Sicherheit der ING-App

    Guten Morgen,


    nach langem Überlegen habe ich mich nun entschieden, die 1,5% Gebühren pro Sparrate bei der Consors nicht mehr zu akzeptieren und habe mir ein Depot bei der ING eröffnet, um dort meinen ETF-Sparplan weiterlaufen zu lassen.

    Bei der Consors war ich es gewohnt mich durch 2-Faktor-Authentifizierung anzumelden. Wenn ich mich über einen PC bei der ING anmelden möchte, ist dies auch weiterhin so.

    Bei der App hingegen, kann ich mich ganz einfach mit meinem 5-stelligen PIN anmelden, was ich nicht wirklich sicher finde. Meine Freundin, die schon etwas länger bei der ING ist, hat noch TAN's zugeschickt bekommen. Das Verfahren wird aber scheinbar nach und nach abgestellt.

    Gibt es dort eine Möglichkeit, die App nur als zweiten Faktor zur Authentifizierung/Anmeldung zu nutzen, wie es bei der Consors und vielen anderen Banken der Fall ist? Oder bin ich gerade einfach nur der misstrauische Deutsche und sollte mir weniger Gedanken machen? ^^

    Zitat von Siggili

    Oder bin ich gerade einfach nur der misstrauische Deutsche und sollte mir weniger Gedanken machen? ^^

    Zumindest nicht der einzige. Wegen der fehlenden 2FA hab ich mein Depot wieder vin Scalable weg und auch bei der DKB bereitet mir die neue App, in der Überweisungen ohne TAN freigegeben werden können Bauchschmerzen. Aber insgesamt scheint das wohl eher wenige Leute zu stören :/

    Ich dachte bei der ING könnte man sich für 30€ oder so einen eigenen TAN Generator kaufen und dann halt nur die Website und nicht die App nutzen.

    Allgemein wird es einem aber wohl immer schwieriger gemacht sicheres Banking zu betreiben, weil die meisten Kunden wohl lieber "Komfort" statt Sicherheit wertschätzen.

    Zitat von Siggili

    Gibt es dort eine Möglichkeit, die App nur als zweiten Faktor zur Authentifizierung/Anmeldung zu nutzen, wie es bei der Consors und vielen anderen Banken der Fall ist? ^^

    Gemäß der Definition für "Starke Kundenauthentifizierung" sind die Anforderungen erfüllt, da zwei von drei Sicherheitskriterien verwendet werden:

    - Besitz (das Smartphone)

    - Wissen (PIN)


    Jetzt ist also die Frage: Wie hoch ist die Wahrscheinlichkeit, dass:

    - jemand dein Smartphone entwendet / verwenden kann

    - UND es entsperren kann

    - UND die PIN für deine ING App weiß

    Zitat von lieberjott

    Jetzt ist also die Frage: Wie hoch ist die Wahrscheinlichkeit, dass:

    - jemand dein Smartphone entwendet / verwenden kann

    - UND es entsperren kann

    Auch wenn man es Anno 2022 nicht glauben mag, kenne ich doch einige Personen, deren Smartphone aktuell keine Pin/Fingerabdruck oder Gesichtserkennung aktiviert hat!=O

    Und ja, ist bei allen Bekannten pure Bequemlichkeit!


    PS: Ich hatte früher auch keine PIN zum entsperren auf meinem Mobiltelefon (noch nix mit Smart;)). Mir wurde dann mein Mobiltelefon Abends aus dem Hotelzimmer geklaut während wir beim Essen waren. Am nächsten Morgen bemerkte ich den Verlust und habe dann sofort mein Telefon bzw. die Karte sperren lassen.

    Ich habe dann nach meiner Rückkehr aus dem Urlaub eine 'nette' Telefonrechnung bekommen, da der Dieb das ungesperrte Mobiltelefon sofort nach dem Diebstahl zu mehren ausgiebigen Telefonaten nach Algerien genutzt hat. Und von 20 Uhr abends bis zur Sperrung der Karte am nächsten Morgen waren es einige Stunden.

    Seither nur noch mit PIN bzw. heute mit Fingerabdruck!

    Zitat von monstermania

    Auch wenn man es Anno 2022 nicht glauben mag, kenne ich doch einige Personen, deren Smartphone aktuell keine Pin/Fingerabdruck oder Gesichtserkennung aktiviert hat!=O

    Und ja, ist bei allen Bekannten pure Bequemlichkeit!

    Ja, die gibt es. Oder Android-Phones verwenden, wo es das letzte Update vor x Jahren gab.
    Aber die sollten sich dann besser keine Gedanken um die Sicherheit ihrer Banking App machen.

    Ergänzung zu lieberjott :
    Die App selbst wird noch mit dem Gerät "verheiratet". Also selbst wenn jemand an die PIN kommt kann er nur auf das Konto von den Freigegeben Geräten.

    Also z.B. Datenklau und dann von einem Fremden Gerät das Konto leer Räumen ist nicht so ohne weiteres.


    Und neue Geräte hinzufügen und freischalten kann ich nur mit einem anderen Gerät was freigegeben ist und ich dort den Pin eingebe oder mit der guten alten I-Tan Liste die noch immer Gültig ist aber für den Alltag nicht mehr verwendet wird.


    Im "Normalfall" hat man also sogar ein 3FA Verfahren ;)

    - Besitz Mobilgerät

    - Pin oder Optische Freigabe Mobilgerät

    - Pin Banking

    Ich nutze das Depot der ING seit Mitte des Jahres ausschließlich über die Internetseite mit einem TAN-Generator. Der braucht eine achtstellige PIN, um in Betrieb genommen zu werden und spuckt dann nach Einlesen einer Grafik auf dem Bildschirm eine siebenstellige TAN aus.

    Den TAN-Generator gab es kostenlos bei der Anmeldung. Die drei AAA-Batterien inklusive.

    Hallo zusammen,


    Ich habe jetzt auch ein Depot bei ING eröffnet und den Depotübertag beauftragt. Bei Onvista hatte ich mein Depot ausschließlich über den Webbrowser am PC genutzt. Eine App war gar nicht notwendig.


    Bei der ING habe ich mir nun die Banking App installieren müssen. Die Alternative wäre eine Photo-Tan-Geneeator für ca. 30€ gewesen.


    Grundsätzlich habe ich kein Problem damit eine App auf meinem Handy installiert zu haben, womit ich meine Aktionen am PC zusätzlich durch mein Smartphone freigebe. Es dient ja der Sicherheit meines Depots.


    Die ING Banking App ist leider eine vollwertige App mit der ich alle Aktionen (z.B. Kauf, Verkauf, Überweisung) durchführen kann. Hierfür benötige ich auch nur meine 5 stelligen App-Pin. Was nützt mir die 2FA wenn mein Handy gestohlen wird?


    Des Weiteren stört es mich, dass in der App alle Informationen zum Depot angezeigt werden. Als klassischer buy-and-hold-Anleger würde ich am liebsten ja nur einmal im Jahr ins Depot schauen. Die App auf dem Smartphone, welches man ständig in der Tasche/Hand hat, verleitet natürlich.


    Daher meine Frage, kann man in der App irgendetwas einstellen, damit die App ausschließlich zur Freigabe für den PC genutzt werden kann? Oder muss ich mir, wie ein Boomer, den Tan Generator bestellen? 2024 lässt grüßen!


    Grüße E

    Leider ist bei der ING tatsächlich all-in app.

    Ohne app kannst du nichts machen, ja die app kann alles. Sorry 🤷‍♂️


    Zitat von EXPERTE

    Was nützt mir die 2FA wenn mein Handy gestohlen wird?

    Naja, der zweite faktor nutzt dir, richtig? 🙈 😂

    Das Handy bringt jemanden wenig, wenn er deinen pin nicht kennt 🤷‍♂️

    Zitat von EXPERTE

    ...
    Die ING Banking App ist leider eine vollwertige App mit der ich alle Aktionen (z.B. Kauf, Verkauf, Überweisung) durchführen kann. ...

    ...
    Des Weiteren stört es mich, dass in der App alle Informationen zum Depot angezeigt werden. ...

    ..

    Alles Punkte die mich auch stören. Leider gibt es immer weniger Banken, die neben ihrer vollwertigen Banking-App auch noch eine reine Freigabe-App anbieten.

    :(

    Zitat von Hoffe

    Alles Punkte die mich auch stören. Leider gibt es immer weniger Banken, die neben ihrer vollwertigen Banking-App auch noch eine reine Freigabe-App anbieten.

    :(

    Genossenschaftsbanken (Volks- und Raiffeisenbanken, PSD, Sparda etc.) bieten üblicherweise die SecureGo-App an. Viele unterstützen auch ChipTan-Freigaben.

    Der 2FA soll doch den Zugang sicher machen. Das ist auch der Fall wenn ich für meinen Online Login zusätzlich noch ein zweites Gerät brauche.


    Bei der Volksbank gab es früher eine Banking-App und eine Freigabe-App wobei in den AGBs stand, dass man beide nicht auf dem selben Gerät installieren soll.


    Wenn man jetzt im Besitz meines Handy ist benötigt man nur noch eine 5 stelligen Zahlen PIN. In meinen Augen ist das unsicherer als nur Nutzername+StarkesPasswort im Webbrowser.


    Naja dann werde ich wohl nicht drum Rum kommen und den Tan Generator ordern müssen.

    Zitat von EXPERTE

    Wenn man jetzt im Besitz meines Handy ist benötigt man nur noch eine 5 stelligen Zahlen PIN. In meinen Augen ist das unsicherer als nur Nutzername+StarkesPasswort im Webbrowser.

    Warum soll das unsicherer sein? Du benötigst neben dem Handy noch den Pin für das Handy und dann noch die Pin für die App...sind ja quasi 3 Faktoren

    Zitat von EXPERTE

    Wenn man jetzt im Besitz meines Handy ist benötigt man nur noch eine 5 stelligen Zahlen PIN.

    Ich hoffe das Handy ist auch mit einer Sperre (Pin, Fingerabdruck, etc) gesperrt.

    Dann bräuchte der "Finder" also nicht nur den Pin für die App sondern muss auch erstmal das Handy entsperren.


    Also 3 Faktoren:

    Besitz : Handy

    Wissen : Entsperrung Handy

    Wissen : Pin für App und Auftragsfreigabe

    Mal so daher gesponnen: Jemand hackt mein Handy, zeigt mir zwar meine beabsichtigte Überweisung an, tauscht hintenrum aber die Ziel-IBAN aus. Ich bestätige die Transaktion mit Handy/Entsperrung/PIN. Und schon hänge ich am Fliegenfänger.


    Wenn ich dagegen meine Überweisung mit dem PC-Browser machen muss, und mit dem Handy nur die Freigabe machen kann, müsste der Angreifer PC und Handy synchron hacken. Das wäre schon deutlich schwieriger.

    Es sind allerhand andere Szenarien denkbar, wo es äußerst unvorteilhaft wäre, seinen Kontostand immer bei sich zu haben.


    Bin auch kein Freund von diesen All-in-one-Apps.