photoTAN der Deutschen Bank - was fuer ein TAN-Generator?

[Marc Haber]

Hallo,

als Nutzer der DKB, diverser Sparkassen und diverser Volksbanken kenne
ich die zwei, auf Flickercodes und QR-Codes basierenden TAN-Verfahren,
die zusammen mit der Girocard zur Authentifizierung verwendet werden.

Die Deutsche Bank verwendet ein Verfahren namens photoTAN, das nach
meinem Verständnis ohne Karte auskommt und einen ~25x25 Farbcode-Block
zum Datentransfer verwendet. Laut Wikipedia wird dieses Verfahren in
Deutschland von der ING, der Deutschen Bank und der Commerzbank
eingesetzt.

Eine App kommt mir fürs Banking nicht ins Haus, jedenfalls nicht auf
mein hauptsächlich genutztes Telefon. Deswegen brauche ich einen
TAN-Generator, den man z.B. bei der Deutschen Bank für 35 Euro, bei
Ebay aber auch schon für 15 bekommt.

Sind die drei Banken miteinander so kompatibel, dass ich ein von der
Commerzbank oder der ING gekauftes Gerät für ein Konto der Deutschen
Bank verwenden kann? Oder haben die von den verschiedenen Banken
gebrandeten Geräte noch irgendwelches bankspezifisches
Schlüsselmaterial in ihrer Firmware, dass man das zur Bank passende
Gerät haben muss?

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Stefan Krieg]

Marc Haber <mh+usene...@zugschl.us> wrote:

> als Nutzer der DKB, diverser Sparkassen und diverser Volksbanken kenne
> ich die zwei, auf Flickercodes und QR-Codes basierenden TAN-Verfahren,
> die zusammen mit der Girocard zur Authentifizierung verwendet werden.

Womit liest du die Flicker-TAN oder den QR-Code ein? Mit einem separaten
nur dafür gedachten Gerät?

> Die Deutsche Bank verwendet ein Verfahren namens photoTAN, das nach
> meinem Verständnis ohne Karte auskommt und einen ~25x25 Farbcode-Block
> zum Datentransfer verwendet. Laut Wikipedia wird dieses Verfahren in
> Deutschland von der ING, der Deutschen Bank und der Commerzbank
> eingesetzt.
>
> Eine App kommt mir fürs Banking nicht ins Haus, jedenfalls nicht auf
> mein hauptsächlich genutztes Telefon.

Du weißt schon, dass diese PhotoTAN-App nichts weiter macht, als TANs aus
diesem Farbfeld zu generieren? „Banking“ kann man damit nicht machen
(meint: in der App selbst kannst du weder Kontostände noch Umsätze sehen
oder Überweisungen generieren).

Liest sich ähnlich wie: „Auf mein Smartphone kommt mir keine Browser-App,
nur um mir Webseiten anzuschauen.“
Kann man machen, vergibt sich damit aber enorm Nützlichkeit eines solchen
Gerätes.

> Deswegen brauche ich einen
> TAN-Generator, den man z.B. bei der Deutschen Bank für 35 Euro, bei
> Ebay aber auch schon für 15 bekommt.

Wäre mir zu teuer und zu umständlich (wenn man eh ein Smartphone hat).
Ich mache Online-Banking auch hauptsächlich mit der Software auf dem
Rechner. Aber zum TANs erzeuge nehme ich dann halt die App auf dem
Smartphone. Kann da keine Sicherheitsbedenken oder ähnliches sehen.

--
gruß aus berlin,
der stef

[Marc Haber]

Stefan Krieg <Stefan...@GMX.de> wrote:
>Marc Haber <mh+usene...@zugschl.us> wrote:
>> als Nutzer der DKB, diverser Sparkassen und diverser Volksbanken kenne
>> ich die zwei, auf Flickercodes und QR-Codes basierenden TAN-Verfahren,
>> die zusammen mit der Girocard zur Authentifizierung verwendet werden.
>
>Womit liest du die Flicker-TAN oder den QR-Code ein? Mit einem separaten
>nur dafür gedachten Gerät?

Genau, da steckt man eine Girocard ein.

>> Die Deutsche Bank verwendet ein Verfahren namens photoTAN, das nach
>> meinem Verständnis ohne Karte auskommt und einen ~25x25 Farbcode-Block
>> zum Datentransfer verwendet. Laut Wikipedia wird dieses Verfahren in
>> Deutschland von der ING, der Deutschen Bank und der Commerzbank
>> eingesetzt.
>>
>> Eine App kommt mir fürs Banking nicht ins Haus, jedenfalls nicht auf
>> mein hauptsächlich genutztes Telefon.
>
>Du weißt schon, dass diese PhotoTAN-App nichts weiter macht, als TANs aus
>diesem Farbfeld zu generieren? „Banking“ kann man damit nicht machen
>(meint: in der App selbst kannst du weder Kontostände noch Umsätze sehen
>oder Überweisungen generieren).

Dennoch enthält sie gewisses Schlüsselmaterial und ist somit ein
attraktives Angriffsziel.

>Liest sich ähnlich wie: „Auf mein Smartphone kommt mir keine Browser-App,
>nur um mir Webseiten anzuschauen.“
>Kann man machen, vergibt sich damit aber enorm Nützlichkeit eines solchen
>Gerätes.

Das ist offensichtlicher Unsinn.

>> Deswegen brauche ich einen
>> TAN-Generator, den man z.B. bei der Deutschen Bank für 35 Euro, bei
>> Ebay aber auch schon für 15 bekommt.
>
>Wäre mir zu teuer und zu umständlich (wenn man eh ein Smartphone hat).
>Ich mache Online-Banking auch hauptsächlich mit der Software auf dem
>Rechner. Aber zum TANs erzeuge nehme ich dann halt die App auf dem
>Smartphone. Kann da keine Sicherheitsbedenken oder ähnliches sehen.

Hast du auch Antworten auf meine konkreten Fragen oder wolltest Du mir
nur Dinge erklären die ich weiss?

[Andreas M. Kirchwitz]

Marc Haber <mh+usene...@zugschl.us> wrote:

> Die Deutsche Bank verwendet ein Verfahren namens photoTAN, das nach
> meinem Verständnis ohne Karte auskommt und einen ~25x25 Farbcode-Block
> zum Datentransfer verwendet. Laut Wikipedia wird dieses Verfahren in
> Deutschland von der ING, der Deutschen Bank und der Commerzbank
> eingesetzt.

Sieht auf den ersten Blick so aus. Deutsche Bank und Commerzbank
liefern ihren Kunden das Gerät OneSpan Digipass 760, die ING das
Gerät OneSpan Digipass 772. (heißt jetzt OneSpan, früher Vasco)

> Eine App kommt mir fürs Banking nicht ins Haus, jedenfalls nicht auf
> mein hauptsächlich genutztes Telefon. Deswegen brauche ich einen
> TAN-Generator, den man z.B. bei der Deutschen Bank für 35 Euro, bei
> Ebay aber auch schon für 15 bekommt.

Einem möglicherweise manipulierten TAN-Generator von eBay würde
ich am allerwenigsten trauen, wenn Sicherheit sehr wichtig ist.
Entweder über der Bank kaufen oder direkt vom Hersteller, aber
auf gar keinen Fall von unbekannten Dritten, bloß um vielleicht
10-20 Euro zu sparen. Vor Gericht hast Du dann schon mal gleich
schlechte Karten, wenn es irgendwelche Probleme gibt, selbst
wenn sie gar nichts mit dem TAN-Generator zu tun haben, dann
darfst Du Gutachten anfertigen lassen, warum Dein gebrauchter
TAN-Generator nicht schuld ist.

> Sind die drei Banken miteinander so kompatibel, dass ich ein von der
> Commerzbank oder der ING gekauftes Gerät für ein Konto der Deutschen
> Bank verwenden kann?

ING sagt nein, ihr Gerät sei nur mit ING nutzbar. Aber ist auch
verständlich, warum sollten sie Zusagen für fremde Banken machen.

Das 760 ist laut Hersteller jedenfalls multibankenfähig.

Ich kann Dir jedoch keine Antwort aus der Praxis geben.
TAN-Generatoren haben sich für mich als sinnfrei herausgestellt,
wenn man viel unterwegs ist. Und ohne Smartphone geht heutzutage
sowieso nicht mehr viel, ich käme nicht mal mehr ans Fahrzeug.
Ja, klar, kann man noch ein paar Jahre aussitzen und sich quälen,
aber der Zug ist abgefahren.

Grüße, Andreas

[Andreas M. Kirchwitz]

Stefan Krieg <Stefan...@GMX.de> wrote:

> Du weißt schon, dass diese PhotoTAN-App nichts weiter macht, als TANs aus
> diesem Farbfeld zu generieren? „Banking“ kann man damit nicht machen
> (meint: in der App selbst kannst du weder Kontostände noch Umsätze sehen
> oder Überweisungen generieren).

Wer den TAN-Generator unter Kontrolle hat, kann alle Transaktionen
des Online-Bankings durchwinken. Das ist schon eine sehr wichtige
Komponente, wenn das Risiko besteht, dass der Banking-Computer unter
fremder Kontrolle ist.

Wer seinen PC also nicht sonderlich gut im Griff hat oder es ein
Gerät ist, das von mehreren Personen genutzt wird, würde ich dann
wenigstens hohe TAN-Sicherheit empfehlen.

Wer seinen PC sehr gut pflegt und auf Sicherheit achtet, da darf
man bei den TANs auch pragmatisch sein, zumal Smartphone-TANs als
rechtlich "sicher" gelten. Wenn also was passiert, zahlt die Bank.

> Wäre mir zu teuer und zu umständlich (wenn man eh ein Smartphone hat).
> Ich mache Online-Banking auch hauptsächlich mit der Software auf dem
> Rechner. Aber zum TANs erzeuge nehme ich dann halt die App auf dem
> Smartphone. Kann da keine Sicherheitsbedenken oder ähnliches sehen.

Ja, sehe ich ebenfalls so, mein Smartphone ist inzwischen der
"Schlüssel" zu so vielem in meinem Leben, die ist TAN-Erzeugung
nichts besonderes mehr. Vor wenigen Jahren war das noch anders,
aber immer mehr geht heutzutage nur noch mit Smartphone oder
zumindest am bequemsten. Der weltweite Super-GAU wird kommen,
da bin ich mir sicher. :-)

Grüße, Andreas

[Marc Haber]

"Andreas M. Kirchwitz" <a...@spamfence.net> wrote:
>Marc Haber <mh+usene...@zugschl.us> wrote:

>> Eine App kommt mir fürs Banking nicht ins Haus, jedenfalls nicht auf
>> mein hauptsächlich genutztes Telefon. Deswegen brauche ich einen
>> TAN-Generator, den man z.B. bei der Deutschen Bank für 35 Euro, bei
>> Ebay aber auch schon für 15 bekommt.
>
>Einem möglicherweise manipulierten TAN-Generator von eBay würde
>ich am allerwenigsten trauen, wenn Sicherheit sehr wichtig ist.
>Entweder über der Bank kaufen oder direkt vom Hersteller, aber
>auf gar keinen Fall von unbekannten Dritten, bloß um vielleicht
>10-20 Euro zu sparen. Vor Gericht hast Du dann schon mal gleich
>schlechte Karten, wenn es irgendwelche Probleme gibt, selbst
>wenn sie gar nichts mit dem TAN-Generator zu tun haben, dann
>darfst Du Gutachten anfertigen lassen, warum Dein gebrauchter
>TAN-Generator nicht schuld ist.

Das finde ich jetzt ziemlich an den Haaren herbeigezogen. Wie soll ein
TAN-Generator manipuliert sein?

>TAN-Generatoren haben sich für mich als sinnfrei herausgestellt,
>wenn man viel unterwegs ist.

Bin ich. Für dieses Konto egal, das brauche ich definitiv nicht wenn
ich unterwegs ist. Einen ChipTAN-QR-Generator habe ich im Rucksack,
der ist eh schon so schwer dass es auf die 50 Gramm auch nicht mehr
ankommt.

Ein Smartphone habe ich. Das ist mit großem Abstand das unsicherste
Gerät in meinem Zoo, da kommt mir ganz sicher kein Schlüsselmaterial
fürs Onlinebanking drauf.

[Andreas M. Kirchwitz]

Marc Haber <mh+usene...@zugschl.us> wrote:

>> Einem möglicherweise manipulierten TAN-Generator von eBay würde
>> ich am allerwenigsten trauen, wenn Sicherheit sehr wichtig ist.
>

> Das finde ich jetzt ziemlich an den Haaren herbeigezogen. Wie soll ein
> TAN-Generator manipuliert sein?

Funkmodul zur Fernsteuerung. Platz ist massig vorhanden in den
Dingern. Manipuliert wurde in den letzten Jahren oder Jahrzehnten
so viel Zeugs, was als unvorstellbar galt, da können wir gar nicht
genug Vorstellungskraft haben, was Leute sich ausdenken.

Neuere TAN-Generatoren sind USB-powered, da gibt's nicht mal mehr
die Frage nach der Stromversorgung.

Es war ja Dein Anspruch, dass Sicherheit Dir wichtig ist, und dann
würde ich nicht die einmalige Ausgabe von ein paar wenigen Euro
so fundamental über die Sicherheit stellen und vor allem rechtlich
auf so ultradünnem Eis schlittern.

Im einfachsten Fall ist das Gerät nicht manipuliert, aber ein
billiger Nachbau, also eine Fälschung. Funktioniert zwar und tut,
was es soll, ist aber kein Original. eBay und Amazon sind komplett
vollgeschwemmt mit Fälschungen, und zwar für alles, was es gibt.

Wenn es dann mit Deinem Konto ein Problem gibt und Du vor Gericht
landest, weil die Bank Dir nichts zahlen will, verlierst Du unter
Umständen alles, nur weil Du damals beim TAN-Generator ein paar
wenige Euro gespart hast.

Wenn TAN-Generator, dann richtig. :-)

> Ein Smartphone habe ich. Das ist mit großem Abstand das unsicherste
> Gerät in meinem Zoo, da kommt mir ganz sicher kein Schlüsselmaterial
> fürs Onlinebanking drauf.

Solange Du die Zugangsdaten zum Online-Banking sicher im Griff
hast, ist die Sicherheit des TAN-Generator ein rein rechtlicher
Aspekt, tatsächliche Sicherheit ist egal.

Grüße, Andreas

[Stefan Krieg]

On 9. Feb 2022, Marc Haber wrote:

> Stefan Krieg <Stefan...@GMX.de> wrote:
>> Du weißt schon, dass diese PhotoTAN-App nichts weiter macht, als TANs aus
>> diesem Farbfeld zu generieren? „Banking“ kann man damit nicht machen
>> (meint: in der App selbst kannst du weder Kontostände noch Umsätze sehen
>> oder Überweisungen generieren).
>
> Dennoch enthält sie gewisses Schlüsselmaterial und ist somit ein
> attraktives Angriffsziel.

Solange "Banking" und "Verification" (PhotoTAN) auf unterschiedlichen Geräten
laufen, sähe ich kein großes Bedrohungsszenario.

>> Liest sich ähnlich wie: „Auf mein Smartphone kommt mir keine Browser-App,
>> nur um mir Webseiten anzuschauen.“
>> Kann man machen, vergibt sich damit aber enorm Nützlichkeit eines solchen
>> Gerätes.
>
> Das ist offensichtlicher Unsinn.

Warum? Auch auf Webseiten kann man sich schlimme Sachen einfangen.

>>> Deswegen brauche ich einen
>>> TAN-Generator, den man z.B. bei der Deutschen Bank für 35 Euro, bei
>>> Ebay aber auch schon für 15 bekommt.
>>
>> Wäre mir zu teuer und zu umständlich (wenn man eh ein Smartphone hat).
>> Ich mache Online-Banking auch hauptsächlich mit der Software auf dem
>> Rechner. Aber zum TANs erzeuge nehme ich dann halt die App auf dem
>> Smartphone. Kann da keine Sicherheitsbedenken oder ähnliches sehen.
>
> Hast du auch Antworten auf meine konkreten Fragen oder wolltest Du mir
> nur Dinge erklären die ich weiss?

Usenet ist keine Hotline eines Unternehmens bei dem du Kunde bist und
irgendwelche Auskunftsansprüche hast. Wenn dir einzelne Beiträge in einer
Diskussion nicht passen, ignoriere sie.

--
gruß aus berlin
der stef

[Franklin Schiftan]

Am 2022-02-09 um 20:41 schrieb Andreas M. Kirchwitz:
> Stefan Krieg <Stefan...@GMX.de> wrote:
>
>> Du weißt schon, dass diese PhotoTAN-App nichts weiter macht, als TANs aus
>> diesem Farbfeld zu generieren? „Banking“ kann man damit nicht machen
>> (meint: in der App selbst kannst du weder Kontostände noch Umsätze sehen
>> oder Überweisungen generieren).
>
> Wer den TAN-Generator unter Kontrolle hat, kann alle Transaktionen
> des Online-Bankings durchwinken.

Aber nur, wenn er auch die dazu passende GiroCard hat.

> Grüße, Andreas

.... und tschüss

Franklin

[Andreas M. Kirchwitz]

Franklin Schiftan <fraschi...@arcor.de> wrote:

>> Wer den TAN-Generator unter Kontrolle hat, kann alle Transaktionen
>> des Online-Bankings durchwinken.
>
> Aber nur, wenn er auch die dazu passende GiroCard hat.

Nein, nicht in dem hier genannten Fall, denn bei photoTAN
(ING, Deutsche Bank, Commerzbank) benötigt man keine Karte
bzw. den Chip darauf. Lokal kann eine PIN notwendig sein
(nur ING), aber auf keinen Fall benötigt man die Karte.

Wer also das Gerät hat (DB, CB), hat die TAN-Kontrolle
ohne weitere Hürde. Die photoTAN-App hätte immerhin noch
eine eigene PIN-Kontrolle neben der globalen Gerätesperre.

Aber gut, ein physisches TAN-Gerät muss ein Angreifer
erst mal gezielt finden, das könnte ja sonstwo liegen.

Grüße, Andreas

[Franklin Schiftan]

Am 2022-02-10 um 06:54 schrieb Andreas M. Kirchwitz:
> Franklin Schiftan <fraschi...@arcor.de> wrote:
>
>>> Wer den TAN-Generator unter Kontrolle hat, kann alle Transaktionen
>>> des Online-Bankings durchwinken.
>>
>> Aber nur, wenn er auch die dazu passende GiroCard hat.
>
> Nein, nicht in dem hier genannten Fall, denn bei photoTAN
> (ING, Deutsche Bank, Commerzbank) benötigt man keine Karte
> bzw. den Chip darauf. Lokal kann eine PIN notwendig sein
> (nur ING), aber auf keinen Fall benötigt man die Karte.

Ah ja, dann habe ich jetzt wohl den TAN-Generator fürs
Chip-TAN-Verfahren gemeint.

[Marc Haber]

"Andreas M. Kirchwitz" <a...@spamfence.net> wrote:

>Nein, nicht in dem hier genannten Fall, denn bei photoTAN
>(ING, Deutsche Bank, Commerzbank) benötigt man keine Karte
>bzw. den Chip darauf. Lokal kann eine PIN notwendig sein
>(nur ING), aber auf keinen Fall benötigt man die Karte.

Und meine Frage ist, ob ich den über 30 Euro teuren Generator der
Deuba kaufen muss oder ob es auch reicht, bei Ebay einen Generator der
ING oder Coba zu beschaffen.

[Marc Haber]

"Andreas M. Kirchwitz" <a...@spamfence.net> wrote:

>Wenn es dann mit Deinem Konto ein Problem gibt und Du vor Gericht
>landest, weil die Bank Dir nichts zahlen will, verlierst Du unter
>Umständen alles, nur weil Du damals beim TAN-Generator ein paar
>wenige Euro gespart hast.

Das ist sicher schon mal so passiert, oder?

[Marc Haber]

Marc Haber <mh+usene...@zugschl.us> wrote:
>"Andreas M. Kirchwitz" <a...@spamfence.net> wrote:
>>Wenn es dann mit Deinem Konto ein Problem gibt und Du vor Gericht
>>landest, weil die Bank Dir nichts zahlen will, verlierst Du unter
>>Umständen alles, nur weil Du damals beim TAN-Generator ein paar
>>wenige Euro gespart hast.
>
>Das ist sicher schon mal so passiert, oder?

Und ergänzend, warum tut die Bank auf ihren Webseiten dann so als
würde es die Hardware-Generatoren nicht geben (die muss man WIRKLICH
suchen) und drängt die Benutzer dazu, die App zu benutzen? Die Chance
dass die App auf einem kompromittierten Smartphone verwendet wird ist
ungleich höher als dass man mir einen TAN-Generator mit Funkmodul
unterschiebt und sich dann in meine Nähe begibt um den Schlüssel
abzugreifen...

[Marc Haber]

Frank Graf <f.g...@firemail.de> wrote:
>Es kann funktionieren, muss es aber nicht (Firmware Version). Selbst im
>gleichen Haus waren sie nicht kompatibel:

Das ist, äh, Mist. Danke dir.

[Marc Haber]

Volker Delf <nop...@ist.invalid> wrote:
>Ist es ein hardwarebasiertes oder ein softwarebasiertes
>Sicherheitsverfahren. Letzteres wäre nicht zu empfehlen.

Das ist in dieser Pauschalität Unsinn. Die frage ist, wie schwer es
ist, das geheimzuhaltende Schlüsselmaterial aus dem Ding
herauszubekommen. Derartige Maßnahmen in "wirksam" sind seit weit über
20 Jahren Stand der Technik; ich würde erwarten dass das in dem Gerät
umgesetzt ist und der Schwachpunkt am ehesten der "Aktivierungsbrief"
ist, mit dem ein Farbcodeblock übermittelt wird, nach dessen Einlesen
der TAN-Generator zur Transaktion und zum Konto passende TANs erzeugt.

Aber ich will hier nicht päpstlicher sein als der Papst, besser als
ein Mobilteleon ist so ein Kartenleser allemal.

[Stefan Schmitz]

Am 10.02.2022 um 10:19 schrieb Marc Haber:
> "Andreas M. Kirchwitz" <a...@spamfence.net> wrote:
>> Nein, nicht in dem hier genannten Fall, denn bei photoTAN
>> (ING, Deutsche Bank, Commerzbank) benötigt man keine Karte
>> bzw. den Chip darauf. Lokal kann eine PIN notwendig sein
>> (nur ING), aber auf keinen Fall benötigt man die Karte.
>
> Und meine Frage ist, ob ich den über 30 Euro teuren Generator der
> Deuba kaufen muss oder ob es auch reicht, bei Ebay einen Generator der
> ING oder Coba zu beschaffen.

Du kannst dir zu einem Norisbank-Giro den Generator kostenlos bestellen.
Der funktioniert auch bei der Mutterbank.
Um auszuprobieren, ob der auch Commerzbank-kompatibel ist, müsste ich
dort erst einen Aktivierungsbrief bestellen.

Werden denn bei ebay überhaupt OneSpan Digipass 760 als dezidierte
Commerzbank-Geräte angeboten? Die ersten Treffer zu "TAN-Generator
Commerzbank" waren andere Geräte.

[Marc Haber]

Stefan Schmitz <ss...@gmx.de> wrote:
>Werden denn bei ebay überhaupt OneSpan Digipass 760 als dezidierte
>Commerzbank-Geräte angeboten? Die ersten Treffer zu "TAN-Generator
>Commerzbank" waren andere Geräte.

https://www.ebay.de/sch/i.html?_from=R40&_trksid=p2380057.m570.l1313&_nkw=phototan&_sacat=0

[Georg Schwarz]

Stefan Krieg <Stefan...@GMX.de> wrote:

> Liest sich ähnlich wie: "Auf mein Smartphone kommt mir keine Browser-App,
> nur um mir Webseiten anzuschauen."
> Kann man machen, vergibt sich damit aber enorm Nützlichkeit eines solchen
> Gerätes.

es soll ja Leute geben, die ihre Daten weder Google noch Apple
ausliefern möchten. Dafür brauchenb sie übrigens weder auf Smartphones
noch auf Browsersn darauf zu verzichten.
Das Anliegen des OP liest sich also allenfalls für uninformierte Leser

[Georg Schwarz]

Stefan Krieg <Stefan...@GMX.de> wrote:

> Du weißt schon, dass diese PhotoTAN-App nichts weiter macht, als TANs aus
> diesem Farbfeld zu generieren?

das weiß der OP mit Sicherheit, wobei die TAN natürlich nur nur aus
"diesem Farbfeld" generiert wird. Das wäre sonst sehr witzlos :-)

[Georg Schwarz]

Marc Haber <mh+usene...@zugschl.us> wrote:

> Und ergänzend, warum tut die Bank auf ihren Webseiten dann so als
> würde es die Hardware-Generatoren nicht geben (die muss man WIRKLICH
> suchen) und drängt die Benutzer dazu, die App zu benutzen? Die Chance
> dass die App auf einem kompromittierten Smartphone verwendet wird ist
> ungleich höher als dass man mir einen TAN-Generator mit Funkmodul
> unterschiebt und sich dann in meine Nähe begibt um den Schlüssel
> abzugreifen...

das hat nichts mit Sicherheit zu tun. Wie Du selbst herausgefunden hat,
drängt die Bank den Kunden, die App zu nutzen. Das tut sie, weil sie
damit einen Kommunikationskanal (Kommunikation im Sinne von Marketing,
wir können also auch Verkaufskanal sagen) zum Kunden aufbaut, weil sie
damit die Chance sieht, dem Kunden weitere Services zu verkaufen: Für
Banken (und viele andere Anbieter) sind deren Apps nichts weiter als
eine Filiale (nettweise ohne die typischen Kosten einer solchen), von
der sie möchten, dass der Kunde sie möglichst oft besucht. Appnutzer
sind einfach lukrativer für die Anbieter. Nebenbei (wobei das je nach
Anbieter auch der Hauptzweck sein kann) können sie damit auch
Informationen zum Nutzungsverhalten des Kunden sammeln, um den Kunden
gezielter anzusprechen (ihm gezielter weitere Dienste/waren verkaufen).
Schau einfach mal, was z.B. Lidl so macht, aber es gibt natürlich auch
zig andere Beispiele und allen möglichen Branchen. Darunter praktisch
alle Banken.
Wenn man erstmal die Investition in die App & Infrastruktur getätigt
hat, entstehen pro Kunde praktisch keine Grenzkosten; trägt der Kunde
seine Hardwarekosten und die Kosten des Datenverkehr auf seiner
Luftschnittstelle doch selbst.

[Georg Schwarz]

Marc Haber <mh+usene...@zugschl.us> wrote:

> Und meine Frage ist, ob ich den über 30 Euro teuren Generator der
> Deuba kaufen muss oder ob es auch reicht, bei Ebay einen Generator der
> ING oder Coba zu beschaffen.

nein, das reicht nicht, falls Du nicht gleichzeitig die Bank wechselst.

[Georg Schwarz]

Marc Haber <mh+usene...@zugschl.us> wrote:

> Die Deutsche Bank verwendet ein Verfahren namens photoTAN, das nach
> meinem Verständnis ohne Karte auskommt und einen ~25x25 Farbcode-Block
> zum Datentransfer verwendet. Laut Wikipedia wird dieses Verfahren in
> Deutschland von der ING, der Deutschen Bank und der Commerzbank
> eingesetzt.

leider alle mit nicht zueinander kompatiblen Geräten.

> Sind die drei Banken miteinander so kompatibel, dass ich ein von der
> Commerzbank oder der ING gekauftes Gerät für ein Konto der Deutschen
> Bank verwenden kann? Oder haben die von den verschiedenen Banken
> gebrandeten Geräte noch irgendwelches bankspezifisches
> Schlüsselmaterial in ihrer Firmware, dass man das zur Bank passende
> Gerät haben muss?

ob es am Schlüsselmaterial liegt, weiß ich nicht. Es geht jedenfalls
nicht.

Dieses Gerät geht z.B. bei der HVB:
https://www.chipkartenleser-shop.de/unicredit-photoTAN/phototan-lesegeraet/das-phototan-lesegeraet
Also Digipass DP770

Die ING soll übrigens ihr Gerät mittlereile kostenlos an Girokontokunden
abgeben, die keine App verwenden.
Dabei handelt es sich um einen vasco DIGIPASS DP772

Und die Deutsche Bank verwendet offenbar einen Digipass DP760

https://genostore.de/db/phototan-lesegeraet/92/phototan-lesegeraet-digipass-760-deutsche-bank

Bei letzterem heist es in
https://www.onespan.com/sites/default/files/2019-08/Digipass%20760%20Manual%20in%20German.pdf

"D"i"e"s"e"s" "p"h"o"t"o"T"A"N" L"e"s"e"g"e"r"a"t" "i"s"t"
m"u"l"t"i"b"a"n"k"e"n"f"äh"i"g"," "s"i"e" "k"ön"n"e"n" "e"s" "a"l"s"o"
"f"ür" "K"o"n"t"e"n" "d"e"r" "D"e"u"t"s"c"h"e"
"B"a"n"k" "A"G"," "D"B" "P"r"i"v"a"t" "u"n"d"
"F"i"r"m"e"n"k"u"n"d"e"n"b"a"n"k" "A"G" "u"n"d" "n"o"r"i"s"b"a"n"k"
"G"m"b"H" "v"e"r"w"e"n"d"e"n"." ""

[Georg Schwarz]

Ludger Averborg <ludger_...@web.de> wrote:

> >das weiß der OP mit Sicherheit, wobei die TAN natürlich nur nur aus
> >"diesem Farbfeld" generiert wird. Das wäre sonst sehr witzlos :-)
>

> Mir scheint das ziemlich unwahrscheinlich.


mein Tippfehler; ich meinte "nicht nur".

> Ich vermute, dass das Lesegerät noch eine Kennung enthält, -also
> personalisiert ist-, die für die Erzeugung der TAN bedeutsam ist.


natürlich ist bzw. wird es das.
>
> Sonst könnte doch jeder, der ein Lesegerät dieses Typs hat die TAN erzeugen.

so wäre es.

>
> Die TAN wird also keinesfalls nur aus dem Farbfeld generiert.

genau das wollte ich zum Ausdruck bringen.

[Stefan Schmitz]

Am 11.02.2022 um 15:28 schrieb Marc Haber:
> Stefan Schmitz <ss...@gmx.de> wrote:
>> Werden denn bei ebay überhaupt OneSpan Digipass 760 als dezidierte
>> Commerzbank-Geräte angeboten? Die ersten Treffer zu "TAN-Generator
>> Commerzbank" waren andere Geräte.
>
> https://www.ebay.de/sch/i.html?_from=R40&_trksid=p2380057.m570.l1313&_nkw=phototan&_sacat=0

Auf der Seite kommt "Commerzbank" nicht vor.

[Stefan Schmitz]

Am 11.02.2022 um 22:20 schrieb Georg Schwarz:
> Marc Haber <mh+usene...@zugschl.us> wrote:
>
>> Und ergänzend, warum tut die Bank auf ihren Webseiten dann so als
>> würde es die Hardware-Generatoren nicht geben (die muss man WIRKLICH
>> suchen) und drängt die Benutzer dazu, die App zu benutzen? Die Chance
>> dass die App auf einem kompromittierten Smartphone verwendet wird ist
>> ungleich höher als dass man mir einen TAN-Generator mit Funkmodul
>> unterschiebt und sich dann in meine Nähe begibt um den Schlüssel
>> abzugreifen...
>
> das hat nichts mit Sicherheit zu tun. Wie Du selbst herausgefunden hat,
> drängt die Bank den Kunden, die App zu nutzen. Das tut sie, weil sie
> damit einen Kommunikationskanal (Kommunikation im Sinne von Marketing,
> wir können also auch Verkaufskanal sagen) zum Kunden aufbaut, weil sie
> damit die Chance sieht, dem Kunden weitere Services zu verkaufen: Für
> Banken (und viele andere Anbieter) sind deren Apps nichts weiter als
> eine Filiale (nettweise ohne die typischen Kosten einer solchen), von
> der sie möchten, dass der Kunde sie möglichst oft besucht. Appnutzer
> sind einfach lukrativer für die Anbieter.

Die PhotoTAN-App macht nichts anderes, als auf Anforderung eine PhotoTAN
zu erzeugen. Da ist nichts mit Marketing.

[Marc Haber]

Ah, darauf willst Du raus. Die Auktion, die ich ursprünglich meinte,
ist wohl inzwischen abgelaufen.

[Marc Haber]

Ludger Averborg <ludger_...@web.de> wrote:
>On Thu, 10 Feb 2022 10:19:42 +0100, Marc Haber <mh+usene...@zugschl.us>
>wrote:

>
>>Und meine Frage ist, ob ich den über 30 Euro teuren Generator der
>>Deuba kaufen muss oder ob es auch reicht, bei Ebay einen Generator der
>>ING oder Coba zu beschaffen.
>

>Der Generator, den die Deutsche Bank verwendet, ist der
>OneSpan DIGIPASS 760. Wenn das bei ebay der ist, würde ich ihn nehmen.

Dass da jeweils anderes Schlüssel-Init-Material drin sein könnte,
kommt Dir nicht in die Idee?

[Marc Haber]

Martin Gerdes <martin...@gmx.de> wrote:
>Von mir aus hätte man das Verfahren iTAN nicht abzuschaffen brauchen.

Von Dir aus nicht, von mir aus auch nicht. Aber es gibt einfach zu
viele dumme Leute.

Grüße
Marc

[Stefan Krieg]

Georg Schwarz <georg....@freenet.de> wrote:
> Stefan Krieg <Stefan...@GMX.de> wrote:
>
>> Liest sich ähnlich wie: "Auf mein Smartphone kommt mir keine Browser-App,
>> nur um mir Webseiten anzuschauen."
>> Kann man machen, vergibt sich damit aber enorm Nützlichkeit eines solchen
>> Gerätes.
>
>
> es soll ja Leute geben, die ihre Daten weder Google noch Apple
> ausliefern möchten.

Welche Daten liefert man denn Apple oder Google aus, wenn man eine
Photo-TAN App auf seinem Smartphone installiert? Dass man ein Konto bei
Bank XY hat.
Die Tatsache, dass ein Smartphone vorhanden ist, ist ja schon gegeben.

> Das Anliegen des OP liest sich also allenfalls für uninformierte Leser
> wie Auf mein Smartphone kommt mir keine Browser-App, nur um mir
> Webseiten anzuschauen."

Und worüber bist du so „informiert“?

--
gruß aus berlin,
der stef

[Stefan Krieg]

Georg Schwarz <georg....@freenet.de> wrote:
> Marc Haber <mh+usene...@zugschl.us> wrote:
>
>> Und ergänzend, warum tut die Bank auf ihren Webseiten dann so als
>> würde es die Hardware-Generatoren nicht geben (die muss man WIRKLICH
>> suchen) und drängt die Benutzer dazu, die App zu benutzen? Die Chance
>> dass die App auf einem kompromittierten Smartphone verwendet wird ist
>> ungleich höher als dass man mir einen TAN-Generator mit Funkmodul
>> unterschiebt und sich dann in meine Nähe begibt um den Schlüssel
>> abzugreifen...
>
> das hat nichts mit Sicherheit zu tun. Wie Du selbst herausgefunden hat,
> drängt die Bank den Kunden, die App zu nutzen. Das tut sie, weil sie
> damit einen Kommunikationskanal (Kommunikation im Sinne von Marketing,
> wir können also auch Verkaufskanal sagen) zum Kunden aufbaut, weil sie
> damit die Chance sieht, dem Kunden weitere Services zu verkaufen:

Thema verfehlt. Hier geht es um die Photo-TAN App, nicht um die Banking App
der jeweiligen Bank.
Du kannst sicher Quellen/Screenshots liefern, wie die TAN App
Marketingkommunikation durchführt.

[Georg Schwarz]

Stefan Krieg <Stefan...@GMX.de> wrote:

> Welche Daten liefert man denn Apple oder Google aus, wenn man eine
> Photo-TAN App auf seinem Smartphone installiert? Dass man ein Konto bei
> Bank XY hat.
> Die Tatsache, dass ein Smartphone vorhanden ist, ist ja schon gegeben.

durch die Installation selbst wenig weitere, aber allein die Beschaffung
dieser Apps setzt ein Login im Apple- bzw. Google-Appstore voraus, setzt
also voraus, dass man das Telefon dort anmeldet usw.
Das erlaubt Apple bzw. Google sehr umfassende Profilbildung.

>
> > Das Anliegen des OP liest sich also allenfalls für uninformierte Leser
> > wie Auf mein Smartphone kommt mir keine Browser-App, nur um mir
> > Webseiten anzuschauen."
>
> Und worüber bist du so "informiert"?

es geht nicht um mich. Versuche, sachliche Diskussionen auf eine
persönliche Ebene zu ziehen, sind einfach schlechter Stil.

[Georg Schwarz]

Stefan Krieg <Stefan...@GMX.de> wrote:

> Thema verfehlt. Hier geht es um die Photo-TAN App, nicht um die Banking App
> der jeweiligen Bank.

für die Bank ist das natürlich der erste Schritt, den Kunden an die
App-Nutzung heranzuführen. Und bei vielen Kunden ist sie damit
erfolgreich. Daher versuchen sie Kunden, dahin zu bekommen.

> Du kannst sicher Quellen/Screenshots liefern, wie die TAN App
> Marketingkommunikation durchführt.

kann ich nicht und sehe auch keinen Grund, mich hier auf persönliche
Kindergartendiskussionen zu begeben.
Wer sich ernstlich für das Thema interessiert, schaue sich einfach mal
an, wie Marketing, speziell über Apps, funktioniert.

[Stefan Schmitz]

Am 12.02.2022 um 14:24 schrieb Georg Schwarz:
> Stefan Krieg <Stefan...@GMX.de> wrote:
>
>> Welche Daten liefert man denn Apple oder Google aus, wenn man eine
>> Photo-TAN App auf seinem Smartphone installiert? Dass man ein Konto bei
>> Bank XY hat.
>> Die Tatsache, dass ein Smartphone vorhanden ist, ist ja schon gegeben.
>
> durch die Installation selbst wenig weitere, aber allein die Beschaffung
> dieser Apps setzt ein Login im Apple- bzw. Google-Appstore voraus, setzt
> also voraus, dass man das Telefon dort anmeldet usw.
> Das erlaubt Apple bzw. Google sehr umfassende Profilbildung.

Das passiert schon dadurch, dass man überhaupt ein Smartphone nutzt. Da
ändert diese eine App nichts.

[Stefan Krieg]

Georg Schwarz <georg....@freenet.de> wrote:
> Stefan Krieg <Stefan...@GMX.de> wrote:
>
>> Welche Daten liefert man denn Apple oder Google aus, wenn man eine
>> Photo-TAN App auf seinem Smartphone installiert? Dass man ein Konto bei
>> Bank XY hat.
>> Die Tatsache, dass ein Smartphone vorhanden ist, ist ja schon gegeben.
>
> durch die Installation selbst wenig weitere, aber allein die Beschaffung
> dieser Apps setzt ein Login im Apple- bzw. Google-Appstore voraus, setzt
> also voraus, dass man das Telefon dort anmeldet usw.

Was bei Apple-Geräten praktisch sowieso unvermeidbar ist. Bei Android kenne
ich mich nicht aus.
Du hast den Mobilfunkprovider vergessen, dessen SIM-Karte man da
reinschiebt!
Wie gesagt: wenn man hinter jedem Strauch einen Sittenstrolch vermutet,
wird man die Praktikabilität dieser Schmartfons nie ansatzweise nutzen
können. Da braucht man dann eigentlich auch gar keines :-)

>>> Das Anliegen des OP liest sich also allenfalls für uninformierte Leser
>>> wie Auf mein Smartphone kommt mir keine Browser-App, nur um mir
>>> Webseiten anzuschauen."
>>
>> Und worüber bist du so "informiert"?
>
> es geht nicht um mich. Versuche, sachliche Diskussionen auf eine
> persönliche Ebene zu ziehen, sind einfach schlechter Stil.

Ach, du meintest mit „uninformiert“ gar nicht mich? Dann bitte ich um
Entschuldigung und ziehe meine darauffolgende Frage zurück.

[Stefan Krieg]

Georg Schwarz <georg....@freenet.de> wrote:
> Stefan Krieg <Stefan...@GMX.de> wrote:
>
>> Thema verfehlt. Hier geht es um die Photo-TAN App, nicht um die Banking App
>> der jeweiligen Bank.
>
> für die Bank ist das natürlich der erste Schritt, den Kunden an die
> App-Nutzung heranzuführen. Und bei vielen Kunden ist sie damit
> erfolgreich. Daher versuchen sie Kunden, dahin zu bekommen.
>

Um die Installation *weiterer* Apps ging‘s hier nie; weder ich noch andere
haben das empfohlen. Marketingargumente ins Spiel zu bringen, die nur unter
dieser Voraussetzung funktionieren, sind daher unangebracht.

[Georg Schwarz]

Stefan Schmitz <ss...@gmx.de> wrote:

> Das passiert schon dadurch, dass man überhaupt ein Smartphone nutzt. Da
> ändert diese eine App nichts.

das hängt vom verwendeten Betriebsystem ab. Dem zweiten Satz stimme ich
natürlich zu.

[Georg Schwarz]

Stefan Krieg <Stefan...@GMX.de> wrote:

> Was bei Apple-Geräten praktisch sowieso unvermeidbar ist. Bei Android kenne
> ich mich nicht aus.

so ist es. Bei iPhone ist es unvermeidbar. Bei Telephonen mit Googles
System ebenso. Teil dieser Strategie sind ja der Zwang zur Nutzung der
entsprechenden App-Stores und der Anmeldung dafür (Apple-Konto bzw.
Google-Konto).

> Du hast den Mobilfunkprovider vergessen, dessen SIM-Karte man da
> reinschiebt!

nein, den habe ich nicht vergessen. Der erhält erheblich weniger
Einblick und ist außerdem zumindest in Deutschland an das
Fernmeldegeheimnis und das TKG gebunden.
Im übrigen bräuchte man hier nicht unbedingt einen Mobilfunkanbieter.

> Wie gesagt: wenn man hinter jedem Strauch einen Sittenstrolch vermutet,
> wird man die Praktikabilität dieser Schmartfons nie ansatzweise nutzen
> können. Da braucht man dann eigentlich auch gar keines :-)

Sittenstroch ist kein angemessener Begriff hier. Es geht um Erstellung
personalisierter Profile als Geschäftsinhalt. Das ist in den meisten
Fällen nicht einmal illegal, weil die Leute ja freiwillig die Daten
rausrücken.

[Georg Schwarz]

Stefan Krieg <Stefan...@GMX.de> wrote:

> Um die Installation *weiterer* Apps ging's hier nie; weder ich noch andere
> haben das empfohlen. Marketingargumente ins Spiel zu bringen, die nur unter
> dieser Voraussetzung funktionieren, sind daher unangebracht.

aus Sicht der Produkt- und Marktstrategen der Banken ist das genau das
Ziel. Von daher ist es die Antwort auf die Frage, wieso die Bank die
Smartphonenutzung so sehr propagiert und mit Alternativen dazu eher
zurückhaltend ist in der Kommunikation (diese Frage wurde hier gestellt,
und darauf habe ich geantwortet).

[Marc Haber]

christian_...@soemtron.de (Christian @Soemtron) wrote:
>Mein selbst praktizierter Vorschlag ist, ein separates Handy nur für
>diesen Zweck abzustellen. Man kann den TAN-Ramsch für alle Banken darauf
>installieren, ohne Sicherheitsbedenken haben zu müssen. WLAN, Bluetooth,
>Updates usw. ist darauf deaktiviert. Den Akku habe ich deshalb jetzt min.
>1 Jahr nicht geladen.
>
>Da fand ich 35,- besser angelegt. Mal sehen, wie lange...

Mobiltelefone mit Securitysupport kosten auch gebraucht weit mehr als
35 Euro. Android, neu, mit Securitysupport für > 2 Jahre geht bei ~ 90
Euro los.

[Hans CraueI]

Marc Haber schrieb

> christian_...@soemtron.de (Christian @Soemtron) wrote:
>> Mein selbst praktizierter Vorschlag ist, ein separates Handy nur für
>> diesen Zweck abzustellen. Man kann den TAN-Ramsch für alle Banken darauf
>> installieren, ohne Sicherheitsbedenken haben zu müssen. WLAN, Bluetooth,
>> Updates usw. ist darauf deaktiviert. Den Akku habe ich deshalb jetzt min.
>> 1 Jahr nicht geladen.
>> Da fand ich 35,- besser angelegt. Mal sehen, wie lange...
>
> Mobiltelefone mit Securitysupport kosten auch gebraucht weit mehr als
> 35 Euro. Android, neu, mit Securitysupport für > 2 Jahre geht bei ~ 90
> Euro los.

Ich habe genau für diesen Zweck ein altes Samsung, dessen Serien-Android
ausgestorben ist, aus der Schublade einer Bekannten gezogen, dies mit
LineageOS auf Android 7-Stand gebracht (was mir in Ermangelung eigener
Kompetenz in solchen Sachen nur mithilfe einer sehr guten 30-minütigen
YouTube-Anleitung gelang). Auf dem Gerät habe ich dann drei Bank TAN-Apps
installiert. Es hat keine SIM-Karte, und WLAN nur an ausgewählten Orten.

Zugegeben, inzwischen ist zudem noch "Corona-Warn" für den Nachweis des
Impfstatus drauf, dazu DB Navigator für Fahrkarten und BahnCard, und
auch noch Dlf Audiothek und RadioX. Bei Fahrten im öffentlichen Verkehr
nehme ich es wegen des Impfstatus-Nachweises mit.

Hans

[Georg Schwarz]

Hans CraueI <crauel...@freenet.de> wrote:

> Ich habe genau für diesen Zweck ein altes Samsung, dessen Serien-Android
> ausgestorben ist, aus der Schublade einer Bekannten gezogen, dies mit
> LineageOS auf Android 7-Stand gebracht (was mir in Ermangelung eigener
> Kompetenz in solchen Sachen nur mithilfe einer sehr guten 30-minütigen
> YouTube-Anleitung gelang). Auf dem Gerät habe ich dann drei Bank TAN-Apps
> installiert. Es hat keine SIM-Karte, und WLAN nur an ausgewählten Orten.

dann ist allerdings vermutlich nicht nur LineageOS, sondern auch Google
Play Store installiert worden, oder?

>
> Zugegeben, inzwischen ist zudem noch "Corona-Warn" für den Nachweis des
> Impfstatus drauf, dazu DB Navigator für Fahrkarten und BahnCard, und
> auch noch Dlf Audiothek und RadioX. Bei Fahrten im öffentlichen Verkehr
> nehme ich es wegen des Impfstatus-Nachweises mit.

da würde ein Zettel mit dem ausgedruckten QR-Code es allerdings genauso
tun. Wiegt weniger, ist kompakter, hat keinen Akku, ungeladen sein
könnte, und ist im Verlustfall weniger tragisch (zumal wenn mit dem
Telefon auch noch erstmal der Zugang zu den Bankkonten zumindest
temporär weg wäre).

[Marc Haber]

Hans CraueI <crauel...@freenet.de> wrote:
>Marc Haber schrieb
>> christian_...@soemtron.de (Christian @Soemtron) wrote:
>>> Mein selbst praktizierter Vorschlag ist, ein separates Handy nur für
>>> diesen Zweck abzustellen. Man kann den TAN-Ramsch für alle Banken darauf
>>> installieren, ohne Sicherheitsbedenken haben zu müssen. WLAN, Bluetooth,
>>> Updates usw. ist darauf deaktiviert. Den Akku habe ich deshalb jetzt min.
>>> 1 Jahr nicht geladen.
>>> Da fand ich 35,- besser angelegt. Mal sehen, wie lange...
>>
>> Mobiltelefone mit Securitysupport kosten auch gebraucht weit mehr als
>> 35 Euro. Android, neu, mit Securitysupport für > 2 Jahre geht bei ~ 90
>> Euro los.
>
>Ich habe genau für diesen Zweck ein altes Samsung, dessen Serien-Android
>ausgestorben ist, aus der Schublade einer Bekannten gezogen, dies mit
>LineageOS auf Android 7-Stand gebracht (was mir in Ermangelung eigener
>Kompetenz in solchen Sachen nur mithilfe einer sehr guten 30-minütigen
>YouTube-Anleitung gelang). Auf dem Gerät habe ich dann drei Bank TAN-Apps
>installiert. Es hat keine SIM-Karte, und WLAN nur an ausgewählten Orten.

Das ist ungefähr so weit von "mit Securitysupport" entfernt wie Olaf
Scholz von medienpräsent. Außerdem wundere ich mich dass die
Banking-Apps bei LineageOS nicht sofort auf stur schalten und die
Arbeit verweigern.

[Georg Schwarz]

Marc Haber <mh+usene...@zugschl.us> wrote:

> Ah, darauf willst Du raus. Die Auktion, die ich ursprünglich meinte,
> ist wohl inzwischen abgelaufen.

dafür gibt's jetzt folgendes:

https://www.ebay.de/itm/255381234172

[Hans CraueI]

Marc Haber schrieb

> Hans CraueI wrote:
>> Ich habe genau für diesen Zweck ein altes Samsung, dessen Serien-Android
>> ausgestorben ist, aus der Schublade einer Bekannten gezogen, dies mit
>> LineageOS auf Android 7-Stand gebracht (was mir in Ermangelung eigener
>> Kompetenz in solchen Sachen nur mithilfe einer sehr guten 30-minütigen
>> YouTube-Anleitung gelang). Auf dem Gerät habe ich dann drei Bank TAN-Apps
>> installiert. Es hat keine SIM-Karte, und WLAN nur an ausgewählten Orten.
>
> Das ist ungefähr so weit von "mit Securitysupport" entfernt wie Olaf
> Scholz von medienpräsent.

Was bedeutet "mit Securitysupport" hier? Übersetzen kann ich es, aber
eine Suche findet keine genauere Definition. An welchen Zugriffspunkten
ist Fehlen von "Securitysupport" in diesem Sinne ein Sicherheitsrisiko?

> Außerdem wundere ich mich dass die Banking-Apps bei LineageOS nicht
> sofort auf stur schalten und die Arbeit verweigern.

Das sind keine "Banking-Apps". Sie dienen nur der TAN-Generation.
Dieses LineageOS scheint sich als Android 7.1.2 auszugeben.

Zugang zu einer Bank würde ich mit einem derartigen Gerät nicht
unternehmen wollen, auch nicht mit einem neueren.

Hans

[Stefan Schmitz]

Am 14.02.2022 um 00:21 schrieb Martin Gerdes:
> georg....@freenet.de (Georg Schwarz) schrieb:

>
>>> Ah, darauf willst Du raus. Die Auktion, die ich ursprünglich meinte,
>>> ist wohl inzwischen abgelaufen.
>
>> dafür gibt's jetzt folgendes:
>
>> https://www.ebay.de/itm/255381234172
>

> Wozu 20 Euro bezahlen für ein Gadget, das mir meine Bank kostenfrei
> zuschickt?

Die DB tut das eben nicht, sondern verlangt 35 Euro.

Ich frage mich allerdings, was für Geräte die Leute da bei ebay
verkaufen. Wer dafür bezahlt hat, wird es selbst brauchen. Kostenlose
will die Bank wieder zurück. (Hat zumindest Noris vor Versand geschrieben.)

[Marc Haber]

Stefan Schmitz <ss...@gmx.de> wrote:
>Ich frage mich allerdings, was für Geräte die Leute da bei ebay
>verkaufen. Wer dafür bezahlt hat, wird es selbst brauchen.

Bankwechsel oder umstieg auf die App.

[Marc Haber]

Hans CraueI <crauel...@freenet.de> wrote:
>Marc Haber schrieb
>> Hans CraueI wrote:
>>> Ich habe genau für diesen Zweck ein altes Samsung, dessen Serien-Android
>>> ausgestorben ist, aus der Schublade einer Bekannten gezogen, dies mit
>>> LineageOS auf Android 7-Stand gebracht (was mir in Ermangelung eigener
>>> Kompetenz in solchen Sachen nur mithilfe einer sehr guten 30-minütigen
>>> YouTube-Anleitung gelang). Auf dem Gerät habe ich dann drei Bank TAN-Apps
>>> installiert. Es hat keine SIM-Karte, und WLAN nur an ausgewählten Orten.
>>
>> Das ist ungefähr so weit von "mit Securitysupport" entfernt wie Olaf
>> Scholz von medienpräsent.
>
>Was bedeutet "mit Securitysupport" hier?

Bekannt gewordene Schwachstellen werden zeitnah geschlossen.

>> Außerdem wundere ich mich dass die Banking-Apps bei LineageOS nicht
>> sofort auf stur schalten und die Arbeit verweigern.
>
>Das sind keine "Banking-Apps". Sie dienen nur der TAN-Generation.

Ich hatte schon eine App, die zu einer elektrischen Zahnbürste gehört,
und die die Arbeit auf einem gerooteten Telefon verweigert hat. Ich
glaube jederzeit daran, dass ein TAN-Generator, wenn er nur von
hinreichend großen Idioten programmiert wurde,d as auch tut.

[Markus Schaaf]

Am 12.02.22 um 11:54 schrieb Marc Haber:

> Dass da jeweils anderes Schlüssel-Init-Material drin sein könnte,
> kommt Dir nicht in die Idee?

Da ist kein "Schlüssel" drin.

[Marc Haber]

Ludger Averborg <ludger_...@web.de> wrote:
>On Sat, 12 Feb 2022 11:54:21 +0100, Marc Haber <mh+usene...@zugschl.us>

>wrote:
>
>>Ludger Averborg <ludger_...@web.de> wrote:
>>>On Thu, 10 Feb 2022 10:19:42 +0100, Marc Haber <mh+usene...@zugschl.us>
>>>wrote:
>>>
>>>>Und meine Frage ist, ob ich den über 30 Euro teuren Generator der
>>>>Deuba kaufen muss oder ob es auch reicht, bei Ebay einen Generator der
>>>>ING oder Coba zu beschaffen.
>>>
>>>Der Generator, den die Deutsche Bank verwendet, ist der
>>>OneSpan DIGIPASS 760. Wenn das bei ebay der ist, würde ich ihn nehmen.
>>
>>Dass da jeweils anderes Schlüssel-Init-Material drin sein könnte,
>>kommt Dir nicht in die Idee?
>

>Wenn ich es richtig verstanden habe, wird das Schlüsselmaterial doch erst bei
>der Intitialisierung (aus dem Init Brief der Bank) geladen.

Es könnte doch sein dass ein Teil des Schlüsselmaterials schon auf dem
Gerät drauf ist. Das scheint aber niemand zu wissen, sonst wäre dieser
Thread mit dem zweiten Posting vorbei gewesen.

Grüße
Marc

[Marc Haber]

christian_...@soemtron.de (Christian @Soemtron) wrote:
>Marc Haber <mh+usene...@zugschl.us> schrieb:

>> Mobiltelefone mit Securitysupport kosten auch gebraucht weit mehr
>> als 35 Euro. Android, neu, mit Securitysupport für > 2 Jahre geht
>> bei ~ 90 Euro los.
>

>Der "Securitysupport" meines gebrauchten 30EUR-TAN-Handys reicht für
>meinen Bedarf zumindest völlig aus.

Ich kann halt nicht in Familie, Bekannten- und Arbeitskreis predigen
dass man ein Mobiltelefon, das seit einem Jahr keine Updates mehr
bekommen hat, ersetzen sollte, wenn ich das selbst nicht auch lebe,
und zwar konsequent. ICH kann die Gefährdung beurteilen, jemand
anders, der das nachmacht, vermutlich nicht.

[Stefan Schmitz]

Am 14.02.2022 um 23:20 schrieb Martin Gerdes:
> Stefan "Schmitz" <ss...@gmx.de> schrieb:

>> Ich frage mich allerdings, was für Geräte die Leute da bei ebay
>> verkaufen. Wer dafür bezahlt hat, wird es selbst brauchen. Kostenlose
>> will die Bank wieder zurück. (Hat zumindest Noris vor Versand geschrieben.)
>

> Mal angenommen, ein Smartphonehysteriker beschafft sich ein solches
> Gerät, damit ihm niemand Böses während der Tan-Generation ins Smartphone
> kriechen kann. Mit den Jahren merkt er, daß er sein Smartphone schneller
> bei der Hand hat als das Tamagotchi. Also legt er es in die Ecke und
> nutzt fürderhin doch das Smartphone. Das ungenutzte Gerät verkauft er.
> Wie will die Norisbank davon Wind bekommen?

Sie bekommt Wind davon, dass er es bei Rückforderung nach Kontokündigung
nicht zurückschickt.

[Markus Müller]

Am 14.02.22 um 09:31 schrieb Marc Haber:

> Hans CraueI <crauel...@freenet.de> wrote:
>> Marc Haber schrieb
>>> Hans CraueI wrote:
>>> Außerdem wundere ich mich dass die Banking-Apps bei LineageOS nicht
>>> sofort auf stur schalten und die Arbeit verweigern.
>>
>> Das sind keine "Banking-Apps". Sie dienen nur der TAN-Generation.
>
> Ich hatte schon eine App, die zu einer elektrischen Zahnbürste gehört,
> und die die Arbeit auf einem gerooteten Telefon verweigert hat. Ich
> glaube jederzeit daran, dass ein TAN-Generator, wenn er nur von
> hinreichend großen Idioten programmiert wurde,d as auch tut.

Eine Zahnbürsten-App? Au wei.
Wie auch immer, mit Lineage-OS funktionieren die Consors-App, die
Consors-TAN-Generator-App und die ING-Diba-App (die macht Banking und
TAN in einem).