Handy weg, meine Finanzielle Sicherheit at risk

    Zitat von fabioso

    Plus eventuelle Zwischenschritte wie ins ISDN einwählen, Bankkarte rausholen und/oder TAN-Generator raussuchen und anschließen ;)

    Und der PC der erstmal 5 Min braucht zum hochfahren, weil Windows XP seine Zeit braucht 🤣

    Zitat von McProfit

    Liebe Forumsfreunde,

    jetzt habt Ihr mir erstmal erklärt mit wie viel Risiken ich schno die ganze Jahre lebe, wenn ich mit meinem Iphon Onlinebanking betreibe. Da könnte mir fast Angst und Bange werden

    Wenn es so eine große Gefahr wäre, dann würde man dauernd von solchen Überfällen lesen. Mir ist nur ein Bericht bekannt, wo ein Bitcoinmillionär und seine Familie von einer Bande beschattet worden sind und erpresst/bedroht. Denken hier manche echt, dass der übliche Taschendieb ein IT-Labor zuhause hat und umfangreiche Hacking-Tools, die unbekannte Sicherheitslücken finden im Betriebssystem? 🤣


    Ich glaube da ist ein PC-Webbrowser im Schnitt die größere Einfallmöglichkeit mit Windows 🥲

    Oje, bei vielen Beiträgen kann man eigentlich nur den Kopf schütteln.

    Fakt ist, dass das 2 Wege verfahren ursprünglich tatsächlich mal so war, dass 2 verschiedene Geräte für Aktionen notwendig waren. Es ist definitiv eine sichere Variante, als alles mit nur einem Gerät zu machen.

    Ich gehe sogar 'schwer' davon aus, dass eine sehr große Anzahl von Nutzern bei dem heutigen 2-Wege Verfahren (also alles auf einem Handy machen) sowohl für den Login der Bank - App(s) das gleiche Passwort auf dem Smarthone haben wie bei der App für Transaktionsfreigaben wie z.B. Secure Go+ App.

    Und wenn ich dann noch lese, dass es welche gibt, die dann jetzt und gleich von irgendwo "unterwegs" Überweisungen durchführen wollen / müssen und man ja (logischerweise) nur sein Handy dabei hat … kann ich zwar grundlegend nachvollziehen, dass es dann einfacher ist, aber in welchem Fall müssen Überweisungen unterwegs sofort ausgeführt werden? Da hat man doch seine Finanzen oder was auch immer Überweisungen angeht nicht wirklich im Griff.

    Letztlich entscheidet jeder, wie er es machen will, was vollkommen in Ordnung ist.

    In der IT ist nichts zu 100% sicher. Allerdings jede kleine Hürde erhöht die Sicherheit und das ist in diesem Fall tatsächlich die Nutzung von 2 vollständig voneinander getrennten Geräten mit unterschiedlichen Login-Daten um eine Aktion durchzuführen.

    Zitat von Stevieboy

    Fakt ist, dass das 2 Wege verfahren ursprünglich tatsächlich mal so war, dass 2 verschiedene Geräte für Aktionen notwendig waren. Es ist definitiv eine sichere Variante, als alles mit nur einem Gerät zu machen.

    Das ist kein Fakt, sondern eine falsche Erinnerung bzw. Interpretation. Selbst deine Wortwahl "2 Wege Verfahren" ist kein etablierter Begriff und beweist damit zusätzlich, dass du komplett auf dem Holzweg bist.

    Es hieß schon immer 2-Faktor-Authentifizierung/Authentisierung und es war nie festgelegt, dass der zweite Faktor auch ein Gerät (ergo Faktor "Besitz") sein muss.

    Zitat von lieberjott

    Das ist kein Fakt, sondern eine falsche Erinnerung bzw. Interpretation. Selbst deine Wortwahl "2 Wege Verfahren" ist kein etablierter Begriff und beweist damit zusätzlich, dass du komplett auf dem Holzweg bist.

    Es hieß schon immer 2-Faktor-Authentifizierung/Authentisierung und es war nie festgelegt, dass der zweite Faktor auch ein Gerät (ergo Faktor "Besitz") sein muss.

    Zu der Zeit, als Online - Banking gekommen ist, hat es noch keinerlei Smartphones gegeben und somit kein Handy, mit dem mehr als telefonieren und SMS schicken / empfangen möglich war. Bei den meisten Banken hat man sogar Zettel mit iTANs für Aktionen geschickt bekommen.

    Da war man tatsächlich auf 2 Geräte "angewiesen" und das ist der eigentliche Ursprung.

    Zitat von Stevieboy

    Zu der Zeit, als Online - Banking gekommen ist, hat es noch keinerlei Smartphones gegeben und somit kein Handy, mit dem mehr als telefonieren und SMS schicken / empfangen möglich war. Bei den meisten Banken hat man sogar Zettel mit iTANs für Aktionen geschickt bekommen.

    Da war man tatsächlich auf 2 Geräte "angewiesen" und das ist der eigentliche Ursprung

    Nur weil man früher eine Papier-TAN Liste und einen PC (2 Geräte) hatte ist es noch lange kein Beweis, dass es damals zwei Geräte sein mussten für eine 2FA. Mal davon abgesehen, gab es beim Banking solche Begrifflichkeiten noch garnicht. Im Gegenteil: Banken mussten beim Online Banking sogar gezwungen werden den Login mit 2FA abzusichern. 😅

    Und offenbar waren die Papier-TAN Listen auch nicht sicherer als die „bösen“ Smartphones heutzutage. Sonst gäbe es diese Listen heute noch.

    Ich finde es schon fast lustig, dass sich hier einige auf den Schlips getreten fühlen, wenn man deren Vorgehensweise nicht für gut empfindet.

    Schaue bitte einfach nochmal in meinen ursprünglichen Beitrag. Da habe ich geschrieben, dass am Ende jeder selbst entscheidet, wie er es machen möchte "was vollkommen in Ordnung ist."

    Am Ende ist und bleibt es aber Tatsache, dass die Nutzung zweier unterschiedlicher Geräte für eine Aktion am Ende ein wenig sicherer ist, als alles von einem aus zu machen.

    Zitat von Stevieboy

    Am Ende ist und bleibt es aber Tatsache, dass die Nutzung zweier unterschiedlicher Geräte für eine Aktion am Ende ein wenig sicherer ist, als alles von einem aus zu machen.

    Und genau das ist keine Tatsache. Wenn Du zwei getrennte Geräte hast und dabei SMS für den zweiten Faktor genutzt wird, dann ist es unsicherer als auf einem Gerät mit aktuellen Verfahren.

    Zitat von Stevieboy

    Fakt ist, dass das 2 Wege verfahren ursprünglich tatsächlich mal so war,

    War es nicht.


    Ansonsten bitte eine entsprechende Quelle nennen.

    Wie Asna bereits richtig schrieb ist zwischen

    2FA

    Und

    MFA

    Zu unterscheiden.


    Ein beliebig austauschbaren PC ist nicht als 2. Faktor zu Werten.

    Auch damals gab es nur ein Gerät, einen tan generator oder eine authentifzierende Karte o.ä. und nicht derer 2 oder eine Kombination davon.

    SMS war ein Beispiel von DAMALS, nicht von heute.

    Heute gibt es deutlich sichere Varianten und da (ich wiederhole mich) ist eine tatsächliche Nutzung von 2 verschiedenen Geräten die sicherere Variante als alles nur von einem aus zu machen.

    Wer das nicht so sieht ... ist halt so. Steinige ich ihn dafür? Nein. Es entscheidet jeder für sich.

    Letztlich hat es keinen Sinn (und daher wird das hier mein letzter Beitrag zu dem Thema sein) auf Dinge zu antworten und seine eigene Sichtweise zu formulieren .. stößt auf Inakzeptanz.

    Habe ich (leider) bei vielen anderen Themen auch schon mitbekommen die ich lediglich gelesen habe und User eine kleine andere Sichtweise auf Themen hatten als der Rest.

    Zitat von Asna

    bäm sicheres 2Fa mit dem verhassten angeblich nicht 2fa konformen unsicheren smarpthone...

    Ich habe in meinem Post beschrieben, wie der Angriff funktioniert. Der Angreifer braucht das Opfer nur zu veranlassen, eine TAN herauszugeben. Dann hat er virtuell das Smartphone entwendet, also sein eigenes Smartphone zum TAN-Generator gemacht. Der Faktor "Besitz" ist weg und "Wissen" in Form von PIN etc. braucht der Angreifer nicht vom Opfer, das erzeugt er sich selbst.

    Der signifikante Unterschied zwischen Smartphone und QR-/Kartenleser als TAN-Generator ist darin begründet, dass der Angreifer faktisch nicht in den Besitz der Karte gelangen kann. Bei einem Smartphone ist das nicht nötig, da wird einfach die Funktionalität auf ein anderes übertragen.

    Gerät ein Handy entsperrt in die falschen Hände, dann kann das katastrophale Folgen haben. Deshalb sollten Handys gut gegen missbräuchliches Entsperren geschützt sein und man sollte sie nicht leichtfertig entsperrt aus der Hand geben.

    Zur Vorbeugung gegen Defekt, Diebstahl oder Verlust meines primären Handys habe ich ein Ersatzhandy, welches bereits zur Authentifizierung (via Password Manager und Authenticator App) und für alle Finanz-Apps freigeschaltet ist. Das ist mir besonders auf Reisen wichtig.

    Wenn man sein Handy gerne mal aus der Hand gibt - zum Telefonieren, nach dem Wetter gucken, Bilder scrollen - ist es erwägenswert, dafür einen Gast-Zugang einzurichten.

    Bei Abgabe von Handys zu Reparaturen den Repair Mode aktivieren. Bei Laptops einen Reparatur-Account ohne Adminrechte einrichten. Alle Daten sollten ohnehin immer verschlüsselt sein (Bitlocker, FileVault, Device Encryption auf Handy). Auf Windows sollten sicherheitsrelevante Daten im Nutzerverzeichnis liegen.

    Zum Entsperren sind heute Face ID und Fingerprint sicherer als kurze numerische PINs. Wischgesten halte ich für zu unsicher. Da man Handys immer auch per PIN (Passcode) entsperren kann, sollte diese mindestens 6-ziffrig sein oder besser (aber umständlicher) ein gutes, langes, leicht einzugebendes Passwort, siehe "Toward better Master Passwords". Handy-PIN (PassCode) und App-PINs sollten unterschiedlich sein. App PINs kann man wie Passwörter in einem Passwortmanager speichern.

    Mit Überwindung der biometrischen Sperre eines Handys ist auch die biometrische Sperre aller Apps (Finanz, Passwort-Manager, Authenticator, Gesundheit, ...) überwunden. Dieses Szenario ist zwar unwahrscheinlich, aber für Banking-Apps kann man erwägen, zumindest die Freigabe von Transaktionen nur per App-PIN zu erlauben. Bei ING kann man die Anmeldung per Biometrie zulassen, aber für Transaktionen PIN-Eingabe fordern - das halte ich für einen guten Kompromiss zwischen Bequemlichkeit und Sicherheit. Bei DKB und der Postbank (BestSign) lässt sich leider nicht getrennt einstellen, ob Biometrie nur für die Anmeldung oder auch für Freigaben genutzt wird.

    Temporär lässt sich die biometrische Authentifizierung von Handys schnell deaktivieren und damit PIN-Eingabe erzwingen: Bei Android über den Lockdown-Button im Power-Menü. Bei iPhones wohl über die Funktion "Notruf SOS". Vorausschauend getan, könnte das gegen biometrische Entsperrung durch Betäubung oder unter Zwang helfen.

    Man kann auf einem Handy, mit welchem man Unterwegs ist, nur die unbedingt unterwegs nötigen Banking-Apps installieren und nur die wirklich nötigen Karten ins Wallet aufnehmen.

    Zum Schutz gegen Angriffe durch manipulierte öffentliche Ladebuchsen kann man unter Android die USB-Standardeinstellung "Keine Datenübertragung" wählen. Unter Android 16 kann man "Advanced Protection" aktivieren, welches Datensignale beim Laden eines gesperrten Handys abschaltet. Alternativ kann man USB-Datenblocker nutzen.

    Seit Android 16 gibt es eine erweiterte Theft Protection. Diese soll u.a. bemerken, wenn einem das Handy entrissen wurde. Habe aber noch keine Erfahrung damit. Es könnte ja nervige Fehlauslösungen geben.

    Man sollte den Timeout für automatische Sperre des Handy nicht zu lang einstellen.

    Noch ein paar Aspekte in diesem Kontext:

    Gestohlenes oder verlorenes Bargeld ist meist unwiederbringlich verloren. Dagegen ist die Haftung bei Missbrauch von Karten gesetzlich auf 50 € begrenzt – außer bei grober Fahrlässigkeit (z. B. PIN auf Karte oder Zettel notiert). Nach Sperrung der Karte haftet man generell nicht mehr. Viele Banken erstatten sogar die 50 €, wenn keine Mitschuld vorliegt.

    Kartenzahlung per Handy-Wallet ist insofern sicherer, als mit physischer Karte, weil selbst Kleinstbeträge nur mit entsperrtem Handy möglich sind und weil dabei PIN und CVC-Code nicht ausgespäht werden können (diese werden auch nicht an das Händlersystem übertragen). Wird aber ein Handy gestohlen und dem Dieb gelingt die Entsperrung (technisch oder durch Zwang oder Betäuben), kann das gefährlicher sein als ein Kartenverlust - dieses Szenario ist aber sehr unwahrscheinlich:

    • Mit der Karte kann ohne PIN nur bis 50 € gezahlt oder abgehoben werden, mit erpresster PIN bis zum Kartenlimit (bei Girocards sogar bis zum Kontolimit). Mit ausgespähtem CVC-Code kann bis zum Kartenlimit online eingekauft werden.
    • Mit entsperrtem Handy kann der Dieb die Karten im Wallet bis zu deren Limit belasten, bei manchen bis zum Guthaben des Kartenkontos. Je nach installierten Apps und deren Sicherheitseinstellungen kann er die Limits der Karten erhöhen.

    Bei Kredit- und Debitkarten lässt sich meist über ihre Apps einstellen, wo sie eingesetzt werden können (an Geldautomaten, an POS-Terminals, für Online-Zahlungen, in welchen Ländern sie gültig sind), welche Tages- und Wochenlimits für sie gelten, ob man über jede einzelne Buchung informiert werden möchte und man kann sie temporär sperren.
    Bei allen neuen Karten sollte man prüfen, wofür sie freigeschaltet sind und was konfigurierbar ist.
    Temporäre Sperren helfen gegen die max. 50€ Abbuchung ohne PIN und missbräuchliche Online-Käufe mit dem CVC-Code, wenn dieser ausgespäht oder durch Hacken eines Händlersystems bekannt wurde und gegen die heute nur noch seltene Möglichkeit, dass Händler ganz ohne CVC abbuchen können. Aber man kann sich damit auch selbst aussperren, wenn man den Zugriff auf seine Karten-App verliert.
    Ländersperren können unerwartete Auswirkungen haben, z.B. wurde meine Mastercard für Zahlungen bei Amazon abgelehnt, weil Amazon Deutschland aus Luxemburg abbuchte und ich nur Deutschland freigeschaltet hatte.

    Bei einigen Karten (wie Wise und Curve) ist der CVC-Code aus Sicherheitsgründen nicht auf der Karte gedruckt, sondern nur in der App sichtbar, das schützt gegen missbräuchliche Online-Zahlungen. Am sichersten ist es, nur Karten ohne aufgedruckten CVC-Code physisch mitzuführen und solche mit aufgedrucktem CVC-Code nur übers Handy-Wallet zu nutzen. Falls eine Karte mit aufgedrucktem CVC sich nicht (temporär) für Online-Käufe sperren lässt, kann man diesen unkenntlich machen (aber nicht vergessen, den Code sicher im Passwortmanager zu speichern) - das hilft aber nur gegen Ausspähen, bei meinen Versuchen mit Übermalen und Wegkratzen war der Code mit etwas Mühe doch wieder erkennbar.

    Girokarten sind i.A. automatisch für bargeldlose Zahlungen mit gesteckter Karte freigeschaltet und es ist nicht möglich, dies zu deaktivieren. Auch wenn man sie nur zum Abheben an Geldautomaten nutzt und nie zum Zahlen, kann ein Dieb trotzdem damit bis zu 50€ ohne PIN zahlen. Zu ihrem Einsatz lässt sich meist nichts per App einstellen.

    Generell bezahlen wir schon lange viele Dinge digital – etwa Miete, Strom oder Versicherungen – per Abbuchungsgenehmigung oder Überweisung. Selbst SEPA-Lastschriftmandate lassen sich wohl relativ leicht fälschen, also kann grundsätzlich jeder von irgendeinem Konto abbuchen.
    Ich habe, so möglich, bei allen Konten und Karten Benachrichtigungen über Transaktionen aktiviert und prüfe zusätzlich alle paar Tage meine Konten auf verdächtige Buchungen, damit ich möglichst zeitnah Unstimmigkeiten bemerke.

    (Missbräuchliche) Transkationen mit Kreditkarten oder Debitkarten lassen sich relativ leicht zurückbuchen (Chargeback), wenn man sie rechtzeitig bemerkt und nicht fahrlässig gehandelt hat. Mit Girokarten ist das generell nicht so einfach. Ich musste z.B. auf Forderung der Bank wegen Skimming meiner Girocard mal Anzeige erstatten, obwohl die Banksysteme den Betrug schon vor mir bemerkt hatten.

    Zurückbuchen irrtümlicher Überweisungen kann schwierig bis unmöglich sein. Man hat diese ja selbst freigeben und trotz Herausgabeanspruch bei ungerechtfertigter Bereicherung muss man vielleicht gegen den Empfänger klagen, mit unklarem Erfolg.

    Für betrügerische Überweisungen und unauthorisierte Zahlungen haftet zwar prinzipiell die Bank, aber nur, wenn keine grobe Fahrlässigkeit des Kunden vorliegt, z.B. Weitergabe von PINs (selbst an Bankmitarbeiter), Ignorieren offensichtlicher Warnhinweise oder Sicherheitsvorkehrungen (z.B. Eingabe von Daten auf einer offensichtlich gefälschten Website, klicken auf Links in E-Mails) oder unzureichender Schutz der Zugangsdaten (ich vermute Wischgesten zum Entsperren eines Handys zählen dazu). Auch die Nutzung eines gerooteten / gejailbreakten Handys sowie einer nicht aktuellen Version einer Banking-App (typisch für deGoogled Handy) kann von Banken als grobe Fahrlässigkeit gewertet werden.

    Vorsicht bei (unerwarteten) E-Mails oder Nachrichten von (angeblichen) Banken - insbes. wenn die Mail vor Missbrauch warnt! Phishing ist weitverbreitet. Keine Links anklicken, keine Nummern aus Mails anrufen - auch dann nicht, wenn man ganz sicher ist, dass es eine normale E-Mail von einer Bank ist. Immer direkt per App oder gespeicherter URL ins Onlinebanking gehen. Nicht nach URLs oder Kontakt-Infos im Web suchen, nur die Infos nutzen, die man sich mal in Ruhe bei Kontoeröffnung im Passwortmanager eingetragen hat.

    Auf Reisen gibt es keine wirklich sicheren Aufbewahrungsorte für Wertgegenstände. Selbst für Hotelsafes muss es Nachschlüssel geben, viele lassen sich schon mit einem festen Faustschlag öffnen und manche sind nicht mal festgeschraubt. Hier hilft nur, möglichst wenig Wertvolles dabei zu haben (Bargeld ist am schlechtesten) und seine Wertsachen zu verteilen auf Hotelsafe und unterschiedliche Stellen in der getragenen Kleidung - von "schlauen" Verstecken in Zimmer oder Gepäckstücken halte ich nichts - habe aber auch schon in Airbnbs meinen Notebook in Backofen versteckt :)

    Es gab schon Fälle, bei denen E-Mails abgefangen und die IBAN in Rechnungen geändert wurde. Erst abt Okt 2025 sind Banken verpflichtet zu prüfen, ob Empfängername und IBAN zusamenpassen.

    Numerische PINs kann man sich leicht verschlüsselt auf einem Papier-Spickzettel notieren.

    Zitat von sam51

    Bei einem Smartphone ist das nicht nötig, da wird einfach die Funktionalität auf ein anderes übertragen.

    Banken beschränken diese Möglichkeiten bei der ing kannst du maximal 3 Geräte Authentifizieren...

    Eine autorieiserugscode geht postalisch, alternativ per Internet banking pin/passwort und zusätzlicher Bestätigung der authorieiserung mit der App, alleine mit einer tan/pin/passwort wie von dir beschrieben ist das zumindest bei der ing nicht möglich.

    Und wenn ich jemanden dazu bringen kann sowohl Internet pin, als auch eine Bestätigung innerhalb der App zu bekommen, ist demjenigen eh nicht mehr zu helfen.

    Ist das von dir? Respekt!