Girokonto ING- Diba mit mTan wann kommt es

 
Wolf_4711
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 22
Dabei seit: 06 / 2014
Betreff:

Re: Girokonto ING- Diba mit mTan wann kommt es

 · 
Gepostet: 30.06.2014 - 09:23 Uhr  ·  #21
Zitat geschrieben von onlbanker
Daher finde ich es ja so wichtig, dass Leute ihre Augen aufmachen beim Onlinebanking. Egal ob in Software oder im Browser. Und deswegen gehören m.E. auch alle Verfahren bei denen man blind freigibt eingestampft, wie z.B. alte TAN-Liste, indizierteTAN-Liste und HBCI Chipkarte. Leider wartet man aber damit immer erst auf den ersten erwähnenswerten Schadenfall bevor man handelt. :(


Genau so sehe ich das auch. Und deshalb bin ich ja auch einigermaßen enttäuscht, dass die Ing-DiBa offensichtlich sogar einen Schritt zurückgeht, indem sie den TAN Generator wieder abschafft und für HBCI in Zukunft wieder nur noch iTAN anbieten will. Darauf wollte ich in meinem ersten Beitrag hinweisen - und keine Debatte über die Vor- und Nachteile der einzelnen Verfahren entfachen.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7571
Dabei seit: 03 / 2007
Betreff:

Re: Girokonto ING- Diba mit mTan wann kommt es

 · 
Gepostet: 30.06.2014 - 10:35 Uhr  ·  #22
Zitat geschrieben von onlbanker
Und deswegen gehören m.E. auch alle Verfahren bei denen man blind freigibt eingestampft, wie z.B. alte TAN-Liste, indizierteTAN-Liste und HBCI Chipkarte. Leider wartet man aber damit immer erst auf den ersten erwähnenswerten Schadenfall bevor man handelt. :(

Dann kannst Du EBICS auch gleich mit einstampfen.
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6205
Dabei seit: 02 / 2003
Betreff:

Re: Girokonto ING- Diba mit mTan wann kommt es

 · 
Gepostet: 30.06.2014 - 10:41 Uhr  ·  #23
Zitat geschrieben von onlbanker

Zitat geschrieben von Raimund Sichmann
Was ich aber gelten lasse: Nutze ich ein exotischeres Verfahren, dann schafft mir das eine zusätzliche Sicherheit, weil ich nicht mehr im Fokus der Massenangriffe stehe.

Aber generell technisch "sicherer" als ein Browser ist eine Onlinebankingsoftware auch nicht, beides sind Programme die von Menschenhand erzeugt wurden und auch von Menschenhand manipuliert werden können.

Das ist so nicht richtig. Natürlich kann man jede Software grundsätzlich angreifen. Aber der Browser selber wird ja gar nicht angegriffen, sondern bei den Angriffen nutzt man schlicht die Möglichkeiten, die ein Browser selber schon anbietet für einen Angriff aus. Ein Browser ist keine spezialisierte geschlossene Anwendung, sondern sie ist dazu ausgelegt alles mögliche anzuzeigen (PDFs, Bilder, Videos, usw), Programme aus externen Quellen auszuführen, Über Addons zusätzliche Funktionen einzubinden uvm.. D.h. der Browser soll Dinge können und Einbinden, die man nicht unter Kontrolle hat. Es ist damit ein offenes System, was den Angriff deutlich vereinfacht.
Eine Software Lösung ist ein geschlossenes System, was rein aus seiner Aufgabenstellung weniger Angriffsfläche bietet und durch die geringere Angriffsfläche und dem spezialisierteren Einsatzgebiet, deutlich einfacher abzusichern ist.
Genau aus dem Grund sind die Spezialbrowser, wie sie einige Banken bereits anbieten, auch alleine dadurch deutlich sicherer, das man keine offenen Schnittstellen und Funktionen eingebaut hat, die nicht unmittelbar zum Banking benötigt werden.

Ansonsten ist die Frage was ist sicherer nicht so einfach zu beantworten, da man sich die Einsatzumgebung sehr genau anschauen muss! Und wer glaubt, dass eine mobile TAN auf einem SmartPhone noch wirklich sicher ist, verkennt die aktuellen Angriffsmöglichkeiten!

Viele Grüße

Holger
Wolf_4711
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 22
Dabei seit: 06 / 2014
Betreff:

Re: Girokonto ING- Diba mit mTan wann kommt es

 · 
Gepostet: 30.06.2014 - 11:31 Uhr  ·  #24
Zitat geschrieben von Holger Fischer
Und wer glaubt, dass eine mobile TAN auf einem SmartPhone noch wirklich sicher ist, verkennt die aktuellen Angriffsmöglichkeiten!


Natürlich ist nichts 100%ig sicher. Aber selbst wenn das Smartphone gehackt werden sollte, kann ein potentieller Angreifer mit einer erbeuteten mTAN erstmal wenig anfangen, da er parallel dazu auch noch die eigentliche Transaktion hacken muss. Aber grundsätzlich ist ein Smartphone auch angreifbar, da hast Du recht. Dennoch haben es Angreifern mit Papier-TANs leichter, da sie hier immer nur einen Weg hacken müssen und der Auftraggeber keine Kontrolle hat, was er da eigentlich gerade mit seiner TAN autorisiert.

Ich persönlich fand den DiBa TAN Generator deshalb auch sehr sympatisch, aber der wird jetzt ja leider abgeschafft.
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6205
Dabei seit: 02 / 2003
Betreff:

Re: Girokonto ING- Diba mit mTan wann kommt es

 · 
Gepostet: 30.06.2014 - 11:47 Uhr  ·  #25
Zitat geschrieben von Wolf_4711

Zitat geschrieben von Holger Fischer
Und wer glaubt, dass eine mobile TAN auf einem SmartPhone noch wirklich sicher ist, verkennt die aktuellen Angriffsmöglichkeiten!

Aber selbst wenn das Smartphone gehackt werden sollte, kann ein potentieller Angreifer mit einer erbeuteten mTAN erstmal wenig anfangen, da er parallel dazu auch noch die eigentliche Transaktion hacken muss.

Für die alten Angriffszenarien gilt das, für die Neuen nicht. Bei den neuen Angriffen wird gar nicht dein PC mehr gehackt, sondern "nur" dein SmartPhone. Ein Angreifer erzeugt dann auf einem PC in einem fernen Land die Überweisung mit deinen Daten, die dazu gehörende SMS wird an dein SmartPhone gesendet, der Trojaner auf deinem SmartPhone fängt die ab, sendet die Daten an den Angreifer und löscht anschließend die SMS. Da ist nichts mehr mit Kontrolle! Mobile TAN ist nur noch auf den alten Telefonen (für die Jüngeren: Es gabe mal Telefone, mit denen konnte man "nur" telefonieren, kein Facebook, kein *Spamwhats?*, keine Musik, kein Internet ^_^ ) sicher.

Viele Grüße

Holger
Wolf_4711
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 22
Dabei seit: 06 / 2014
Betreff:

Re: Girokonto ING- Diba mit mTan wann kommt es

 · 
Gepostet: 30.06.2014 - 15:25 Uhr  ·  #26
Zitat geschrieben von Holger Fischer

Für die alten Angriffszenarien gilt das, für die Neuen nicht. Bei den neuen Angriffen wird gar nicht dein PC mehr gehackt, sondern "nur" dein SmartPhone.


Nein, das stimmt so nicht. Alleine durch das Hacken eines Smartphones kann derzeit niemand ein Konto plündern. Denn dazu braucht er zunächst einmal das zugehörige Konto und die PIN. Und beide werden bei mTAN niemals auf das Handy übertragen oder dort eingegeben.

Wenn ein Angreifer natürlich alle Daten beisammen hat (Handy, zugehöriges Konto und PIN) UND das Handy gehackt hat, DANN kat der Kontoinhaber ein großes Problem. Der Aufwand übertrifft aber bei Weitem das Hacken/Phishing einer TAN/iTAN, wo eben nur ein Übertragungsmedium im Spiel ist.

Nochmal:
Ich will hier nicht die mTAN in den Himmel heben, ich sehe hier durchaus auch Sicherheitsrisiken (wenn derzeit auch eher geringe). Ein TAN Generator hat imo nach heutigem Stand die Nase vorn. Aber mTAN ist immer noch um Klassen sicherer als iTAN.
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6205
Dabei seit: 02 / 2003
Betreff:

Re: Girokonto ING- Diba mit mTan wann kommt es

 · 
Gepostet: 30.06.2014 - 16:21 Uhr  ·  #27
Hallo Wolf,
Zitat geschrieben von Wolf_4711

Zitat geschrieben von Holger Fischer

Für die alten Angriffszenarien gilt das, für die Neuen nicht. Bei den neuen Angriffen wird gar nicht dein PC mehr gehackt, sondern "nur" dein SmartPhone.

Nein, das stimmt so nicht. Alleine durch das Hacken eines Smartphones kann derzeit niemand ein Konto plündern. Denn dazu braucht er zunächst einmal das zugehörige Konto und die PIN. Und beide werden bei mTAN niemals auf das Handy übertragen oder dort eingegeben.

Wenn ein Angreifer natürlich alle Daten beisammen hat (Handy, zugehöriges Konto und PIN) UND das Handy gehackt hat, DANN kat der Kontoinhaber ein großes Problem. Der Aufwand übertrifft aber bei Weitem das Hacken/Phishing einer TAN/iTAN, wo eben nur ein Übertragungsmedium im Spiel ist.

du irrst gewaltig. Das ist heute Standard bei den modernen Trojaner Varianten. Über das wie, wie die Kontodaten ermittelt werden, habe ich gar nichts geschrieben, denn auch dazu gibt es verschiedene Varianten! Du würdest Dich wundern, was der geneigte Anwender alles angibt bzw. wo solche Daten alles mitgelesen werden können.

Zitat geschrieben von Wolf_4711

Nochmal:
Ich will hier nicht die mTAN in den Himmel heben, ich sehe hier durchaus auch Sicherheitsrisiken (wenn derzeit auch eher geringe). Ein TAN Generator hat imo nach heutigem Stand die Nase vorn. Aber mTAN ist immer noch um Klassen sicherer als iTAN.

An der Stelle sind wir durchaus einer Meinung !

Viele Grüße

Holger
Wolf_4711
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 22
Dabei seit: 06 / 2014
Betreff:

Re: Girokonto ING- Diba mit mTan wann kommt es

 · 
Gepostet: 30.06.2014 - 17:37 Uhr  ·  #28
Zitat geschrieben von Holger Fischer

du irrst gewaltig. Das ist heute Standard bei den modernen Trojaner Varianten. Über das wie, wie die Kontodaten ermittelt werden, habe ich gar nichts geschrieben, denn auch dazu gibt es verschiedene Varianten! Du würdest Dich wundern, was der geneigte Anwender alles angibt bzw. wo solche Daten alles mitgelesen werden können.

Du hast geschrieben, es reiche aus, "nur" ein Smartphone zu hacken. Und das stimmt definitiv nicht.
Der Angreifer muss noch an weitere Daten kommen, und das schafft er nicht, wenn man seine PIN nicht auf dem gehackten Handy verwendet. Und seine PIN sollte man NIEMALS auf dem mTAN Gerät eingeben.

Zitat geschrieben von Holger Fischer

An der Stelle sind wir durchaus einer Meinung !


Freut mich.

Aber wir schweifen ab (s. Threadtitel). ;)
Wolf_4711
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 22
Dabei seit: 06 / 2014
Betreff:

Re: Girokonto ING- Diba mit mTan wann kommt es

 · 
Gepostet: 01.07.2014 - 13:07 Uhr  ·  #29
So, die Ing-DiBa hat geantwortet und mir den Grund dafür mitgeteilt, dass kein mTAN für HBCI angeboten wird:
"Wir haben uns dafür entschieden für das HBCI nur das iTAN-Verfahren anzubieten. Eine Änderung ist derzeit nicht geplant."

Wenn das mal kein plausibler Grund ist... ;)
Schade, da muss ich wohl doch die Bank wechseln. :(
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7571
Dabei seit: 03 / 2007
Betreff:

Re: Girokonto ING- Diba mit mTan wann kommt es

 · 
Gepostet: 01.07.2014 - 13:22 Uhr  ·  #30
Hab ich doch gesagt! Methode Friß oder Stirb. :-)
onlbanker
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Girokonto ING- Diba mit mTan wann kommt es

 · 
Gepostet: 01.07.2014 - 14:05 Uhr  ·  #31
Alles andere ist denen zu teuer.
C.B.
Benutzer
Avatar
Geschlecht:
Herkunft: Sachsen
Beiträge: 149
Dabei seit: 12 / 2013
Betreff:

Re: Girokonto ING- Diba mit mTan wann kommt es

 · 
Gepostet: 01.07.2014 - 15:08 Uhr  ·  #32
Zitat geschrieben von Wolf_4711

So, die Ing-DiBa hat geantwortet und mir den Grund dafür mitgeteilt, dass kein mTAN für HBCI angeboten wird:
"Wir haben uns dafür entschieden für das HBCI nur das iTAN-Verfahren anzubieten. Eine Änderung ist derzeit nicht geplant."

Wenn das mal kein plausibler Grund ist... ;)
Schade, da muss ich wohl doch die Bank wechseln. :(


Das ist doch nun wirklich kein Grund, oder bist du am Ende nur in dein Handy verliebt ? :D
Wolf_4711
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 22
Dabei seit: 06 / 2014
Betreff:

Re: Girokonto ING- Diba mit mTan wann kommt es

 · 
Gepostet: 01.07.2014 - 15:43 Uhr  ·  #33
Zitat geschrieben von C.B.

Das ist doch nun wirklich kein Grund, oder bist du am Ende nur in dein Handy verliebt ? :D


Scherzkeks. :lol:

Wie schon geschrieben, noch lieber wäre mir das Beibehalten des TAN Generators gewesen - der sich laut Ing-DiBa mangels Interesse nicht durchgesetzt hat (kein Wunder, der wurde ja auch nur erwähnt, wenn man aktiv danach gefragt hat).
Aber der Rückschritt zu iTAN ist mir dann doch zuviel. Viele Andere scheint das ja nicht zu stören - mich aber schon.
Wolf_4711
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 22
Dabei seit: 06 / 2014
Betreff:

Re: Girokonto ING- Diba mit mTan wann kommt es

 · 
Gepostet: 01.07.2014 - 15:45 Uhr  ·  #34
Zitat geschrieben von onlbanker

Alles andere ist denen zu teuer.


Teuer kann das ja auch nicht sein, da die mTAN ja für Web Banking angeboten wird.
onlbanker
Benutzer
Avatar
Geschlecht:
Beiträge: 3338
Dabei seit: 05 / 2013
Betreff:

Re: Girokonto ING- Diba mit mTan wann kommt es

 · 
Gepostet: 01.07.2014 - 19:19 Uhr  ·  #35
Wolf, ich meine die Entwicklung/Umstellung des Bankrechners auf andere Sicherungsmedien, nicht den laufenden Betrieb.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 62
Beiträge: 7571
Dabei seit: 03 / 2007
Betreff:

Re: Girokonto ING- Diba mit mTan wann kommt es

 · 
Gepostet: 01.07.2014 - 22:33 Uhr  ·  #36
Das mit dem TAN-Generator ist interessant, das wußte selbst ich nicht. Ich kann mich nicht erinnern, davon von der Bank benachrichtigt worden zu sein oder auch nur irgendwas auf deren Seiten gelesen zu haben. Und ein zweites (wahrscheinlich eingenständiges) System auf mTAN zu erweitern, kostet definitiv Geld, und das sicher nicht zu wenig. Gerade wenn es um höchst sicherheitsrelevante Bereiche geht, was eine Auftragslegitimierung nun mal ist. Täusch Dich da nicht. Solange nicht massiv viel Kunden da massiv Druck machen, gibt man das Geld nicht aus. Der Wunschkunde ist der (und viele sind das wohl auch), der mit dem bunten Webauftritt glücklich ist und sich dabei nebenbei regelmäßig noch ein paar Produkte verkaufen läßt, weils ja so schön ausschaut :
Gewählte Zitate für Mehrfachzitierung:   0