Abo
  1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Betrug: Kriminelle nutzen…

Meine Sparkasse schießt sich grad selbst ins Knie...

  1. Thema

Neues Thema Ansicht wechseln


  1. Meine Sparkasse schießt sich grad selbst ins Knie...

    Autor: postb1 13.09.19 - 04:58

    ...weil dort die psd2 mißbraucht wird um Kosten zu sparen.
    Die schaffen im nächsten Monat das SMS TAN Verfahren ab, wegen angeblich inzwischen sicherer Verfahren. Natürlich ist das nur vorgeschoben um Kosten zu sparen.
    Der Kunde soll gefälligst einen dieser unpraktischen TAN Generatoren kaufen oder die ach so sichere Android App nutzen...
    Gibt andere Banken, welche die "unsichere" sms weiter nutzen.
    Ich hab mich daher entschieden, mich selbst als Kunden bei der Sparkasse auch abzuschaffen.

  2. Re: Meine Sparkasse schießt sich grad selbst ins Knie...

    Autor: fox82 13.09.19 - 08:49

    postb1 schrieb:
    --------------------------------------------------------------------------------
    > ...weil dort die psd2 mißbraucht wird um Kosten zu sparen.
    > Die schaffen im nächsten Monat das SMS TAN Verfahren ab, wegen angeblich
    > inzwischen sicherer Verfahren. Natürlich ist das nur vorgeschoben um Kosten
    > zu sparen.
    > Der Kunde soll gefälligst einen dieser unpraktischen TAN Generatoren kaufen
    > oder die ach so sichere Android App nutzen...

    CardTAN / TAN Generator: Aktuell sicherstes Verfahren, ein echter unabhängiger 2. Faktor, keine Softwareinstallation/Schadsoftware am Gerät möglich)

    SMS TAN: So la la, SMS ist ein komplett offenes Protokoll, insbesondere im Ausland ist das eher nicht sicher, und es gibt das Problem mit Zweit-SIMS die von Telefonanbietern herausgegben werden wenn sich jemand als der Kunde ausgibt...

    Android: Ein sehr unsicheres System, bei dem versucht wird durch ständiges Patchen die Lücken wieder zu schließen - hilft aber nichts wenn man ein 2 Jahre altes Gerät ohne Sicherheitsupdates hat (auf dem die Banken Apps aber klaglos laufen).

  3. Re: Meine Sparkasse schießt sich grad selbst ins Knie...

    Autor: dev_null 13.09.19 - 08:54

    fox82 schrieb:
    --------------------------------------------------------------------------------

    >
    > Android: Ein sehr unsicheres System, bei dem versucht wird durch ständiges
    > Patchen die Lücken wieder zu schließen - hilft aber nichts wenn man ein 2
    > Jahre altes Gerät ohne Sicherheitsupdates hat (auf dem die Banken Apps aber
    > klaglos laufen).


    Aha? Wenn ich schon so was lese.
    Welches Endgerät ist den deiner Meinung nach sicher für Banken Apps/Zahlungen.

  4. Re: Meine Sparkasse schießt sich grad selbst ins Knie...

    Autor: fox82 13.09.19 - 09:02

    dev_null schrieb:

    > Aha? Wenn ich schon so was lese.
    > Welches Endgerät ist den deiner Meinung nach sicher für Banken
    > Apps/Zahlungen.

    Wie oben geschrieben: Ein TAN Generator. Also ein separates Gerät, in das man seine Bank Karte steckt, und das man mit seiner PIN aktiviert. Dann kann man damit TANs generieren.

    Da das Gerät offline ist und man keine Software installieren kann ist es schon mal WESENTLICH sicherer als jedes Betriebssystem das "mehr kann".

    Bei Android ist das Problem, dass eben der überwiegende Teil der Geräte nicht/nie aktualisiert wurde. Was von den Banken nicht bemängelt wird, denn die sind ganz gierig, dass sie ihre Apps auf Kundengeräte bringen. Denn Apps können (vor allem bei Android) so schön Daten sammeln, etwa den Standortverlauf, da ist man gleich viel näher am Kunden.

    Regelmäßig aktualisierte Android Geräte sind wohl passabel für Banking geeignet, WENN man 2 Faktoren hat (also Banking am PC, TAN Generator am Handy). Wenn alles am selben Gerät läuft ist das immer unsicher.

  5. Re: Meine Sparkasse schießt sich grad selbst ins Knie...

    Autor: Dieselmeister 13.09.19 - 09:28

    Pin im tan generator? Äh eher nicht. Eine 6 stellige Zahl von der Bank. Die Iban und der Betrag muss eingegeben werden. Alternativ kann man das Gerät auch an ein paar flackernden Strichen am Bildschirm halten, die o.g Daten automatisch übertragen.

    Da wird kein Pin eingegeben. Aber eventuell meinst du ja was anderes und hast dich mit Pin, nur ungünstig ausgedrückt.

  6. Re: Meine Sparkasse schießt sich grad selbst ins Knie...

    Autor: Faksimile 13.09.19 - 09:45

    HBCI mit Kartenleser und Chipkarte und extra SW. Man hätte von Seiten der Banken auch durchgängig SECODER nach der Einführung forcieren können. Ja o.k. der Kunde hätte erst einmal ein etwas teureres Gerät anschaffen müssen. Aber das ist ja im Regelfall eine einmalige Investition ...

  7. Re: Meine Sparkasse schießt sich grad selbst ins Knie...

    Autor: User_x 13.09.19 - 09:50

    Gibt mittlerweile PhotoTAN, Google Authenticator und andere CODE-Generierer - Allen zusammen ist ein zu grunde liegender Code aus welchem etwas anderes herausgerechnet wird (Zum Beispiel Uhrheit mit IBAN Quersumme etc.). Hat man das Prinzip, kann man die Sache angehen.

    Ein TAN-Generator ist indes nicht automatisch sicher(er) - man könnte es Grundsätzlich auch mit Zertifikaten machen?

    Und das Android-System, naja die meisten Bank-Apps meckern schon, wenn das Gerät gerootet ist. Soweit nicht, ist es genauso Sicher/Unsicher wie ein Apple Gerät mit gleichen Apps aus dem Store.

  8. Re: Meine Sparkasse schießt sich grad selbst ins Knie...

    Autor: fox82 13.09.19 - 10:59

    Dieselmeister schrieb:
    --------------------------------------------------------------------------------
    > Pin im tan generator? Äh eher nicht. Eine 6 stellige Zahl von der Bank. Die
    > Iban und der Betrag muss eingegeben werden. Alternativ kann man das Gerät
    > auch an ein paar flackernden Strichen am Bildschirm halten, die o.g Daten
    > automatisch übertragen.

    Ich muss die Karte einstecken und erstmal einen 5 stelligen PIN eingeben, um mit dem TAN Generator irgendetwas machen zu können.
    Inwieweit dieser PIN mit dem PIN beim Konto zusammenhängt kann ich nicht sagen (meine Bank hat da diverse Dinge, mal nen Verfügernamen, dann mal ein Passwort, einen PIN... alles etwas verwirrend).

  9. Re: Meine Sparkasse schießt sich grad selbst ins Knie...

    Autor: Oekotex 13.09.19 - 11:15

    fox82 schrieb:
    --------------------------------------------------------------------------------
    > CardTAN / TAN Generator: Aktuell sicherstes Verfahren, ein echter
    > unabhängiger 2. Faktor, keine Softwareinstallation/Schadsoftware am Gerät
    > möglich)

    Im Grunde bedarf es mit dem CardTAN Verfahren sogar 3 korrekt zusammengesetzte Bausteine. Denn neben den Zugangsdaten (Benutzername und Kennwort/PIN) braucht es auch noch das richtige Gerät (es gibt ja Sparkassen, die Flicker-Codes und QR-Codes anbieten, es ist im Regelfall aber nur eines für den Kunden registriert) und die richtige Karte.

  10. Re: Meine Sparkasse schießt sich grad selbst ins Knie...

    Autor: Oekotex 13.09.19 - 11:17

    Dieselmeister schrieb:
    --------------------------------------------------------------------------------
    > Da wird kein Pin eingegeben. Aber eventuell meinst du ja was anderes und
    > hast dich mit Pin, nur ungünstig ausgedrückt.


    Es tut mir leid dich enttäuschen zu müssen, aber ich habe einen TAN-Generator, der vor der Erzeugung einer TAN noch eine PIN haben will um entsperrt zu werden.

    In meinem Fall brauchst du also
    - meine Bankzugangsdaten
    - den richtigen Generator
    - meine Karte

    und wenn du meinen Generator klauen solltest (physikalischer Zugang zur Wohnung) und noch meine Karte entwendest brauchst du trotzdem noch meine Generator-PIN.

  11. Re: Meine Sparkasse schießt sich grad selbst ins Knie...

    Autor: Silent_GSG9 13.09.19 - 14:26

    Nö ich kann (alternativ zu meinem Generator) zur TAN-Erzeugung auch Problemlos den TAN-Generator meiner Frau nutzen..... Da musste nichts weiter registriert werden.
    (Sparkasse)

  12. Re: Meine Sparkasse schießt sich grad selbst ins Knie...

    Autor: postb1 14.09.19 - 05:22

    Die Diskussion bestätigt mich in meiner Meinung bezüglich der SMS TAN.
    Für mich die ideale Kombination aus komfortabler Bedienung und Sicherheit.
    Für einen Missbrauch sind komplizierte Angriffsvektoren notwendig, die in der Praxis kaum machbar sind.
    Wie immer im Leben müssen halt einige Binsenweisheiten berücksichtigt werden.
    Homebanking am Desktop mit Linux OS, LAN statt WLAN, und zum Empfang eines von Millionen in deutschen Schubladen schlummerndes Tasten-Handy. Mein Siemens C30 leistet immer noch gute Zwecke dafür, und mobil telefonieren lässt sich ganz nebenbei erwähnt damit auch besser als mit jedem 1000¤ Edelsmartphone...
    Das alles finde ich deutlich sicherer als eine App, die unter dem Sicherheitsrisiko namens Android läuft.



    1 mal bearbeitet, zuletzt am 14.09.19 05:23 durch postb1.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, Meckenheim
  2. Automotive Safety Technologies GmbH, Gaimersheim
  3. novacare GmbH, Bad Dürkheim
  4. Ledermann GmbH & Co. KG, Horb am Neckar

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 699,00€ (Bestpreis!)
  2. (u. a. Aorus Pro für 219,90€, Aorus Pro WiFi für 229,90€, Aorus Elite für 189,90€)
  3. (u. a. Sandisk SSD Plus 1 TB für 88,00€, WD Elements 1,5-TB-HDD für 55,00€, Seagate Expansion...
  4. (u. a. Kingston A400 2-TB-SSD für 159,90€, AMD Upgrade-Bundle mit Radeon RX 590 + Ryzen 7...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Pixel 4 im Hands on: Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro
Pixel 4 im Hands on
Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro

Nach zahlreichen Leaks hat Google das Pixel 4 und das Pixel 4 XL offiziell vorgestellt: Die Smartphones haben erstmals eine Dualkamera - ein Radar-Chip soll zudem die Bedienung verändern. Im Kurztest hinterlassen beide einen guten ersten Eindruck.
Ein Hands on von Tobias Költzsch

  1. Google Pixel 4 entsperrt auch bei geschlossenen Augen
  2. Live Captions Pixel 4 blendet auf dem Gerät erzeugte Untertitel ein
  3. Google Fotos Pixel 4 kommt ohne unbegrenzten unkomprimierten Fotospeicher

Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

  1. BDI: Industrie für schnelle 5G-Errichtung statt Vertrauensschwüre
    BDI
    Industrie für schnelle 5G-Errichtung statt Vertrauensschwüre

    Die deutsche Industrie will keine Vertrauenswürdigkeitserklärung von den 5G-Ausrüstern einholen müssen. Diese Erklärungen seien wirkungslos, gefragt sei dagegen Cyber-Resilienz.

  2. Watch Parties: Twitch ermöglicht Streamern Filmabende mit Followern
    Watch Parties
    Twitch ermöglicht Streamern Filmabende mit Followern

    Gemeinsam im kleinen oder großen Kreis einen Spiefilm oder eine TV-Serie per Streaming anschauen: Das können Influencer künftig auf Twitch - vorerst allerdings nur in den USA.

  3. Smartspeaker: Belauschen mit Alexa- und Google-Home-Apps
    Smartspeaker
    Belauschen mit Alexa- und Google-Home-Apps

    Mit verschiedenen Tricks gelang es Sicherheitsforschern, Apps für Google Home und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps überstanden den Review-Prozess von Google und Amazon.


  1. 18:53

  2. 17:38

  3. 17:23

  4. 16:54

  5. 16:39

  6. 15:47

  7. 15:00

  8. 13:27