Neue DKB Banking App - Sicherheit bei APP PIN

Telephon Banking geht bei vielen Banken auch heute noch.

Zitat

Mir fehlt das Problembewusstsein. Entweder aus Realitätssinn, Naivität oder schlichter Dummheit. Aber ich trage in mir einen guten Optimismus, dass niemand mein Handy an sich nimmt, meinen Handy-Sperrcode entriegelt und meine Banking-PINs von vier Banken entriegelt, um mich arm zu machen, bevor ich die Dinge gesperrt habe.

Hi Tam, ich denke dir fehlt das Problembewusstsein, wobei du ja anscheinend dein Vermögen auf 4 Banken verteilt hast, was die Gefahr natürlich reduziert.

Bezüglich des Problems hier mal ein Link: https://winfuture.de/news,129063.html

Zitad aus dem Artikel, das die Malware beschreibt:

Zitat

Die wichtigste Neuerung von Octo im Vergleich zu den Vorgängern ist dabei eben genau das fortschrittliche Fernzugriffsmodul, mit dem Bedrohungsakteure sogenannte On-Device-Fraud (ODF) durchführen können, indem sie das kompromittierte Android-Gerät aus der Ferne steuern.

Niemand muss dein Handy tatsächlich in der Hand haben, um darauf Zugriff zu bekommen. Und wenn du deinen PIN beim Öffnen der App eingibst, kann er ohne Probleme z.B. per Keylogger abgefangen werden.

Nach dem jetzigen Stand der DKB App könnte jemand dein Konto plündern, wenn dein Handy infiziert ist. Die Sicherheit deines Kontos hängt also nur noch von der Sicherheit deines Handys ab.

Und wie gesagt: Für das Tagesgeld, wo man vielleicht 10k€ geparkt hat, ist mir das ja eher egal. Aber wenn das gesamte Vermögen davon abhängt eben nicht.

Viele Grüße

Zitat von Friederich

Niemand muss dein Handy tatsächlich in der Hand haben, um darauf Zugriff zu bekommen. Und wenn du deinen PIN beim Öffnen der App eingibst, kann er ohne Probleme z.B. per Keylogger abgefangen werden.

Schau mal in den Spiegel, dann weißt Du wer sein Smartphone in der Hand hat!

Zitat von Friederich

..., ich denke dir es fehlt das Problembewusstsein, ...

Zitad aus dem Artikel, das die Malware beschreibt:

In erster Linie muss der Nutzer mal verstehen, dass man nicht JEDE x-beliebige App einfach so auf seinem Gerät installiert.

Das war/ist schon so seit man seinen PC für das Online-Banking nutzt. Warum sollte das auf einem Smartphone anders sein?

Wie ich bereits mehrfach schrieb: Man kann auch ein günstiges Smartphone ausschließlich für Online-Banking nutzen. Da sind dann im Idealfall nur die Banking-App(s) drauf und sonst gar nichts. Wenn das dann noch ausgeschaltet in der verschlossenen Schreibtischschublade liegt ist das auch verdammt sicher.

Klar, dass ist dann nicht so 'komfortabel'. Aber man muss sich halt entscheiden, ob man maximale Sicherheit oder maximalen Komfort haben will.

Zitat von monstermania

Schau mal in den Spiegel, dann weißt Du wer sein Smartphone in der Hand hat!

In erster Linie muss der Nutzer mal verstehen, dass man nicht JEDE x-beliebige App einfach so auf seinem Gerät installiert.

Das war/ist schon so seit man seinen PC für das Online-Banking nutzt. Warum sollte das auf einem Smartphone anders sein?

Wie ich bereits mehrfach schrieb: Man kann auch ein günstiges Smartphone ausschließlich für Online-Banking nutzen. Da sind dann im Idealfall nur die Banking-App(s) drauf und sonst gar nichts. Wenn das dann noch ausgeschaltet in der verschlossenen Schreibtischschublade liegt ist das auch verdammt sicher.

Klar, dass ist dann nicht so 'komfortabel'. Aber man muss sich halt entscheiden, ob man maximale Sicherheit oder maximalen Komfort haben will.

Alles anzeigen

Es ist ja sehr nett, dass du uns hier irgendwelche Workarounds anbietest. Nicht so nett ist, dass du die Nutzer als mehr oder weniger doof darstellst "In erster Linie muss der Nutzer mal verstehen, dass man nicht JEDE x-beliebige App einfach so auf seinem Gerät installiert."

Aber das alles ändert nichts daran, dass die neue DKB APP sicherheitstechnisch ein Rückschritt ist und es inhärent sicherer ist, die Authentifizierung auf zwei verschiedenen und voneinander unabhängigen Geräten durchzuführen.

Zitat von Friederich

Nicht so nett ist, dass du die Nutzer als mehr oder weniger doof darstellst "In erster Linie muss der Nutzer mal verstehen, dass man nicht JEDE x-beliebige App einfach so auf seinem Gerät installiert."

Zeigt leider meine Erfahrung von 20 Jahren als Systemadministrator in diversen Unternehmen. Wenn ich mitbekomme wie die Mitarbeitenden in der Firma teilweise mit Ihren Zugangsdaten umgehen, möchte ich gar nicht wissen, wie es das Sicherheitsbewusstsein mit Ihren privaten Zugangsdaten aussieht.

Ich habe früher auch im Freundes- und Bekanntenkreis den IT-Support 'übernommen'. Das habe ich inzwischen aufgegeben. Denn selbst wenn mal Jemanden erwischt hat, hat man daraus zumeist nichts gelernt!

Wenn man aus eigener Erfahrung gelernt hat, dass man offenbar nur wenig Verständnis von den technischen Zusammenhängen hat, muss man sich halt überlegen ob es unbedingt Online-Banking mit dem Smartphone sein soll.

Justmy2Cent

Zitat von Friederich

Aber das alles ändert nichts daran, dass die neue DKB APP sicherheitstechnisch ein Rückschritt ist und es inhärent sicherer ist, die Authentifizierung auf zwei verschiedenen und voneinander unabhängigen Geräten durchzuführen.

Das wage ich nicht zu beurteilen!

Auch mit der Kombination der 'alten' Apps auf dem Smartphone war Online-Banking kein Problem.

Und wenn es Jemanden gelingt die komplette Kontrolle über das Smartphone zu übernehmen (siehe Dein oben verlinkter Artikel), spielt es dann eine Rolle ob es eine App oder 2 Apps sind?

Eine Erhöhung der Sicherheit wäre einzig eine komplette Trennung der 2. Faktoren (z.B. durch getrennte Hardware).

Zitat von Friederich

Nicht so nett ist, dass du die Nutzer als mehr oder weniger doof darstellst "In erster Linie muss der Nutzer mal verstehen, dass man nicht JEDE x-beliebige App einfach so auf seinem Gerät installiert."

Zitat von monstermania

Zeigt leider meine Erfahrung von 20 Jahren als Systemadministrator in diversen Unternehmen.

Ich habe früher auch im Freundes- und Bekanntenkreis den IT-Support 'übernommen'. Das habe ich inzwischen aufgegeben.

Wenn man aus eigener Erfahrung gelernt hat, dass man offenbar nur wenig Verständnis von den technischen Zusammenhängen hat, muss man sich halt überlegen ob es unbedingt Online-Banking mit dem Smartphone sein soll.

Das wird gern mal genannt, ist aber lebensfremd. Freilich entzieht man sich vielen Gefahren, wenn man die eigene Wohnung nicht verläßt und keinerlei technische Kommunikation tätigt - aber was ist das für ein Leben?

Wer einen Online-Kontozugriff nutzen möchte, und das möchten viele normale Leute, dazu drängen einen auch viele Geldinstitute, wird mehr und mehr auf individuelle Apps verwiesen, die letzlich das Risiko eines Softwareversagens vervielfachen. Hinter so einer proprietären Lösung steckt schlichtweg weniger Programmierer-Manpower als hinter einem öffentlichen Webbrowser. Der ist vor Sicherheitslücken zwar auch nicht sicher, aber diese werden auf deutlich größerer Basis diskutiert und auch angegangen.

Gerade die App der DKB ist in meinen Augen eine unglaubliche Stokelei. Auf mich macht sie einen maximal unprofessionellen Eindruck. Immer mal wieder fällt der Zugriff aus, immer mal wieder funktioniert etwas nicht. Noch immer braucht man zwei verschiedene Apps, weil die als eierlegende Wollmilchsau konzipierte "blaue" App immer noch nicht alles kann. Das kenne ich zumindest in diesem Ausmaß von anderen Geldinstituten nicht. Ich fühle mich da als Beta-Tester mißbraucht, und das in einem Sektor, in dem alles immer nur "Sicherheit! Sicherheit!" schreit.

Ich mache viele, viele Jahre Online-Banking und habe all diese Zeit keine großen Sicherheitsbedenken gehabt. Mit dem inflationären Aufkommen von Apps hat sich das geändert. Ich spüre bei jedem Zugriff, wie die Interfaces ruckeln; ich bekomme das Gefühl der Instabilität nicht los. Ich möchte eigentlich überhaupt nicht, daß sich alle Rechte und Zugangsmöglichkeiten in meinem Smartphone konzentrieren, das mehr und mehr zum single point of failure wird. Aber ich kann dieser Entwicklung nicht ausweichen. Du auch nicht. Niemand kann das, der Teil unserer Gesellschaft sein und bleiben möchte.

Zitat von Achim Weiss

Das wird gern mal genannt, ist aber lebensfremd. Freilich entzieht man sich vielen Gefahren, wenn man die eigene Wohnung nicht verläßt und keinerlei technische Kommunikation tätigt - aber was ist das für ein Leben?

...

Gerade die App der DKB ist in meinen Augen eine unglaubliche Stokelei.

...

Ich mache viele, viele Jahre Online-Banking und habe all diese Zeit keine großen Sicherheitsbedenken gehabt. Mit dem inflationären Aufkommen von Apps hat sich das geändert. Ich spüre bei jedem Zugriff, wie die Interfaces ruckeln; ich bekomme das Gefühl der Instabilität nicht los. Ich möchte eigentlich überhaupt nicht, daß sich alle Rechte und Zugangsmöglichkeiten in meinem Smartphone konzentrieren, das mehr und mehr zum single point of failure wird. Aber ich kann dieser Entwicklung nicht ausweichen. Du auch nicht. Niemand kann das, der Teil unserer Gesellschaft sein und bleiben möchte.

Alls soweit richtig.

Aber ich erlaube mir die Frage zu stellen, ob man denn die DKB App grundsätzlich für das Online-Banking benötigt?

So weit mir bekannt, kann man aktuell auch weiter das 'alte' Online-Banking mit separatem TAN-Generatoren nutzen.

Und zum neuen Online-Banking schreibt die DKB:

"Gut zu wissen

Wir arbeiten an einer hardwarebasierten Lösung für das neue Banking. Damit kannst du dann zukünftig auch das neue Banking nutzen, ohne eine App installieren zu müssen."

Ich finde die neue App auch reichlich besch..en und mir hat die 'alte' Lösung völlig ausgereicht.

Meine Erfahrung:

Die alte WEB-Anwendung ist gut, aber es geht nicht alles (z.B. DebitKarte gegen Auslesen schützen.

Die neue WEB-Anwendung kennt nicht alle Dokumente im Postfach.

Die WEB-Anwendungen synchronisieren sich nicht bzgl. Druck/gelesen der Dokumente und die Kontoauszüge sehen unterschiedlich aus.

Die 2 Android-Apps sind auch nicht funktional gleich.

Die Tan2go App als "Nur-Freigabe" und nicht gleichzeitig zwangsweise auch als Banking-App finde ich super!

Ich finde 4 Anwendungen etwas umständlich.

Ich hätte gerne eine WEB-Banking app und eine reine Freigabe App für android

Gibt es ein anderes

- kostenloses Girokonto

- mit Debitkarte

- kostenlosem weltweitem Auslands-Bargeld Bezug (bis auf fremde Spesen)

- Depot

mit getrennter WEB-Anwendungen und "Nur-Freigabe-App" über Android?

OK, mal ein bisschen was anderes:

Was macht ihr für Bankgeschäfte am Handy?

Also, es muss ja einen Grund geben, dass alle Banken banking-Apps hinfrickeln.

OK, falsche Frage, die Banken wollen mir immer und jederzeit ihre Wünsche abladen und möglichst viel über mich wissen... aber die Dinger werden ja von Kunden angenommen. Wieso?

Ich benutze bei der DKB ausschließlich das alte Banking am PC und habe auf meinem Haupthandy nur Tan2go für die Freigabe (und als Fallback nochmal tan2go auf einem Sicherheitshandy in der Schublade).

Und das reicht mir völlig und erscheint mir hinreichend sicher.

PS; Wenn die DKB ihre Drohungen wahr macht und mich zur All-In-One-Lösung zwingt, weiß ich noch nicht was ich mache.

itschytoo

Stört es Dich nicht, dass jeder Deine Debitcard auslesen kann?

Zum Abschalten brauchte ich die Android App.

Zitat von Mike1304

Stört es Dich nicht, dass jeder Deine Debitcard auslesen kann?

Zum Abschalten brauchte ich die Android App.

Die Antwort könnte z.B. lauten: Ich nutze gar nicht die DKB Debitcard.

Ich habe z.B. eine kostenlose echte KK (GenialCard).

Zitat von Mike1304

itschytoo

Stört es Dich nicht, dass jeder Deine Debitcard auslesen kann?

Zum Abschalten brauchte ich die Android App.

Was bedeutet "Debitcard auslesen"?

Ob es mich stört, dass ich per NFC bezahlen kann?

Ich brauche das nicht (bin Bargeld-Fan), aber ich begrüße es, dass die Menschen die an der Kasse langsam sind dadurch etwas schneller werden.

Ansonsten habe ich einen NFC-Blocker im Portemonnaie, halte aber die Gefahr, dass ich Opfer eines Scimmers auf dem Weihnachtsmarkt werde für eher gering, und die maximale Schadenshöhe von 60 Eur oder so ist überschaubar.

Wenn es Dir darum geht, dass Du immer die Karte in der App deaktivierst und dann vor der Benutzung aktivierst, dann ist das kein usecase für mich. nein.

Und Deine Daten würden so oder so ausgelesen, dieses Umschalten ändert ja überhaupt nichts an der Karte, die hat ja keinen Onlinezugang, das verhindert nur, dass während die Karte deaktiviert ist eine Zahlung über die Karte legitimiert werden kann.

Da kann also jemand "Deine Daten auslesen" und dann abbuchen, wenn Du es gerade nicht deaktiviert hast...

Wenn ich das falsch verstanden habe, was Du meinst, bitte korrigieren.

Ich hab das Auslesen dauerhaft deaktiviert und stecke die Karte halt in den Schlitz, statt sie nur aufzulegen.

Um das Auslesen zu deaktivieren benötigte ich damals die Android App.

Mittlerweile ginge das auch in den neuen WEB-Anwendung und ich könnte die Android App wieder löschen, ABER mittlerweile ist diese zum Login auf der WEB-Anwendung nötig.

Oder würde das nach Löschen der Android-App wieder über die TAN-App gehen?

Zitat von Mike1304

Mittlerweile ginge das auch in den neuen WEB-Anwendung und ich könnte die Android App wieder löschen, ABER mittlerweile ist diese zum Login auf der WEB-Anwendung nötig.

Oder würde das nach Löschen der Android-App wieder über die TAN-App gehen?

M.W. nach aktuell noch nicht.

DKB 'altes' Online-Banking -> Nutzung eines alternativen TAN Verfahrens für 2. Faktor möglich

DKB 'neues' Online Banking -> Nutzung der DKB App für 2. Faktor

Wie ich weiter oben schrieb findet sich folgende Aussage auf der DKB-Homepage:

"Wir arbeiten an einer hardwarebasierten Lösung für das neue Banking. Damit kannst du dann zukünftig auch das neue Banking nutzen, ohne eine App installieren zu müssen."

PS: Meine Karten stecken in einer NFC-sicheren Hülle.

Ich habe aber sowohl die DKB Debit KK als auch meine Hanseatic KK in meinem iPhone hinterlegt und nutze das auch für Kontaktloses bezahlen per Apple-Pay. Ist einfach extrem praktisch, weil ich die KK dann gar nicht dabei haben muss um irgendwas Bargeldlos zu bezahlen.

Zitat von Mike1304

Ich hab das Auslesen dauerhaft deaktiviert und stecke die Karte halt in den Schlitz, statt sie nur aufzulegen.

OK. Aber ich möchte hier nochmal festhalten, dass die Karte von einer App nicht verändert wird. Wie sollte das auch gehen.

Also der NFC-Chip und damit das "auslesen" wird dadurch nicht deaktiviert.

Deaktiviert wird, dass die bank nicht mehr die drahtlose Authentifizierung erlaubt, sondern erfordert, dass die Karte eingesteckt wird.

Mag sein, dass das für Dich das gewünschte ist, aber es wird halt nur eine Konfigurationseinstellung am Server der DKB verändert und nichts an Deiner Karte.

Ok, verstanden, auslesen geht immer noch, nur keine Abbuchung.

Falls mir also jemand mit einem Abbuchungsgerät so nahe käme, würde es helfen.

Meine Daten sind aber offen lesbar.

So Ich habe hier nochmal 1 Frage zwecks neuen DKB Web /Browser Online Banking!!!! 1.Frage das Chip Tan Gerät plus grauer Girokarte weiterhin im Neuen DKB Web/Browser Online Banking nutzbar wie im alten Banking????? 2.Frage lautet das DKB Visa Secure Verfahren im neuen DKB Web/Browser Banking auch über die SMS TAN weiterhin Nutzbar??????

zu 1. kannst Du das ja ausprobieren, da Du Dich aktuell sowohl im alten als auch im neuen banking anmelden kannst.

So lange sich Deine girocard-Version noch mit dem Flicker-TAN-Generator versteht, kannst Du damit auch das manuelle Anmeldeverfahren im neuen webbanking nutzen.

Wenn Du schon einen passenden photo-TAN-Generator hast, fragt Dich das neue banking ja, wie Du Dich anmelden möchtest.

Noch fehlen im neuen banking einige Funktionen oder werden aus dem alten eingespielt. Genießen wir also die Zeit, in der das alte banking noch funktioniert (zuletzt stand auf der Anmeldeseite bis 9/24).

So lange die DKB mir durch die Hintertür nicht doch noch eine smartphone-App aufzwingen will, ist für mich alles noch OK.

zu 2. kann ich nichts beitragen, da ich es seit der Einrichtung nicht genutzt habe. Warum sollte es aber nicht mehr funktionieren? Das neue banking greift ja auch bei anderen Funktionen auf das alte zurück.

Der sukzessive Übergang von alt auf neu ist m.E. zumindest intelligenter gelöst als die Katastrophen, die sich die Postbank dabei geleistet hat.