ANZEIGE
Ja, vor allem sind Warnungen aus 2015 nicht zu unterschätzen,
besonders, da es in den vergangenen 8 Jahren keinerlei sicherheitsspezifischen Weiterentwicklungen gegeben hat.
-
Dieses Forum dient dem Erfahrungsaustausch und nicht dem (kommerziellen) Anbieten von Incentives zum Abschluss einer neuen Kreditkarte.
Wer sich werben lassen möchte, kann gerne ein entsprechendes Thema im Bereich "Marketplace" starten.
Wer neue Karteninhaber werben möchte, ist hier fehl am Platz. Das Forum braucht keinen Spam zur Anwerbung neuer Kreditkarteninhaber.
Beiträge, bei denen neue Kreditkarteninhaber geworben werden sollen, werden ohne gesonderte Nachricht in beiden Foren entfernt.
User, die sich zum Werben neuer Kreditkarteninhaber neu anmelden, werden wegen Spam direkt dauerhaft gesperrt. User, die an anderer Stelle im Forum mitdiskutieren, sich aber nicht an diese Regeln halten, müssen mit mindestens 7 Tagen Forenurlaub rechnen.
DKB Sammelthread
- Starter*in wurstpeter
- Datum Start
ANZEIGE
besonders, da es in den vergangenen 8 Jahren keinerlei sicherheitsspezifischen Weiterentwicklungen gegeben hat.
Naja, die BAFIN genießt natürlich erstmal eine gewisse Kompetenzvermutung..Das Bafin schrieb übrigens auch früher bereits:
"Die TAN sollte auf keinen Fall auf demselben Smartphone generiert werden, auf dem das Online-Banking stattfindet. Hat ein Betrüger das Smartphone gehackt, so kann er dadurch auf beide Verfahren zugreifen."
Online-Banking: Sicherheitsaspekte aus Verbraucherschutzsicht
Nahezu alle Institute in Deutschland bieten inzwischen Konten an, die über das Internet erreichbar sind (Online-Banking). Manche Institute sind sogar reine Online-Banken, betreiben also keine Filialen.www.bafin.de
Eine einfache Argumentation. Das bedeutet natürlich nicht, dass jeder, der es anders macht, sofort oder auch nur zwingend gehackt werden würde.
Aber wenn ich schon lese, dass mTAN und pushTAN unter "Mobiltelefon basierte Verfahren" zusammengefasst sind - das stimmt ja schlicht und einfach nicht.
mTAN ist gerade nicht ans Telefon, sondern an die SIM-Karte gebunden. Heißt: SIM-Karte geklont oder umgesteckt und schon funktioniert das ganze auf einen anderen Telefon. Das war ja der Grund für die Abschaffung.
Bei pushTAN wird doch die TANApp mit einer AppID beim Bankserver angemeldet.
Die darf es nicht zweimal geben. Wie soll das also gehen, ohne auch das Handy in Besitz des Betrügers zu bringen?
Wer eine Idee hat, bitte raus damit.
Die meisten TANs werden doch durch eine List zu 99,9% freiwillig rausgerückt.
Oder mache ich da einen Denkfehler?
Konkrete Beispiele kann ich nicht nennen (Schweigepflicht). Aber um es grob einzugrenzen. Wichtige Updates werden nicht gemacht, veraltete Betriebssysteme hängen ungenügend gesichert im Netz. Und was immer wieder vorkommt: Datenschutzrelevante Daten sind ungenügend, teils überhaupt nicht gesichert, sichere Verschlüsselungen kommen selten zum Einsatz. Letzteres oft mit der Begründung "das ist aber umständlich zu handhaben" oder "wie, dann müssen alle Mitarbeiter eine Signaturkarte bekommen, das ist mir zu teuer".
Konkrete Beispiele kannst Du aber fast wöchentlich googlen. Selbst Heise blieb schon einmal nicht verschont.
Sicherheit ist nun mal ein Katz und Maus Spiel. Und inzwischen ist die Maus Speedy Gonzales. Die Katze muss also auf Zack sein, damit der Käse da bleibt wo er hingehört.
Und wenn ich so an die Ki-Entwicklung denke ...
Zuletzt bearbeitet:
hat jmd n abo-zugang bei finanz-szene.de?
https://finanz-szene.de/digital-banking/ticker-produkt-kunde-ab-mai-2023/
bin gespannt was hier zu "neuen" Features drinsteht
https://finanz-szene.de/digital-banking/ticker-produkt-kunde-ab-mai-2023/
bin gespannt was hier zu "neuen" Features drinsteht
Die DKB hat bereits eine optionale und kostenpflichtige Charge-Kreditkarte (die früher includierte Karte).
glaube nicht, dass sie die 2,49 Credit einstampfen werden. hoffen wirs mal aber trotzdem stärker, als ichs glaube.
einfach ne solide karte neben diesem irsinn von barclaycard(kundenservice) mit dem BCS im hintergrund.
Was hat das alles mit dem BSI zu tun? Soll das BSI nicht ordentlich gepatchte Systeme mit einem Trojaner zwangsabschalten?
Das habe ich nie gesagt. Ich habe nur gesagt, dass die oft selbst hinterher hängen und max. Empfehlungen geben. Wenn sie welche geben, sind die auch gut und sollten dringend umgesetzt geben. War auch nur geschrieben, weil AJ meinte, dass es in Deutschland Regulierungen geben würde, wenn die Sicherheit nicht stimmt. Und das ist eben nicht der Fall. Das macht das BSI nicht.
Magst Du nochmal näher erläutern, inwiefern sie ihren Job nicht richtig machen und was genau es nicht mehr geben würde, wenn die Jungs beim BSI richtig arbeiten würden?
Deine genannten Beispiele zu fehlenden Updates oder mangelhaften Verschlüsselungen kann ich damit nicht in Einklang bringen..
Vielleicht wird diese Karte kostenlos für 'Kredit-aktivkunden', z.B. Kunden die pro Jahr mehr als (z.B.) 10.000€ Umsatz haben. Ab 25.000€ gibt es dann noch die kostenlose Girocard dazu.
Vort zwei Tagen war ich mit der DKB Visa Debit auf polnischen Autobahnen unterwegs, die Zahlung der Maut war problemlos möglich und geht kontaktlos sehr zügig über den NFC-Leser am Mauthäuschen. Danach werden die Belege von einem/einer MitarbieterIn ausgehändigt.
Ganz einfach. Sie reagieren zu langsam und zu wenig. Das BSI müsste deutlich mehr Öffentlichkeitsarbeit leisten, umfassender und schneller reagieren.
Den meisten ist das BSI nicht einmal ein Begriff. Und was den Umfang betrifft: Oft leisten "Fach"-Magazine mehr Aufklärungs- und Informationsarbeit als das BSI.
Und wenn ich als Bundesbehörde als Aufgabenbereich "Warnung vor Schadprogrammen oder Sicherheitslücken in IT-Produkten und -Dienstleistungen", sowie "Information und Sensibilisierung der Bürger für das Thema IT- und Internet-Sicherheit" habe, kann es nicht sein, dass so viele nicht einmal das BSI kennen.
heise security informiert Längen besser als das BSI. Klar ist bei heise viel sehr spezifisch und für den normalen Menschen irrelevant, aber eben auch viele grundlegende Dinge sind dort dabei, welche beim BSI einfach fehlen.
Das Beispiel mit den fehlenden Updates etc. bezog sich aber nicht auf das BSI, sondern auf die freie Wildbahn. Aber auch hier würde ich mir wünschen, dass das BSI viel präsenter und umfassender wird. Denn auch im gewerblichen Bereich heißt es oft "BS was?". Wäre hier das BSI präsenter und aufklärender unterwegs, wären die Unzulänglichkeiten deutlich geringer.
Aber genug OT. Wenn Du weiter darüber diskutieren willst, können wir das gerne per PM machen.
@Synoxion: Du glaubst wirklich, dass BSI muss mehr "Öffentlichkeitsarbeit machen? Ernsthaft?
Dazu nur ein paar kurze Anmerkungen. Beim BSi als Behörde sind wohl kaum die
"hellsten Köpfe" der It. für das Problem Staat und IT gibt es unzählige Beispiele.
Zudem wird das BSI kaum der "Bankenlobby ans Bein pinkeln" und groß verbreiten,
wie "unsicher" die "Schrott IT" (auch und ganz besonders die "all in one" Super App
Lösungen zahlreicher Banken) ist.
Zum Schloss noch. Das BSi wird wohl schlciht nicht mehr Geld für Öffentlichkeitsarbeit haben.
Schließlich macht schon unsere Regierung (die besten Bundesrgierung aller Zeiten) soviel
Öffentlichkeitsarbeit wie noch nie!
So, sorry für das lange offtopic!
Dazu nur ein paar kurze Anmerkungen. Beim BSi als Behörde sind wohl kaum die
"hellsten Köpfe" der It. für das Problem Staat und IT gibt es unzählige Beispiele.
Zudem wird das BSI kaum der "Bankenlobby ans Bein pinkeln" und groß verbreiten,
wie "unsicher" die "Schrott IT" (auch und ganz besonders die "all in one" Super App
Lösungen zahlreicher Banken) ist.
Zum Schloss noch. Das BSi wird wohl schlciht nicht mehr Geld für Öffentlichkeitsarbeit haben.
Schließlich macht schon unsere Regierung (die besten Bundesrgierung aller Zeiten) soviel
Öffentlichkeitsarbeit wie noch nie!
So, sorry für das lange offtopic!
Was hat sich denn hinsichtlich grundsätzlicher IT-Security-Prinzipien seit 2015 geändert?
Das ist doch der falsche Ansatz und die immer gleiche Debatte ohne Hand und Fuß...
Der richtige Ansatz ist, JA, ein externer TAN-Generator bietet das theoretisch höchste Maß an Sicherheit. Das Umkehrschlussdenken, dass das App-TAN Verfahren in der Praxis im alltäglichen Leben somit unbrauchbar ist, ist dann aber abstrus.
Bei manchen Leuten hoffe ich, dass sie bevor sie sich ins Banking einloggen noch mal ums Haus laufen und schauen, ob nicht ne fremde Person irgendwo mit nem Laptop steht. Nicht, dass das heimische WLAN am Ende noch "angegriffen" wird.
Es ist in der Praxis wohl viel gefährlicher, am Automaten Bargeld zu ziehen, dabei beobachtet zu werden und anschließend auf dem Weg nach Hause eins über die Rüber zu kriegen.
Der richtige Ansatz ist, JA, ein externer TAN-Generator bietet das theoretisch höchste Maß an Sicherheit. Das Umkehrschlussdenken, dass das App-TAN Verfahren in der Praxis im alltäglichen Leben somit unbrauchbar ist, ist dann aber abstrus.
Bei manchen Leuten hoffe ich, dass sie bevor sie sich ins Banking einloggen noch mal ums Haus laufen und schauen, ob nicht ne fremde Person irgendwo mit nem Laptop steht. Nicht, dass das heimische WLAN am Ende noch "angegriffen" wird.
Es ist in der Praxis wohl viel gefährlicher, am Automaten Bargeld zu ziehen, dabei beobachtet zu werden und anschließend auf dem Weg nach Hause eins über die Rüber zu kriegen.
Niemand hat hier diesen "Umkehrschluss" geäußert. Es gibt also auch keinen Anlass, sich gegen einen vermeintlichen "Umkehrschluss" zu wehren oder dagegen zu argumentieren, da einen solchen "Schluss" (gemeint sein wird wohl logischer Schluss) auch nicht korrekt wäre. Das BSI und das Bafin haben auf zwei Dinge hingewiesen:
- Ein TAN-Generator ohne Verbindung zum Internet bietet weniger Angriffsfläche als einer mit.
- Eine Trennung von Banking und TAN-Generierung auf verschiedene physische Geräte (in etwas anderem Zusammenhang spricht man von "air gap", also physischer Abschottung/Trennung) ist grundsätzlich sicherer als wenn man diese Funktionalitäten auf einem physischen Gerät vereint.
Das sind zwei ganz einfache, grundlegende Feststellungen, und für jemanden, der sich auch nur ein ganz klein wenig mit IT-Sicherheit beschäftigt, eigentlich kaum der Erwähnung wert.
So, und darauf (und am besten auf weiteren Erkenntnissen und Risikobetrachtungen) aufbauend kann man nun Empfehlungen aussprechen. Das haben BSI und Bafin getan und diese entsprechend veröffentlicht.
- Ein TAN-Generator ohne Verbindung zum Internet bietet weniger Angriffsfläche als einer mit.
- Eine Trennung von Banking und TAN-Generierung auf verschiedene physische Geräte (in etwas anderem Zusammenhang spricht man von "air gap", also physischer Abschottung/Trennung) ist grundsätzlich sicherer als wenn man diese Funktionalitäten auf einem physischen Gerät vereint.
Das sind zwei ganz einfache, grundlegende Feststellungen, und für jemanden, der sich auch nur ein ganz klein wenig mit IT-Sicherheit beschäftigt, eigentlich kaum der Erwähnung wert.
So, und darauf (und am besten auf weiteren Erkenntnissen und Risikobetrachtungen) aufbauend kann man nun Empfehlungen aussprechen. Das haben BSI und Bafin getan und diese entsprechend veröffentlicht.
ANZEIGE
![]()
Am Ende geht es darum, dass die immer gleiche "Fraktion" sich zur Sicherheit / Unsicherheit des App-Bankings äußert, ohne in Ansätzen wirklich eine fachgerechte Beurteilung abgeben zu können. Das kann ich übrigens auch nicht. Ich kann aber folgende Dinge in den Raum werfen...
- Hat sich möglicherweise, nur möglicherweise seit 2015 etwas an der Sicherheit der Smartphone-Betriebssysteme getan?
- Wo sind die Belege für tatsächliche Angriffsszenarien auf Smartphone-Banking Apps aus den letzten 8 Jahren ... und zwar darauf bezogen, dass nicht der User seinen Teil dazu beigetragen hat, dass er / sie zum Opfer geworden ist...
Ob die DKB am Ende eine neue hardwaregestützte TAN-Lösung in Verbindung mit dem neuen Banking anbieten wird, wird man sehen. Wenn sie das wirklich will, kann man sich natürlich die Frage stellen, warum diese Hardware noch nicht zur Verfügung steht, jetzt wo man doch dazu über geht, dass neue Banking / die neue App auf die Massen los zu lassen.
Unabhängig davon weiß man, dass diese Direktbank sich in eine bestimmte Richtung entwickelt. Es geht in Richtung App, App und ehmmm App... Wer das nicht mag, hatte lange Zeit zu der Erkenntnis zu kommen, dass die Bank nicht zu einem passt.
- Hat sich möglicherweise, nur möglicherweise seit 2015 etwas an der Sicherheit der Smartphone-Betriebssysteme getan?
- Wo sind die Belege für tatsächliche Angriffsszenarien auf Smartphone-Banking Apps aus den letzten 8 Jahren ... und zwar darauf bezogen, dass nicht der User seinen Teil dazu beigetragen hat, dass er / sie zum Opfer geworden ist...
Ob die DKB am Ende eine neue hardwaregestützte TAN-Lösung in Verbindung mit dem neuen Banking anbieten wird, wird man sehen. Wenn sie das wirklich will, kann man sich natürlich die Frage stellen, warum diese Hardware noch nicht zur Verfügung steht, jetzt wo man doch dazu über geht, dass neue Banking / die neue App auf die Massen los zu lassen.
Unabhängig davon weiß man, dass diese Direktbank sich in eine bestimmte Richtung entwickelt. Es geht in Richtung App, App und ehmmm App... Wer das nicht mag, hatte lange Zeit zu der Erkenntnis zu kommen, dass die Bank nicht zu einem passt.