Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Banking-App: Comdirect empfiehlt…

Und was ist daran so schlimm?

  1. Thema

Neues Thema Ansicht wechseln


  1. Und was ist daran so schlimm?

    Autor: Gandalf2210 27.11.18 - 11:35

    Wenn man weiß wo das Problem liegt, die schwere abschätzen kann und dem User guten Gewissens rät diese zu ignorieren?

  2. Re: Und was ist daran so schlimm?

    Autor: Aluz 27.11.18 - 11:38

    Gandalf2210 schrieb:
    --------------------------------------------------------------------------------
    > Wenn man weiß wo das Problem liegt, die schwere abschätzen kann und dem
    > User guten Gewissens rät diese zu ignorieren?

    Weil man den unwissenden Nutzer darauf konditioniert einfach Fehlermeldungen zu ignorieren. Mach das 3 mal in 3 verschiedenen Apps und beim 4. mal denkt sich der Nutzer nichts mehr dabei und klickt ohne nachzudenken die Fehlermeldung weg. "Ist ja eh nix wichtiges"

    Und von einem Nutzer kann man nicht erwarten, dass er noch auf Sicherheitswarnungen achtet wenn ihm staendig gesagt wird "Ach, ist nicht schlimm!"

    Es ist also eine Frage der Usererziehung und der damit einhergehenden Verantwortung.



    1 mal bearbeitet, zuletzt am 27.11.18 11:39 durch Aluz.

  3. Re: Und was ist daran so schlimm?

    Autor: Gandalf2210 27.11.18 - 11:41

    Jetzt bin ich als Bank auch noch für die Erziehung meiner Internet untauglichen Kunden verantwortlich?

  4. Re: Und was ist daran so schlimm?

    Autor: Klausens 27.11.18 - 11:44

    Untauglich find ich eher über irgendwelche nicht zertifizierten Kanäle die Kunden darüber zu informieren Sicherheitsmeldungen zu ignorieren.
    Das geht schon mal damit los, dass sich jeder Arsch auf Twitter Comdirect nennen kann.



    1 mal bearbeitet, zuletzt am 27.11.18 11:45 durch Klausens.

  5. Re: Und was ist daran so schlimm?

    Autor: Aluz 27.11.18 - 11:49

    Gandalf2210 schrieb:
    --------------------------------------------------------------------------------
    > Jetzt bin ich als Bank auch noch für die Erziehung meiner Internet
    > untauglichen Kunden verantwortlich?

    Du bist dafuer Veantwortlich dich als die Auoritaet (Herausgeber der App) verantwortungsbewusst zu verhalten, ja.
    Das liegt in der Tat in deiner Verantwortung und somit hast du auch nicht den Usern zu sagen "Ja klick weg, is nicht schlimm" sondern du musst den Fehler beheben.

    Und wer macht die Kunden wohl internet untauglich. Genau die Leute, die denen staendig sagen "ist nicht schlimm, klick weg!"
    Ist die Bank selbst Schuld an der Internet-Untauglichkeit der Kunden dann ist sie auch dafuer Verantwortlich ihren eigenen Mist wieder wegzumachen, ganz klar!

    Also sorry aber manchmal frage ich mich wie hier manche nicht weiter als bis zur eigenen Tischkante denken koennen.



    1 mal bearbeitet, zuletzt am 27.11.18 11:56 durch Aluz.

  6. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 11:49

    Gandalf2210 schrieb:
    --------------------------------------------------------------------------------
    > Jetzt bin ich als Bank auch noch für die Erziehung meiner Internet
    > untauglichen Kunden verantwortlich?

    Untauglich ist es eher, dass die App eine Weiternutzung ermöglicht, wenn die App schon feststellt und dem Nutzer mitteilt, dass eine gesicherte Verbindung fehlschlägt.

    Siehe auch: https://twitter.com/mr_gamy/status/1067020774907760640



    1 mal bearbeitet, zuletzt am 27.11.18 11:53 durch schachbr3tt.

  7. Re: Und was ist daran so schlimm?

    Autor: Mett 27.11.18 - 11:57

    Nein, keine Sorge. Du bist nur verantwortlich dafür, deinen verdammten Job ordentlich zu machen. Als Bank hast du da also nicht wirklich viel Verantwortung.

  8. Re: Und was ist daran so schlimm?

    Autor: gpkvt42 27.11.18 - 11:58

    Mal abgesehen von dem falschen Signal an die User. Die Bank kann nicht wissen, ob meine Verbindung gerade sicher ist oder sich jemand dazwischen geklinkt hat. Deswegen setzt sie das Zertifikat ja ein. Die Bank weiß von einem generellen Problem mit dem Zertifikat. Über meine Verbindung weiß sie nichts. Daher ist die einzig sinnvolle Reaktion der App auf ein Problem mit dem Zertifikat, die Nutzung der Verbindung zu verhindern.

    Wenn das dazu führt, dass die App nicht nutzbar ist, dann ist das so. Eventuell achtet man dann als Anbieter in Zukunft auch darauf, dass einem das Zertifikat nicht abläuft.

  9. Re: Und was ist daran so schlimm?

    Autor: bccc1 27.11.18 - 12:27

    schachbr3tt schrieb:
    --------------------------------------------------------------------------------
    > Untauglich ist es eher, dass die App eine Weiternutzung ermöglicht, wenn
    > die App schon feststellt und dem Nutzer mitteilt, dass eine gesicherte
    > Verbindung fehlschlägt.

    Hast du den Artikel überhaupt gelesen?
    "Das Wegklicken der Fehlermeldung führt anders als beispielsweise in Browsern nicht dazu, dass eine ungesicherte Verbindung aufgemacht wird. Vielmehr funktioniert die entsprechende Funktionalität in dem Fall einfach nicht."

    Es gab kein Sicherheitsrisiko, es konnten einfach bestimmte Nachrichten nicht geladen werden.

  10. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 12:53

    bccc1 schrieb:
    --------------------------------------------------------------------------------

    > Hast du den Artikel überhaupt gelesen?
    > "Das Wegklicken der Fehlermeldung führt anders als beispielsweise in
    > Browsern nicht dazu, dass eine ungesicherte Verbindung aufgemacht wird.
    > Vielmehr funktioniert die entsprechende Funktionalität in dem Fall einfach
    > nicht."
    >
    > Es gab kein Sicherheitsrisiko, es konnten einfach bestimmte Nachrichten
    > nicht geladen werden.

    Das steht jetzt im Artikel. Hast du den Tweet der Comdirectbank (also die Primärquelle) überhaupt mal gelesen:

    "Keine Sorge! Hierbei handelt es sich um einen bekannten Fehler. In Kürze werden wir ein Update bereitstellen. Übrigens: Trotz Fehlermeldung kannst du die banking App wie gewohnt nutzen. /MU"

    Wie soll denn letzteres gehen, wenn man die App dann plötzlich doch - wie gewohnt - nutzen kann. Kann man dann ja nicht.

    Du lenkst aber auch gut vom eigentlichen Thema ab. Es geht darum, dass eine Fehlermeldung kommt, und die Bank gibt über Twitter an: Klicks weg, und nutzt die App wie gewohnt. Dabei kann die Bank gar nicht sicherstellen, dass die Fehlermeldung daher rührt, weil das bekannte Zertifikat abgelaufen ist, oder aber weil sich jemand im bspw. Hotel-WLAN in die Verbindung schaltet.

    Aber klar, vertrauen wir der Comdirect-Bank mal, die PR-Stelle weiß es eh besser.

  11. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 27.11.18 - 12:54

    Klausens schrieb:
    --------------------------------------------------------------------------------
    > Untauglich find ich eher über irgendwelche nicht zertifizierten Kanäle die
    > Kunden darüber zu informieren Sicherheitsmeldungen zu ignorieren.
    > Das geht schon mal damit los, dass sich jeder Arsch auf Twitter Comdirect
    > nennen kann.

    https://help.twitter.com/de/managing-your-account/about-twitter-verified-accounts

  12. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 27.11.18 - 12:57

    gpkvt42 schrieb:
    --------------------------------------------------------------------------------
    > Mal abgesehen von dem falschen Signal an die User. Die Bank kann nicht
    > wissen, ob meine Verbindung gerade sicher ist oder sich jemand dazwischen
    > geklinkt hat. Deswegen setzt sie das Zertifikat ja ein. Die Bank weiß von
    > einem generellen Problem mit dem Zertifikat. Über meine Verbindung weiß sie
    > nichts. Daher ist die einzig sinnvolle Reaktion der App auf ein Problem mit
    > dem Zertifikat, die Nutzung der Verbindung zu verhindern.

    Genau das macht die App doch auch.
    Nur die Nachrichten funktionieren eben nicht mehr, der Rest schon.
    Es ist sicher auch ganz sinnvoll, nicht fürs eigentliche Banking die gleichen Sicherheitsmechanismen zu nutzen, wie für die Kommunikation der Berater mit dem Kunden.

  13. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 12:58

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------

    > > Untauglich find ich eher über irgendwelche nicht zertifizierten Kanäle
    > die
    > > Kunden darüber zu informieren Sicherheitsmeldungen zu ignorieren.
    > > Das geht schon mal damit los, dass sich jeder Arsch auf Twitter
    > Comdirect
    > > nennen kann.
    >
    > help.twitter.com

    Hilft nicht darüber hinweg, dass sich jeder dort melden kann, wenn er einen öffentlichen Ausdruck vorlegen als Berechtigung kann. Merke: Die Bezeichnung als AG oder so, gibt es nicht nur in Deutschland und in anderen Ländern kann man AG als Firmenname mitunter frei nutzen.

    Gründe eine 1 Pfund-Ltd, nenne dich "comdirect AG Ltd." und melde dich als "comdirect AG" an. Wenn die echte "comdirect"-Bank da nicht interveniert, dann geht das durch; oder du nimmst eine Schweizer AG, mit einem Treuhänder kostet das dann so ca. CHF 2.000. Je nachdem, was du vorhast, recht wenig Geld.

  14. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 13:00

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------

    > Genau das macht die App doch auch.
    > Nur die Nachrichten funktionieren eben nicht mehr, der Rest schon.
    > Es ist sicher auch ganz sinnvoll, nicht fürs eigentliche Banking die
    > gleichen Sicherheitsmechanismen zu nutzen, wie für die Kommunikation der
    > Berater mit dem Kunden.

    Nur zeigt die App das gar nicht an. Es kommt ein allgemeiner Fehler und die Bank rät: Klicks weg. Dabei weiß die Bank gar nicht, woher der Fehler tatsächlich kommt, obs an dem ihr bekannten Fehler liegt, oder an einem MITM bspw. beim Hotel-WLAN.

  15. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 27.11.18 - 13:17

    schachbr3tt schrieb:
    --------------------------------------------------------------------------------
    > LinuxMcBook schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Genau das macht die App doch auch.
    > > Nur die Nachrichten funktionieren eben nicht mehr, der Rest schon.
    > > Es ist sicher auch ganz sinnvoll, nicht fürs eigentliche Banking die
    > > gleichen Sicherheitsmechanismen zu nutzen, wie für die Kommunikation der
    > > Berater mit dem Kunden.
    >
    > Nur zeigt die App das gar nicht an. Es kommt ein allgemeiner Fehler und die
    > Bank rät: Klicks weg. Dabei weiß die Bank gar nicht, woher der Fehler
    > tatsächlich kommt, obs an dem ihr bekannten Fehler liegt, oder an einem
    > MITM bspw. beim Hotel-WLAN.

    Solange die Bank aber weiß, dass bei einem Zertifikatsfehler der entsprechende Kanal dann durch die App _gar nicht mehr genutzt wird_, ist es auch gar nicht notwendig, dass die Bank tatsächlich weiß, was die Ursache ist.

    Die einzige Kritik, die wirklich angemessen ist, ist die, dass die Bank mit solchen Hinweisen den Kunden evtl. dazu bringt Sicherheitswarnungen in anderen Fälle auch zu ignorieren.

  16. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 13:31

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------

    > Solange die Bank aber weiß, dass bei einem Zertifikatsfehler der
    > entsprechende Kanal dann durch die App _gar nicht mehr genutzt wird_, ist
    > es auch gar nicht notwendig, dass die Bank tatsächlich weiß, was die
    > Ursache ist.

    Wollen wir hoffen, dass die Bank das weiß, obschon sie ja alles outsourced. Sie wusste ja bspw. nicht, dass das Zertifikat sich zeitlich dem Ende neigte und verlängert werden musste. Aber super, wenn man einfache Dinge nicht weiß, sicherheitsrelevantere schon. Insbesondere, wenn man die Funktion outsourced.

  17. Re: Und was ist daran so schlimm?

    Autor: bccc1 27.11.18 - 13:56

    Mein Verständnis:
    Die App verbindet sich zu verschiedenen Servern. Bei einer dieser Verbindungen gab es ein Zertifikatsproblem. Diese Verbindung wurde daher NICHT aufgebaut und alle damit zusammenhängenden Funktionen in der App wurden deaktiviert. Da die App trotzdem wie gewohnt funktionierte, war es wohl keine wichtige Verbindung.
    So lese ich die Meldung hier auf golem. Auf Twitter kann ich gerade nicht nachsehen, das wird vom Proxy geblockt.

    Das comdirect einfach so sagt ignoriert den Fehler finde ich auch nicht gut. Ich wollte nur klarstellen, das es kein Sicherheitsrisiko gab.

  18. Re: Und was ist daran so schlimm?

    Autor: quark2017 28.11.18 - 09:19

    bccc1 schrieb:
    --------------------------------------------------------------------------------
    > Das comdirect einfach so sagt ignoriert den Fehler finde ich auch nicht
    > gut. Ich wollte nur klarstellen, das es kein Sicherheitsrisiko gab.

    Und du macht den selben Denkfehler wie die ComDirekt-Clowns.

    1. Weiß der Nutzer gar nicht, zu wie vielen unterschiedlichen Domains eine Verbindung aufgebaut wird.
    2. Kann der Nutzer anhand der Meldung NICHT sehen, welches der Verbindungen/Zertifikate betroffen ist.

    Wenn nun ein MiM einen Angriff auf die Datenverbindung zur Bank ausführt.
    Dann sieht der Nutzer die Zertifikats-Warnung. Weil er aber in der App nicht sehen kann, ob dies nun das Zertifikat für die unwichtigen Outbank-News oder das kritische Zertifikat von comDirekt betrifft, kann der Nutzer somit NICHT erkennen, dass ein MiM-Angriff stattfindet.

    DAS ist ein massives Sicherheitsproblem.

  19. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 28.11.18 - 12:10

    quark2017 schrieb:
    --------------------------------------------------------------------------------
    > DAS ist ein massives Sicherheitsproblem.

    Nein, eben nicht.
    Nochmal: Es bestand nie die Gefahr für einen MITM-Angriff.
    Es ist doch erst einmal völlig egal. was der Nutzer sieht, solange die App das verhindert.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Zweckverband Landeswasserversorgung, Stuttgart
  2. MailStore Software GmbH, Viersen
  3. über duerenhoff GmbH, Raum Norderstedt
  4. über duerenhoff GmbH, Schwäbisch Hall

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 23,49€
  2. 4,99€
  3. 34,99€ (erscheint am 14.02.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Asana-Gründer im Gespräch: Die Konkurrenz wird es schwer haben, zu uns aufzuschließen
Asana-Gründer im Gespräch
"Die Konkurrenz wird es schwer haben, zu uns aufzuschließen"

Asana ist aktuell recht erfolgreich im Bereich Business-Software - zahlreiche große Unternehmen arbeiten mit der Organisationssuite. Für Mitgründer Justin Rosenstein geht es aber nicht nur ums Geld, sondern auch um die Unternehmenskultur - nicht nur bei Asana selbst.
Ein Interview von Tobias Költzsch


    Ottobock: Wie ein Exoskelett die Arbeit erleichtert
    Ottobock
    Wie ein Exoskelett die Arbeit erleichtert

    Es verleiht zwar keine Superkräfte. Bei der Arbeit in unbequemer Haltung zum Beispiel mit dem Akkuschrauber unterstützt das Exoskelett Paexo von Ottobock aber gut, wie wir herausgefunden haben. Exoskelette mit aktiver Unterstützung sind in der Entwicklung.
    Ein Erfahrungsbericht von Werner Pluta


      Karma-Spyware: Wie US-Auftragsspione beliebige iPhones hackten
      Karma-Spyware
      Wie US-Auftragsspione beliebige iPhones hackten

      Eine Spionageabteilung im Auftrag der Vereinigten Arabischen Emirate soll die iPhones von Aktivisten, Diplomaten und ausländischen Regierungschefs gehackt haben. Das Tool sei wie Weihnachten gewesen, sagte eine frühere NSA-Mitarbeiterin und Ex-Kollegin von Edward Snowden.
      Ein Bericht von Friedhelm Greis

      1. Update O2-Nutzer berichten über eSIM-Ausfälle beim iPhone
      2. Apple iPhone 11 soll Trio-Kamerasystem erhalten
      3. iPhone mit eSIM im Test Endlich Dual-SIM auf dem iPhone

      1. Datenschutz: 18.000 Android-Apps spionieren Nutzer unzulässig aus
        Datenschutz
        18.000 Android-Apps spionieren Nutzer unzulässig aus

        Selbst populäre Apps mit Hunderten Millionen Nutzern verstoßen gegen die Werberichtlinien von Google. Das Unternehmen reagierte monatelang nicht auf die Vorwürfe.

      2. Erneuerbare Energien: Shell übernimmt Heimakku-Hersteller Sonnen
        Erneuerbare Energien
        Shell übernimmt Heimakku-Hersteller Sonnen

        Der Erdölkonzern Shell setzt sein Engagement im Bereich erneuerbare Energien fort. Nun kauft das Unternehmen einen Konkurrenten für Teslas Powerwalls aus dem Allgäu.

      3. Wochenrückblick: Kein Download vom Mars, kein Upload ins Netz
        Wochenrückblick
        Kein Download vom Mars, kein Upload ins Netz

        Golem.de-Wochenrückblick EU-Unterhändler bürokratisieren mit Leistungsschutzrecht und Uploadfilter das Internet. Am Mars geht Opportunity in Rente. Zurück auf der Erde fühlen wir uns eingeschnürt.


      1. 13:16

      2. 11:39

      3. 09:02

      4. 19:17

      5. 18:18

      6. 17:45

      7. 16:20

      8. 15:42