[DKB] Neues Banking

[Stephan Elinghaus]

Grüß Gott an die werte Leserschaft,

heute erreicht mich eine Mail der DKB, in der ein "neues Banking"
angekündigt wird. Darin steht, daß "vorerst" das bisherige online-
banking per ChipTAN noch möglich sein soll. Aber man soll sich doch
schonmal das "neue Banking" (ausschließlich per App) anschauen und
sich auch gleich anmelden.
Wie lange dieses "vorerst" für ChipTAN gilt, wird leider nicht
verraten.

Scheinbar wird auch hier stillschweigend vorausgesetzt, daß ausnahms-
los jeder Kunde ein Smartphone hat. Und jeder will auch diese tolle
"App" installieren, schon klar.

Warum um alles in der Welt geht jetzt auch die DKB davon aus, daß
ein Gerät, auf welchem der Nutzer praktisch beliebige Software
installieren kann (egal ob beabsichtigt oder nicht) sicherer sein
soll als ein kleines Stück Hardware, welches praktisch nicht
kompromittiert werden kann (TAN-Generator bzw. die Chipkarte selbst)?
Für mich ist ein offenes Gerät wie ein Smartphone als "Banking-
Werkzeug" vollkommen untauglich.

Gibt es noch Banken, die am seit vielen Jahren bewährten (!)
ChipTAN-Verfahren festhalten? Und wieso rennen alle diesen albernen
"Apps" hinterher? Sind die so viel billiger?

--
[place signature here]

[Markus Schaaf]

Am 28.06.23 um 17:39 schrieb Ludger Averborg:

> Gut zu wissen
> Wir arbeiten an einer hardwarebasierten Lösung für das neue Banking. Damit
> kannst du dann zukünftig auch das neue Banking nutzen, ohne eine App
> installieren zu müssen.

Sowas behauptet die INGay auch. Erfahrungsgemäß verschwindet
dieser Hinweis irgendwann, weil bis dahin eh alle (Noch-) Kunden
die App installiert haben, oder man bereit ist, auf den
kläglichen Rest zu verzichten. Das abzuschätzen ist der Sinn
dieser Verzögerungstaktik.

MfG

[Franklin Schiftan]

Nur zur Info - Ausschnitt aus
<https://www.teltarif.de/multibanking-apps-alle-konten-im-blick-mit-einer-app/news/87541.html>:

"Smart­phones sind nicht so anfällig für Schad­soft­ware wie Computer.
Deshalb ist es derzeit sogar sicherer, die Bank­geschäfte auf dem Handy
zu erle­digen als im Browser", sagt Fischer.

.... und tschüss

Franklin

[Thomas H. Weidner]

Am 28.06.2023 um 16:40 schrieb Stephan Elinghaus:

> Gibt es noch Banken, die am seit vielen Jahren bewährten (!)
> ChipTAN-Verfahren festhalten? Und wieso rennen alle diesen albernen
> "Apps" hinterher? Sind die so viel billiger?

Ich bin bei der comdirect, dort gibt es ChipTAN, allerdings nur mit
einem proprietären Gerät, welches rund 30 € kostet. Aber es ist
zumindest ein Offline-Gerät und erzeugt aus dem bunten QR-Code auf dem
Bildschirm eine TAN. Das ReinerSCT Gerät funktioniert hier leider nicht.

[Andreas M. Kirchwitz]

Stephan Elinghaus <210623...@spamgourmet.com> wrote:

> heute erreicht mich eine Mail der DKB, in der ein "neues Banking"
> angekündigt wird. Darin steht, daß "vorerst" das bisherige online-
> banking per ChipTAN noch möglich sein soll. Aber man soll sich doch
> schonmal das "neue Banking" (ausschließlich per App) anschauen und
> sich auch gleich anmelden.
> Wie lange dieses "vorerst" für ChipTAN gilt, wird leider nicht
> verraten.

Inzwischen habe ich es aufgegeben, mich über den TAN-Unsinn
aufzuregen. Ist besser für meinen Blutdruck. Ändern kann ich
nichts, und Kontowechsel bringt nicht viel, weil früher oder
später fast jede Bank ihre TAN-Spielchen treibt. Andererseits
habe ich festgestellt, dass oft groß gedroht wird, aber wenn
genug Kunden bockig sind, bietet die Bank plötzlich andere
Lösungen an oder lässt manchmal einfach alles so, wie es ist.

> Scheinbar wird auch hier stillschweigend vorausgesetzt, daß ausnahms-
> los jeder Kunde ein Smartphone hat. Und jeder will auch diese tolle
> "App" installieren, schon klar.

Alternativen zum Smartphone gibt es fast immer, jedoch ohne
Garantie, dass sie einem gefallen. Smartphone ist manchmal
das kleinere Übel. :-(

> Warum um alles in der Welt geht jetzt auch die DKB davon aus, daß
> ein Gerät, auf welchem der Nutzer praktisch beliebige Software
> installieren kann (egal ob beabsichtigt oder nicht) sicherer sein
> soll als ein kleines Stück Hardware, welches praktisch nicht
> kompromittiert werden kann (TAN-Generator bzw. die Chipkarte selbst)?
> Für mich ist ein offenes Gerät wie ein Smartphone als "Banking-
> Werkzeug" vollkommen untauglich.

Absolute Sicherheit gibt es nicht. Egal was man persönlich
davon hält, die praktische Erfahrung hat gezeigt, dass die
Sicherheit beim Smartphone hoch genug ist für den Alltag.

Habe ich selbst früher anders beurteilt, aber die kleinen
Dinger schlagen sich im Alltag besser als gedacht. Respekt.

> Gibt es noch Banken, die am seit vielen Jahren bewährten (!)
> ChipTAN-Verfahren festhalten? Und wieso rennen alle diesen albernen
> "Apps" hinterher? Sind die so viel billiger?

Viele Banken bieten ChipTAN weiterhin an, jedoch kann sich das
jederzeit ändern. Nur deshalb die Bank zu wechseln, ist das klug?

TAN-Verfahren ändern sich, leider öfter, als einem manchmal
lieb ist, doch so ist es eben, und so sehr ich die alte
Papier-TAN vermisse, die *mir* völlig gereicht hat, doch
wenn ich darauf bestanden hätte, wäre ich heute ohne Konto.

Grüße, Andreas

[Michael Kallweitt]

Stephan Elinghaus <210623...@spamgourmet.com> schrieb:

> Gibt es noch Banken, die am seit vielen Jahren bewährten (!)
> ChipTAN-Verfahren festhalten? Und wieso rennen alle diesen albernen
> "Apps" hinterher? Sind die so viel billiger?

Bislang halten Genossenschaftsbanken und Sparkassen dem
ChipTAN-Verfahren die Treue. In der Außendarstellung werden allerdings
bevorzugt die PushTAN-Apps beworben.


--
michael.kallweitt.art
»Meine Stücke wachsen nicht von vorne nach hinten, sondern von innen nach
außen.« Pina Bausch https://de.wikipedia.org/wiki/Pina_Bausch#Inszenierung

[Wendelin Uez]

> Und wieso rennen alle diesen albernen
> "Apps" hinterher? Sind die so viel billiger?

TAN-Generatoren u.ä. sind vergleichseise teuer, und außerdem nicht geschützt
gegen Fremdbedienung, Smartphones zahlt der Kunde selber, und Apps kann man
leicht erweitern, Hardware nicht.

Wo liegt das Problem? Meine Bank verspricht volle Deckung bei Mißbrauch
durch Dritte und bietet bei Apps leichteren Zugang als über Web-Interface.

Die Tatsache, daß alle mögliche Software aufs Smartphone aufgespielt werden
kann, bedeutet ja noch lange nicht, daß diese Software dann auch alle Daten
abgreifen kann. Die Zeiten sind vorbei. Man kann die Daten mittlerweile so
verschlüsseln, daß tatsächlich nur der sie sehen sprich entschlüsseln kann,
der das auch soll. Alle anderen sehen nur Datenmüll.

Physische Sicherheitsmerkmale beruhen meist auf versecken, aber Daten kann
ruhig jeder sehen, solange er sie nicht entschlüsseln kann.

Das mit den Smartphones ist halt der Lauf der Zeit. Zur Fortbewegung darfst
du auch heute ja auch noch die Pferdekutsche nutzen, nur halt nicht damit
auf die Autobahn. Es gibt kein Recht auf Altmaterial überall.

[Stephan Elinghaus]

Am 2023-06-28 hat Franklin Schiftan geschrieben:

> "Smart­phones sind nicht so anfällig für Schad­soft­ware wie Computer.
> Deshalb ist es derzeit sogar sicherer, die Bank­geschäfte auf dem Handy
> zu erle­digen als im Browser", sagt Fischer.

Das ist so als würde ich sagen, daß eine angelehnte Tür ohne
Schloss deutlich sicherer ist als gar keine.

--
[place signature here]

[Stephan Elinghaus]

Am 2023-06-28 hat Andreas M. Kirchwitz geschrieben:

> Alternativen zum Smartphone gibt es fast immer, jedoch ohne
> Garantie, dass sie einem gefallen. Smartphone ist manchmal
> das kleinere Übel. :-(

Naja, für unwichtige Dienste vielleicht schon. Aber für den Zugriff
auf mein Konto würde ich das eher nicht nutzen wollen.

> Absolute Sicherheit gibt es nicht. Egal was man persönlich
> davon hält, die praktische Erfahrung hat gezeigt, dass die
> Sicherheit beim Smartphone hoch genug ist für den Alltag.

Volle Zustimmung. Aber das ChipTAN-Verfahren ist sehr dicht
dran. Meiner Meinung nach deutlich besser als ein SmartPhone.
Hier gibt's immer wieder Trojaner, die das eingetippte
ausspionieren und/oder MITM-Attacken ermöglichen.
Bei einem dummen Kartenleser ist das technisch praktisch
ausgeschlossen.

> Viele Banken bieten ChipTAN weiterhin an, jedoch kann sich das
> jederzeit ändern. Nur deshalb die Bank zu wechseln, ist das klug?

Nein, vermutlich nicht. Aber ich verstehe halt nicht, warum ein
System, welches sich seit vielen Jahren als extrem sicher heraus-
gestellt hat, durch ein deutlich unsichereres System ersetzt wird.

--
[no signatures left]

[Stephan Elinghaus]

Am 2023-06-28 hat Thomas H. Weidner geschrieben:

> Ich bin bei der comdirect, dort gibt es ChipTAN, allerdings nur mit
> einem proprietären Gerät, welches rund 30 € kostet.

Sowas gibt's auch? Das Gerät, welches ich bei der DKB nutze, ist
beliebig austauschbar.

--
[free signature space for rent]

[Stephan Elinghaus]

Am 2023-06-28 hat Wendelin Uez geschrieben:

> TAN-Generatoren u.ä. sind vergleichseise teuer, und außerdem nicht geschützt

Deutlich preiswerter als ein Smartphone, welches sowieso nur eine
sehr kurze Lebensdauer hat (Stichwort Herstellersupport/Betriebssystem).
Und schützenswert ist ein TAN-Generator nicht. Der kann nichts außer ein
Display ansteuern. Sämtliche "Intelligenz" liegt auf der Chipkarte.

> gegen Fremdbedienung, Smartphones zahlt der Kunde selber, und Apps kann man
> leicht erweitern, Hardware nicht.

Den TAN-Generator habe ich auch selbst bezahlt. Das war's mir allemal
wert.

> Wo liegt das Problem? Meine Bank verspricht volle Deckung bei Mißbrauch
> durch Dritte und bietet bei Apps leichteren Zugang als über Web-Interface.

Ja, solche Sprüche kenne ich. Im Ernstfall wird dann abgewiegelt und
behauptet, es ist alles die Schuld des Nutzers. Solche Fälle sind
bekannt.

> Die Tatsache, daß alle mögliche Software aufs Smartphone aufgespielt werden
> kann, bedeutet ja noch lange nicht, daß diese Software dann auch alle Daten
> abgreifen kann. Die Zeiten sind vorbei. Man kann die Daten mittlerweile so
> verschlüsseln, daß tatsächlich nur der sie sehen sprich entschlüsseln kann,
> der das auch soll. Alle anderen sehen nur Datenmüll.

Kann man glauben - muß man aber nicht. Es vergeht keine Woche, ohne
daß irgendwelche Lücken in einer Software gefunden werden, die als
"sicher" galt.
Mein Vertrauen in einen TAN-Generator bzw. die Chipkarte ist wesentlich
größer als das in eine App.

> Das mit den Smartphones ist halt der Lauf der Zeit.

Leider ist das so, da muß ich zustimmen.

--
[out of signatures error]

[Rupert Haselbeck]

Stephan Elinghaus schrieb:

> Nein, vermutlich nicht. Aber ich verstehe halt nicht, warum ein
> System, welches sich seit vielen Jahren als extrem sicher heraus-
> gestellt hat, durch ein deutlich unsichereres System ersetzt wird.

Möglicherweise ist die Sicht eines einzelnen Kunden ja nicht ganz so
ausschlaggebend wie die Erfahrungen der Banken insgesamt. Man wird
zuversichtlich davon ausgehen können, dass man sich auf Bankseite nicht
ohne Grund mit der Einführung eines neuen, eines anderen Sicherungsweges
befassen würde. Das kostet immerhin eine Menge Geld und birgt einiges an
Risiken.
Nicht alles, was Banken ändern, ist, wie der ein oder andere hier zu
glauben scheint, als reine Schikane gegenüber den Kunden zu sehen.

Um mal konkret zu werden: Welche App welcher Bank ist denn in den
letzten Jahren in der Richtung aufgefallen, dass sie erfolgreich zum
Erstellen falscher oder verfälschter Zahlungsaufträge genutzt wurde?

MfG
Rupert

[Tobias Schuster]

Am 28.06.2023 um 16:40 schrieb Stephan Elinghaus:

> Gibt es noch Banken, die am seit vielen Jahren bewährten (!)
> ChipTAN-Verfahren festhalten? Und wieso rennen alle diesen albernen
> "Apps" hinterher? Sind die so viel billiger?

Leute, die per App unterwegs sind, werden von den Anbietern eingeschätzt
als andere, die am PC sitzen.

Es geht los, dass Internetangebote am mobilen Telefon bisweilen teurer
als am PC-Bildschirm angezeigt werden.

Oder bei den Neobrokern sieht man gerne, dass die Verbindung über eine
App erfolgt.

Dem ersteren Fall liegt die Annahme zu Grunde, dass Leute mit der App
nicht so preissensitiv verschiedene Angebote vergleichen.

Neobroker erhoffen sich durch die Universalpräsenz der App, dass User
schneller mal einen Trade anstoßen.

Setzt man auch im Bankverkehr auf die Unbekümmertheit der Kunden, die am
besten die Bankingsoftware und auch die TAN-Abwicklung auf dem selben
Mobiltelefon betreiben sollen?

2

[Franklin Schiftan]

Offensichtlich hast Du den verlinkten Artikel nicht komplett gelesen.

.... und tschüss

Franklin

[Wendelin Uez]

>> Die Tatsache, daß alle mögliche Software aufs Smartphone aufgespielt
>> werden
>> kann, bedeutet ja noch lange nicht, daß diese Software dann auch alle
>> Daten
>> abgreifen kann. Die Zeiten sind vorbei. Man kann die Daten mittlerweile
>> so
>> verschlüsseln, daß tatsächlich nur der sie sehen sprich entschlüsseln
>> kann,
>> der das auch soll. Alle anderen sehen nur Datenmüll.
>
> Kann man glauben - muß man aber nicht.

Doch, sollte man, wenn man ernsthaft diskutieren will. Die Sicherheit von
Verschlüsselung ist ein mathematisches Problem, kein juristisches und kein
verfahrenstechnisches, d.h. die Verschlüsselung ist sicher, ihre
Implementation möglicherweise nicht.

> Es vergeht keine Woche, ohne
> daß irgendwelche Lücken in einer Software gefunden werden, die als
> "sicher" galt.

Sicher ist nur der eigene Tod. Alles andere ist nur relativ sicher. Die
meisten Lücken, die bei Software gefunden werden, tangieren einen Endnutzer
sowieso nicht. Wenn jemand aufgrund einer neu entdeckten Lücke deine
Banking-App mißbrauchen kann, dann hat deine Bank ein Problem und nicht du,
denn sie verlangt von dir ja genau diese eine Software zu benutzen.

> Mein Vertrauen in einen TAN-Generator bzw. die Chipkarte ist wesentlich
> größer als das in eine App.

Dein Vertrauen ist unberechtigt. Selbstverständlich kann dein TAN-Generator
auch von Dritten mißbraucht werden, es muß nur jemand bei dir einsteigen und
ihn an deinem eigenen PC mißbrauchen, was glaubst du, würde die Bank zu
einer solchen Überweisung sagen, selbst wenn du den Einbruch beweisen
könntest?

[Stephan Elinghaus]

Am 2023-06-29 hat Wendelin Uez geschrieben:

> Dein Vertrauen ist unberechtigt. Selbstverständlich kann dein TAN-Generator
> auch von Dritten mißbraucht werden, es muß nur jemand bei dir einsteigen und
> ihn an deinem eigenen PC mißbrauchen, was glaubst du, würde die Bank zu
> einer solchen Überweisung sagen, selbst wenn du den Einbruch beweisen
> könntest?

Die Wahrscheinlichkeit, daß hier jemand einbricht, meine Zugangsdaten
zum online-Portal der Bank kennt und dazu meine Karte samt TAN-Generator
in die Finger bekommt, stufe ich als praktisch Null ein.

Die Wahrscheinlichkeit, daß jemand mein potentielles Smartphone klaut
oder bei selbstverschuldetem Verlust findet und damit Schindluder
treibt, stufe ich als _wesentlich_ höher ein.

--
[no signatures left]

[Stephan Elinghaus]

Am 2023-06-29 hat Ludger Averborg geschrieben:

> On Thu, 29 Jun 2023 11:21:53 +0200, Stephan Elinghaus
><210623...@spamgourmet.com> wrote:
>
>>Volle Zustimmung. Aber das ChipTAN-Verfahren ist sehr dicht
>>dran. Meiner Meinung nach deutlich besser als ein SmartPhone.
>>Hier gibt's immer wieder Trojaner, die das eingetippte
>>ausspionieren und/oder MITM-Attacken ermöglichen.
>>Bei einem dummen Kartenleser ist das technisch praktisch
>>ausgeschlossen.

> s /dumm/hochintelligent.
> Ich vermute die Rechenleistung auf meiner Girocard ist ungefähr so groß wie die
> der IBM 7040 der AVA (Aerodynamische Versuchsanstalt), auf der ich 1963 meine
> Diplomarbeit gerechnet habe.

Das "dumm" bezieht sich auf den Kartenleser.

[Stephan Elinghaus]

Am 2023-06-29 hat Rupert Haselbeck geschrieben:

> Um mal konkret zu werden: Welche App welcher Bank ist denn in den
> letzten Jahren in der Richtung aufgefallen, dass sie erfolgreich zum
> Erstellen falscher oder verfälschter Zahlungsaufträge genutzt wurde?

Es sind nicht die Apps der Banken. Es sind die Betrüger, die solche
Apps optisch sehr gut nachbauen und sich so Zugang verschaffen.
Sowas kann eine Bank nicht verhindern. Es vergeht kein Tag, an dem
nicht irgendwelche Leute auf genau solche Betrüger hereinfallen.

Daß ein Betrüger ein ChipTAN-Gerät oder eine Karte nachbaut und mir
unterschiebt, halte ich für ausgeschlossen.

--
[place signature here]

[Stephan Elinghaus]

Am 2023-06-29 hat Franklin Schiftan geschrieben:

>>> "Smart­phones sind nicht so anfällig für Schad­soft­ware wie Computer.
>>> Deshalb ist es derzeit sogar sicherer, die Bank­geschäfte auf dem Handy
>>> zu erle­digen als im Browser", sagt Fischer.
>>
>> Das ist so als würde ich sagen, daß eine angelehnte Tür ohne
>> Schloss deutlich sicherer ist als gar keine.
>>
> Offensichtlich hast Du den verlinkten Artikel nicht komplett gelesen.

Offensichtlich hast Du den Unterschied zwischen einer softwarebasierten
und einer hardwarebasierten Authentifizierung nicht verstanden.

--
[place signature here]

[Rupert Haselbeck]

Ludger Averborg schrieb:

> "Wendelin Uez" wrote:
>> Dein Vertrauen ist unberechtigt. Selbstverständlich kann dein TAN-Generator
>> auch von Dritten mißbraucht werden, es muß nur jemand bei dir einsteigen und
>> ihn an deinem eigenen PC mißbrauchen,
>

> Er muss Kenntnis diverser Passwörter haben und muss zusätzlich noch die
> Chipkarte gestohlen haben.

Dasselbe gilt aber doch auch für das Smartphone, auf welchem die App
sitzt. Auch dort benötigst du mehrere Passwörter, um aktiv werden zu können.

Die Sicherung per App ist dem Tamagotchi nebst Chipkarte ein gutes Stück
überlegen.

MfG
Rupert

[Rupert Haselbeck]

Stephan Elinghaus schrieb:

> Am 2023-06-29 hat Rupert Haselbeck geschrieben:
>> Um mal konkret zu werden: Welche App welcher Bank ist denn in den
>> letzten Jahren in der Richtung aufgefallen, dass sie erfolgreich zum
>> Erstellen falscher oder verfälschter Zahlungsaufträge genutzt wurde?
>
> Es sind nicht die Apps der Banken. Es sind die Betrüger, die solche
> Apps optisch sehr gut nachbauen und sich so Zugang verschaffen.
> Sowas kann eine Bank nicht verhindern. Es vergeht kein Tag, an dem
> nicht irgendwelche Leute auf genau solche Betrüger hereinfallen.

Erzähl mal. Wann und wo ist wem bei welcher Bank denn so etwas widerfahren?
Und wie sollte das denn eigentlich möglich sein? Man kann schon mal
nicht so einfach eine App auf anderer Leute Handy installieren. Und
einem Kunden mit einem IQ über dem eines Ziegelsteins würde es
auffallen, wenn die App zwar gleich aussähe, aber die Zugangsdaten, die
Bindung von Handy und App an das Konto etc. plötzlich verschwunden wären

> Daß ein Betrüger ein ChipTAN-Gerät oder eine Karte nachbaut und mir
> unterschiebt, halte ich für ausgeschlossen.

Das magst du so sehen. Aber man muss ja nicht gerade die
unwahrscheinlichsten Betrugswege als Beispiel für vermeintliche
Sicherheit heranziehen.

Warum wohl werden denn die Banken neue Sicherheitsverfahren
implementieren? Weil sie nicht wissen, wohin mit dem Geld? Oder
vielleicht, weil sie sich vor Betrügern schützen wollen? Immerhin ist es
ja zumeist ein Problem der Bank und nicht des Kunden, wenn Geld vom
Konto abfließt, ohne dass der Kunde dazu einen gültigen Auftrag erteilt hat.

MfG
Rupert

[Franklin Schiftan]

Das wird's sein ... ;-) ... und deswegen ist mir - im Gegensatz zu
irgendwelchen anderen Leuten - diesbezüglich in den letzten 70 Jahren
auch noch nichts passiert ...

.... und tschüss

Franklin

[Wendelin Uez]

> Die Wahrscheinlichkeit, daß hier jemand einbricht, meine Zugangsdaten
> zum online-Portal der Bank kennt und dazu meine Karte samt TAN-Generator
> in die Finger bekommt, stufe ich als praktisch Null ein.
>
> Die Wahrscheinlichkeit, daß jemand mein potentielles Smartphone klaut
> oder bei selbstverschuldetem Verlust findet und damit Schindluder
> treibt, stufe ich als _wesentlich_ höher ein.

Dem ist nicht so.

Was beim Browser-Zugang TAN-Generator und Karten-PIN ist, ist beim
Smartphone der Zugang zum Smartphone und die PIN der Bank-App.

Durch den Klau des Smartphones ist die Bankverbindung eben nur dann
kompromittiert, wenn sowohl Smartphone als auch Bank-App ungesichert wären.

Wenn jemand ein Smartphone klaut oder auch nur findet, dann hat er nur eine
sehr kleine Anzahl an Versuchen (meist nur drei) um den Zugang zum
Startbildschirm zu erhalten. Danach blockt das Handy und benötigt die PUK
zum Entsperren.

Sollte der glückliche Finder oder erfolgreiche Taschendieb diese Schwelle
zufällig geknackt haben, dann muß er immer noch die Banking-App starten und
sich dort ebenfalls durch eine PIN autorisieren. Auch diese kann i.d.R. nur
dreimal eingegeben werden bevor die App zusperrt.

Den Verlust des Smartphones und die daraufhin erfolgende Sperrung des Kontos
(24/7 via 0 116 116) läßt dem Unhold üblicherweise weit weniger Zeit als ein
Einbruch während einer auch nur stundenweisen Abwesenheit.

[Andreas Quast]

Am Fri, 30 Jun 2023 10:06:21 +0200 schrieb Stephan Elinghaus:
> Das "dumm" bezieht sich auf den Kartenleser.

und versuche mal auf dem Kartenleser oder der Chipkarte einen Trojaner zu
installieren.

Das Problem beim smartphonebasierten Banking ist doch die Vielzahl der
Apps, die neben dem banking darauf installiert werden, die 24/7-Offenheit
der Geräte zum Netz und der Datenhunger / die Cloudwut der OS-Hersteller.

Nicht gesprochen haben wir von den Installationsaufwänden für die banking-
Apps beim Kauf einer neuen smartwanze.

aq

[Markus Schaaf]

Am 04.07.23 um 13:51 schrieb Andreas Quast:

> und versuche mal auf dem Kartenleser oder der Chipkarte einen Trojaner zu
> installieren.

Zuhause? Lohnt nicht. Der Skimmer im Supermarkt schafft mehrere
hundert Karten am Tag. Hört man jedoch in letzter Zeit nicht viel
von. Weiß jemand warum? Werden die Fälle nicht kommuniziert, um
die Akzeptanz der Karten nicht zu gefährden?

MfG

[Stephan Elinghaus]

Am 2023-06-30 hat Wendelin Uez geschrieben:

> Wenn jemand ein Smartphone klaut oder auch nur findet, dann hat er nur eine
> sehr kleine Anzahl an Versuchen (meist nur drei) um den Zugang zum
> Startbildschirm zu erhalten. Danach blockt das Handy und benötigt die PUK
> zum Entsperren.

Nö - das bezieht sich nur auf die SIM, und selbst dort muß es aktiviert
sein. Das Handy selbst kennt keine PUK.
Und ich kenne persönlich Leute, die ihr Handy komplett ohne jede
Bildschirmsperre verwenden.

> Sollte der glückliche Finder oder erfolgreiche Taschendieb diese Schwelle
> zufällig geknackt haben, dann muß er immer noch die Banking-App starten und
> sich dort ebenfalls durch eine PIN autorisieren. Auch diese kann i.d.R. nur
> dreimal eingegeben werden bevor die App zusperrt.

Wie bei einer gefundenen Bankkarte. Hier wird eine vierstellige Zahl
als "sicher" definiert. Die Sicherheit besteht einzig und allein darin,
daß die Karte nach drei Fehlversuchen gesperrt wird.
Die Chance, daß jemand einen TAN-Generator hackt ist _WESENTLICH_
niedriger.

> Den Verlust des Smartphones und die daraufhin erfolgende Sperrung des Kontos
> (24/7 via 0 116 116) läßt dem Unhold üblicherweise weit weniger Zeit als ein
> Einbruch während einer auch nur stundenweisen Abwesenheit.

Setzt voraus, daß das Opfer das mitbekommt.

[Stephan Elinghaus]

Am 2023-06-30 hat Rupert Haselbeck geschrieben:

>> Es sind nicht die Apps der Banken. Es sind die Betrüger, die solche
>> Apps optisch sehr gut nachbauen und sich so Zugang verschaffen.
>> Sowas kann eine Bank nicht verhindern. Es vergeht kein Tag, an dem
>> nicht irgendwelche Leute auf genau solche Betrüger hereinfallen.
>
> Erzähl mal. Wann und wo ist wem bei welcher Bank denn so etwas widerfahren?

Hier kommen täglich Dutzende Mails mit Links, daß ich mein "Konto
verifizieren" soll. Rat' mal, wie die Zielseiten aussehen.

> Und wie sollte das denn eigentlich möglich sein? Man kann schon mal
> nicht so einfach eine App auf anderer Leute Handy installieren. Und

Es geht nicht um eine App, es geht um eine Website, die der App
praktisch gleicht wie ein Ei dem anderen. Die überragende Mehrzahl
der Opfer merkt das nicht.

> einem Kunden mit einem IQ über dem eines Ziegelsteins würde es
> auffallen, wenn die App zwar gleich aussähe, aber die Zugangsdaten, die
> Bindung von Handy und App an das Konto etc. plötzlich verschwunden wären

Das sind vermutlich dieselben Kunden, die auch auf "Ich bin von der
Polizei und brauch alle Ihre Wertsachen. Insbesondere das Bargeld
muß ich auf Echtheit überprüfen".
Passiert jeden Tag. Und ich halte es für eine extrem schlechte Idee,
die Opfer zum Täter zu machen und sie schlicht als "zu blöd, selber
schuld" zu bezeichnen.

> Warum wohl werden denn die Banken neue Sicherheitsverfahren
> implementieren? Weil sie nicht wissen, wohin mit dem Geld?

So wie die Geldautomaten, die gesprengt werden? Ganz einfach. Weil
es billiger ist, alles so zu lassen. In Nachbarländern gibt es diese
Art von Kriminalität praktisch nicht mehr, weil die Automaten den
Inhalt unbrauchbar machen. Deshalb kommen sie jetzt hierher. Da
lohnt sich das noch.

--
[place signature here]

[Rupert Haselbeck]

Stephan Elinghaus schrieb:

> Rupert Haselbeck geschrieben:
>>> Es sind nicht die Apps der Banken. Es sind die Betrüger, die solche
>>> Apps optisch sehr gut nachbauen und sich so Zugang verschaffen.
>>> Sowas kann eine Bank nicht verhindern. Es vergeht kein Tag, an dem
>>> nicht irgendwelche Leute auf genau solche Betrüger hereinfallen.
>>
>> Erzähl mal. Wann und wo ist wem bei welcher Bank denn so etwas widerfahren?
>
> Hier kommen täglich Dutzende Mails mit Links, daß ich mein "Konto
> verifizieren" soll. Rat' mal, wie die Zielseiten aussehen.
>
>
>> Und wie sollte das denn eigentlich möglich sein? Man kann schon mal
>> nicht so einfach eine App auf anderer Leute Handy installieren. Und
>
> Es geht nicht um eine App, es geht um eine Website, die der App
> praktisch gleicht wie ein Ei dem anderen. Die überragende Mehrzahl
> der Opfer merkt das nicht.

Gerade eben hast du noch von den Betrügern erzählt, welche angeblich
Apps nachbauen würden. Was denn nun?

>> einem Kunden mit einem IQ über dem eines Ziegelsteins würde es
>> auffallen, wenn die App zwar gleich aussähe, aber die Zugangsdaten, die
>> Bindung von Handy und App an das Konto etc. plötzlich verschwunden wären
>
> Das sind vermutlich dieselben Kunden, die auch auf "Ich bin von der
> Polizei und brauch alle Ihre Wertsachen. Insbesondere das Bargeld
> muß ich auf Echtheit überprüfen".
> Passiert jeden Tag. Und ich halte es für eine extrem schlechte Idee,
> die Opfer zum Täter zu machen und sie schlicht als "zu blöd, selber
> schuld" zu bezeichnen.

Und das hat nun überhaupt nichts mehr mit der Sicherung des
elektronischen Zahlungsverkehrs zu tun

>> Warum wohl werden denn die Banken neue Sicherheitsverfahren
>> implementieren? Weil sie nicht wissen, wohin mit dem Geld?
> So wie die Geldautomaten, die gesprengt werden? Ganz einfach. Weil
> es billiger ist, alles so zu lassen. In Nachbarländern gibt es diese
> Art von Kriminalität praktisch nicht mehr, weil die Automaten den
> Inhalt unbrauchbar machen. Deshalb kommen sie jetzt hierher. Da
> lohnt sich das noch.

Unfug. Wenn es danach ginge, so hätten wir noch immer die unsäglichen
TAN-Listen mit ihren vielfältigen Betrugsmöglichkeiten. Das wäre
wesentlich billiger als die Einführung klügerer, aufwändigerer
Sicherungsverfahren. Allerdings wäre es für die Banken letztlich wohl
doch zu teuer, weil die Bank bekanntlich für den Schaden haftet, wenn
sie ohne Auftrag des Kontoinhabers Geld an den Betrüger schickt


Tja, gerade noch gings übrigens darum, dass du glauben machen wolltest,
böse Betrüger würden täglich tausende von Leuten dadurch betrügen
wollen, dass sie ihnen falsche Apps auf ihr Handy unterschöben.

Jetzt schwadronierst du von völlig anderen Dingen. Ich nehme also an,
dass du eingesehen hast, dass eine App auf dem Smartphone als
Sicherungsmedium unschlagbar ist.

MfG
Rupert

[Rupert Haselbeck]

Stephan Elinghaus schrieb:

> Wendelin Uez geschrieben:
>> Wenn jemand ein Smartphone klaut oder auch nur findet, dann hat er nur eine
>> sehr kleine Anzahl an Versuchen (meist nur drei) um den Zugang zum
>> Startbildschirm zu erhalten. Danach blockt das Handy und benötigt die PUK
>> zum Entsperren.
>
> Nö - das bezieht sich nur auf die SIM, und selbst dort muß es aktiviert
> sein. Das Handy selbst kennt keine PUK.
> Und ich kenne persönlich Leute, die ihr Handy komplett ohne jede
> Bildschirmsperre verwenden.

Du kennst aber mit Sicherheit niemanden, der auf einem solchen Handy
eine Banking-App betreibt!

>> Sollte der glückliche Finder oder erfolgreiche Taschendieb diese Schwelle
>> zufällig geknackt haben, dann muß er immer noch die Banking-App starten und
>> sich dort ebenfalls durch eine PIN autorisieren. Auch diese kann i.d.R. nur
>> dreimal eingegeben werden bevor die App zusperrt.
>
> Wie bei einer gefundenen Bankkarte. Hier wird eine vierstellige Zahl
> als "sicher" definiert. Die Sicherheit besteht einzig und allein darin,
> daß die Karte nach drei Fehlversuchen gesperrt wird.

Ja. Und es hat sich herausgestellt, dass das eine gute Lösung ist

> Die Chance, daß jemand einen TAN-Generator hackt ist _WESENTLICH_
> niedriger.

Was soll er daran denn hacken?

>> Den Verlust des Smartphones und die daraufhin erfolgende Sperrung des Kontos
>> (24/7 via 0 116 116) läßt dem Unhold üblicherweise weit weniger Zeit als ein
>> Einbruch während einer auch nur stundenweisen Abwesenheit.
>
> Setzt voraus, daß das Opfer das mitbekommt.

Nein, es ist kaum möglich mit einem verlorenen oder geklauten Handy an
das Konto des Opfers zu kommen

MfG
Rupert

[Andreas M. Kirchwitz]

Andreas Quast <bu3ro...@fr33n3t.de> wrote:

> Am Fri, 30 Jun 2023 10:06:21 +0200 schrieb Stephan Elinghaus:
>> Das "dumm" bezieht sich auf den Kartenleser.
>
> und versuche mal auf dem Kartenleser oder der Chipkarte einen Trojaner zu
> installieren.

Früher gab es die Kartenleser oft kostenlos von der Bank, heute kauft
man die eher von Händlern auf Amazon usw.

Wäre Chip-TAN nicht so eine kleine Nische, hätte da bestimmt schon
jemand was reingebaut, um sich ins Online-Backing reinzuhacken.
Das wäre ein sehr einfacher Angriffsvektor.

> Das Problem beim smartphonebasierten Banking ist doch die Vielzahl der
> Apps, die neben dem banking darauf installiert werden, die 24/7-Offenheit
> der Geräte zum Netz und der Datenhunger / die Cloudwut der OS-Hersteller.

Ja, ein gutes Gefühl hat man nicht dabei, weil auf dem Smartphone
ein Mix besteht aus Spaß und Ernst. Man installiert darauf allerlei
Unsinn zum Vergnügen, aber man macht darüber inzwischen immer öfter
wichtige Dinge, die einem nachhaltig das Leben versauen können,
wenn's doch mal schiefgehen sollte.

Erstaunlicherweise sind Smartphones für Hacker nach wie vor ein
untergeordnetes Angriffsziel geblieben. Ja, auch für Smartphones
gibt es Malware, aber im Vergleich z.B. zum Windows-PC ist das
praktisch bedeutungslos.

> Nicht gesprochen haben wir von den Installationsaufwänden für die banking-
> Apps beim Kauf einer neuen smartwanze.

Definitiv nervig, und da müssen sich Banken noch was überlegen.
Ich scheue inzwischen den Smartphone-Neukauf, weil ich keinen Bock
auf den Umzug solcher Apps habe, die fest ans konkrete Gerät
gebunden sind, so wie Online-Banking das üblicherweise macht.

Natürlich ist so ein Umzug aus guten Gründen mit Hürden verbunden,
sonst wäre es eine Einladung für Hacker, aber jede solcher Apps
kocht ihr eigenes Süppchen. Und das nervt. Besonders nervt es,
wenn das alte Gerät kaputt ist, dann kann man sich beim Umzug oft
nicht selbst helfen.

Vielleicht kommt ja schon bald eine ganz andere TAN-Methode,
die nichts mehr mit dem Smartphone zu tun hat. Alle paar Jahre
wird eine neue TAN-Sau durchs Dorf getrieben, so war es bisher.

Grüße, Andreas

[Stephan Elinghaus]

Am 2023-07-04 hat Rupert Haselbeck geschrieben:

>> Es geht nicht um eine App, es geht um eine Website, die der App
>> praktisch gleicht wie ein Ei dem anderen. Die überragende Mehrzahl
>> der Opfer merkt das nicht.
>
> Gerade eben hast du noch von den Betrügern erzählt, welche angeblich
> Apps nachbauen würden. Was denn nun?

Genau das. Die täglichen Mails "Ihres Konto müssen verifizeren sonst
werden suspendiert Konto". Die Ziele sehen so aus wie offizielle
Apps oder Websites der Banken. Und weil man auf dem Smartphone den
URL oft nur auf explizite Nachforschung angezeigt bekommt, ist es hier
sogar einfacher als am PC.

>> Das sind vermutlich dieselben Kunden, die auch auf "Ich bin von der
>> Polizei und brauch alle Ihre Wertsachen. Insbesondere das Bargeld
>> muß ich auf Echtheit überprüfen".
>> Passiert jeden Tag. Und ich halte es für eine extrem schlechte Idee,
>> die Opfer zum Täter zu machen und sie schlicht als "zu blöd, selber
>> schuld" zu bezeichnen.
>
> Und das hat nun überhaupt nichts mehr mit der Sicherung des
> elektronischen Zahlungsverkehrs zu tun

D.h. wir brauchen überhaupt keine Sicherung mehr. Schließlich ist ja
jeder selbst schuld, wenn er betrogen wird.

> Jetzt schwadronierst du von völlig anderen Dingen. Ich nehme also an,
> dass du eingesehen hast, dass eine App auf dem Smartphone als
> Sicherungsmedium unschlagbar ist.

Nein, habe ich nicht. Ich werde nie verstehen, warum eine Anwendung
auf einem per Definition offenen Gerät sicherer sein soll als ein
wesentlich sichereres System wie ChipTan.

--
[place signature here]

[markus philippi]

Andreas M. Kirchwitz <a...@spamfence.net> wrote:

> Natürlich ist so ein Umzug aus guten Gründen mit Hürden verbunden,
> sonst wäre es eine Einladung für Hacker, aber jede solcher Apps
> kocht ihr eigenes Süppchen. Und das nervt. Besonders nervt es,
> wenn das alte Gerät kaputt ist, dann kann man sich beim Umzug oft
> nicht selbst helfen.

Ist das tatsächlich in der Regel so?
Die meisten werden doch ein zweites Gerät haben auf dem sie die App
installiert haben z.b. bei der ING geht das, und dann ist das
unproblematisch. Defektes Gerät löschen. Neues anlegen.

[Andreas M. Kirchwitz]

Wie kommst Du auf die Idee, "die meisten" betreiben und pflegen
parallel ein zweites Smartphone?

Grüße, Andreas

[Wendelin Uez]

> Offensichtlich hast Du den Unterschied zwischen einer softwarebasierten
> und einer hardwarebasierten Authentifizierung nicht verstanden.

Oh, ein Informatikstudent, der uns über seine Erstsemesterweisheiten
belehren will.

Auch eine knackfeste Hardware nützt dir leider rein gar nichts, wenn sie gar
nicht erst geknackt werden muß, sondern bspw. schon mit einer auf eine
einfache aber illegale Art und Weise erlangten Kontokarte bestens
funktioniert.

So wie eine hochgesicherte Firmen-IT gegen das Login-Passwort auf dem
Postit-Zettel am Bildschirm machtlos ist.

[Wendelin Uez]

> Die Sicherheit besteht einzig und allein darin,
> daß die Karte nach drei Fehlversuchen gesperrt wird.
> Die Chance, daß jemand einen TAN-Generator hackt ist _WESENTLICH_
> niedriger.

Ein bei einem Einbruch aufgefundener TAN-Generator liefert jedem eine TAN,
der die richtige Karte reinsteckt. Der TAN-Generator muß also nicht gehackt
werden, es reicht, versehentlich seine Bankkarte nicht weggesperrt zu haben.

Ein bei einem Einbruch erbeutetes Handy ist da wesentlich widerborstiger,
wenn man die Sicherung nicht gerade wegkonfiguriert hat.

[Stefan Schmitz]

Jedenfalls schaffen sich die meisten ein neues an, bevor das alte den
Geist aufgibt. Wenn dann das neue kaputtgeht, kann man mit dem alten ein
ganz neues aktivieren.

[Andreas M. Kirchwitz]

Stefan Schmitz <ss...@gmx.de> wrote:

>> Wie kommst Du auf die Idee, "die meisten" betreiben und pflegen
>> parallel ein zweites Smartphone?
>
> Jedenfalls schaffen sich die meisten ein neues an, bevor das alte den
> Geist aufgibt. Wenn dann das neue kaputtgeht, kann man mit dem alten ein
> ganz neues aktivieren.

Diese Betrachtung geht aber an der gestellten Frage vorbei, dass die
Aktivierung von Banking-Software besonders übel ist, wenn das bisherige
Gerät eben gerade nicht mehr zur Verfügung steht, beispielsweise ist es
schlicht kaputt, sowas ist ja nicht so ungewöhnlich.

Dass ein Smartphone-Umzug erstrebenswert ist, solange man das frühere
Gerät noch voll betriebsfähig daneben liegen hat, ist ja klar, macht
zwar trotzdem keinen Spaß, aber man kann sich meist selbst helfen.

Es muss auch nicht bei jeder Bank kompliziert sein, aber weil es nicht
einheitlich gelöst ist, steht man eben erst mal dumm da und muss für
jede Bank rausfinden, was da nun aktuell die Prozedur ist und über
Stöckchen springen.

Grüße, Andreas

[Marc Haber]

"Wendelin Uez" <wu...@online.de> wrote:
>> Die Sicherheit besteht einzig und allein darin,
>> daß die Karte nach drei Fehlversuchen gesperrt wird.
>> Die Chance, daß jemand einen TAN-Generator hackt ist _WESENTLICH_
>> niedriger.
>
>Ein bei einem Einbruch aufgefundener TAN-Generator liefert jedem eine TAN,
>der die richtige Karte reinsteckt. Der TAN-Generator muß also nicht gehackt
>werden, es reicht, versehentlich seine Bankkarte nicht weggesperrt zu haben.

Das funktioniert allerdings auch mit einem irgendwo vorhandenen
TAN-Generator, dazu muss man ihn nicht bei einem Einbruch auffinden.

Wir sind darauf trainiert, auf unsere Bankkarten acht zu geben. Eine
verlorene Bankkarte wird dadurch, dass sie auch fürs Onlinebanking
benutzt werden kann, nicht großartig gefährlicher.

>Ein bei einem Einbruch erbeutetes Handy ist da wesentlich widerborstiger,
>wenn man die Sicherung nicht gerade wegkonfiguriert hat.

Das mag richtig sein, dafür ist ein Handy (gerade ein nicht
brandaktuell aktualisiertes Android) auch aus der Ferne ausnutzbar.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Stefan Schmitz]

Am 10.07.2023 um 20:05 schrieb Martin Τrautmann:

> On Sat, 8 Jul 2023 10:46:41 +0200, Stefan Schmitz wrote:
>> Jedenfalls schaffen sich die meisten ein neues an, bevor das alte den
>> Geist aufgibt. Wenn dann das neue kaputtgeht, kann man mit dem alten ein
>> ganz neues aktivieren.
>

> Beweis durch Behauptung?
>
> Dann behaupte ich, das Gegenteil ist der Fall. Erst durch den Ausfall
> des alten Smartphones (Diebstahl, Defekt oder Verloren) hat man die
> Notwendigkeit, sich ein neues Smartphone zu kaufen.
>
> Wer sich ein neues Telefon kauft, während das alte noch funktioniert,
> der hat zuviel Geld.

Das kann man so sehen. Dann haben eben die meisten zuviel Geld.

Der Regelfall ist, dass man bei Abschluss oder Verlängerung eines
Vertrags ein neues Handy bekommt. Darauf verzichtet niemand freiwillig,
weil der Vertrag dieses Handy finanziert. Verkaufen wäre Aufwand.

[Matthias Hanft]

Martin Τrautmann schrieb:

>
> Dann behaupte ich, das Gegenteil ist der Fall. Erst durch den Ausfall
> des alten Smartphones (Diebstahl, Defekt oder Verloren) hat man die
> Notwendigkeit, sich ein neues Smartphone zu kaufen.
> Wer sich ein neues Telefon kauft, während das alte noch funktioniert,
> der hat zuviel Geld.

Es gibt schon noch andere Gründe: Meins (und das meiner Frau) hatten
durchaus noch funktioniert, aber meins hat dauernd gesagt "Speicher
voll", und bei dem von meiner Frau hat sich der Akku aufgewölbt, was
sicher auch nicht so ganz gesund war. Ok, wenn man das beides als
"Defekt" oder "funktioniert nicht mehr" definieren würde, hättest
du recht :-)

Gruß Matthias.

[Matthias Hanft]

Stefan Schmitz schrieb:

>
> Der Regelfall ist, dass man bei Abschluss oder Verlängerung eines
> Vertrags ein neues Handy bekommt. Darauf verzichtet niemand freiwillig,
> weil der Vertrag dieses Handy finanziert. Verkaufen wäre Aufwand.

Das ist heute nach meinen Erfahrungen nicht mehr so. Oder wenn
doch, dann wird die Monatsgebühr teurer (z.B. "Tarif ohne Handy:
30 € / Monat; Tarif mit Handy: 50 € / Monat; Tarif mit Premium-
Handy: 70 € / Monat" oder so ähnlich schon gesehen). Die Zeit
der selbstverständlichen 1-Euro-Handys bei Vertragsverlängerung
ist IMHO vorbei.

Gruß Matthias.

[Wendelin Uez]

> Das mag richtig sein, dafür ist ein Handy (gerade ein nicht
> brandaktuell aktualisiertes Android) auch aus der Ferne ausnutzbar.

Solange meine Bank mir die Sicherheit schriftlich gibt und bei
diesbezüglichen Hacks dafür geradestehen will habe ich nichts dagegen
einzuwenden:

"Falls Dritte Ihre Zugangsdaten zum Onlinebanking missbrauchen, ersetzen wir
Ihren finanziellen Schaden."

Unter Zugangsdaten sind in erster Linie die nicht publizierte PIN zu
verstehen. Die ist auf dem (gefundenen) Smartphone nirgends gespeichert, und
sie könnte höchstens durch eine Keylogger-Software abgefangen werden. Eine
solche ist für Smartphones wesentlich schwieriger zu realisieren als für die
üblichen Windows-Systeme, man munkelt, es gäbe bereits eine solche, aber
wenn dann scheint sie nicht sehr verbreitet zu sein.

Ein Webbrowser am laufenden PC mit Internetverbindung ist dagegen viel
leichter ausnutzbar.

[Rupert Haselbeck]

Wendelin Uez schrieb:

>> Die Sicherheit besteht einzig und allein darin,
>> daß die Karte nach drei Fehlversuchen gesperrt wird.
>> Die Chance, daß jemand einen TAN-Generator hackt ist _WESENTLICH_
>> niedriger.
>
> Ein bei einem Einbruch aufgefundener TAN-Generator liefert jedem eine
> TAN, der die richtige Karte reinsteckt. Der TAN-Generator muß also nicht
> gehackt werden, es reicht, versehentlich seine Bankkarte nicht
> weggesperrt zu haben.

ACK

> Ein bei einem Einbruch erbeutetes Handy ist da wesentlich
> widerborstiger, wenn man die Sicherung nicht gerade wegkonfiguriert hat.

Mit den gängigen Banking-Apps wird auch letzteres aber nichts. Die
widersetzen sich der Nutzung, wenn das Handy über keine Sperre verfügt.
Man kann sie zudem nur starten, wenn das Handy dann auch wirklich
entsperrt ist. Und sie verlangen dann auch noch ihre eigene PIN.
Da schreibt/fälscht man besser einen papierenen Überweisungsauftrag. Das
ist weit erfolgversprechender...

MfG
Rupert

[Wendelin Uez]

> Da schreibt/fälscht man besser einen papierenen Überweisungsauftrag. Das
> ist weit erfolgversprechender...

Unsinn wird durch Wiederholung nicht sinnvoller.

[Rupert Haselbeck]

Wendelin Uez schrieb:

>> Da schreibt/fälscht man besser einen papierenen Überweisungsauftrag.
>> Das ist weit erfolgversprechender...
>
> Unsinn wird durch Wiederholung nicht sinnvoller.

Stimmt! Warum lässt du es also nicht einfach?

MfG
Rupert

[Wendelin Uez]

>>> Da schreibt/fälscht man besser einen papierenen Überweisungsauftrag. Das
>>> ist weit erfolgversprechender...
>>
>> Unsinn wird durch Wiederholung nicht sinnvoller.
>
> Stimmt! Warum lässt du es also nicht einfach?

Dich auf deine unsinnige Wiederholung hinzuweisen?

[Wendelin Uez]

> Nein, habe ich nicht. Ich werde nie verstehen, warum eine Anwendung
> auf einem per Definition offenen Gerät sicherer sein soll als ein
> wesentlich sichereres System wie ChipTan.

Das Smartphone ist keineswegs so offen wie du denkst. Es kann im Gegenteil
die Nachricht, die z.B. vom Bankserver kommt, verschlüsseln und damit dem
Bankserver beweisen, daß die Antwort nicht von irgendeinem, sondern exakt
nur von diesem einen Smartphone kommt.

[Georg Schwarz]

Wendelin Uez <wu...@online.de> wrote:

> Das Smartphone ist keineswegs so offen wie du denkst. Es kann im Gegenteil
> die Nachricht, die z.B. vom Bankserver kommt, verschlüsseln und damit dem
> Bankserver beweisen, daß die Antwort nicht von irgendeinem, sondern exakt
> nur von diesem einen Smartphone kommt.

ist hier statt Verschlüsselung nicht eher Signierung gemeint?
Und mit welchem Schlüsselmaterial wird da signiert? Wie kann der
Bankserver dies jenem einen Telefon zuordnen? Wurde das
Schlüsselmaterial zuvor bei der Bank registriert (z.B. im Rahmen der
Einrichtung einer App)?

[Wendelin Uez]

>> Das Smartphone ist keineswegs so offen wie du denkst. Es kann im
>> Gegenteil
>> die Nachricht, die z.B. vom Bankserver kommt, verschlüsseln und damit dem
>> Bankserver beweisen, daß die Antwort nicht von irgendeinem, sondern exakt
>> nur von diesem einen Smartphone kommt.
>
> ist hier statt Verschlüsselung nicht eher Signierung gemeint?

Sowohl als auch. Eine Bank wird den Datenverkehr mit ihrer App nicht
unverschlüsselt lassen. Und signieren, falls irgendeiner doch entschlüsseln
kann.

> Und mit welchem Schlüsselmaterial wird da signiert? Wie kann der
> Bankserver dies jenem einen Telefon zuordnen? Wurde das
> Schlüsselmaterial zuvor bei der Bank registriert (z.B. im Rahmen der
> Einrichtung einer App)?

Bei der Einrichtung der Bank-App wird das Smartphone quasi mit dem Konto
verheiratet. Natürlich liegen alle relevanten Daten auf dem Server der Bank
und nicht auf dem Smartphone, das ist nur ein dummer Client.

[Ulf Kutzner]

Rupert Haselbeck kasperte am Dienstag, 18. Juli 2023 um 00:10:10 UTC+2:
> Wendelin Uez schrieb:

> > Unsinn wird durch Wiederholung nicht sinnvoller.
> Stimmt! Warum lässt du es also nicht einfach?

Das fragt man sich bei Dir schon lange.

[Markus Schaaf]

Am 12.08.23 um 19:09 schrieb Georg Schwarz:

> Und mit welchem Schlüsselmaterial wird da signiert? Wie kann der
> Bankserver dies jenem einen Telefon zuordnen? Wurde das
> Schlüsselmaterial zuvor bei der Bank registriert (z.B. im Rahmen der
> Einrichtung einer App)?

Ja.