Sicherheit wenn die App in der Hosentasche alles kann - Banken mit extra TAN Apps?

Bernd123

Falls du ein Samsung-Gerät nutzt, könntest du die ING-App durch Verwendung des "sicheren Ordners" zusätzlich schützen und tarnen. D.h.

- einen verschlüsselten, vom Hauptnutzer nicht zugänglichen "sicheren Ordner" erstellen.

- dem Ordner ein komplexes Passwort geben, dass unmöglich zu merken ist, Aufschließen nur damit erlauben

- ING-App darin neu installieren

- in alter ING-App Berechtigung für ein weiteres Gerät erteilen

- in neuer ING-App Zugang des "Altgerätes" entfernen

- alte ING-App Cache und Daten löschen, alte App deinstallieren

- "Sicheren Ordner" tarnen durch anderes Icon und harmlosen Namen

Wenn dann die Echtzeitüberweisung etabliert ist, spielen sich dann die Horror-Kriminalgeschichten im Haus des Überfallopfers ab….

Für diejenigen die ständig überfallen und ausgeraubt werden:

Bei iOS 18 gibts eine Funktion bei der man Apps „verstecken“ kann. Nur mit Face ID wird dann dieser „ausgeblendete Ordner mit Apps“ sichtbar und die App lässt sich öffnen.

Ich frage mich auch über welche Wahrscheinlichkeit wir hier reden? Wenn ich solch Sendungen wie Aktenzeichen XY schaue, dann wird da hauptsächlich von Fällen berichtet, wo jemand ausgeraubt wird (Bargeld, Schmuck). So einen Fall das jemand bedroht wird um auf der Banking App Überweisungen freizugeben habe ich da noch nie gesehen. Scheint also generell in DE nicht sehr oft zu passieren.

Das Sicherheitsproblem sitzt oft vor dem Smartphone, PC, ChipTan Generator mithilfe von Phishing + Social Engineering. Oft machen es manche Leute den Betrügern auch einfach, indem sie für alle Konten inkl. Banking DAS Gleiche Kennwort und die gleiche PIN für Smartphone Entsperrung und AppPin in der Banking App verwenden. Oder Leute die z.B. auf Android oder Windows jede App und jedes Programm installieren was nicht „bei drei auf dem Baum ist“. Es soll auch Leute geben, die ihre „AppPin“ offensichtlich in der U-Bahn oder S-Bahn eingeben.

War wieder fassungslos als ich so einen schlecht recherchierten Bericht von Marktcheck gesehen habe wo praktisch behauptet wurde, dass das „BestSign“ Verfahren der Postbank Betrügern „einfach so“ erlauben würde Geld von Postbank Kunden weg zu überweisen. Der wahre Grund wird kurz angesprochen (Phishing). Das „Opfer“ ist sich natürlich niemals der Schuld bewusst und tut so als hätte er nichts gemacht.

Zitat von General Ledger

Falls du ein Samsung-Gerät nutzt, könntest du die ING-App durch Verwendung des "sicheren Ordners" zusätzlich schützen und tarnen.

danke für den super Tipp!

das ist ja wohl der beste Ansatz, gleich nach dem bisher schon genannten Verfahren mit getrennten KOnten und getrennter Hardware, wie zB von FinanzPanda erklärt

Zitat von FinanzPanda

- Girokonto für den täglichen Geldverkehr und Notgroschen bei der Comdirect, die Vermögensanlage bei anderen Banken

- Auf dem Handy nur die Comdirect App

Beide Ansätze helfen aber leider Bernd123 nichts, denn auf den hat es ja laut eigenen Worten "jemand abgesehen". Das lese ich so, als ob hier jemand von Bernd's Vermögen weiss und es ihm wegnehmen will. Da hilft es ja nicht, wenn man die App oder das Telefon versteckt, bzw vom Computer getrennt mit sich rumträgt.

Falls das also wirklich ein ernst gemeintes Problem ist, denke ich das einzig der Weg zur Polizei hilft!

Tatsächlich habe ich von so einem Fall, wie Bernd es befürchtet, noch nie gehört. Hier im Forum sind doch die üblichen Verdächtigen, die mich um mein Vermögen erleichtern werden

1. der Bank-Anlage-Investment-Berater

2. der falsche ETF

3. eine zu hohe TER

4. die falsche Asset Allokation

In der Presse wird dann noch von Enkelschockanrufen berichtet und von naiven Anlegern, die ihre Ersparnisse für garantierte 78% jährliche Rendite bei einer Kryptobörse, oder einer Investmentfirma für AI im aussereuropäischen Ausland abgeben.

Das Fazit hatten wir aber auch schon:

Zitat von websgeisti

Das Sicherheitsproblem sitzt oft vor dem Smartphone, PC, ChipTan Generator

Ich glaube nicht dass der TE hysterisch ist, sondern er zeigt hier eine theoritische Situation auf, die unter Sicherheitssicht bei der ING nicht optimal gelöst ist. Ich gebe ihm mit seiner Kritik insofern recht. Denn tatsächlich hängt bei der ING im Ergebnis der Schutz ein zwei Dingen: Besitz und Wissen. Besitz ist der Hardwaretoken Handy, Wissen ist die lediglich fünftstellige numerische PIN. Letztlich läßt sich alles andere mit dieser Kombination ändern. Auch das Referenzkonto, der Hardwaretoken selbst oder die Internet-PIN.

Das Handy könnte einem abgenommen werden. Die fünfstellige PIN kann sich jeder merken. Es wäre einen potentiellen Räuber kaum glaubhaft vermittelbar, dass man seine PIN nicht kennt.

Der verschlüsselte Ordner würde die Anforderung des TE erfüllen, da der zweite Faktor auf Grund seiner Komplexität nicht gemerkt werden kann. Der zweite Faktor wäre an einem anderen Ort. Das schützt vor Überfällen zu Hause natürlich nicht, aber bis so ein Wertpapierdepot ausgeräumt ist, dauert es 2-3 Bankarbeitstage (Verkauf und Gutschrift, Überweisung auf Fremdkonto).

Ich vergaß oben zu ergänzen:

Natürlich darf dafür das Cloud-Backup nicht aktiv sein und eine Wiederherstellung des "sicheren Ordners" über den Samsung-Account muss auch deaktiviert sein.

Ist das Passwort weg/vergessen bleibt der digitale Safe zu und man kann sich nur neue Zugangsdaten bei der Bank besorgen.

Die Sache mit dem überfallen werden ist ja auch, dass es der Gegenseite vor allem wichtig ist, dass es ganz schnell geht.

Auf anekdotischer Basis kann ich von einem damaligen Arbeitskollegen berichten, der dieses Erlebnis auf einer Südafrikareise beim Weg vom Taxistand zum Flughafen aus erster Hand hatte: Nun ist man in fragwürdigen Gegenden als westlicher Reisender durchaus gut beraten lieber mit Karte zu zahlen, das hatte der Kollege auch beherzigt.

Konsequenz: Er hatte ganze 10 Rand an Bargeld nach der Taxifahrt nebst einer VISA-Karte und Perso dabei. Mit dieser gradezu enormen Beute im Gegenwert von etwa 80 Cent scheinen sie dann etwas verdutzt von Ihm abgelassen zu haben. Wenn es hart-auf-hart kommt und jemand eine Handfeuerwaffe in durchaus unangehemer Nähe auf einen richtet, ist man scheinbar sehr froh, den Gangstern etwas bieten zu können, dass ihre Profiterwartung schnell erfüllt.

Ich würde mich für 80 cent nur höchst ungern über den Haufen schießen lassen. Aber ob da zeit für eine Banküberweisung mit TAN ist, ich denke nicht. Bei den erlebnisorientierten Mitmenschen gilt wohl: nur bares ist wahres.

Zitat von General Ledger

Das Handy könnte einem abgenommen werden. Die fünfstellige PIN kann sich jeder merken. Es wäre einen potentiellen Räuber kaum glaubhaft vermittelbar, dass man seine PIN nicht kennt.

Wer seine fünfstellige PIN zu einfach hält oder mehrfach für verschiedenes verwendet, sowie in der Öffentlichkeit (in der Bahn, U-Bahn) diese eingibt (anstelle Biometrische Entsperrung/Freigabe zu verwenden) der ist ein bisschen selbst schuld.

Einfach ein paar Scheine Bargeld als Köder lenken die Bösen Burschen bestimmt schon von deinem Handy ab. Ein Seniorentelefon als zweit Handy hilft bestimmt auch als Abschreckung.

Wenn natürlich an düsteren Orten alles mit seinem hochpreisigem Smartphone gefilmt werden muss klappt das natürlich nicht. Dann kommt der Knüppel auf den Kopp und das Smartphone ist weg.

Ehrlich gesagt habe ich noch nie davon gehört das durch gewalttätige erzwungene Überweisungen ein nennenswerter Schaden entstanden ist.

Aber vielleicht sitze ich ja in meiner Rosaroten Bubbel und hab bisher einfach Glück gehabt.

Zitat von Horst Talski

Ehrlich gesagt habe ich noch nie davon gehört das durch gewalttätige erzwungene Überweisungen ein nennenswerter Schaden entstanden ist.

Ist halt die Frage ob der „typische Kleinkriminelle“ nicht eher an Bargeld oder an Karten interessiert ist. Bei so „erzwungenen“ Überweisungen kann man grundsätzlich oft die zurückholen (zumindest wenn es keine Echtzeitüberweisung) ist.

Zitat von General Ledger

Die fünfstellige PIN kann sich jeder merken. Es wäre einen potentiellen Räuber kaum glaubhaft vermittelbar, dass man seine PIN nicht kennt.

Kein Scherz, ich kenn meine PIN nicht auswendig. Die schlummert in meinem Passwortmanager

Zitat von General Ledger

die unter Sicherheitssicht bei der ING nicht optimal gelöst ist

ich hatte vorher ein Konto/Depot bei comdirect, da ist es meines Erachtens nach nicht besser gelöst. Sind zwar 2 Apps (Konto + TAN Generator), aber das macht die Eingabe unbequemer, aber doch nicht sicherer?

Habe nun übrigens mal den von dir empfohlenen Sicheren Ordner installiert - Grosse Klasse und wirklich einfach zu handhaben.

Und ich habe mir wirklich Mühe gegeben, dem Ding einen unverfänglichen Namen zu geben (=Kochrezepte)

Um dann den einzigen Schönheitsfehler zu finden: wenn ich wissen will, ob jemand einen Sicheren Ordner versteckt hat, gehe ich bloss in seine Fotogalerie, selektiere irgendein Bild und suche nach "Verschieben in Sicheren Ordner" ... diese Option wird natürlich nicht angeboten, statt dessen steht dort nun "Verschieben in Kochrezepte" 🤓

Trotzdem finde ich deinen Vorschlag sehr sinnvoll und leicht zu praktizieren, es wird ja nicht gerade James Bond mein Handy klauen.

Zitat von websgeisti

Ist halt die Frage ob der „typische Kleinkriminelle“ nicht eher an Bargeld oder an Karten interessiert ist.

An die Liste würde ich noch "teure Handys" hängen, weswegen ich ein Samsung 9 nutze, mit Sprung im Display, damacht sich kein Stassendieb die Mühe das Ding mitzunehmen.

Zitat von R. Schonwieder

Um dann den einzigen Schönheitsfehler zu finden: wenn ich wissen will, ob jemand einen Sicheren Ordner versteckt hat, gehe ich bloss in seine Fotogalerie, selektiere irgendein Bild und suche nach "Verschieben in Sicheren Ordner" ... diese Option wird natürlich nicht angeboten, statt dessen steht dort nun "Verschieben in Kochrezepte" 🤓

Du kannst unter Einstellungen -> Sicherheit und Datenschutz -> Sicherer Ordner -> "auf App-Bildschirm hinzufügen" deaktivieren. Dann sind die Kontext-Menüs auch weg. Der Zugang zur App allerdings auch. Selbst in der App-Liste taucht er nicht mehr auf.

Zitat von randyj

Schon mal mit dem Gedanken gespielt zu wechseln, wenn man unzufrieden ist?

Die VR-Bank Hochtaunus hat eine eigene App für die TAN Generierung, parallel dazu geht sogar Chip TAN.

Hat diese Bank aber nicht auch eine "All-in-one"-Banking App? Die dann die "only-TAN"-App überflüssig macht, bzw. deren Funktion mit abdeckt?

Ich denke darum geht es dem TE.

PS:

Die Postbank hat das auch noch genau so. Eine TAN-App, und/oder eine Banking-App, die alles kann.

Zitat von Hoffe

Ich denke darum geht es dem TE.

Also sind wir wieder bei der „gefühlten Sicherheit“. Wer nicht grob fahrlässig handelt, der hat bei jeder deutschen Bank nichts zu befürchten, egal ob diese eine „All in One“-App oder eine „Extra TAN“-App anbietet.

Sollte aus unempfindlichen Gründen ohne Schadsoftware und grob fahrlässigen Verhaltens des Kunden das Konto geleert werden, haftet die Bank zu 100%. Solche Fälle sind mir aber tatsächlich nicht bekannt bei ING, DKB, C24, comdirect und Co.

Und sowas wäre sicherlich SOFORT in der Presse gewesen. Das einzige was bei so „reißerischen Beiträgen von Marktcheck und Co.“ da immer wieder berichtet wird ist „langweiliges“ Phishing, was aber aus „dramaturgischen Gründen“ meist nur am Ende „aufgeklärt“ wird oder nur kurz „angedeutet wird“.

Ich finde die Alles-in-einer-App-Lösung auch nicht toll. Ich halte es aber für sehr unwahrscheinlich, dass die beschriebenen Risiken eintreten. Und selbst wenn, ist es immer noch besser, finanziell erledigt zu sein, als wirklich erledigt. Mit adäquaten Überweisungs- und Abhebelimits lässt sich der Schaden auch begrenzen. Und sicherlich gehen bei der Bank auch irgendwann (Geldwäsche-)Alarmlampen an, wenn plötzlich große Mengen Geld ins Ausland fließen und dein Konto wird gesperrt.

Es gibt Risiken, die sind viel wahrscheinlicher:

• Das Endgerät wird gehackt
• Phishing und Fake-Onlineshops, die den Faktor Mensch als Schwachstelle ausnutzen
• Missbrauch von Kreditkartendaten, die bei einem Onlineshop entwendet wurden

Ist zwar nicht so Hollywood-tauglich, wie eine Entführung mit Folter, aber deutlich wahrscheinlicher. Dementsprechend sollte man sich eher um Gegenmaßnahmen dafür kümmern.

Zitat von Kroetenwanderung

Missbrauch von Kreditkartendaten, die bei einem Onlineshop entwendet wurden

Sowas ist mir vor längerem wirklich mal passiert. Seitdem zahle ich bei Onlineshops - wo immer möglich - per Paypal. Auch wenn ich den Laden eigentlich nicht mag.

Zitat von Kroetenwanderung

Das Endgerät wird gehackt

Ein gezielter Hack ohne Hilfsmittel (Schadsoftware durch den User installiert) bei einem aktuellen Betriebssystem und Software ist sehr teuer. Da musst du erstmal viel Kohle haben oder sehr relevant sein (z.B. Journalist, Politiker) , damit sich das überhaupt lohnt.

Zitat von Kroetenwanderung

Ich finde die Alles-in-einer-App-Lösung auch nicht toll. Ich halte es aber für sehr unwahrscheinlich, dass die beschriebenen Risiken eintreten.

Gewisse Leute hier haben das Risiko mit „Überfallen werden - und Dieb entsperrt alles“ oder der „Hack ohne Hilfsmittel“ als „allgegenwärtig und „kann nur durch „All in One“-Apps passieren hingestellt.

Ich hätte gerne ein paar Beispiele von Berichten wo durch solche Vorfälle Konten leergeräumt worden sind.

Zitat von websgeisti

Ein gezielter Hack ohne Hilfsmittel (Schadsoftware durch den User installiert) bei einem aktuellen Betriebssystem und Software ist sehr teuer. Da musst du erstmal viel Kohle haben oder sehr relevant sein (z.B. Journalist, Politiker) , damit sich das überhaupt lohnt.

Wenn es um gezielte Angriffe geht, dann hast du Recht. Privatpersonen sind eher selten das direkte Ziel von Cyberangriffen. Als "Beifang" werden sie aber gerne von Cyberkriminellen mitgenommen.

Und viele Betriebssysteme sind eben nicht auf dem aktuellen (Patch-)Stand und weisen eine Vielzahl von Sicherheitslücken auf. In Kombination mit einem unbedarften Nutzer kann es da schnell zu einem Sicherheitsvorfall kommen.

Zitat von websgeisti

Ich hätte gerne ein paar Beispiele von Berichten wo durch solche Vorfälle Konten leergeräumt worden sind.

Mir ging es bei der Aufzählung um finanzielle Schäden durch kriminielle Aktivitäten im Allgemeinen. Konto leerräumen ist sicherlich ein seltener und extremer Einzelfall. Meine Aufzählung war auch so gemeint, dass man sich eher auf die kleinen, alltäglichen Fälle fokussieren sollte, statt auf die großen, extrem unwahrscheinlichen Schreckensszenarien.

Abgreifen von Logindaten und Missbrauch mit Zahlungsdaten oder Logins von Onlineshops sind gängige Maschen. Oder auch Betrug bei Kleinanzeigenportalen kommt häufig vor. Davor sollte man sich zu erst schtützen.

Zitat von Kroetenwanderung

Abgreifen von Logindaten und Missbrauch mit Zahlungsdaten oder Logins von Onlineshops sind gängige Maschen. Oder auch Betrug bei Kleinanzeigenportalen kommt häufig vor. Davor sollte man sich zu erst schtützen.

Das ist aber in aller Regel kein „Hacking“ sondern Phishing oft mit Social Engineering.

Beispiele:

„Von DKB“: „Ihr Banking ist gesperrt - Bitte aktualisieren Sie über diesen Link ihr Konto“

„Von DHL“: „Ihr Paket konnte nicht zugestellt werden - Bitte klicken Sie hier um die Daten zu ergänzen“

So nach dem Muster läuft das immer. Da ist kein „Hacking“ nötig.

Das hast Lovescamming vergessen, bei dem man entweder sein Konto freiwillig leerräumt oder gar in der realen Welt seiner/m "Katalogfrau/man" Kontozugriff gibt, wobei das natürlich auch mir Partnern von hier funktioniert.