Zitat von tyshaunaleki

Natürlich ist das 2FA eingehalten, die erste FA ist das Smartphone und die zweite FA ist die 5 stellige numerische PIN.

Eine starke Kundenauthentifizierung erfordert insbesondere die Verwendung

von zwei voneinander unabhängigen Authentifizierungselementen aus den Kategorien Wissen, Besitz oder Sein

Wie schon öfter erwähnt ist das Smartphone als Faktor nicht ausreichend wenn das Smartphone auch das Zugriffsgerät ist.

Wenn das Smartphone gehackt ist können die Hacker die PIN mitlesen und dann beliebig mit deinem Banking rumspielen.

Es fehlt eben der zweite Faktor der denen dann unbekannt ist und genau davor schützen sollte.

Und genau deshalb empfieht jede verantwortungsvolle Bank auch die von dir schon erwähnten zwei getrennten Geräten:

Zitat von tyshaunaleki

Also PC und Smartphone.

Oder Smartphone 1 und Smartphone 2.

Oder PC und Chip-TAN

Oder Smartphone und Chip-TAN

Ich habe mir mal die mühe gemacht und die entsprechende EU-Verordnung dazu angetan:

Zitat von VERORDNUNG (EU) 2018/389

Artikel 9 — Unabhängigkeit der Elemente

1. ...¶  
2. Wenn eines der Elemente der starken Kundenauthentifizierung oder der Authentifizierungscode selbst von einem Mehrzweckgerät verwendet wird, sehen die Zahlungsdienstleister Sicherheitsmaßnahmen zur Minderung des Risikos vor, das aus der missbräuchlichen Verwendung eines solchen Mehrzweckgeräts erwachsen würde.
3. Für die Zwecke des Absatzes 2 beinhalten die Risikominderungsmaßnahmen alle folgenden Komponenten:
   1. Nutzung getrennter sicherer Ausführungsumgebungen durch die im Mehrzweckgerät installierte Software;
   2. Mechanismen, mit denen sichergestellt wird, dass die Software oder das Gerät vom Zahler oder einem Dritten nicht verändert wurde;
   3. sofern Veränderungen stattgefunden haben, Mechanismen zur Eindämmung von deren Folgen.

Also erstmal da ganz klar der Hinweis, für eine "Starke Kundenauthentifizierung" ist die Unabhängigkeit der Elemente (Faktoren) wichtig. "Mehrzweckgerät" ist hier das Smartphone, da es für den Zahlungsvorgang und die Authentifizierung gebraucht wird.

Da so die Unabhängigkeit nicht gewährleistet werden kann, also keine 2FA, dann müssen andere Maßnahmen zur Risikominimierung vorgenommen werden, wie in Punkt 3 beschrieben.

Punkt 3.1 trifft schonmal nicht zu. Es ist nur eine App.

Punkt 3.2 und 3.3 sagen letztendlich nichts anderes, als dass das OS erkennen soll wenn es gehackt wurde. Ja, dafür gibt es Maßnahmen, die lassen sich aber umgehen.

Also unterm Strich lässt sich sagen:

Eine volle 2 Faktor Authentifizierung ist nicht gegeben. (Siehe definition von elektronik-kompendium).

Laut PSD2 aber zulässig, da man sich hier auf die Sicherheitsmechanismen des Betriebssystems verlässt.

Ob einem das reicht muss wohl jeder für sich Entscheiden. Grade bei Android sehe ich das kritisch.

Zitat von Dagoberts

Zeitpunkt der Eingabe ist eben keine Speicherung. Sonst dürfte ich am Bankautomaten meine PIN nicht eingeben, weil die Karte zur gleichen Zeit drinsteckt.

Es geht an der Stelle darum, dass die beiden Faktoren zusammen am gleichen Ort abgefangen werden können. Beim PIN wäre es entweder per Bildschirmüberwachung oder indem der RAM mitgelesen wird.

Der Unterschied zur Karte (mit Chip) ist dabei, dass die Karte einen Chip hat der mit asynchroner Verschlüsslung funktioniert (Siehe hier, falls es dich interessiert). Der geheime Schlüssel auf der Karte kann nicht ausgelesen oder kopiert werden. (Siehe hier)

Zitat von Dagoberts

Bankkarten werden geklont und mit der PIN kann (konnte) damit abgehoben werden. Bezahlung klappt je nach Örtlichkeit heute noch immer (Skimming). Da hilft der Besitz der Originalen kein bisschen.

Das Funktioniert nur bei Karten mit Magnetstreifen. Es sei denn die Bank schlampt extrem. Deshalb hat man die Karten mit Chip ja eingeführt. Weil der Magnetstreifen letztendlich keine unabhängiger Faktor war. Beides konnte bei manipulierten Geldautomaten kopiert werden.

Zitat von Dagoberts

Wenn du im Besitz deines Smartphones bist, bist du auch sicher. Wenn es jemand aus der Ferne übernimmt, bist du ja nicht mehr im vollständigen Besitz dessen?

Genau davor soll ja die zwei Faktor Authentifizierung schützen. Das Problem was ich hier sehe ist ja, dass eben nur ein Faktor (das Smartphone) gehackt werden muss um das ganze System zu knacken.

Wenn du das Banking am PC machst und auf dem Smartphone nur die TAN abrufst, dann müsste der Hacker schon PC und Smartphone gehackt haben um irgendwas zu erreichen. Im dem Fall wäre das Smartphone als "Besitz"-Faktor eben wirklich unabhängig. Das beides gehackt wird ist schon deutlich unwahrscheinlicher.

Zitat von Dagoberts

Zudem bei neueren Smartphones die C24 App z. B. mit Gesichtserkennung funktioniert. Die Daten hierfür werden nicht im Speicher des Smartphones aufbewahrt, sondern im Secure Enclave Chip, also eine andere Örtlichkeit.

Danke für den Hinweis. Das hatte ich nicht auf dem Schirm. Ist es denn wirklich so, dass die Gesichtserkennung oder der Fingerprint wirklich Voraussetzung für die Freigabe von Überweisungen sind? Bei meinem Smartphone kann alles mit der PIN/Passwort bestätigen. Da gibt es diesen Faktor nicht oder er wird nicht genutzt.

Zitat von Marlino

Dann würden sich auch ING, DKB, N26, die diversen Nutzer der Solarisbank und eine menge andere europäische Banken nicht an EU Vorschriften halten.

Bei DKB habe ich zumindest noch die Möglichkeit ohne deren App klar zu kommen. Aber du hast Recht, die neue App von denen ist genau so ein sicherheitstechnischer Murks wie das von C24. Das macht die Sache aber nicht besser. Ich dachte erst, der Fingerabdruckscanner wäre bei der DKB ein Zusatz zur PIN. Es ist aber wohl doch nur eine Alternative. Letztendlich geht dann alles mit der PIN. Gruselig. Die App ist erstmal wieder runter geflogen. Noch ist ChipTan oder Tan2Go ja möglich.

@itschytoo:

Die Frage ist ja, was passiert, wenn da etwas passiert. Auf den Stress kann ich gut verzichten. Das hat dann weniger mit Ideologie und mehr mit ruig schlafen können zu tun

Zitat von Achim Weiss

Dies hier ist ein schlichtes Forum, in dem es manches zu lernen und zu erfahren, aber nichts zu gewinnen gibt.

Richtig. Deshalb hatte ich dich gebeten Sachlich und beim Thema zu bleiben. Das Thema ist die C24-Girokonto App und deren meiner Meinung nach fehlende 2FA. Nicht welche Apps ich auf meinem Handy habe und wie ich das abgesichert habe.

Zitat von Achim Weiss

Das alles ist nicht so, wie Du es behauptest, aber ich laß Dir mal Deinen Glauben.

Wow, danke dafür

Zitat von ricardo

Es zwingt dich niemand das Angebot von C24 wahrzunehmen.

Wenn du soviel wert legst auf echten 2FA würde ich an deiner Stelle lieber das Tagesgeldkonto von der Raiffeisenban Hochtaunus nutzen. Du bekommst dort 3,3% Zinsen

...

Danke, aber ich weiß selbst, dass es auch Banken gibt die sich an die Vorschriften halten.

Mir geht es hier vor allem darum aufzuklären, ob es tatsächlich so ist, dass sich C24 nicht an die von der EU vorgeschriebene "starke Kundenauthentifizierung" hält. Finanztip spricht immerhin eine Empfehlung für das C24-Girokonto/Tagesgeld aus.

Es gibt sicher viele die sich von den 4% Tagesgeldzins locken lassen und größere Summen da parken. Und ich bin mir ziemlich sicher, dass viele von diesen Leuten durchaus daran interessiert sind wie sicher oder eben unsicher das Konto im Bezug auf Cybersicherheit ist.

Zitat von Dagoberts

Faktoren:

• Wissen: Dieser Faktor ist etwas, das nur eine Person weiß. Typischerweise eine Pin oder ein Passwort, das geheim gehalten werden muss.
• Besitz: Dieser Faktor ist etwas, das eine Person besitzt. Typischerweise ein personenbezogener Gegenstand, der idealerweise vor Diebstahl und missbräuchlicher Verwendung geschützt wird. Zum Beispiel eine Karte, ein TAN-Generator, Hardware- oder Software-Tokens oder ein Smartphone.
• Sein (Inhärenz): Dieser Faktor ist etwas, das nur eine Person haben kann. Typischerweise ein biometrisches Merkmal, das bei jeder Person individuell und sich eindeutig zuordnen lässt. Zum Beispiel z. B. Fingerabdruck, Gesicht, Stimme oder Bewegung.

https://www.elektronik-kompendium.de/sites/net/2511301.htm

Ja, wenn der Zugang nur über das eigene Smartphone geht, zählt es als ein Faktor aus dem Bereich Besitz. Dann noch einer aus Wissen z. B. PIN/Passwort und man hat seine zwei Faktoren.

Zitat

Wichtig ist, dass die einzelnen Faktoren nicht mit anderen Faktoren zusammen gespeichert oder aufbewahrt werden dürfen. Wenn ein Angreifer erkennt, dass beide oder mehr Faktoren zusammengehören, dann ist die Sicherheit durch den zweiten Faktor außer Kraft gesetzt.

https://www.elektronik-kompendium.de/sites/net/2511301.htm

Steht direkt unter den drei Punkten. Beim C24-Girokonto sind alle Faktoren zum Zeitpunkt der Eingabe am zusammen am gleichen Ort. Die können also alle an der gleichen Stelle abgefangen werden, was ja durch 2FA eigentlich verhindert werden sollte.

Und noch weiter unten steht:

Zitat

Bei den typischen Security-Apps wird oft übersehen, dass der zweite Faktor kein echter zweiter Faktor ist. Etwa dann, wenn die Banking-App und die Security-App auf dem selben Smartphone installiert sind. In einem solchen Fall kann man zwar theoretisch von Zwei-Faktor-Authentifizierung sprechen, praktisch gesehen ist das Anmeldeverfahren aber nur etwas sicherer als mit nur einem Passwort. Denn hat der Angreifer aus der Ferne Zugriff auf das Endgerät, kann er nicht nur das Passwort, sondern auch den zweiten Faktor abgreifen und vor dem Nutzer die Authentifizierung durchführen.https://www.elektronik-kompendium.de/sites/net/2511301.htm

Wobei es hier ja nichtmal eine zusätzliche Security-App gibt. Sondern nur die eine App mit dem Pin/Passwort. 2FA ist also nicht.

Zitat von Dagoberts

Bankkarte plus PIN zählt auch als 2FA.

Der Vergleich passt nicht:

Die Bankkarte ist ein Faktor der unabhängig vom Zugriffsgerät ist. Der Chip der Bankkarte lässt sich nicht kopieren oder auslesen. Der private Schlüssel auf der Bankkarte wird beim Zugriffsgerät nie preisgegeben. Solange du also im Besitz deiner Bankkarte bist, bist du sicher.

Das beim C24-Girokonto ist eher mit den alten Magnetstreifen-Karten vergleichbar. Ein manipuliserter Geldautomat hat gereicht und man hatte ein Problem.

Beim C24-Konto ist es ähnlich. Wenn man das Handy hackt kommt man an alles ran was man braucht. Der vermeintlich zweite Faktor steht in den App-Daten und lässt ggf über Sicherheitslücken auslesen.

Zitat von Achim Weiss

Das Gerät, auf dem die App läuft, ist vermutlich der zweite Faktor. Ich habe kein Girokonto bei C24 und kann deshalb nicht mit Bestimmtheit sagen, daß das auch bei C24 so läuft. Ich habe aber verschiedene andere Banking-Apps, und bei denen ist das ausschließlich so.

Das Gerät ist aber eben kein zusätzlicher Faktor. Es ist das Zugriffsgerät. Nichts zusätliches. Sobald das Gerät kompromittiert ist, ist es unsicher. Sinn und Zweck von 2FA ist, dass man zwei unabhängige Faktoren hat. Sobald das Handy gehackt ist, hat der Angreifer alles was er braucht.

Wenn du das Banking am PC machst und das Handy als PushTAN Gerät nutzt, dann ist das Handy ein zusätzlicher Faktor. Das was C24 hier macht ist so als hättest du eine BakingApp auf dem PC wo du mit zwei Passwörtern alles machen kannst. Keine TAN-Liste, kein nichts. Solange der PC sicher ist ist alles gut.

Andere Banking Apps (z.B. DKB) verwenden für die 2FA den Fingerabdruck Scanner. Der kann als zusätzlicher Chip, unabhängig vom Betriebssystem, als unabhängiger Faktor dienen kann.

Zitat von Achim Weiss

Meins hat ein Entsperrmuster, und die Banking-App hat eine PIN. Zwei Sicherheitsebenen, die der böse Bube überwinden müßte (mal abgesehen davon, daß er mein Handy erstmal in die Hand bekommen müßte).

Beim Entsprerrmuster reicht es schon aus vom weiten mal zu sehen wie du dein Handy entsperrst. Dahinter würde ich meine Ersparnisse nicht verstecken wollen.

Aber das ist mir auch egal. Es geht mir nicht darum wie du oder ich unsere Handys schützen. Es geht mir darum wie sicher oder eben unsicher das Konzept des C24-Girokontos ist.

Sicherheit ist immer ein Konzept. Wenn man sich hier auf das Sicherheitsbewusstsein eines jeden Nutzers verlässt, dann hat macht man defintiv was falsch.

Ein schnippisches "...daß Du Deine Handhabung mal überdenken solltest." trägt da nicht zum Thema bei. Bitte sachlich bleiben.

Zitat von Achim Weiss

Vermutlich bekommst Du auf diesem Handy die Banking-App überhaupt nicht installiert.

Letztes Sicherheitsupdate Oktober 2022. Da hat die App noch nicht gemuckt. Gäbe es eine vernünftiges 2FA, dann wäre das auch halb so wild. Es wäre dann eben nur einer der zwei notwendigen Faktoren.

Zitat von Marlino

Dazu kommen die fehlenden Root Rechte und das relativ geschlossene Systeme für das Smartphone sprechen. Wenn ich mir da die durschnittlichen Windows Computer anschaue graut es mir mehr. Da wird immer noch sehr häufig mit Adminrechte gearbeitet und Software aus unbannkten Quellen lässt sich realtiv einfach installieren bzw. Remote Zugang ist auch oft offen etc.

Das ist so nicht ganz richtig.

Nur weil der Nutzer im Normalfall keine root-Rechte hat heißt das nicht, dass Apps die nicht über Sicherheitslücken erlangen können. Grade bei Android mit dem PlayStore ist an der Stelle gleichzusetzen mit "unbekannten Quellen". Die Apps kontrolliert keiner. Gibt doch immer wieder Berichte dazu das Apps mit Millionen von Downloads letztendlich Viren sind. Oder ehemals gute Apps durch Updates zu solchen werden.

Dazu kommt dann, dass viele Android-Smartphones nur selten oder garkeine Sicherheitsupdates mehr bekommen. Zumindest ein Punkt wo Windows es deutlich besser macht.

Zitat von Marlino

Die größte Angriffsfläche ist eh immer noch social engineering und ob die Opfer dann per App, oder ChipTan freigeben macht keinen Unterschied.

Social Engineering ist aber auch deshalb die größte Angriffsfläche, weil das meiste andere mit einem vernünftigen Sicherheitskonzept abgefangen werden kann. Und das sehe ich hier eben nicht.

Moin.

Ich habe mir wegen der 4% Tagesgeldzinsen auch ein C24-Girokonto erstellt.

Was mich aber geschockt hat: Das Girokonto hat praktisch keine 2-Faktor-Authentifizierung.

Es gibt eine 4-Zahlen-Pin und ein 0815-Passwort ("Sicherheitspasswort").

Beides 0815 statische Passwörter. KEIN ZWEITER FAKTOR.

Die 4-Zahlen-Pin reicht aus um ALLES einzusehen und sogar um Überweisungen zu bestätigen?!

Mit dem "Sicherheitspasswort" lassen sich dann Überweisungslimits und so beliebig ändern.

Und das ganze dann als APP auf einem Smartphone.

Einem Gerät mit dem man DEUTLICH freizügiger umgeht als man es mit dem Portemmonaie oder der Bankkarte je tun würde.

Am besten noch ein Android Gerät das keine Sicherheitsupdates mehr bekommt und haufenweise verseuchte Apps aus dem PlayStore installiert hat. (Habe selber sowas...)

Da kommt mir ja vieles in den Sinn. Aber Smart gehört ganz sicher nicht dazu.

Wo genau liegt hier mein Denkfehler?