Datenschutz beim Online-Banking

  • Für alle Datenschutznerds hier, könnte dieser Beitrag interessant sein. Dort werden Online-Banking-Angebote verschiedener Banken in Sachen Datenschutz überprüft.


    Für alle, die noch schwanken bei der Entscheidung, welche Finanztip-Empfehlung die subjektiv beste ist für das nächste Girokonto, können die Testergebnisse ein weiteres Kriterium sein.

  • Vielen Dank für die Verlinkung!


    Ich hatte mir häufig auch den Aspekt Datenschutz in Finanztip-Vergleichen gewünscht. Leider wird das nicht sehr beachtet. Aus welchen Gründen auch immer.

    Ich selbst benutze auf dem Smartphone ein alternatives Betriebssystem (e/os), die in ihrem Appstore ein Punktesystem von 0 bis 10 für Apps als ersten Richtwert integriert haben. Da kann man auch sehen, was viele Bankenapps so mit sich schleppen...bei Banken vor allem Neobanken.


    Als zweiten Faktor fänd ich auch bei einem Girokonto einen Yubikey nicht schlecht, besonders bei mobiler Nutzung. Weiß jemand, ob es das bei Banken schon gibt? (phys. Faktor sind ja bisher meist Tan-Generatoren oder Smartphone??)


    Vielen Dank nochmals ArminL.

  • Ich würde es auch sehr begrüßen, wenn etablierte und übergreifend nutzbare 2fa-Varianten von den Banken genutzt werden würden (fido2, totp...) anstatt das jede Bank ihre eigene App braucht.

    Aber ich fürchte das ist den Banken nicht erlaubt.

    Zum Einen weil es nicht in dem sorgsam bürokratisch ausformulierten Text steht, zum anderen aber weil dort keine transaktionsbezogene Info angezeigt werden kann (Betrag, Ziel-IBAN...).


    Ich persönlich würde lieber auf die Info verzichten und dafür ein etabliertes Verfahren benutzen mit einer von mir für vertrauenswürdig gehaltenen Lösung, aber so ist es eben.

  • Online banking ist ja so einfach gewesen.

    Jetzt ist es durch die 2-Faktor-Systeme immer weiter umständlicher. 8)


    Gut finde ich bei meiner Hausbank (Sparda) die Secure-App auf dem Computer.

    ==> Ein Gerät und man kann alles machen.


    Das mit der SMS-TAN geht ja auch noch, aber man braucht immer 2 funktionierende Geräte.

    (wo das so unsicher sein soll, erschließt sich mir nicht unbedingt.)


    Am "blödesten" finde ich´s bei der ING. Entweder PhotoTAN-Generator (Also noch ein Gerät zum Mitnehmen) oder die komplette ING-APP auf dem Handy zum Freigeben der Anmeldung auf dem Computer. (Ich will Finanzen NICHT auf dem Handy machen.)

  • ==> Ein Gerät und man kann alles machen.

    Das sehen viele als Nachteil was die Sicherheit angeht aus naheliegenden Gründen. Ich persönlich sehe das nicht so eng, aber Jeder hat ein anderes Sicherheitsbedürfnis.


    Das mit der SMS-TAN geht ja auch noch, aber man braucht immer 2 funktionierende Geräte.

    (wo das so unsicher sein soll, erschließt sich mir nicht unbedingt.)

    SMS lassen sich abfangen wenn Jemand in Besitz deiner SIM-Karte kommt oder es schafft eine Multi-SIM auf deinen Namen zu bestellen. Ist alles schon passiert.


    Am "blödesten" finde ich´s bei der ING. Entweder PhotoTAN-Generator (Also noch ein Gerät zum Mitnehmen) oder die komplette ING-APP auf dem Handy zum Freigeben der Anmeldung auf dem Computer. (Ich will Finanzen NICHT auf dem Handy machen.)

    Das ist inzwischen Standard, ob es einem gefällt oder nicht. Manche bieten gar keinen TAN-Generator mehr, sondern nur noch die App. Extra-TAN/2FA-Apps sterben aktuell eher aus, vermutlich weil sie von vielen Nutzern als zu umständlich empfunden werden und immer mehr ohnehin Banking mit dem Smartphone machen. Ich fände es auch schöner, wenn man wählen könnte.


    Ich persönlich würde lieber auf die Info verzichten und dafür ein etabliertes Verfahren benutzen mit einer von mir für vertrauenswürdig gehaltenen Lösung, aber so ist es eben.

    Auch wenn ich wie gesagt nicht ganz so das Sicherheitsbedürfnis an dieser Stelle habe, bzw. mir auch die Sicherheit einer App auf dem Smartphone ausreicht, stimme ich dir zu. Das fände ich auch deutlich besser. Zumindest sollte es eine alternative zusätzliche Sicherungsmöglichkeit geben, für alle die das gerne wollen. Insgesamt würde ich mir mehr Flexibilität wünschen was Mehrfaktorauthentifizierung angeht. Mal sehen wie es sich entwickelt. Es hat sich so viel geändert in den letzten 10, 15, 20 Jahren, dass es gut möglich ist, dass sich auch an dieser Stelle noch einiges ändern wird.

  • Ich fürchte der Weg geht zu Aggregatoren, also dritten, die deine Konten abrufen und alles über einer Oberfläche bündeln. Erst "nur" gegen Datensammlung, Nachdem die Abhängigkeit hergestellt wurde dann gehen Abo-Gebühren.


    Es muss für die meisten Menschen immer einfacher werden (vermeintlich) und der Trend zu häufigerem Kontowechsel und einem sehr heterogenen Zahlungsumfeld (SEPA, Kreditkarte, Wallet, Crypto, PayPal...) ist ja bereits absehbar.

    Das wird den Leuten zu kompliziert und man lässt das dann alles Apple oder Google für einen Regeln.


    Finde das nicht gut, aber mich fragt ja keiner. ;)

  • Zitat von Fred_

    Am "blödesten" finde ich´s bei der ING. Entweder PhotoTAN-Generator (Also noch ein Gerät zum Mitnehmen) oder die komplette ING-APP auf dem Handy zum Freigeben der Anmeldung auf dem Computer. (Ich will Finanzen NICHT auf dem Handy machen.)

    Das ist inzwischen Standard, ob es einem gefällt oder nicht. Manche bieten gar keinen TAN-Generator mehr, sondern nur noch die App. Extra-TAN/2FA-Apps sterben aktuell eher aus, vermutlich weil sie von vielen Nutzern als zu umständlich empfunden werden und immer mehr ohnehin Banking mit dem Smartphone machen. Ich fände es auch schöner, wenn man wählen könnte.

    Ok, 2. Gerät (Handy) und da bestätigen durch ´ne App, das geht ja noch....

    aber wie bei ING, die komplette Handy-Banking App drauf, nur um den Computerzugang zu bestätigen, das finde ich blöde.

    Da habe ich die ING-Banking-APP auf dem verlierbaren Handy, da kann man alle banking geschäfte machen.


    Für MICH bedeutet Sicherheit:

    #- Auf Handy keine banking-management-apps.

    (TAN, 2.Faktor-Bestätigung wie SecureGo, Abbuchungshinweise von Visa, etc. wären noch ok.) aber nix mit dem man aktiv was buchen kann.

    #- Banking & Investment nur von COMPUTER (Laptop) über eigenes sicheres Netzwerk.

    (Mag altbacken klingen, aber ich schmeiße auch keine Bank- oder Kreditkartenbelege in öffentliche Mülleimer oder unzerschnetzelt ins Altpapier.)


    SMS lassen sich abfangen wenn Jemand in Besitz deiner SIM-Karte kommt oder es schafft eine Multi-SIM auf deinen Namen zu bestellen. Ist alles schon passiert.

    Wenn dich jemand so ausspioniert, Post abfängt etc., dann kann derjenige auch Fingerabdrücke zum Freigeben nachbilden, oder ein Bild von dir vors Handy halten, damit es ihn dann als/für dich identifiziert.


    Aber das brauchen viele ja garnicht mehr:

    Wenn man alles auf dem Handy hat, dann braucht man nur noch in öffentlichen WLAN Netzen arbeiten und der maninthemiddle freut sich.

  • Da habe ich die ING-Banking-APP auf dem verlierbaren Handy, da kann man alle banking geschäfte machen.

    Dafür müsste man das Handy erstmal überhaupt entsperren können (wissen, oder Besitz fingerbadruck)

    Dafür müsste man auch die Banking pin/Passwort kennen, 2. Faktor wissen.


    Von daher sehe ich das System durchaus als sicher an.


    Wenn man alles auf dem Handy hat, dann braucht man nur noch in öffentlichen WLAN Netzen arbeiten und der maninthemiddle freut sich.

    Zum einen könnte man ein VPN nutzen.

    Zum anderen sind MiM Angriffe dank dessen dass nahezu alle Verbindungen heutzutage verschlüsselt sind nur sehr schwer möglich. Insbesondere wenn man dazu noch DoH nutzt.

    Bei Appel bsp. Über cloudflare https://itunes.apple.com/us/ap…nternet/id1423538627?mt=8

    Nebeneffekt. Bietet auch ein brauchbares VPN kostenfrei mit wenn man möchte.

  • Zum Beitrag von Kuketz:


    Also wenn man Browser Banking macht und - hoffentlich - einen Firefox gut eingerichtet hat oder einen anderen guten Browser verwendet, Brave z.B., dann dürften die Browsertrackingprobleme (Spalte Website) doch gut gelöst sein, oder (Frage an die Runde)?

    Bei mir werden bei der ING und der Commerzbank eben jene genannten Tracker als blockiert angezeigt. Trotzdem stimme ich absolut zu, dass diese gar nicht vorhanden sein sollten!!!


    Zu den Forumsbeiträgen:

    Bei der ING ist es für mich auch eine entweder-oder-Entscheidung. Entweder ich benutze sie als Sparplan-Broker/zukünftig Altersvorsrogedepot (?) und als Back-Up-Rahmenkredit (über den Browser und Tan-Generator und dann kann man den auch zu Hause lassen....) oder mobil mit All-in-one-App, dann aber nur als Freizeitkonto mit wenig Geld und demnächst wero-pay und Echtzeitüberweisung etc.


    Es gibt, soweit ich sehen kann nur wenig gute kostenlose VPNs. Ich denke z.B. an Proton VPN, ansonsten Mullvad VPN. Aber ganz ehrlich, wieviele Leute benutzen einen (guten) VPN überhaupt....

  • Was spricht dagegen sich ein zweites Smartphones anzuschaffen welches man zuhause im Safe lagert und nur damit Online-Banking betreibt?
    Ich verstehe die Aufregung da immer nicht. Den Hardware-Token hat man ja früher auch nicht mit sich rum getragen und man wird ja nicht gezwungen alles auf einem gerät zu machen.

  • Was spricht dagegen sich ein zweites Smartphones anzuschaffen welches man zuhause im Safe lagert und nur damit Online-Banking betreibt?
    Ich verstehe die Aufregung da immer nicht. Den Hardware-Token hat man ja früher auch nicht mit sich rum getragen und man wird ja nicht gezwungen alles auf einem gerät zu machen.

    Die Kosten? Klar gibt es relativ günstige Smartphones. Aber die sollten eben dann auch länger Sicherheitsupdates bekommen, ansonsten sollte man hierauf kein Onlinebanking betreiben. Zudem muss man ein komplexeres Gerät pflegen (Updates, Akkus entladen sich usw.), es kann kaputt gehen usw.


    Ich hatte meinen Sparkassen-Chip-TAN-Generator, den ich damals kostenlos bekommen hab (ich glaub ansonsten waren es 10€) über 10 Jahre im Einsatz, wenn ich mich richtig erinnere. Ich glaub nicht, dass man ein Smartphone für 10€ findet, das 10 Jahre lang mit Sicherheitsupdates funktioniert.


    Aber ja: das ist sicherlich eine Möglichkeit. Ich denke aber, dass sich viele zu viel Stress machen. Wogegen 2FA in erster Linie schützen soll ist ein Angriff von außen, damit man nicht nur mit dem Passwort ins Onlinebanking reinkommt und nicht der Raubüberfall, in dem dich dann Jemand dazu zwingt dir eine Summe zu überweisen. Hat Jemand von so einem Fall eigentlich schon mal gehört? Eventuell greifen hier dann auch Versicherungen (z.B. Hausrat mit entsprechender Raub-Klausel)?


    Übrigens muss in vielen Fällen, wenn du nicht selbst schuld daran bist, auch die Bank im Zweifel haften, soweit ich weiß, wenn Sicherheitsmaßnahmen ausgehebelt werden.


    Jeder muss es selbst wissen. Aber man kann sich nicht vor allen Szenarien schützen. Absolute Sicherheit gibt es nicht. Und wer gerne getrennte Geräte haben möchte, der kann das bei bestimmten Banken und/oder im Zweifel mit einer solchen "zweites Smartphone Variante" umsetzen, wenn einem die Sicherheit so wichtig ist. Für Jeden gibt es eine Lösung.

  • Es gibt, soweit ich sehen kann nur wenig gute kostenlose VPNs. Ich denke z.B. an Proton VPN, ansonsten Mullvad VPN. Aber ganz ehrlich, wieviele Leute benutzen einen (guten) VPN überhaupt....

    Dann binde ich ja wieder - auch wenn der den Inhalt der Kommunikation nicht lesen kann - einen Drittanbieter in meine Unterhaltung mit der Bank ein.


    Wenn ich unterwegs Banking machen müsste - z.B. über ein fremdes WLAN - , würde ich die VPN Funktion meines Heimnetzwerkrouter nutzen. Meinem deutschen ISP traue ich jedenfalls eher, als irgendeinem VPN Anbieter mit Impressum auf einer schönen fernen Insel.

  • Dann binde ich ja wieder - auch wenn der den Inhalt der Kommunikation nicht lesen kann - einen Drittanbieter in meine Unterhaltung mit der Bank ein.

    Das war meinerseits auch nicht dogmatisch gemeint. Man kann/sollte je nach Situation und eigenen Bedürfnissen doch eh selbst entscheiden und überlegen, wem/bzw. auf was man vertraut.

    Als ich 1 Jahr lang im Ausland studierte und das Heimnetzwerk von einem Mitstudenten verwaltet wurde, war für mich klar, dass ich in bestimmten Situationen lieber den von mir gewählten VPN-Anbieter benutze.

  • Thema VPN:

    da2023sche hat es bereits angedeutet. Jede halbwegs aktuelle Fritzbox (und die sind in D ja sehr häufig) kann sehr einfach mit Wireguard konfiguriert werden.

    Kurzanleitung:

    Wireguard auf dem Handy installieren, auf der Fritz Box Oberfläche über Internet-> Freigaben-> VPN (Wireguard) eine neue Verbindung einrichten, QR-Code mit der Wireguard App scannen und fertig.

    Dann kann man (z.b. mit den Android-Schnelleinstellungen) per Klick ein VPN zu seinem Heimnetzwerk aktivieren und alle Verbindungen gehen dann über den häuslichen DSL-Anbieter.

    Das ganze geht ohne extra Gebühren und ohne einen VPN Anbieter Vertrauen zu müssen.

    (Und man kann überall auf Freigaben in Heimnetz zugreifen als wäre man zu Hause).

  • Was spricht dagegen sich ein zweites Smartphones anzuschaffen welches man zuhause im Safe lagert und nur damit Online-Banking betreibt?

    Das zweite Smartfone ist immer leer, wenn es gebraucht wird. So ist bei allen Akkugeräten, die nicht laufend in Gebrauch sind. :)

    Ein 2. aktuelles Smartphone ist eine unnötige Geldausgabe.

    UND der Screen, Tastatur etc. ist einfach zu klein - für ordentliche Nutzung.

    ......... und man wird ja nicht gezwungen alles auf einem gerät zu machen.

    Bei manchen Online Finanzern anscheinend doch, wird immer mehr. Es wollen doch viele "User" auch nur noch die Handys dafür benutzen. (Kennen die keine Computer mehr?)

    Ich will halt meine Bankgeschäfte da machen wo ich zu Hause bin auf ordentlichem Gerät und nicht auf dem Telefonier-, Kamera- und Bilderanzeigegerät. 8) .

  • kann sehr einfach mit Wireguard konfiguriert werden.

    Sofern man keinen coax/vodafone Anschluss& keinen der deutschen Glasfaser oder einen anderen Betreiber der cg-nat verwendet Hat.

    Kennen die keine Computer mehr?

    Es gibt einen großen Personen Kreis die online sind aber keinen eigenen Computer haben, dass sind viele Personen unter 24. und viele ü50. Die haben nur Smartphone und oder Tablet.

  • Wireguard umgeht nicht von sich aus cgnat.


    Ich weis wie es funktioniert und was damit geht. Das letzte Male (ist schon eine Weile her, so oft hab ich mit diesen Anschlüssen nicht zu tun)wie gesagt ging es eben -nicht- ohne eigenen Server, und damit nicht mit Board Mitteln.

    Gut wenn avm etwas daran geändert hat, und ipv6 only als Konfiguration zulässt.