Sicherheitsverfahren der Fintech Banken

[Katomiko]

ANZEIGE

Hallo,
habe mich für dieses Forum registriert, da ich aktuell überlege ein Konto bei einer der neuen Fintech Banken zu registrieren und bei meinen google Recherchen iimmer wieder auf dieses Forum traf.
Da ich in letzter Zeit die Erfahrung gemacht habe gehackt zu werden, interessiert mich die Sicherheit der Loginverfahren.
Bei den Fintechbanken scheinen das teils alternative Verfahren genutzt zu werden.
Was ist bezüglich der Sicherheit, z.B. von Monese, Revolut, N26, Openbank zu halten? Welche der neuen Banken ist diesbezüglich empfehlenswert.
Wie kompfortabel ist der Loginprozess. Preferiere z.B. Touch ID über irgendwelche ellenlangen Passwörter.

 

[TrickMcDave]

Wie kompfortabel ist der Loginprozess. Preferiere z.B. Touch ID über irgendwelche ellenlangen Passwörter.

Und deshalb dürftest du auch gehackt worden sein. Bequemlichkeit auf Kosten der Sicherheit.
Die TouchID taugt nicht als Passwort sondern nur als Benutzername.

Wenn Du dir keine Passwörter merken willst, dann nutze einen Passwortsafe (Dashlane etc.).

 

[Amic]

Die TouchID taugt nicht als Passwort sondern nur als Benutzername.

Touch ID ist sicher genug.
Und wohl kaum das Problem hier.

Es wurde wohl kaum sein/ihr Passwort daraus gehackt. Ich vermute eher, dass es sich um einen Problem mit der Sicherheit des Betriebssystems handelt - wenn nicht gar aktiv ein Trojaner installiert wurde.

Wenn überhaupt, dann sollte die Frage gestellt werden, ob und wie für Transaktionen eine 2-Faktor-Authentifizierung benötigt wird und implementiert ist.

 

[Katomiko]

Und deshalb dürftest du auch gehackt worden sein. Bequemlichkeit auf Kosten der Sicherheit.
Die TouchID taugt nicht als Passwort sondern nur als Benutzername.

Wenn Du dir keine Passwörter merken willst, dann nutze einen Passwortsafe (Dashlane etc.).

Nehmen wir (auch wenn es im meinem Fall vermutlich nicht das Handy war) mal den worst case an. Mein Handy wurde (meinethalben aufgrund meiner Fahrlässigkeit) gehackt. Sollte es nicht trotzdem noch gewisse Sicherheitsmechanismen gehen, die vermeiden, das jeder unfähige Hans Wurst Hacker mein Konto leer räumt?
Ich denke, dass das Ellenlange Passwort da nicht hilft. Denn auf das kann ein solcher Hacker vermutlich relativ leicht zugriff erlangen, wenn er erstmal im Handy ist. Dachte die Tanverfahren sind es, die die Sache komplizierter machen.

 

[selaf]

Nehmen wir .. mal den worst case an. Mein Handy wurde ... gehackt.

Wenn du deinem Handy nicht trauen willst, nimmt eine Bank mit ChipTAN. Das ist derzeit unknackbar, solange du auch liest und prüfst, was dir das ChipTAN Gerät anzeigt. Das hat allerdings keine der Neobanken.

 

[red_travels]

Touch ID ist sicher genug.
Und wohl kaum das Problem hier.

Es wurde wohl kaum sein/ihr Passwort daraus gehackt. Ich vermute eher, dass es sich um einen Problem mit der Sicherheit des Betriebssystems handelt - wenn nicht gar aktiv ein Trojaner installiert wurde.

Wenn überhaupt, dann sollte die Frage gestellt werden, ob und wie für Transaktionen eine 2-Faktor-Authentifizierung benötigt wird und implementiert ist.

Nicht unbedingt das Betriebssystem, eher die Zugangsart zum Internet und da reicht ja schon ein offenes WLAN und passende Software zum Mitschneiden der Anfragen und gute Hacker können das auch auswerten.

Touch ID fungiert ja quasi als MasterKey für den Tresor des Systems, kann natürlich auch sein, dass Passwörter und Benutzernamen immer wieder verwendet werden.

 

[Amic]

Nicht unbedingt das Betriebssystem, eher die Zugangsart zum Internet und da reicht ja schon ein offenes WLAN und passende Software zum Mitschneiden der Anfragen und gute Hacker können das auch auswerten.

Weil die Verbindungen nicht TLS-verschlüsselt sind?
Oder wenn sie es sind.....

gute Hacker können das auch auswerten.

...knacken die Hacker dann einfach mal schnell die Transportverschlüsselung? Bei fix im App eingebettem TLS-Zertifikat?

Meines Erachtens sind offene WLANs eines der überbewertetsten Sicherheitsprobleme beim Banking mit Apps (wird aber gerne verkauft von den VPN-Anbietern, deren Werbung man auf YouTube kaum entkommt)

 

[penamba]

Nicht unbedingt das Betriebssystem, eher die Zugangsart zum Internet und da reicht ja schon ein offenes WLAN und passende Software zum Mitschneiden der Anfragen und gute Hacker können das auch auswerten.

Das war vielleicht vor 5-10 Jahren so, aber inzwischen kann man da dank TLS gar nichts mehr mitschneiden.

 

[mattes77]

Das war vielleicht vor 5-10 Jahren so, aber inzwischen kann man da dank TLS gar nichts mehr mitschneiden.

Ich glaube, dass ist zu "blauäugig". Zumal sehr viele Banken dann ihre Server und IT Dienstleistungen letztlich über die Cloud laufen lassen. Die Clouds kommen aber von Microsoft und Amazon. Die Server stehen größteneteils in den USA. Somit ist eine "sichere" App. völlige Illusion!

 

[geos]

Da ich in letzter Zeit die Erfahrung gemacht habe gehackt zu werden,

worin äußerte sich das, und was genau wurde gehackt?

 

[red_travels]

Ich glaube, dass ist zu "blauäugig". Zumal sehr viele Banken dann ihre Server und IT Dienstleistungen letztlich über die Cloud laufen lassen. Die Clouds kommen aber von Microsoft und Amazon. Die Server stehen größteneteils in den USA. Somit ist eine "sichere" App. völlige Illusion!

Das Problem ist doch wieder: Ein Beitrag, viel Geschrei, aber was nicht gesagt wird: wie wird ins Internet gegangen, welches Medium wird verwendet, denn nicht nur Smartphones haben inzwischen TouchID

 

[geos]

Nicht unbedingt das Betriebssystem, eher die Zugangsart zum Internet und da reicht ja schon ein offenes WLAN und passende Software zum Mitschneiden der Anfragen und gute Hacker können das auch auswerten.

nur wenn sie es schaffen, das Opfer auf einen gefakten Server/Proxy zu locken, dessen Verschlüsselung sie kontrollieren.

 

[geos]

...knacken die Hacker dann einfach mal schnell die Transportverschlüsselung? Bei fix im App eingebettem TLS-Zertifikat?

nein; sie leiten einen Anwender, der einfach www.meine-bank.de eingibt (was ja http impliziert) auf einen von ihnen kontrollierten Fakeserver mit validem SSL-Zertifikat um und hoffen darauf, dass das Opfer nicht weiß, was Domainnamen sind oder sie sich besser gar nicht erst anzeigen lässt bzw. nicht so genau hinschaut.

 

[geos]

Ich glaube, dass ist zu "blauäugig". Zumal sehr viele Banken dann ihre Server und IT Dienstleistungen letztlich über die Cloud laufen lassen. Die Clouds kommen aber von Microsoft und Amazon. Die Server stehen größteneteils in den USA. Somit ist eine "sichere" App. völlige Illusion!

im Sinne von Sicherheit vor Ausspähung fraglos (siehe dazu z.B. https://www.wiwo.de/technologie/dig...en-nicht-mal-die-app-entwickler/26889696.html), im Sinne Schutz vor Angriffe auf's Konto wäre das erstmal kein Faktor.

 

[Zurrai]

Ich glaube, dass ist zu "blauäugig". Zumal sehr viele Banken dann ihre Server und IT Dienstleistungen letztlich über die Cloud laufen lassen. Die Clouds kommen aber von Microsoft und Amazon. Die Server stehen größteneteils in den USA. Somit ist eine "sichere" App. völlige Illusion!

Jede Firma, die an DSGVO denkt, bestellt sich Cloudserver in Deutschland bzw. EU - und das ist kein Problem auch bei den großen Cloudanbietern. Und ja, der Cloud Act bleibt natürlich im Raum. Wenn man aber den Aufwand vergleicht, den etwa AWS bei Security bis runter in die Hardware betreibt, mit dem, was in einem "normalen" RZ an Sicherheit da ist - da hat es eine NSA sicherlich einfacher, sich in ein normales RZ "einzuschmuggeln". Soll ja schonmal passiert sein, dass ein Geheimdienst einen bestellten Netzwerkswitch auf dem Lieferweg ein wenig "gemoddet" hat...

Ums kurz zu machen: Deine Daten sind nicht per se sicherer, weil sie auf dem Rechner einer "vertrauenswürdigen deutschen" Bank liegen und nicht gefährdeter, nur weil sie bei Google&co. angemieteten Servern liegen. Bauchgefühl und nüchterne Risikobetrachtung können jedoch etwas auseinander liegen.

 

[penamba]

Ich glaube, dass ist zu "blauäugig". Zumal sehr viele Banken dann ihre Server und IT Dienstleistungen letztlich über die Cloud laufen lassen. Die Clouds kommen aber von Microsoft und Amazon. Die Server stehen größteneteils in den USA. Somit ist eine "sichere" App. völlige Illusion!

Sicherheit ist kein absoluter Begriff. Praktisch gesehen ist Sicherheit immer eine Abwägung zwischen dem Aufwand eines hypothetischen Angreifers und der Höhe des potenziellen Schadens an einem schützenswerten Gut. Wenn man außerdem den Angreifer nicht genau definiert, kommt man da nicht sehr weit.

Gegen "kommerzielle" Cyberkriminalität halte ich die verschiedenen Cloud-Anbieter für relativ gut aufgestellt.

Die Server stehen übrigens für europäischen Fintechs/Banken definitiv nicht in den USA, da wäre die Latenz viel zu hoch. Macht aber keinen Unterschied – der Betreiber hat am Ende immer Zugriff auf die Rechner, egal wo sie sich physisch befinden.

 

[Songbird]

Meines Erachtens sind offene WLANs eines der überbewertetsten Sicherheitsprobleme beim Banking mit Apps ...

Früher war es wegen der fehlenden TLS/SSL-Verschlüsselung ein Problem. Heutzutage werden dem User einfach falsche Zertifikate untergeschoben, deren Meldungen zu oft einfach unbedacht weggeklickt werden.

Das hat Microsoft den Usern schon echt gut beigebracht: Warn- und Fehlermeldungen immer schön wegklicken und ignorieren.

Wenn man aber immer Ziel eines "Angriffs" ist, dann sollte man aber mal Ursachenforschung betreiben...

 

[Katomiko]

worin äußerte sich das, und was genau wurde gehackt?

Das ist jetzt nicht so geheim, dass es niemand wissen darf, aber es war nicht mein Plan das hier zu thematisieren. Am besten hätte ich es wohl nicht erwähnt .
Ebay Kleinanzeigenhack. Ziemlich 1-1 dies hier https://www.rnd.de/panorama/betrug-...wer-ist-mario-EOFQEVUYQVDCRFW5RXHEEAOPTY.html ist passiert.
Kein finanzieller Schaden für mich. Aber schon erschreckend und aufrüttelnd in Zukunft vielleicht ein bischen besser aufzupassen.
Da es aber auch mit größter Vorsicht wohl kaum die Möglichkeit gibt einen Hack auszuschießen interessiert mich wie schwer es potentiellen Hacken durch die neuen Anbieter gemacht wird. Für mein Hauptkonto habe ich mir gleich nach dem Vorfall einen Tan Generator bestellt.

 

[Amic]

Ich glaube, dass ist zu "blauäugig". Zumal sehr viele Banken dann ihre Server und IT Dienstleistungen letztlich über die Cloud laufen lassen. Die Clouds kommen aber von Microsoft und Amazon. Die Server stehen größteneteils in den USA. Somit ist eine "sichere" App. völlige Illusion!

Nicht nur eine sichere App - sondern gleich eine sichere Bank ist Illusion.
Spezifisch mit Apps hat das wenig zu tun.

nein; sie leiten einen Anwender, der einfach www.meine-bank.de eingibt (was ja http impliziert) auf einen von ihnen kontrollierten Fakeserver mit validem SSL-Zertifikat um

Beim Banking mit einer App gibt niemand "www.meine-bank.de" ein.

Heutzutage werden dem User einfach falsche Zertifikate untergeschoben, deren Meldungen zu oft einfach unbedacht weggeklickt werden.
Das hat Microsoft den Usern schon echt gut beigebracht: Warn- und Fehlermeldungen immer schön wegklicken und ignorieren.

Vielleicht habe ich es oben nicht deutlich genug hervorgehoben: Ich sprach oben vom Banking mit modernen Apps. Da bekommt der User hoffentlich überhaupt kein SSL-Zertifikat zur Auswahl oder Annahme.

Wer glaubt, über eine "altmodische" Webseite im Browser Online-Banking betreiben zu müssen - Gruss an mattes77 - für den sind solche Risiken in offenen WLANs zumindest deutlich grösser.

 

[mattes77]

Nicht nur eine sichere App - sondern gleich eine sichere Bank ist Illusion.
Spezifisch mit Apps hat das wenig zu tun.


Beim Banking mit einer App gibt niemand "www.meine-bank.de" ein.


Vielleicht habe ich es oben nicht deutlich genug hervorgehoben: Ich sprach oben vom Banking mit modernen Apps. Da bekommt der User hoffentlich überhaupt kein SSL-Zertifikat zur Auswahl oder Annahme.

Wer glaubt, über eine "altmodische" Webseite im Browser Online-Banking betreiben zu müssen - Gruss an mattes77 - für den sind solche Risiken in offenen WLANs zumindest deutlich grösser.

Ja, ich betreibe Online Banking noch immer über einen Browser am Laptop. Allerdings nicht über ein festes, stationäres System. Sondern über ein auf USB Stick installiertes System, das nur beim Onliebanking zu Einsatz kommt!

 

[geos]

Das ist jetzt nicht so geheim, dass es niemand wissen darf, aber es war nicht mein Plan das hier zu thematisieren. Am besten hätte ich es wohl nicht erwähnt .
Ebay Kleinanzeigenhack. Ziemlich 1-1 dies hier https://www.rnd.de/panorama/betrug-...wer-ist-mario-EOFQEVUYQVDCRFW5RXHEEAOPTY.html ist passiert.
Kein finanzieller Schaden für mich. Aber schon erschreckend und aufrüttelnd in Zukunft vielleicht ein bischen besser aufzupassen.
Da es aber auch mit größter Vorsicht wohl kaum die Möglichkeit gibt einen Hack auszuschießen interessiert mich wie schwer es potentiellen Hacken durch die neuen Anbieter gemacht wird. Für mein Hauptkonto habe ich mir gleich nach dem Vorfall einen Tan Generator bestellt.

TAN-Generator ist wie hier schon erwähnt wurde eine recht sichere Option.
Dem Artikel nach zu urteilen hat der Autor dort für Ebay Kleinanzeigen dasselbe Passwort verwendet wie bei einem oder mehreren anderen Onlinediensten, bei einem von denen es dann geleakt wurde. Das ist natürlich fahrlässig.

 

[geos]

Ja, ich betreibe Online Banking noch immer über einen Browser am Laptop. Allerdings nicht über ein festes, stationäres System. Sondern über ein auf USB Stick installiertes System, das nur beim Onliebanking zu Einsatz kommt!

dieser Aspekt ist in Bezug auf MitM-Angriffe allerdings unerheblich.

 

[penamba]

Früher war es wegen der fehlenden TLS/SSL-Verschlüsselung ein Problem. Heutzutage werden dem User einfach falsche Zertifikate untergeschoben, deren Meldungen zu oft einfach unbedacht weggeklickt werden.

In iOS- bzw. Android-Apps kann man gar nichts mehr wegklicken, und mit dem Browser alleine kann man ja dank SCA/2FA keine Zahlungen mehr auslösen. (Wenn der Nutzer dann aber bei einer unbekannten Kontonummer in der Bestätiguns-SMS, App oder auf dem Chip-Tan-Gerät keinen Verdacht schöpft, könnte es übel ausgehen.)

 

[Songbird]

Natürlich kann ich ein unsicheres/ungültiges Zertifikat akzeptieren. Wäre fatal wenn das nicht mehr gehen würde.

Edit: Ach Apps. Ich sprach vom Browser. Der langt aber erst mal zum ausspionieren.

 

[Songbird]

ANZEIGE

dieser Aspekt ist in Bezug auf MitM-Angriffe allerdings unerheblich.

Die Gefahr sollte im privaten Umfeld überschaubar sein. Vor allem bei der Nutzung eines separaten Live-System.