Sicherheit wenn die App in der Hosentasche alles kann - Banken mit extra TAN Apps?

Es gibt pragmatische Lösungsansätze, zum Beispiel die ING App vom "Immer-Dabei-Smartphone" verbannen und statt dessen

• Login am PC oder am Tablet mittels QR Code + QR-Code Lesegerät
• ING App auf einem Tablett oder einem (preiswerten) Zweithandy (bleibt zu Hause) nutzen

Ich für meinen Teil brauche in der Regel KEINEN Zugang zum Depot, wenn ich mal 10 Tage im Urlaub unterwegs bin.

Wobei nicht ganz eindeutig ist, welches Geld er genau bei der ING hat. Er könnte ja auch sein Girokonto bei der ING haben.

Zitat von Bernd123

Es gibt sogar Fälle wo Leute im Ausland betäubt und gefügig gemacht wurden und teils tagelang festgehalten damit diese ihre Konten plündern.

Guantanamo lässt grüßen? Oder war das Mittel-/Südamerika?

Zitat von Bernd123

Entweder mit Gewaltandrohung oder Mittelchen das man es freiwillig macht. Das gibts also wirklich.

Man soll es nicht glauben, auch in D (oder war das NL) wurden schon Foltercontainer gefunden.

Zitat von Bernd123

das sollte auch jedem Angreifer logisch und ersichtlich sein

Die sollen also die Eingenheiten der deutschen Broker kennen?

Ob die Kriminellen in den Ländern überhaupt deutsch sprechen, damit man denen das in der Situation irgendwie klar machen kann? Ich denke wohl eher nicht, am Ende hat man dann zwar noch das Geld auf den Konten aber keine Möglichkeit mehr, es auszugeben.

Wenn Leute es schaffen,, ihre TAN-Listen komplett abzutippen oder auf fragwürdige SMS zu klicken, dann kenne sie auch ihr Passwort auswendig. Ob sie das dann unter Drogeneinfluss noch korrekt benennen können, ist eine andere Frage. Am Ende steht das ein der Passwort-App auf dem Smartphone, die sich dann wieder per Biometrie öffnne lässt.

Zitat von Bernd123

Wie seht ihr das?

Ganz persönlich hasse ich diese 2FA Apps. Mir waren die TAN-Listen für mein Girokonto mehr wie sicher genug, ich habe diese auch nie abgetippt. Jetzt muss ich jedesmal das Smartphone suchen (ich bin zu alt, um das neben meinen Rechner zu legen, wenn ich es außer für sowas zu Hause nicht benötige), entsprerren, die korrekte App öffnen, mich da wieder anmelden oder, je nach App, noch ein PW eingeben. Mal sehen, wie lange ich dazu noch geistig in der Lage sein werden.

Ansonsten kenne ich nicht viele moderne Apps/Broker/Banken:

- Postbank: ich habe noch nie versucht, die Webseite auf einem Mobilgerät aufzurufen, die wohl verfügbare, vollständige Finanz-App habe ich noch nie installiert.

Die 2FA App ist nicht auf meinem Smartphone installiert oder aktiviert, Aktivierung geht seit der Umstellung auf die Deutsche Bank m.W.n. nur noch per Brief an die Heimatadresse.

- Scalable Capital: mein Smartphone ist nicht das Gerät, auf dem die 2FA Funktionalität aktiviert ist. Ohne das zweite Gerät, das bisher nie mit auf Reisen geht, kann ich gewisse Aktionen nicht durchführen. Selbst dann nicht, wenn man mich ansonsten umbringt.

Damit jemand an mein Geld kommt und mir nicht nur finanziellen Schaden zufüht, müsste ich mein Referenzkonto ändern (geht mit der App, ob per 2FA oder ohne, muss man halt probieren) um meine Verkäufe dann aktiv auf dieses neue Referenzkonto zu überweisen. Sowas dauert bei SC ein paar Tage, die ich in der Gewalt der Ganoven sein müsste.

- Renault Bank

Selbiges: die 2FA App läuft nicht auf dem Smartphone, mit dem ich unterwegs bin. Auch da müsste man erst das Referenzkonto ändern oder auch noch meine Girokonto für Tage kapern, um mir das Geld zu klauen.

Bis auf SC brauchen bei 2FA Apps mehr wie nur die (erneute) Authentifizierung auf dem Mobilgerät.

Und wenn ich ehrlich bin: lande ich in den Fängen der Mafia oder sonstiger Ganoven, die mich vor die Wahl stellen: Geld oder Leben, dann würde ich lieber letzteres wählen.

Die Überschrift ist in der Hinsicht etwas verwirrend: wenn dich jemand mit einer vorgehaltenen Waffe "bittet" eine App zu entsperren, wird er dich im zweifelsfall auch bitten eine zweite App zu entsperren, daher eine seperate App bringt erstmal keine Vorteil, wenn man kein zweites Gerät hat.

Aber in dem Szenario ist die Lösung doch ganz einfach: für den Urlaub eine Kreditkarte mit Limit für die Autovermietung etc und dazu ein Zweithandy mit einem "Prepaid"Bankkonto samt Debitkarte. Damit ist man für eigentlich alle Fälle gerüstet und kann das Hauptsmartphone einfach zu Hause lassen.

Kurz gesagt: Es gibt keine absolute Sicherheit.

Sofern du nicht mehrere Mio oder Millarden Euro auf dem Konto hast, wirst du nicht das Ziel von Hackern werden (da man ohne Hilfsmittel wie Schadsoftware erst viel Aufwand reinstecken muss). Wenn das potentielle Opfer nur ein paar Tausend bis vielleicht 100.000 € auf dem Konto hat, dann hat der Hacker damit oft eher „Minus“ gemacht.

Einzig Phishing mit Social Engineering ist die Hauptursache für geleerte Konten. Wer also sein Smartphone-Betriebssystem und die App aktuell hält und regelmäßig sein Kennwort ändert und sein Smartphone mit einem anderen PIN/Passwort absichert als das Banking, sollte wenig „Sicherheitsrisiken“ haben. Man muss natürlich seine Zugangsdaten auch nur auf der echten Website /der echten App eingeben. Also keine Links aus Emails anklicken.

Wenn du also dich „unsicher“ fühlst, hat das nichts mit der Sicherheit oder Unsicherheit der Banking-App zu tun, sondern mit deinem Gefühl. Da man jetzt nicht wirklich Berichte liest von „plötzlich geleerten Konten ohne Phishing“ scheinen die Banking Apps recht sicher zu sein.

Du hast natürlich noch die Option den TAN Generator der ING zu bestellen und alle Freigaben darüber zu machen. Ist aber halt nicht sehr komfortabel und man möchte ja ggfs. doch mal unterwegs sein Konto im Blick behalten oder eine Überweisung tätigen oder handeln.

Zitat von Bernd123

Ich hab die immer dabei, sie werden mit Fingerabdruck, Gesicht oder kurzem Code den ich natürlich kenne geöffnet und zeigen direkt mein Vermögen und man hat auch direkt vollen Zugriff.

schau dir nochmals deine Sicherheitseinstellungen in der ING App an, da kannst du ganz problemlos einstellen, welche Konten oder Depots überhaupt angezeigt werden sollen.

Ausserdem kannst du ausschalten das dein gesamtsaldo über alle konten gezeigt wird.

und schliesslich kannst du auch noch den privatmodus einstellen, so das nach einschalten der app erstmal gar kein saldo für das/die konten angezeigt wird.

einschalten über fingerscan solltest du auch ausschalten, denn für den braucht man im schlimssten fall nur deinen finger, aber dich nicht (hab das mal in einem krimi von Dan Brown gelesen)

wie lange ich aber einem strengen verhör, inklusive waterboarding widerstehe bevor ich meine PIN rausgebe, möchte ich aber auch nicht erst ausprobieren.

Zitat von Bernd123

Wenn man unterwegs ist und es Jemand auf einen abgesehen hat und einen bedroht ist man so finanziell erledigt.

wenn es jemand auf dich abgesehen hat und dich bedroht, ist es egal ob du unterwegs bist. das kann ggf sogar daheim passieren, hier ist zudem die wahrscheinlichkeit höher, dass jemand über dein vermögen bescheid weiss und in dir ein lohnendes ziel erkannt hat.

Zitat von Bernd123

Hätte man aber ein reines Depotkonto bei einer Bank mit lediglich TAN App auf dem Handy müsste man am Computer seinen aufwendigen Login machen den man nicht auswendig kennt und hätte dann noch die TAN App.

also wenn deine räuber nicht komplett blöde sind, wissen die auch, dass du dich über jedes internet cafe irgendwo auf der welt in dein konto/depot einloggen kannst. das klappt nicht nur vom heimischen rechner.

deswegen soll man ja nach solchen aktionen auch immer den cache und die cookies löschen.

Zitat von Bernd123

und das sollte auch jedem Angreifer logisch und ersichtlich sein

hm, in dem milieu kenne ich mich wirklich nicht aus - ich würde da nicht so sehr auf logik und rationalität vertrauen. im worst case, schneiden sie dir ein ohr ab, schicken es einem familienmitglied zu hause und bitten um überweisung von bitcoins, damit sie dich deinem ohr hinterherschicken.

ich denke auch nicht, dass deine befürchtungen bei einer anderen bank oder app besser adressiert würden. also am besten dem vorschlag von mst folgen und ein separates handy/tablett für die banking apps nutzen und zu hause lassen. bzw vor deinem urlaub die app vom handy löschen. 😎

Zitat von Bernd123

Ich hab mein Geld derzeit bei der Ing und war eigentlich auch super zufrieden, auch mit der App, mit der alles super easy geht, aber um so mehr mein Depot wächst um so unsicherer finde ich es.

Ich habe die gleichen Bedenken wie Du, aber Apps sind so supergeilotoll, daß Bedenken alter weißer, per se nicht mehr lernfähiger Männer keine Rolle spielen.

Zitat von Bernd123

Alle Neo Broker haben ja diese Alles-in-eins-Apps, aber ist das nicht total unsicher? Ich hab die immer dabei, sie werden mit Fingerabdruck, Gesicht oder kurzem Code den ich natürlich kenne geöffnet und zeigen direkt mein Vermögen und man hat auch direkt vollen Zugriff.

Ich habe die App für mein Neo-Broker-Depot auf meinem Tablet (das zuhause liegt). Bei jedem Öffnen blökt mich die App an, ich möge doch endlich mal den Fingerabdrucksensor einschalten, das spare die Paßworteingabe. Das Tablet hat aber hardwaremäßig überhaupt keinen Fingerabdrucksensor! Eine gut programmierte App würde das erkennen und sich daraufhin diese saudumme Abfrage sparen.

Das meiste funktioniert mit dieser App auf dem Tablet, aber ab und zu schicken sie mir eine SMS, die wiederum kommt auf dem Handy an

Das ist dann supersicher: Des großen Bildschirms und der Möglichkeit wegen, Kontoauszüge einfach abspeichern zu können, läuft das Banking auf dem PC. Das "vertrauenswürdige Gerät" ist mein Tablet, aber mein Handy brauche ich gelegentlich zusätzlich. Wie ich an mein Depot komme, wenn auch nur eins dieser 3 Geräte kaputt ist, ahne ich nicht. Nach meinem laienhaften Verständnis hat sich mein Hardwarerisiko durch diese Konstellation verdreifacht.

Zitat von Bernd123

Hätte man aber ein reines Depotkonto bei einer Bank mit lediglich TAN App auf dem Handy, müsste man am Computer seinen aufwendigen Login machen, den man nicht auswendig kennt und hätte dann noch die TAN App.

Ich habe für mein Hauptgirokonto ein Tamagotchi in der Schublade liegen und eine TAN-App auf dem Handy, die vielleicht sogar ohne Online-Zugang funktionieren könnte (2 Möglichkeiten).

Wenn ich die Wahl hätte, wäre mir dieses Verfahren für all meine Geldgeschäfte gut genug. Mir wäre sogar die alte iTAN gut genug. Ich fühlte mich damit besser als mit dieser Apperei. Aber das wird nicht wiederkommen, denn Apps sind superoberaffengeil (siehe oben). Ich hoffe, daß die Banken ihre Schnittstellen auf dem PC noch ein Weilchen bereithalten.

Ich möchte noch einen anderen Aspekt einbringen: Ich möchte mich möglichst nicht in allen Dingen von 1 Stück Hardware abhängig machen. Daher lege ich Wert auf einen zweiten Zugangsweg: Bei meinem Hauptgirokonto habe ich den. Das Bankingprogramm läuft auf jedem PC, ich bekomme es auch auf dem Tablet und dem Handy zum Laufen, wenngleich die Bank das eigentlich nicht haben möchte. Der zweite Faktor ist entweder das Tamagotchi oder eben die App auf dem Handy, wobei ich die das nicht bereits zu Einloggen brauche, sondern nur bei Verfügungen. Ich halte meinen Kontostand für nicht so sau-wichtig, daß der zwingend 2FA-gesichert sein muß.

Manche Banken erlauben zwei zweite (oder "vertrauenswürdige") Geräte. Für mich ist das ein Sicherheitsaspekt gegen Handyverlieren oder Hardwareversagen (Hatte ich im letzten Jahr).

Der Mensch, vor dem mein Bankkonto am meisten Angst haben muß, bin ich selber.

Zitat von Bernd123

- Ich hätte gern meine komplexen Login Daten daheim, und mein „TAN“ mobil dabei, so sind sie schon mal getrennt (TAN Generator auch daheim oder extra TAN Handy erfüllt das nicht, da zusammen allein daheim für Einbrecher)

Und du lässt die EC-Karte/PIN (je nachdem welche Bank/Generator) natürlich auch direkt neben dem Generator liegen damit der Einbrecher diese nicht suchen muss. Genauso wie das mögliche extra Handy keine PIN/Fingerabdruck zum entsperren verwendet und keine zweite Pin zum öffnen der App. In der Regel werden Einbrecher nicht die ganze Wohnung durchsuchen, denn je nach Umfang reden wir hier im schlimmsten Fall von ein paar Stunden.

Darf ich davon ausgehen das Achim und der TE einen Bitlocker für die Festplatte verwenden?

Wenn nicht braucht man in Achims Fall ja nur sein Festplatte und das Tamagotchi.

Beim TE würde ich ehrlicherweise ja davon ausgehen, dass er keinen Bitlocker hat, da er sich ja auch die Bankingzugangsdaten nicht merken kann oder möchte.

Im Übrigen wäre es nett von Achim wenn er dem TE sagt bei welcher Bank, denn diese scheint ja genau das zu haben was der TE sucht: eine seperate TAN App. Denn viele Banken haben dies ja inzwischen umgestellt das alles in einer App ist, so zb. die DKB ende letzten Jahres.

Schon mal mit dem Gedanken gespielt zu wechseln, wenn man unzufrieden ist?

Die VR-Bank Hochtaunus hat eine eigene App für die TAN Generierung, parallel dazu geht sogar Chip TAN.

Ich finde das auch problematisch. Handhabe es derzeit so:

- Girokonto für den täglichen Geldverkehr und Notgroschen bei der Comdirect, die Vermögensanlage bei anderen Banken

- Auf dem Handy nur die Comdirect App

- Vermögensanlage habe ich bei der ING (da nutze ich den Photo-Tan Generator) und der Sparkasse (da habe ich gar kein online Banking; bin überhaupt nur zur Sparkasse, weil ich einen Teil des Vermögens ohne online Zugriff halten möchte)

Zitat von Bernd123

Nach einer erneuten Rückfrage mit Bitte um Details und Beantwortung meiner Fragen kam wieder eine Mail, dass es bei Ihnen sicher ist, ohne auf irgendetwas einzugehen.

Stell diemFragen doch mal hier. Vielleicht kann hier die ein oder andere Frage beantwortet werden.

Aber denkst du dicklich die ganze Zeit das du im Urlaub entführt wirst und du gezwungen wirst das alles zu tun ?

Mach in so einem Fall einfach dein Handy kaputt. Dann ist Feierabend mit Onlinebanking.

Zitat von Horst Talski

Mach in so einem Fall einfach dein Handy kaputt.

Dann haben die Entführer keinen Grund mehr, ihm am Leben zu lassen

Aber das Geld ist nicht weg. 😉Zum Glück wird ja nicht jeder Mensch in seinem Leben dreimal ermordet. Einfach mal hoffen das es schon gut geht und Risiken nicht überbewerten. Autofahren ist viel Gefährlicherer. Dabei kommen jedes Jahr fast 3000 Menschen ums Leben.

Ich sehe den Vorteil nicht, keine App zu haben. Nehmen wir an ich habe nur eine TAN App auf dem Smartphone und betreibe Onlinebanking nur am PC.

Denkt ihr das interessiert den bösen Entführer? Der stellt mir einen PC vor die Nase und sagt ich soll mich in Onlinebanking einloggen. Schließlich funktioniert Onlinebanking von jedem beliebigen PC aus.

Hol dir ein günstiges zweites Handy, bspw. ein iPhone SE refurbished, was aktuelles iOS kann. Das legst du zuhause auf den Schreibtisch und installierst alle Banken Apps die du unterwegs nicht brauchst.

Kostet nicht viel, und befreit dich von vielen deiner Sorgen. Quasi wie ein TAN Generator der Marke Apfel.

Zitat von Alex777

Das legst du zuhause auf den Schreibtisch und installierst alle Banken Apps die du unterwegs nicht brauchst.

Dann wird er zuhause überfallen. Hilft auch nicht.

Bankgeschäfte mache ich zuhause am PC, Sparkasse und Onlinebank.

Aktiengeschäfte am Tablet auch zuhause.

Das Handy ist eigentlich nur zum Telefonieren unterwegs da.

Ich bin zu allem Anderen zu alt.

D.

Ich bin dazu übergangen für die inzwischen leider nicht mehr zu vermeidenden Bank-/Finanz-Apps ein ausgemustertes Smartphone zu verwenden. Darauf läuft sonst nichts anderes, liegt zuhause und geht nur über WLAN (keine SIM). D.h. Finanzgeschäfte laufen nur noch damit und ausschließlich am heimischen PC. Vom Prinzip her also nicht viel anders als früher mit TAN-Generator. Im Urlaub verwende ich nur die App des Zweitkontos (ohne Kreditlinie) auf dem normalen Handy. Auf dem Konto ist nur das drauf, was ich evtl. als Puffer für Notfälle brauche. Zugriffe auf Hauptkonten oder Depots sind somit nicht möglich.