Laut Ing-Diba Internetseite geht das mTAN Verfahren nicht zusammen mit einer Finanzsoftware, angeblich aus Sicherheitsgruenden. Man darf da "nur" das iTAN Verfahren nutzen fuer deren "Pseudo"-HBCI Banking.

Kann mir hier jemand erklaeren wieso?

Oder, hat schon mal jemand versucht, mit moneyplex via mTAN Verfahren den Ing-Diba Zugang zu nutzen?

Die Ing-Diba ist eine der wenigen Banken die fuer das Zusenden der TAN-SMS keine Gebuehren verlangen und sicherer als das iTAN Verfahren duerfte das mTAN auch sein, also wieso nicht nutzen?

Volker

das kann dir wohl nur die ing-diba beantworten! billig ist halt nicht immer gleich gut!

Ich weiß nicht, ob das was mit billig zu tun hat. Bei uns ist das Ing-Diba Konto auch nur Drittkonto... Ganz abgesehen davon finde ich es weniger korrekt, dass die Banken die Kosten für das mTAN Verfahren auf ihre Kunden abwälzen.
Mich interessiert es einfach in technischer Hinsicht. Ist es korrekt, dass das mTAN Verfahren zusammen mit einer Finanzsoftware technisch unsicher ist, oder tut das halt nur nicht wenn man eine Ing-Diba spezifische Software verwendet, oder weshalb steht das so auf deren Webseite?

Volker

Und ich finde es weniger korrekt, dass diese Kosten (das sind auch für eine Bank Fremdkosten) die Bank übernehmen soll. Die Bank selbst braucht für ihren Bankbetrieb nicht wirklich das Onlinebanking, das will der Kunde so haben. Und die Bank trägt auch keine Schuld daran, dass Leute statt seriös arbeiten zu gehen TAN-Verfahren durch Trojaner knacken, diese sich durch viele viele unsichere Endbenutzer-PC's wahnsinnig verbreiten konnten und daher die viel billigere TAN-Liste abgeschafft werden musste.....

Zahlt dein Autohändler dir auch deinen Sprit? Nein. Also mit welcher Berechtigung wird wie selbstverständlich erwartet, dass die Bank die SMS Gebühren übernimmt?

falls Du damit das Extra-Konto der DiBa meinst, wäre ja die ganze Aufregung umsonst: es erlaubt ja sowieso nur eine Überweisung auf Dein eigenes Referenzkonto. Da kannst Du sogar ohne jedes Risiko Deine TANs in moneyplex hinterlegen.

...solange bis ein Trojaner für Software auftaucht der auch die Logik mit dem Umweg über das Referenzkonto beherrscht und sich dann einfach vom Referenzkonto bedient.
Leute, warum gebt ihr solch einen Mist von euch! Es ist aus gutem Grund vertraglich nicht zulässig, PIN und TAN's zu speichern! Warum ist das so schwer zu verstehen?

Hallo Volker

um auf den Kern der Frage zurück zu kommen:

was wird aktuell angegriffen:
Die Webbrowser, mit denen der Kunde sein Onlinebanking erledigt. Zum Schutz hat man die Zwei Schritt TAN Verfahren entwickelt, die auf einen zweiten Kanal die Auftragsdaten zur Kontrolle anbieten und die ausschließlich zu dem kontrollierten Auftrag dazu gehörende TAN.
Eines der Zwei Schritt Verfahren ist die mobile TAN.
Schwachpunkt der mobilen TAN sind SmartPhones, die man auch manipulieren kann, womit man in bestimmten Szenarien die Kanaltrennung aufheben kann.

Bisher sind Kundenprodukte nicht Angriffsziel, von daher ähnlich wie exotische Betriebssysteme mangels Masse sicher(er). Daher ist die mobile TAN für ein Kundenprodukt nicht unsicherer als für einen Browser.

Jetzt kommen wir zurück zu den SmartPhones. Praktisch alle Banken können erkennen, ob jemand mit einem Browser auf einem SmartPhone Onlinebanking macht. Daher wird die Nutzung der mobilen TAN in diesem Moment verhindert, damit die Kanaltrennung nicht aufgehoben wird.
Für SmartPhones gibt es aber auch Banking Apps. Die sind für eine Bank nicht ohne weiteres von einer Bankings Software auf dem PC zu unterscheiden. Wenn also jemand eine App auf einem SmartPhone mit einer mobilen TAN nutzen würde, wäre die Kanaltrennung aufgehoben und damit formal der Sicherheitsanker, der die mobile TAN sicher macht ausgehebelt.

Viele Grüße

Holger

Um sich von einem Referenzkonto bei einer anderen Bank zu bedienen, müsste Dein Trojaner auch gleich die AGB der DiBa ändern.
Oder wie stellst Du Dir das praktisch vor?

Denk mal an die Deka - die kennen überhaupt keine TANs - allein mit Benutzerkennung und Passwort kann man da alle denkbaren Vorgänge ausführen!
Aber Verfügungen sind eben nur über das Referenzkonto möglich, und das reicht denen an Sicherheit.

Ich stelle mir das garnicht vor sondern die Trojaner Programmierer. Naheliegenderweise hat der Teilnehmer ja alle seine Banken in der Software hinterlegt, also auch das Referenzkonto. Egal ob das bei einer anderen Bank ist oder nicht. Und dem Trojaner ist das dann auch egal, wenn er die Software einmal kompromittiert hat.
Man muss das jetzt auch nicht bis zu Ende spinnen, ich will damit sagen, dass sicher geglaubte Systeme und Verfahren schneller unsicher werden können als man sich das wünscht.
Von daher soll man einfach keine PIN und TAN's speichern. Punkt. Man muss das auch nicht bei jeder Konstellation neu erörtern, welche Risiken das birgt und warum man es vielleicht doch machen könnte. Beim Gurt anlegen stellst du dir ja auch nicht jedes mal die Frage, ob das bei der Straße oder mit dem Beifahrer jetzt gerade nötig ist, oder?
Du weißt, es kostet Geld wenn man dich erwischt.
Und wenn man die Nutzungsbedingungen der Bank grob fahrlässig verletzt bleibt man auf dem Schaden sitzen, falls einer eintritt.
Also warum sich jedes mal neu damit auseinandersetzen?

Das sehe ich fundamental anders: die Bank will explizit dass die Kunden Online-Banking betreiben. Das spart denen Millionen jedes Jahr. Und dafuer koennten sie locker die Kosten fuer die SMS uebernehmen oder den Kunden Chipkarten-Leser umsonst geben. Alternative waere die Wiedereroeffnung der Bankfilialen wo man seine Ueberweisung am Schalter abgibt. Und das wollen die Banken garantiert nicht.

Volker

Das kann ich ja verstehen. Aber warum stoert es die Bank wenn ich mit moneyplex arbeite und meine mTAN auf das Handy kriege?
Wie koennen die das feststellen?
Koennen die unterscheiden ob eine Smartphone App am werkeln ist oder ein Programm auf einem Windows PC?

Volker

Das ist ja jetzt mal kompletter Unsinn.
Der Kunde schreit danach, nichts für ein Konto zu bezahlen. Die Bank hätte den Kunden viel lieber in der Filiale. Schon aus rein vertrieblicher Sicht und auch dann, wenn es ein nichtiger Anlass wie das Abgeben einer Überweisung ist.
Und das Thema Direktbanken ohne Filialen ist nur entstanden, weil es einige Kunden noch kostenloser als kostenlos haben wollen.
Die Kosten durch beleghaften ZV würden ohnehin an den Kunden in Form von Gebühren weiter gereicht. Das ist der Bank also egal.
Man merkt schon, du bist entweder einfach ein schlecht informierter Kunde oder sogar Verbraucherschützer. Aber leider bist du nicht ansatzweise im Thema.

Solange die Medientrennung gewährleistet ist, stört das niemanden. Holger hat auch was ganz anderes mitgeteilt.
Leider weiß man bei dir aber nie genau, worauf du dich beziehst, weil du immer Fullquotes machst. Das ist nicht sonderlich hilfreich.

Hallo Volker


Wie bereits geschrieben:


Rein formell kann man -wenn man das möchte- der Argumentation der ING DiBa durchaus folgen.
Bei einer Software kann ich nicht sicher feststellen, ob die Software auf einem PC oder einem SmartPhone läuft. Ob damit eine echte Gefahr besteht und wie man das Risiko bewerten müsste, müsste man sich im Detail anschauen. Aber die Argumentation kann man zumindest als nachvollziehbar sehen.

Man könnte aber auch sagen: Softwareanwender sind tendenziell die Anwender, bei denen mit eienr größeren Anzahl von Transaktionen zu rechnen ist. Denen eine kostenlose mobile TAN anzubieten würde die eigene Kostenstruktur verändern, was man verhindern möchte. Da Kundenprodukte wie geschrieben derzeit nicht angegriffen werden, hat man hier auch keinen Zwang den Kunden umzustellen.

Beide Argumentationsketten sind nachvollziehbar und vermutlich liegt die Wahrheit irgendwo in der Mitte.

Zum abwälzen der Kosten auf den Kunden:
Jeder der etwas verkauft, oder eine Dienstleistung anbietet, wälzt seine Kosten auf den Kunden ab. Ob er das offen, für das macht, was der Kudne auch in Anspruch nimmt, oder das über andere Schlüssel in die Preise rein rechnet ist einfach eine Frage des Geschmacks und dem was das Umfeld erlaubt.

Bei den extremen Billigfliegern, sind die Preise so ausgelutscht, das hier jede Serviceleistung bepreist wird. Damit sind die nicht schlechter oder besser als andere Fluglinien, die solche Kosten auf die Preise aller umlegen.

Bei den SmartPhones ist es irgendwie anders. Niemand möchte die tatsächlichen Kosten für so ein Gerät tragen. Aber 50 EUR im Monat an Telefonentgelt ist jeder bereit zu zahlen und nimmt dafür auch noch sämtliche Einschränkungen was Transfervolumen und Netze angeht in Kauf. Ich bin regelmäßig in Österreich und kann nur sagen, dass ich hier immer den Kopfschüttel, was wir in Deutschland bereit sind dafür zu zahlen. Aber bei 10 Cent fangen wir an zu schreien.....

Viele Grüße

Holger

Um eines vorweg zu nehmen, mir geht es nicht um die 10 Cent. Und sowohl meine Frau als auch ich nutzen "lokale" Banken fuer unser Tagesgeschaeft. Und wir haben uns einen Kartenleser gekauft und kaufen demnaechst auch wieder einen neuen weil der alte schon uralt ist. Und wir machen damit richtiges HBCI Banking via Chipkarte was die Ing-Diba gar nicht erst anbietet. Ausserdem kaufe ich mir ein neues Handy wenn das alte kaputt geht und nicht weil es irgendwelche neuen Spielereien kann.

Was mich aergert ist, dass die Banken diese sicherheitsrelevanten Dinge viel zu sehr von sich schieben und wo es geht auf den Kunden abwaelzen, nicht nur die Kosten sondern auch die technischen Dinge. Diese Konzerne, die groesstenteils jedes Jahr Milliarden Gewinne machen, haetten z.B. alle HBCI mit Chipkarte anbieten und den Kunden ein Lesegeraet samt Karte zur Verfuegung stellen koennen, anstatt alle Jahre mal wieder an dem TAN Verfahren zu drehen um es vermeintlich sicherer zu machen.

Ein anderes typisches Beispiel ist das "Verified by Visa" Verfahren. Ja, es soll wohl sicherer sein also ohne, aber was haben die Banken gleichzeitig gemacht: sich aus der Verantwortung gestohlen. Nutzt man dieses "sichere" Verfahren und es wird trotzdem missbraucht geht der Schaden zu Lasten des Kunden. :evil:

Das Ing-Diba Girokonto habe ich nur weil ich eine zweite Visakarte nuetzlich fand, dafuer aber nicht extra Gebuehren zahlen wollte. Braeuchte ich nicht unbedingt, aber gelegentlich nutze ich das halt.

Volker

Du hast nach wie vor garnichts verstanden scheint mir.
1. Fullquotes sind nicht hilfreich!
2. Die Bank kann sicherheitsrelevante Dinge nicht übernehmen. Wie soll sie denn Zugriff auf den Kunden-PC bekommen? Du darfst jetzt genau einmal raten, wer zuerst schreit, wenn die Bank Zugriff darauf hätte...
3. Was hätten wir gewonnen, wenn die HBCI Chipkarte das Massenmedium geworden wäre? Dann hätten wir eben Trojaner für die 3 gängigsten Software-Produkte. Du darfst ebenfalls genau einmal raten, was das an der jetzigen Situation geändert hätte. JAA, der Kandidat hat 100 Punkte, nämlich: * Trommelwirbel * GARNICHTS. RICHTIG!

Bleibt einem fast die Spucke weg bei soviel Dummbatz.....
Die Quellen, aus denen du deine Informationen für das tägliche Leben beziehst sollte man wirklich verklagen. Das ist ja schlimmer als im Fernsehen.

Wenn Du meinst Du weisst alles besser, nur zu. Ich bin sicher kein Experte in Sicheheitsfragen, aber ganz blöd bin ich auch nicht.
Ich kann nicht verstehen weshalb Du die Banken da so in Schutz nimmst, frage doch mal die Hersteller der Finanzsoftwarepakete wie die über das Verhalten der Banken denken.
Selbst wenn es für die Softwareprodukte wie Moneyplex Trojaner geben würde, man müßte die Trojaner auch in die Firmware der Kartenleser einschleusen, und das halte ich für weitaus schwieriger. Im übrigen behaupte ich nicht, dass das der einzigste Schutz oder die beste Möglichkeit ist, darum geht es mir gar nicht, das wissen andere sicher besser als ich. Es geht darum, dass es quasi jede Bank anders handhabt und die Leute häufig im Regen stehen lässt wenn sie damit Probleme haben. Da wird propagiert dass alles 100% sicher ist und funktioniert, und nachher tut es halt doch nicht und erst mal ist der Kunde schuld.
Das beste Beispiel aktuell ist bei uns die Visa Kreditkarte: trotz "Verified by Visa" wurde sie in den letzten Monaten zwei Mal gesperrt weil Falschbuchungen drauf waren. Keiner weiß wieso, weshalb, warum. Gott sei Dank ist unsere Bank noch eine derjenigen, die sich auch in diesem Fall kulant zeigt und den Schaden übernimmt, seit "Verified by Visa" müssen sie das nicht mehr. :x

Aber lassen wir das. Ich wollte ja eigentlich nur wissen weshalb die Ing-Diba das mit den mTAN so handhabt. Das habe ich nun kapiert.

Volker

muss man eigentlich nicht kommentieren.

Stimmt! Hätte man anders formulieren oder weglassen können, ändert aber an der gewollten Aussage nichts.

Hallo obnutzer!



Dann mach das bitte auch. Auf diesem Niveau zu diskutieren habe zumindest ich keine Lust. Diese Kritik an Deinem Diskussionsstil kommt ja nicht zum ersten Mal.

Außerdem: glaubst Du, dass Du so jemanden überzeugst?

Viele Grüße
Rautka