Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Banking-App: Comdirect empfiehlt…

Und was ist daran so schlimm?

  1. Thema

Neues Thema Ansicht wechseln


  1. Und was ist daran so schlimm?

    Autor: Gandalf2210 27.11.18 - 11:35

    Wenn man weiß wo das Problem liegt, die schwere abschätzen kann und dem User guten Gewissens rät diese zu ignorieren?

  2. Re: Und was ist daran so schlimm?

    Autor: Aluz 27.11.18 - 11:38

    Gandalf2210 schrieb:
    --------------------------------------------------------------------------------
    > Wenn man weiß wo das Problem liegt, die schwere abschätzen kann und dem
    > User guten Gewissens rät diese zu ignorieren?

    Weil man den unwissenden Nutzer darauf konditioniert einfach Fehlermeldungen zu ignorieren. Mach das 3 mal in 3 verschiedenen Apps und beim 4. mal denkt sich der Nutzer nichts mehr dabei und klickt ohne nachzudenken die Fehlermeldung weg. "Ist ja eh nix wichtiges"

    Und von einem Nutzer kann man nicht erwarten, dass er noch auf Sicherheitswarnungen achtet wenn ihm staendig gesagt wird "Ach, ist nicht schlimm!"

    Es ist also eine Frage der Usererziehung und der damit einhergehenden Verantwortung.



    1 mal bearbeitet, zuletzt am 27.11.18 11:39 durch Aluz.

  3. Re: Und was ist daran so schlimm?

    Autor: Gandalf2210 27.11.18 - 11:41

    Jetzt bin ich als Bank auch noch für die Erziehung meiner Internet untauglichen Kunden verantwortlich?

  4. Re: Und was ist daran so schlimm?

    Autor: Klausens 27.11.18 - 11:44

    Untauglich find ich eher über irgendwelche nicht zertifizierten Kanäle die Kunden darüber zu informieren Sicherheitsmeldungen zu ignorieren.
    Das geht schon mal damit los, dass sich jeder Arsch auf Twitter Comdirect nennen kann.



    1 mal bearbeitet, zuletzt am 27.11.18 11:45 durch Klausens.

  5. Re: Und was ist daran so schlimm?

    Autor: Aluz 27.11.18 - 11:49

    Gandalf2210 schrieb:
    --------------------------------------------------------------------------------
    > Jetzt bin ich als Bank auch noch für die Erziehung meiner Internet
    > untauglichen Kunden verantwortlich?

    Du bist dafuer Veantwortlich dich als die Auoritaet (Herausgeber der App) verantwortungsbewusst zu verhalten, ja.
    Das liegt in der Tat in deiner Verantwortung und somit hast du auch nicht den Usern zu sagen "Ja klick weg, is nicht schlimm" sondern du musst den Fehler beheben.

    Und wer macht die Kunden wohl internet untauglich. Genau die Leute, die denen staendig sagen "ist nicht schlimm, klick weg!"
    Ist die Bank selbst Schuld an der Internet-Untauglichkeit der Kunden dann ist sie auch dafuer Verantwortlich ihren eigenen Mist wieder wegzumachen, ganz klar!

    Also sorry aber manchmal frage ich mich wie hier manche nicht weiter als bis zur eigenen Tischkante denken koennen.



    1 mal bearbeitet, zuletzt am 27.11.18 11:56 durch Aluz.

  6. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 11:49

    Gandalf2210 schrieb:
    --------------------------------------------------------------------------------
    > Jetzt bin ich als Bank auch noch für die Erziehung meiner Internet
    > untauglichen Kunden verantwortlich?

    Untauglich ist es eher, dass die App eine Weiternutzung ermöglicht, wenn die App schon feststellt und dem Nutzer mitteilt, dass eine gesicherte Verbindung fehlschlägt.

    Siehe auch: https://twitter.com/mr_gamy/status/1067020774907760640



    1 mal bearbeitet, zuletzt am 27.11.18 11:53 durch schachbr3tt.

  7. Re: Und was ist daran so schlimm?

    Autor: Mett 27.11.18 - 11:57

    Nein, keine Sorge. Du bist nur verantwortlich dafür, deinen verdammten Job ordentlich zu machen. Als Bank hast du da also nicht wirklich viel Verantwortung.

  8. Re: Und was ist daran so schlimm?

    Autor: gpkvt42 27.11.18 - 11:58

    Mal abgesehen von dem falschen Signal an die User. Die Bank kann nicht wissen, ob meine Verbindung gerade sicher ist oder sich jemand dazwischen geklinkt hat. Deswegen setzt sie das Zertifikat ja ein. Die Bank weiß von einem generellen Problem mit dem Zertifikat. Über meine Verbindung weiß sie nichts. Daher ist die einzig sinnvolle Reaktion der App auf ein Problem mit dem Zertifikat, die Nutzung der Verbindung zu verhindern.

    Wenn das dazu führt, dass die App nicht nutzbar ist, dann ist das so. Eventuell achtet man dann als Anbieter in Zukunft auch darauf, dass einem das Zertifikat nicht abläuft.

  9. Re: Und was ist daran so schlimm?

    Autor: bccc1 27.11.18 - 12:27

    schachbr3tt schrieb:
    --------------------------------------------------------------------------------
    > Untauglich ist es eher, dass die App eine Weiternutzung ermöglicht, wenn
    > die App schon feststellt und dem Nutzer mitteilt, dass eine gesicherte
    > Verbindung fehlschlägt.

    Hast du den Artikel überhaupt gelesen?
    "Das Wegklicken der Fehlermeldung führt anders als beispielsweise in Browsern nicht dazu, dass eine ungesicherte Verbindung aufgemacht wird. Vielmehr funktioniert die entsprechende Funktionalität in dem Fall einfach nicht."

    Es gab kein Sicherheitsrisiko, es konnten einfach bestimmte Nachrichten nicht geladen werden.

  10. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 12:53

    bccc1 schrieb:
    --------------------------------------------------------------------------------

    > Hast du den Artikel überhaupt gelesen?
    > "Das Wegklicken der Fehlermeldung führt anders als beispielsweise in
    > Browsern nicht dazu, dass eine ungesicherte Verbindung aufgemacht wird.
    > Vielmehr funktioniert die entsprechende Funktionalität in dem Fall einfach
    > nicht."
    >
    > Es gab kein Sicherheitsrisiko, es konnten einfach bestimmte Nachrichten
    > nicht geladen werden.

    Das steht jetzt im Artikel. Hast du den Tweet der Comdirectbank (also die Primärquelle) überhaupt mal gelesen:

    "Keine Sorge! Hierbei handelt es sich um einen bekannten Fehler. In Kürze werden wir ein Update bereitstellen. Übrigens: Trotz Fehlermeldung kannst du die banking App wie gewohnt nutzen. /MU"

    Wie soll denn letzteres gehen, wenn man die App dann plötzlich doch - wie gewohnt - nutzen kann. Kann man dann ja nicht.

    Du lenkst aber auch gut vom eigentlichen Thema ab. Es geht darum, dass eine Fehlermeldung kommt, und die Bank gibt über Twitter an: Klicks weg, und nutzt die App wie gewohnt. Dabei kann die Bank gar nicht sicherstellen, dass die Fehlermeldung daher rührt, weil das bekannte Zertifikat abgelaufen ist, oder aber weil sich jemand im bspw. Hotel-WLAN in die Verbindung schaltet.

    Aber klar, vertrauen wir der Comdirect-Bank mal, die PR-Stelle weiß es eh besser.

  11. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 27.11.18 - 12:54

    Klausens schrieb:
    --------------------------------------------------------------------------------
    > Untauglich find ich eher über irgendwelche nicht zertifizierten Kanäle die
    > Kunden darüber zu informieren Sicherheitsmeldungen zu ignorieren.
    > Das geht schon mal damit los, dass sich jeder Arsch auf Twitter Comdirect
    > nennen kann.

    https://help.twitter.com/de/managing-your-account/about-twitter-verified-accounts

  12. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 27.11.18 - 12:57

    gpkvt42 schrieb:
    --------------------------------------------------------------------------------
    > Mal abgesehen von dem falschen Signal an die User. Die Bank kann nicht
    > wissen, ob meine Verbindung gerade sicher ist oder sich jemand dazwischen
    > geklinkt hat. Deswegen setzt sie das Zertifikat ja ein. Die Bank weiß von
    > einem generellen Problem mit dem Zertifikat. Über meine Verbindung weiß sie
    > nichts. Daher ist die einzig sinnvolle Reaktion der App auf ein Problem mit
    > dem Zertifikat, die Nutzung der Verbindung zu verhindern.

    Genau das macht die App doch auch.
    Nur die Nachrichten funktionieren eben nicht mehr, der Rest schon.
    Es ist sicher auch ganz sinnvoll, nicht fürs eigentliche Banking die gleichen Sicherheitsmechanismen zu nutzen, wie für die Kommunikation der Berater mit dem Kunden.

  13. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 12:58

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------

    > > Untauglich find ich eher über irgendwelche nicht zertifizierten Kanäle
    > die
    > > Kunden darüber zu informieren Sicherheitsmeldungen zu ignorieren.
    > > Das geht schon mal damit los, dass sich jeder Arsch auf Twitter
    > Comdirect
    > > nennen kann.
    >
    > help.twitter.com

    Hilft nicht darüber hinweg, dass sich jeder dort melden kann, wenn er einen öffentlichen Ausdruck vorlegen als Berechtigung kann. Merke: Die Bezeichnung als AG oder so, gibt es nicht nur in Deutschland und in anderen Ländern kann man AG als Firmenname mitunter frei nutzen.

    Gründe eine 1 Pfund-Ltd, nenne dich "comdirect AG Ltd." und melde dich als "comdirect AG" an. Wenn die echte "comdirect"-Bank da nicht interveniert, dann geht das durch; oder du nimmst eine Schweizer AG, mit einem Treuhänder kostet das dann so ca. CHF 2.000. Je nachdem, was du vorhast, recht wenig Geld.

  14. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 13:00

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------

    > Genau das macht die App doch auch.
    > Nur die Nachrichten funktionieren eben nicht mehr, der Rest schon.
    > Es ist sicher auch ganz sinnvoll, nicht fürs eigentliche Banking die
    > gleichen Sicherheitsmechanismen zu nutzen, wie für die Kommunikation der
    > Berater mit dem Kunden.

    Nur zeigt die App das gar nicht an. Es kommt ein allgemeiner Fehler und die Bank rät: Klicks weg. Dabei weiß die Bank gar nicht, woher der Fehler tatsächlich kommt, obs an dem ihr bekannten Fehler liegt, oder an einem MITM bspw. beim Hotel-WLAN.

  15. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 27.11.18 - 13:17

    schachbr3tt schrieb:
    --------------------------------------------------------------------------------
    > LinuxMcBook schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Genau das macht die App doch auch.
    > > Nur die Nachrichten funktionieren eben nicht mehr, der Rest schon.
    > > Es ist sicher auch ganz sinnvoll, nicht fürs eigentliche Banking die
    > > gleichen Sicherheitsmechanismen zu nutzen, wie für die Kommunikation der
    > > Berater mit dem Kunden.
    >
    > Nur zeigt die App das gar nicht an. Es kommt ein allgemeiner Fehler und die
    > Bank rät: Klicks weg. Dabei weiß die Bank gar nicht, woher der Fehler
    > tatsächlich kommt, obs an dem ihr bekannten Fehler liegt, oder an einem
    > MITM bspw. beim Hotel-WLAN.

    Solange die Bank aber weiß, dass bei einem Zertifikatsfehler der entsprechende Kanal dann durch die App _gar nicht mehr genutzt wird_, ist es auch gar nicht notwendig, dass die Bank tatsächlich weiß, was die Ursache ist.

    Die einzige Kritik, die wirklich angemessen ist, ist die, dass die Bank mit solchen Hinweisen den Kunden evtl. dazu bringt Sicherheitswarnungen in anderen Fälle auch zu ignorieren.

  16. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 13:31

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------

    > Solange die Bank aber weiß, dass bei einem Zertifikatsfehler der
    > entsprechende Kanal dann durch die App _gar nicht mehr genutzt wird_, ist
    > es auch gar nicht notwendig, dass die Bank tatsächlich weiß, was die
    > Ursache ist.

    Wollen wir hoffen, dass die Bank das weiß, obschon sie ja alles outsourced. Sie wusste ja bspw. nicht, dass das Zertifikat sich zeitlich dem Ende neigte und verlängert werden musste. Aber super, wenn man einfache Dinge nicht weiß, sicherheitsrelevantere schon. Insbesondere, wenn man die Funktion outsourced.

  17. Re: Und was ist daran so schlimm?

    Autor: bccc1 27.11.18 - 13:56

    Mein Verständnis:
    Die App verbindet sich zu verschiedenen Servern. Bei einer dieser Verbindungen gab es ein Zertifikatsproblem. Diese Verbindung wurde daher NICHT aufgebaut und alle damit zusammenhängenden Funktionen in der App wurden deaktiviert. Da die App trotzdem wie gewohnt funktionierte, war es wohl keine wichtige Verbindung.
    So lese ich die Meldung hier auf golem. Auf Twitter kann ich gerade nicht nachsehen, das wird vom Proxy geblockt.

    Das comdirect einfach so sagt ignoriert den Fehler finde ich auch nicht gut. Ich wollte nur klarstellen, das es kein Sicherheitsrisiko gab.

  18. Re: Und was ist daran so schlimm?

    Autor: quark2017 28.11.18 - 09:19

    bccc1 schrieb:
    --------------------------------------------------------------------------------
    > Das comdirect einfach so sagt ignoriert den Fehler finde ich auch nicht
    > gut. Ich wollte nur klarstellen, das es kein Sicherheitsrisiko gab.

    Und du macht den selben Denkfehler wie die ComDirekt-Clowns.

    1. Weiß der Nutzer gar nicht, zu wie vielen unterschiedlichen Domains eine Verbindung aufgebaut wird.
    2. Kann der Nutzer anhand der Meldung NICHT sehen, welches der Verbindungen/Zertifikate betroffen ist.

    Wenn nun ein MiM einen Angriff auf die Datenverbindung zur Bank ausführt.
    Dann sieht der Nutzer die Zertifikats-Warnung. Weil er aber in der App nicht sehen kann, ob dies nun das Zertifikat für die unwichtigen Outbank-News oder das kritische Zertifikat von comDirekt betrifft, kann der Nutzer somit NICHT erkennen, dass ein MiM-Angriff stattfindet.

    DAS ist ein massives Sicherheitsproblem.

  19. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 28.11.18 - 12:10

    quark2017 schrieb:
    --------------------------------------------------------------------------------
    > DAS ist ein massives Sicherheitsproblem.

    Nein, eben nicht.
    Nochmal: Es bestand nie die Gefahr für einen MITM-Angriff.
    Es ist doch erst einmal völlig egal. was der Nutzer sieht, solange die App das verhindert.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Witt-Gruppe, Weiden in der Oberpfalz
  2. SICK AG, Waldkirch bei Freiburg im Breisgau
  3. Amt für Statistik Berlin-Brandenburg, Potsdam
  4. NETZSCH-Gerätebau GmbH, Selb (Raum Hof)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 0,49€
  2. 59,99€ für PC/69,99€ für PS4, Xbox (Release am 4. Oktober)
  3. 3,99€ statt 19,99€
  4. (-87%) 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


e.Go Life: Ein Auto, das lächelt
e.Go Life
Ein Auto, das lächelt

Das Auto ist zwar klein, bringt aber sogar gestandene Rennfahrer ins Schwärmen: Das Aachener Unternehmen e.Go Mobile hat seine ersten Elektroautos ausgeliefert. In einer Probefahrt erweist sich der Kleinwagen als sehr dynamisch.
Ein Bericht von Werner Pluta

  1. Elektroauto Skoda Citigo e iV soll 265 km weit fahren
  2. Eon-Studie Netzausbau kostet maximal 400 Euro pro Elektroauto
  3. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
  2. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern
  3. Elektroautos e.GO Mobile liefert erste Fahrzeuge aus

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Smartphone Oneplus 7 Pro hat kein echtes Dreifach-Tele
  2. Oneplus Upgrade auf Android 9 für Oneplus 3 und 3T wird verteilt
  3. Smartphones Android-Q-Beta für Oneplus-7-Modelle veröffentlicht

  1. Core i9-9900KS: Intel legt mit vollen 5 GHz für acht CPU-Kerne vor
    Core i9-9900KS
    Intel legt mit vollen 5 GHz für acht CPU-Kerne vor

    Computex 2019 Nur wenige Stunden vor AMDs Präsentation hat Intel den Core i9-9900KS angekündigt: Der Octacore läuft mit 5 GHz, die dafür nötige Leistungsaufnahme aber verschweigt der Hersteller.

  2. Europawahlen: Schwere Verluste für Union und SPD, hohe Gewinne für Grüne
    Europawahlen
    Schwere Verluste für Union und SPD, hohe Gewinne für Grüne

    Bei der Europawahl 2019 haben die Regierungsparteien Union und SPD historisch schlecht abgeschnitten. Besonders profitieren konnten die Grünen. Während die Piraten viele Stimmen verloren, legte eine andere Kleinstpartei besonders stark zu.

  3. Briefe und Pakete: Bundesregierung will Rechte von Postkunden stärken
    Briefe und Pakete
    Bundesregierung will Rechte von Postkunden stärken

    Aufgrund gestiegener Beschwerden über Mängel bei der Post- und Paketzustellung will das Bundeswirtschaftsministerium die Rechte von Postkunden stärken. Dabei geht es auch um die Frage von Sanktionsmöglichkeiten.


  1. 03:45

  2. 20:12

  3. 11:31

  4. 11:17

  5. 10:57

  6. 13:20

  7. 12:11

  8. 11:40