Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Banking-App: Comdirect empfiehlt…

Und was ist daran so schlimm?

  1. Thema

Neues Thema Ansicht wechseln


  1. Und was ist daran so schlimm?

    Autor: Gandalf2210 27.11.18 - 11:35

    Wenn man weiß wo das Problem liegt, die schwere abschätzen kann und dem User guten Gewissens rät diese zu ignorieren?

  2. Re: Und was ist daran so schlimm?

    Autor: Aluz 27.11.18 - 11:38

    Gandalf2210 schrieb:
    --------------------------------------------------------------------------------
    > Wenn man weiß wo das Problem liegt, die schwere abschätzen kann und dem
    > User guten Gewissens rät diese zu ignorieren?

    Weil man den unwissenden Nutzer darauf konditioniert einfach Fehlermeldungen zu ignorieren. Mach das 3 mal in 3 verschiedenen Apps und beim 4. mal denkt sich der Nutzer nichts mehr dabei und klickt ohne nachzudenken die Fehlermeldung weg. "Ist ja eh nix wichtiges"

    Und von einem Nutzer kann man nicht erwarten, dass er noch auf Sicherheitswarnungen achtet wenn ihm staendig gesagt wird "Ach, ist nicht schlimm!"

    Es ist also eine Frage der Usererziehung und der damit einhergehenden Verantwortung.



    1 mal bearbeitet, zuletzt am 27.11.18 11:39 durch Aluz.

  3. Re: Und was ist daran so schlimm?

    Autor: Gandalf2210 27.11.18 - 11:41

    Jetzt bin ich als Bank auch noch für die Erziehung meiner Internet untauglichen Kunden verantwortlich?

  4. Re: Und was ist daran so schlimm?

    Autor: Klausens 27.11.18 - 11:44

    Untauglich find ich eher über irgendwelche nicht zertifizierten Kanäle die Kunden darüber zu informieren Sicherheitsmeldungen zu ignorieren.
    Das geht schon mal damit los, dass sich jeder Arsch auf Twitter Comdirect nennen kann.



    1 mal bearbeitet, zuletzt am 27.11.18 11:45 durch Klausens.

  5. Re: Und was ist daran so schlimm?

    Autor: Aluz 27.11.18 - 11:49

    Gandalf2210 schrieb:
    --------------------------------------------------------------------------------
    > Jetzt bin ich als Bank auch noch für die Erziehung meiner Internet
    > untauglichen Kunden verantwortlich?

    Du bist dafuer Veantwortlich dich als die Auoritaet (Herausgeber der App) verantwortungsbewusst zu verhalten, ja.
    Das liegt in der Tat in deiner Verantwortung und somit hast du auch nicht den Usern zu sagen "Ja klick weg, is nicht schlimm" sondern du musst den Fehler beheben.

    Und wer macht die Kunden wohl internet untauglich. Genau die Leute, die denen staendig sagen "ist nicht schlimm, klick weg!"
    Ist die Bank selbst Schuld an der Internet-Untauglichkeit der Kunden dann ist sie auch dafuer Verantwortlich ihren eigenen Mist wieder wegzumachen, ganz klar!

    Also sorry aber manchmal frage ich mich wie hier manche nicht weiter als bis zur eigenen Tischkante denken koennen.



    1 mal bearbeitet, zuletzt am 27.11.18 11:56 durch Aluz.

  6. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 11:49

    Gandalf2210 schrieb:
    --------------------------------------------------------------------------------
    > Jetzt bin ich als Bank auch noch für die Erziehung meiner Internet
    > untauglichen Kunden verantwortlich?

    Untauglich ist es eher, dass die App eine Weiternutzung ermöglicht, wenn die App schon feststellt und dem Nutzer mitteilt, dass eine gesicherte Verbindung fehlschlägt.

    Siehe auch: https://twitter.com/mr_gamy/status/1067020774907760640



    1 mal bearbeitet, zuletzt am 27.11.18 11:53 durch schachbr3tt.

  7. Re: Und was ist daran so schlimm?

    Autor: Mett 27.11.18 - 11:57

    Nein, keine Sorge. Du bist nur verantwortlich dafür, deinen verdammten Job ordentlich zu machen. Als Bank hast du da also nicht wirklich viel Verantwortung.

  8. Re: Und was ist daran so schlimm?

    Autor: gpkvt42 27.11.18 - 11:58

    Mal abgesehen von dem falschen Signal an die User. Die Bank kann nicht wissen, ob meine Verbindung gerade sicher ist oder sich jemand dazwischen geklinkt hat. Deswegen setzt sie das Zertifikat ja ein. Die Bank weiß von einem generellen Problem mit dem Zertifikat. Über meine Verbindung weiß sie nichts. Daher ist die einzig sinnvolle Reaktion der App auf ein Problem mit dem Zertifikat, die Nutzung der Verbindung zu verhindern.

    Wenn das dazu führt, dass die App nicht nutzbar ist, dann ist das so. Eventuell achtet man dann als Anbieter in Zukunft auch darauf, dass einem das Zertifikat nicht abläuft.

  9. Re: Und was ist daran so schlimm?

    Autor: bccc1 27.11.18 - 12:27

    schachbr3tt schrieb:
    --------------------------------------------------------------------------------
    > Untauglich ist es eher, dass die App eine Weiternutzung ermöglicht, wenn
    > die App schon feststellt und dem Nutzer mitteilt, dass eine gesicherte
    > Verbindung fehlschlägt.

    Hast du den Artikel überhaupt gelesen?
    "Das Wegklicken der Fehlermeldung führt anders als beispielsweise in Browsern nicht dazu, dass eine ungesicherte Verbindung aufgemacht wird. Vielmehr funktioniert die entsprechende Funktionalität in dem Fall einfach nicht."

    Es gab kein Sicherheitsrisiko, es konnten einfach bestimmte Nachrichten nicht geladen werden.

  10. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 12:53

    bccc1 schrieb:
    --------------------------------------------------------------------------------

    > Hast du den Artikel überhaupt gelesen?
    > "Das Wegklicken der Fehlermeldung führt anders als beispielsweise in
    > Browsern nicht dazu, dass eine ungesicherte Verbindung aufgemacht wird.
    > Vielmehr funktioniert die entsprechende Funktionalität in dem Fall einfach
    > nicht."
    >
    > Es gab kein Sicherheitsrisiko, es konnten einfach bestimmte Nachrichten
    > nicht geladen werden.

    Das steht jetzt im Artikel. Hast du den Tweet der Comdirectbank (also die Primärquelle) überhaupt mal gelesen:

    "Keine Sorge! Hierbei handelt es sich um einen bekannten Fehler. In Kürze werden wir ein Update bereitstellen. Übrigens: Trotz Fehlermeldung kannst du die banking App wie gewohnt nutzen. /MU"

    Wie soll denn letzteres gehen, wenn man die App dann plötzlich doch - wie gewohnt - nutzen kann. Kann man dann ja nicht.

    Du lenkst aber auch gut vom eigentlichen Thema ab. Es geht darum, dass eine Fehlermeldung kommt, und die Bank gibt über Twitter an: Klicks weg, und nutzt die App wie gewohnt. Dabei kann die Bank gar nicht sicherstellen, dass die Fehlermeldung daher rührt, weil das bekannte Zertifikat abgelaufen ist, oder aber weil sich jemand im bspw. Hotel-WLAN in die Verbindung schaltet.

    Aber klar, vertrauen wir der Comdirect-Bank mal, die PR-Stelle weiß es eh besser.

  11. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 27.11.18 - 12:54

    Klausens schrieb:
    --------------------------------------------------------------------------------
    > Untauglich find ich eher über irgendwelche nicht zertifizierten Kanäle die
    > Kunden darüber zu informieren Sicherheitsmeldungen zu ignorieren.
    > Das geht schon mal damit los, dass sich jeder Arsch auf Twitter Comdirect
    > nennen kann.

    https://help.twitter.com/de/managing-your-account/about-twitter-verified-accounts

  12. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 27.11.18 - 12:57

    gpkvt42 schrieb:
    --------------------------------------------------------------------------------
    > Mal abgesehen von dem falschen Signal an die User. Die Bank kann nicht
    > wissen, ob meine Verbindung gerade sicher ist oder sich jemand dazwischen
    > geklinkt hat. Deswegen setzt sie das Zertifikat ja ein. Die Bank weiß von
    > einem generellen Problem mit dem Zertifikat. Über meine Verbindung weiß sie
    > nichts. Daher ist die einzig sinnvolle Reaktion der App auf ein Problem mit
    > dem Zertifikat, die Nutzung der Verbindung zu verhindern.

    Genau das macht die App doch auch.
    Nur die Nachrichten funktionieren eben nicht mehr, der Rest schon.
    Es ist sicher auch ganz sinnvoll, nicht fürs eigentliche Banking die gleichen Sicherheitsmechanismen zu nutzen, wie für die Kommunikation der Berater mit dem Kunden.

  13. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 12:58

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------

    > > Untauglich find ich eher über irgendwelche nicht zertifizierten Kanäle
    > die
    > > Kunden darüber zu informieren Sicherheitsmeldungen zu ignorieren.
    > > Das geht schon mal damit los, dass sich jeder Arsch auf Twitter
    > Comdirect
    > > nennen kann.
    >
    > help.twitter.com

    Hilft nicht darüber hinweg, dass sich jeder dort melden kann, wenn er einen öffentlichen Ausdruck vorlegen als Berechtigung kann. Merke: Die Bezeichnung als AG oder so, gibt es nicht nur in Deutschland und in anderen Ländern kann man AG als Firmenname mitunter frei nutzen.

    Gründe eine 1 Pfund-Ltd, nenne dich "comdirect AG Ltd." und melde dich als "comdirect AG" an. Wenn die echte "comdirect"-Bank da nicht interveniert, dann geht das durch; oder du nimmst eine Schweizer AG, mit einem Treuhänder kostet das dann so ca. CHF 2.000. Je nachdem, was du vorhast, recht wenig Geld.

  14. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 13:00

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------

    > Genau das macht die App doch auch.
    > Nur die Nachrichten funktionieren eben nicht mehr, der Rest schon.
    > Es ist sicher auch ganz sinnvoll, nicht fürs eigentliche Banking die
    > gleichen Sicherheitsmechanismen zu nutzen, wie für die Kommunikation der
    > Berater mit dem Kunden.

    Nur zeigt die App das gar nicht an. Es kommt ein allgemeiner Fehler und die Bank rät: Klicks weg. Dabei weiß die Bank gar nicht, woher der Fehler tatsächlich kommt, obs an dem ihr bekannten Fehler liegt, oder an einem MITM bspw. beim Hotel-WLAN.

  15. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 27.11.18 - 13:17

    schachbr3tt schrieb:
    --------------------------------------------------------------------------------
    > LinuxMcBook schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Genau das macht die App doch auch.
    > > Nur die Nachrichten funktionieren eben nicht mehr, der Rest schon.
    > > Es ist sicher auch ganz sinnvoll, nicht fürs eigentliche Banking die
    > > gleichen Sicherheitsmechanismen zu nutzen, wie für die Kommunikation der
    > > Berater mit dem Kunden.
    >
    > Nur zeigt die App das gar nicht an. Es kommt ein allgemeiner Fehler und die
    > Bank rät: Klicks weg. Dabei weiß die Bank gar nicht, woher der Fehler
    > tatsächlich kommt, obs an dem ihr bekannten Fehler liegt, oder an einem
    > MITM bspw. beim Hotel-WLAN.

    Solange die Bank aber weiß, dass bei einem Zertifikatsfehler der entsprechende Kanal dann durch die App _gar nicht mehr genutzt wird_, ist es auch gar nicht notwendig, dass die Bank tatsächlich weiß, was die Ursache ist.

    Die einzige Kritik, die wirklich angemessen ist, ist die, dass die Bank mit solchen Hinweisen den Kunden evtl. dazu bringt Sicherheitswarnungen in anderen Fälle auch zu ignorieren.

  16. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 13:31

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------

    > Solange die Bank aber weiß, dass bei einem Zertifikatsfehler der
    > entsprechende Kanal dann durch die App _gar nicht mehr genutzt wird_, ist
    > es auch gar nicht notwendig, dass die Bank tatsächlich weiß, was die
    > Ursache ist.

    Wollen wir hoffen, dass die Bank das weiß, obschon sie ja alles outsourced. Sie wusste ja bspw. nicht, dass das Zertifikat sich zeitlich dem Ende neigte und verlängert werden musste. Aber super, wenn man einfache Dinge nicht weiß, sicherheitsrelevantere schon. Insbesondere, wenn man die Funktion outsourced.

  17. Re: Und was ist daran so schlimm?

    Autor: bccc1 27.11.18 - 13:56

    Mein Verständnis:
    Die App verbindet sich zu verschiedenen Servern. Bei einer dieser Verbindungen gab es ein Zertifikatsproblem. Diese Verbindung wurde daher NICHT aufgebaut und alle damit zusammenhängenden Funktionen in der App wurden deaktiviert. Da die App trotzdem wie gewohnt funktionierte, war es wohl keine wichtige Verbindung.
    So lese ich die Meldung hier auf golem. Auf Twitter kann ich gerade nicht nachsehen, das wird vom Proxy geblockt.

    Das comdirect einfach so sagt ignoriert den Fehler finde ich auch nicht gut. Ich wollte nur klarstellen, das es kein Sicherheitsrisiko gab.

  18. Re: Und was ist daran so schlimm?

    Autor: quark2017 28.11.18 - 09:19

    bccc1 schrieb:
    --------------------------------------------------------------------------------
    > Das comdirect einfach so sagt ignoriert den Fehler finde ich auch nicht
    > gut. Ich wollte nur klarstellen, das es kein Sicherheitsrisiko gab.

    Und du macht den selben Denkfehler wie die ComDirekt-Clowns.

    1. Weiß der Nutzer gar nicht, zu wie vielen unterschiedlichen Domains eine Verbindung aufgebaut wird.
    2. Kann der Nutzer anhand der Meldung NICHT sehen, welches der Verbindungen/Zertifikate betroffen ist.

    Wenn nun ein MiM einen Angriff auf die Datenverbindung zur Bank ausführt.
    Dann sieht der Nutzer die Zertifikats-Warnung. Weil er aber in der App nicht sehen kann, ob dies nun das Zertifikat für die unwichtigen Outbank-News oder das kritische Zertifikat von comDirekt betrifft, kann der Nutzer somit NICHT erkennen, dass ein MiM-Angriff stattfindet.

    DAS ist ein massives Sicherheitsproblem.

  19. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 28.11.18 - 12:10

    quark2017 schrieb:
    --------------------------------------------------------------------------------
    > DAS ist ein massives Sicherheitsproblem.

    Nein, eben nicht.
    Nochmal: Es bestand nie die Gefahr für einen MITM-Angriff.
    Es ist doch erst einmal völlig egal. was der Nutzer sieht, solange die App das verhindert.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hays AG, Frankfurt am Main
  2. via experteer GmbH, verschiedene Standorte (Deutschland, Ungarn, Slowakei)
  3. Bosch Gruppe, Reutlingen
  4. Kassenärztliche Vereinigung Berlin, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)
  2. 42,49€
  3. 9,95€
  4. (-70%) 8,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Red Dead Online angespielt: Schweigsam auf der Schindmähre
Red Dead Online angespielt
Schweigsam auf der Schindmähre

Der Multiplayermodus von Red Dead Redemption 2 schickt uns als ehemaligen Strafgefangenen in den offenen Wilden Westen. Golem.de hat den handlungsgetriebenen Einstieg angespielt - und einen ersten Onlineüberfall gemeinsam mit anderen Banditen unternommen.

  1. Spielbalance Updates für Red Dead Online und Battlefield 5 angekündigt
  2. Rockstar Games Red Dead Redemption 2 geht schrittweise online
  3. Games US-Spielemarkt erreicht Rekordumsätze

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Machine Learning: Wie Technik jede Stimme stehlen kann
Machine Learning
Wie Technik jede Stimme stehlen kann

Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
Ein Bericht von Felix Lill

  1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
  2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
  3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber

  1. Ice Lake: Intels nächste GPU doppelt so schnell und auf Wunsch ungenau
    Ice Lake
    Intels nächste GPU doppelt so schnell und auf Wunsch ungenau

    Mit Ice Lake kommt auch Intels 11. Generation der integrierten GPUs. Sie soll viele moderne Titel zumindest spielbar machen und ermöglicht auch Adaptive Sync. Eine andere Funktion dürfte jedoch bald umstritten sein.

  2. Prozessoren: Intels 3D-Chip Foveros stapelt Dies mit 10 und 22 Nanometern
    Prozessoren
    Intels 3D-Chip Foveros stapelt Dies mit 10 und 22 Nanometern

    Auch bei Intel setzen sich die Multichip-Module durch. Die Dies werden aber mit erweiterter EMIB-Technik gestapelt - vom Notebook bis zum Server und mit speziellen Chiplets für x86-Kerne, Grafik und I/O.

  3. CPU-Architektur: Ice Lake bekommt Sunny Cove, um AMD auf Abstand zu halten
    CPU-Architektur
    Ice Lake bekommt Sunny Cove, um AMD auf Abstand zu halten

    Die bisher als Ice Lake bekannten Prozessoren für Desktop, Notebook und Server bekommen eine neue Architektur. Die gibt es - wie bei AMD - auch als Chiplets, aber laut Intel mit deutlich höherer Leistung pro Takt.


  1. 15:50

  2. 15:00

  3. 15:00

  4. 14:45

  5. 14:00

  6. 13:22

  7. 12:30

  8. 12:12