authentifizierungsmethoden sind für alle Institute regulatorisch vorgeschrieben und müssen umgesetzt sein.

Das sehe ich leider nicht, bei einigen Banken/Brokern ist ein Login mit Benutzername + Passwort möglich (ohne MFA). Erst bei Transaktionen ist dann eine TAN notwendig und hier wird teilweise sogar noch SMS unterstützt - übel.

 

Bei vielen Banken wird mit Cookies als 2FA gearbeitet. Es sieht dann so aus, als ob nur "Benutzername + Passwort" zum Login erforderlich seien, im Hintergrund wird aber auch das Cookie geprüft. Wenn das Cookie nicht da sein sollte, wird neben Benutzername und Passwort eine weitere Authentifizierung notwendig.

 

Es gibt auch einen großen Unterschied zwischen "Benutzername + Passwort" und "Benutzername + Passwort + Login-Sperre nach 5 Fehlversuchen". Wegen der Sperre ist auch die 4-stellige PIN beim Geldabheben relativ sicher...

 

Ein wichtiger Schutz ist, dass Überweisungen und Auszahlungen nur zum Referenzkonto möglich sind.

[OSO]

Meine Empfehlung: Bei iPhones/iPads über "Bildschirmzeit" die maximale Zeit beschränken, die die App des Brokers benutzt werden kann. Das ist quasi die Kindersicherungsfunktion, geht auf Android vermutlich analog. Mit 2-3 Minuten pro Tag reicht das, um mal schnell ins Depot zu schauen oder eine Transaktion freizugeben, aber nicht, um Referenzkonto zu ändern, das Depot leerzuverkaufen und alles wegzuüberweisen. Wenn man dann doch mal mehr Zeit braucht, kann man die über eine zusätzliche PIN, die nicht die normale PIN des Telefons ist, freischalten.

 

Heißt: Mit der normalen Telefon-PIN kommt man nicht sehr weit, ein Angreifer bräuchte die normale Telefon-PIN um erst einmal ins Telefon zu kommen (die lässt sich ggf. irgendwo im Alltag mal ausspähen) und dann noch die zusätzliche "Bildschirmzeit"-PIN (die man nur sehr selten benutzt). 

 

(Trotzdem wäre es mir lieber, wenn Broker als Referenzkonto generell nur Konten auf den Namen des Kontoinhabers zulassen würden.)

2 minutes ago, stagflation said:

 

Ein wichtiger Schutz ist, dass Überweisungen und Auszahlungen nur zum Referenzkonto möglich sind.

Referenzkonto ist halt leider nur ein halber Schutz, weil bei vielen Brokern das Referenzkonto zu einfach auch auf ein Fremdkonto geändert werden kann. 

[west263]

vor 14 Minuten von OSO:

Meine Empfehlung: Bei iPhones/iPads über "Bildschirmzeit" die maximale Zeit beschränken, die die App des Brokers benutzt werden kann. Das ist quasi die Kindersicherungsfunktion, geht auf Android vermutlich analog. Mit 2-3 Minuten pro Tag reicht das, um mal schnell ins Depot zu schauen oder eine Transaktion freizugeben, aber nicht, um Referenzkonto zu ändern, das Depot leerzuverkaufen und alles wegzuüberweisen. Wenn man dann doch mal mehr Zeit braucht, kann man die über eine zusätzliche PIN, die nicht die normale PIN des Telefons ist, freischalten.

bis gerade eben, war mir diese Funktion völlig unbekannt.

Danke, dass Du das hier ausgeführt hast. Bei Android heißt es "App Timer"

[W.Heisenberg]

vor 19 Minuten von OSO:

Heißt: Mit der normalen Telefon-PIN kommt man nicht sehr weit, ein Angreifer bräuchte die normale Telefon-PIN um erst einmal ins Telefon zu kommen

Man braucht die Telefon-PIN nicht, um ein Android-System aus der Ferne zu übernehmen, wenn Sicherheitslücken im Betriebssystem offenstehen.

[PEOPLES]

vor 4 Stunden von blueprint:

Ein altes Handy, welches keine Sicherheitsupdates mehr bekommt fürs Banking - bestimmt eine gute Idee

Wo habe ich geschrieben : Besorg dir nen Handy ohne Sicherheitupdates ???

 

Ich habe nen 12 iPhone und das funktioniert noch. Als Alltagstelefon mittlerweile bissi lahm, aber als Telefon fürs Banking ok. 

[blueprint]

Was ist denn sonst deine Definition von einem alten Handy, außer, dass es keine Updates mehr bekommt?

Ich definiere alt so, dass es keine Updates mehr bekommt. Falls es gerade noch welche bekommt, wird es demnächst halt keine mehr bekommen - auch sinnbefreit.

 

[sedativ]

vor 7 Stunden von mrfbn:

Kennt jemand einen Broker der sowas anbietet?

 

Bei comdirect kannst du einen TAN-Generator nutzen. Schlimmstenfalls wird dir in der Commerzbankfiliale geholfen.

[OSO]

2 hours ago, W.Heisenberg said:

Man braucht die Telefon-PIN nicht, um ein Android-System aus der Ferne zu übernehmen, wenn Sicherheitslücken im Betriebssystem offenstehen.

Richtig. In dem Szenario hilft es nicht (muss dann aber eine ziemlich vollständige Übernahme aus der Ferne sein, die es erlaubt, die Banking-App auszuführen und zu steuern und auf die zusätzlich gesicherten Credentials im Handy zuzugreifen). Aber im Szenario "Handy gestohlen" ist es eine zusätzliche Hürde. 

[PKW]

vor 8 Stunden von mrfbn:

Wichtig ist mir eine sehr sichere Anmeldung mit z.B. Photo-TAN-Generator (die kleinen Geräte die einen QR-Code am Bildschirm lesen und dann die TAN am Display anzeigen). Vermeiden möchte ich eine Smartphone-App oder SMS.

Das kann man jetzt so oder so verstehen. 
Fast alle viele der besseren Banken bieten auch TAN-Generatoren zur Authentifizierung an. Bei der DKB muss man z.B. eine Girokarte für 12€ pa buchen, dann kann man sich auch per TAN-Generator authentifizieren. Comdirekt, ING, Postbank, Deutsche Bank ... bieten bankenspezifische TAN-Generatoren an. Kaufkosten dafür betragen zwischen 20 - 50€. Man kann aber bei allen auch die Authentifzierung per App vornehmen. 

Mir fällt auf Anhieb kein Anbieter an, der Authentifizierung ausschließlich mittels TAN-Generator anbietet (und im Gegenzug keine Möglichkeit bietet, sich per App zu authentifizieren). Falls du also verhindern möchtest, dass sich irgendjemand deine Kontozugangsdaten schnappt (meinetwegen deine Briefpost plündert), eine App installiert und sich so einen Zugang zu deinem Konto per App erschleicht ... ich fürchte, das wird nicht klappen.
Aber wenn der Betrüger eh Zugriff auf deinen Briefkasten hat, dann kann er sich auch einen neuen Generator zusenden lassen ... 

[SlowHand7]

vor 21 Minuten von PKW:

Mir fällt auf Anhieb kein Anbieter an, der Authentifizierung ausschließlich mittels TAN-Generator anbietet (und im Gegenzug keine Möglichkeit bietet, sich per App zu authentifizieren). Falls du also verhindern möchtest, dass sich irgendjemand deine Kontozugangsdaten schnappt (meinetwegen deine Briefpost plündert), eine App installiert und sich so einen Zugang zu deinem Konto per App erschleicht ... ich fürchte, das wird nicht klappen.

Ich denke ein TAN-Generator ist eine sehr sichere Lösung wie sie hier wohl gewünscht wird.

Ein Verlust auf dem Postweg ist auch kein Problem.

Das Gerät muss ja erstmal im Banking aktiviert werden.

 

Man sollte natürlich immer ein Backup haben, ich habe mehrere Handys und das Tablet aktiviert.

Wer keine App will kauft dann eben zwei TAN-Generatoren.   

Dann kann man photoTAN im Banking komplett deaktivieren.