Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Banking-App: Comdirect empfiehlt…

Und was ist daran so schlimm?

  1. Thema

Neues Thema Ansicht wechseln


  1. Und was ist daran so schlimm?

    Autor: Gandalf2210 27.11.18 - 11:35

    Wenn man weiß wo das Problem liegt, die schwere abschätzen kann und dem User guten Gewissens rät diese zu ignorieren?

  2. Re: Und was ist daran so schlimm?

    Autor: Aluz 27.11.18 - 11:38

    Gandalf2210 schrieb:
    --------------------------------------------------------------------------------
    > Wenn man weiß wo das Problem liegt, die schwere abschätzen kann und dem
    > User guten Gewissens rät diese zu ignorieren?

    Weil man den unwissenden Nutzer darauf konditioniert einfach Fehlermeldungen zu ignorieren. Mach das 3 mal in 3 verschiedenen Apps und beim 4. mal denkt sich der Nutzer nichts mehr dabei und klickt ohne nachzudenken die Fehlermeldung weg. "Ist ja eh nix wichtiges"

    Und von einem Nutzer kann man nicht erwarten, dass er noch auf Sicherheitswarnungen achtet wenn ihm staendig gesagt wird "Ach, ist nicht schlimm!"

    Es ist also eine Frage der Usererziehung und der damit einhergehenden Verantwortung.



    1 mal bearbeitet, zuletzt am 27.11.18 11:39 durch Aluz.

  3. Re: Und was ist daran so schlimm?

    Autor: Gandalf2210 27.11.18 - 11:41

    Jetzt bin ich als Bank auch noch für die Erziehung meiner Internet untauglichen Kunden verantwortlich?

  4. Re: Und was ist daran so schlimm?

    Autor: Klausens 27.11.18 - 11:44

    Untauglich find ich eher über irgendwelche nicht zertifizierten Kanäle die Kunden darüber zu informieren Sicherheitsmeldungen zu ignorieren.
    Das geht schon mal damit los, dass sich jeder Arsch auf Twitter Comdirect nennen kann.



    1 mal bearbeitet, zuletzt am 27.11.18 11:45 durch Klausens.

  5. Re: Und was ist daran so schlimm?

    Autor: Aluz 27.11.18 - 11:49

    Gandalf2210 schrieb:
    --------------------------------------------------------------------------------
    > Jetzt bin ich als Bank auch noch für die Erziehung meiner Internet
    > untauglichen Kunden verantwortlich?

    Du bist dafuer Veantwortlich dich als die Auoritaet (Herausgeber der App) verantwortungsbewusst zu verhalten, ja.
    Das liegt in der Tat in deiner Verantwortung und somit hast du auch nicht den Usern zu sagen "Ja klick weg, is nicht schlimm" sondern du musst den Fehler beheben.

    Und wer macht die Kunden wohl internet untauglich. Genau die Leute, die denen staendig sagen "ist nicht schlimm, klick weg!"
    Ist die Bank selbst Schuld an der Internet-Untauglichkeit der Kunden dann ist sie auch dafuer Verantwortlich ihren eigenen Mist wieder wegzumachen, ganz klar!

    Also sorry aber manchmal frage ich mich wie hier manche nicht weiter als bis zur eigenen Tischkante denken koennen.



    1 mal bearbeitet, zuletzt am 27.11.18 11:56 durch Aluz.

  6. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 11:49

    Gandalf2210 schrieb:
    --------------------------------------------------------------------------------
    > Jetzt bin ich als Bank auch noch für die Erziehung meiner Internet
    > untauglichen Kunden verantwortlich?

    Untauglich ist es eher, dass die App eine Weiternutzung ermöglicht, wenn die App schon feststellt und dem Nutzer mitteilt, dass eine gesicherte Verbindung fehlschlägt.

    Siehe auch: https://twitter.com/mr_gamy/status/1067020774907760640



    1 mal bearbeitet, zuletzt am 27.11.18 11:53 durch schachbr3tt.

  7. Re: Und was ist daran so schlimm?

    Autor: Mett 27.11.18 - 11:57

    Nein, keine Sorge. Du bist nur verantwortlich dafür, deinen verdammten Job ordentlich zu machen. Als Bank hast du da also nicht wirklich viel Verantwortung.

  8. Re: Und was ist daran so schlimm?

    Autor: gpkvt42 27.11.18 - 11:58

    Mal abgesehen von dem falschen Signal an die User. Die Bank kann nicht wissen, ob meine Verbindung gerade sicher ist oder sich jemand dazwischen geklinkt hat. Deswegen setzt sie das Zertifikat ja ein. Die Bank weiß von einem generellen Problem mit dem Zertifikat. Über meine Verbindung weiß sie nichts. Daher ist die einzig sinnvolle Reaktion der App auf ein Problem mit dem Zertifikat, die Nutzung der Verbindung zu verhindern.

    Wenn das dazu führt, dass die App nicht nutzbar ist, dann ist das so. Eventuell achtet man dann als Anbieter in Zukunft auch darauf, dass einem das Zertifikat nicht abläuft.

  9. Re: Und was ist daran so schlimm?

    Autor: bccc1 27.11.18 - 12:27

    schachbr3tt schrieb:
    --------------------------------------------------------------------------------
    > Untauglich ist es eher, dass die App eine Weiternutzung ermöglicht, wenn
    > die App schon feststellt und dem Nutzer mitteilt, dass eine gesicherte
    > Verbindung fehlschlägt.

    Hast du den Artikel überhaupt gelesen?
    "Das Wegklicken der Fehlermeldung führt anders als beispielsweise in Browsern nicht dazu, dass eine ungesicherte Verbindung aufgemacht wird. Vielmehr funktioniert die entsprechende Funktionalität in dem Fall einfach nicht."

    Es gab kein Sicherheitsrisiko, es konnten einfach bestimmte Nachrichten nicht geladen werden.

  10. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 12:53

    bccc1 schrieb:
    --------------------------------------------------------------------------------

    > Hast du den Artikel überhaupt gelesen?
    > "Das Wegklicken der Fehlermeldung führt anders als beispielsweise in
    > Browsern nicht dazu, dass eine ungesicherte Verbindung aufgemacht wird.
    > Vielmehr funktioniert die entsprechende Funktionalität in dem Fall einfach
    > nicht."
    >
    > Es gab kein Sicherheitsrisiko, es konnten einfach bestimmte Nachrichten
    > nicht geladen werden.

    Das steht jetzt im Artikel. Hast du den Tweet der Comdirectbank (also die Primärquelle) überhaupt mal gelesen:

    "Keine Sorge! Hierbei handelt es sich um einen bekannten Fehler. In Kürze werden wir ein Update bereitstellen. Übrigens: Trotz Fehlermeldung kannst du die banking App wie gewohnt nutzen. /MU"

    Wie soll denn letzteres gehen, wenn man die App dann plötzlich doch - wie gewohnt - nutzen kann. Kann man dann ja nicht.

    Du lenkst aber auch gut vom eigentlichen Thema ab. Es geht darum, dass eine Fehlermeldung kommt, und die Bank gibt über Twitter an: Klicks weg, und nutzt die App wie gewohnt. Dabei kann die Bank gar nicht sicherstellen, dass die Fehlermeldung daher rührt, weil das bekannte Zertifikat abgelaufen ist, oder aber weil sich jemand im bspw. Hotel-WLAN in die Verbindung schaltet.

    Aber klar, vertrauen wir der Comdirect-Bank mal, die PR-Stelle weiß es eh besser.

  11. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 27.11.18 - 12:54

    Klausens schrieb:
    --------------------------------------------------------------------------------
    > Untauglich find ich eher über irgendwelche nicht zertifizierten Kanäle die
    > Kunden darüber zu informieren Sicherheitsmeldungen zu ignorieren.
    > Das geht schon mal damit los, dass sich jeder Arsch auf Twitter Comdirect
    > nennen kann.

    https://help.twitter.com/de/managing-your-account/about-twitter-verified-accounts

  12. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 27.11.18 - 12:57

    gpkvt42 schrieb:
    --------------------------------------------------------------------------------
    > Mal abgesehen von dem falschen Signal an die User. Die Bank kann nicht
    > wissen, ob meine Verbindung gerade sicher ist oder sich jemand dazwischen
    > geklinkt hat. Deswegen setzt sie das Zertifikat ja ein. Die Bank weiß von
    > einem generellen Problem mit dem Zertifikat. Über meine Verbindung weiß sie
    > nichts. Daher ist die einzig sinnvolle Reaktion der App auf ein Problem mit
    > dem Zertifikat, die Nutzung der Verbindung zu verhindern.

    Genau das macht die App doch auch.
    Nur die Nachrichten funktionieren eben nicht mehr, der Rest schon.
    Es ist sicher auch ganz sinnvoll, nicht fürs eigentliche Banking die gleichen Sicherheitsmechanismen zu nutzen, wie für die Kommunikation der Berater mit dem Kunden.

  13. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 12:58

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------

    > > Untauglich find ich eher über irgendwelche nicht zertifizierten Kanäle
    > die
    > > Kunden darüber zu informieren Sicherheitsmeldungen zu ignorieren.
    > > Das geht schon mal damit los, dass sich jeder Arsch auf Twitter
    > Comdirect
    > > nennen kann.
    >
    > help.twitter.com

    Hilft nicht darüber hinweg, dass sich jeder dort melden kann, wenn er einen öffentlichen Ausdruck vorlegen als Berechtigung kann. Merke: Die Bezeichnung als AG oder so, gibt es nicht nur in Deutschland und in anderen Ländern kann man AG als Firmenname mitunter frei nutzen.

    Gründe eine 1 Pfund-Ltd, nenne dich "comdirect AG Ltd." und melde dich als "comdirect AG" an. Wenn die echte "comdirect"-Bank da nicht interveniert, dann geht das durch; oder du nimmst eine Schweizer AG, mit einem Treuhänder kostet das dann so ca. CHF 2.000. Je nachdem, was du vorhast, recht wenig Geld.

  14. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 13:00

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------

    > Genau das macht die App doch auch.
    > Nur die Nachrichten funktionieren eben nicht mehr, der Rest schon.
    > Es ist sicher auch ganz sinnvoll, nicht fürs eigentliche Banking die
    > gleichen Sicherheitsmechanismen zu nutzen, wie für die Kommunikation der
    > Berater mit dem Kunden.

    Nur zeigt die App das gar nicht an. Es kommt ein allgemeiner Fehler und die Bank rät: Klicks weg. Dabei weiß die Bank gar nicht, woher der Fehler tatsächlich kommt, obs an dem ihr bekannten Fehler liegt, oder an einem MITM bspw. beim Hotel-WLAN.

  15. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 27.11.18 - 13:17

    schachbr3tt schrieb:
    --------------------------------------------------------------------------------
    > LinuxMcBook schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Genau das macht die App doch auch.
    > > Nur die Nachrichten funktionieren eben nicht mehr, der Rest schon.
    > > Es ist sicher auch ganz sinnvoll, nicht fürs eigentliche Banking die
    > > gleichen Sicherheitsmechanismen zu nutzen, wie für die Kommunikation der
    > > Berater mit dem Kunden.
    >
    > Nur zeigt die App das gar nicht an. Es kommt ein allgemeiner Fehler und die
    > Bank rät: Klicks weg. Dabei weiß die Bank gar nicht, woher der Fehler
    > tatsächlich kommt, obs an dem ihr bekannten Fehler liegt, oder an einem
    > MITM bspw. beim Hotel-WLAN.

    Solange die Bank aber weiß, dass bei einem Zertifikatsfehler der entsprechende Kanal dann durch die App _gar nicht mehr genutzt wird_, ist es auch gar nicht notwendig, dass die Bank tatsächlich weiß, was die Ursache ist.

    Die einzige Kritik, die wirklich angemessen ist, ist die, dass die Bank mit solchen Hinweisen den Kunden evtl. dazu bringt Sicherheitswarnungen in anderen Fälle auch zu ignorieren.

  16. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 13:31

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------

    > Solange die Bank aber weiß, dass bei einem Zertifikatsfehler der
    > entsprechende Kanal dann durch die App _gar nicht mehr genutzt wird_, ist
    > es auch gar nicht notwendig, dass die Bank tatsächlich weiß, was die
    > Ursache ist.

    Wollen wir hoffen, dass die Bank das weiß, obschon sie ja alles outsourced. Sie wusste ja bspw. nicht, dass das Zertifikat sich zeitlich dem Ende neigte und verlängert werden musste. Aber super, wenn man einfache Dinge nicht weiß, sicherheitsrelevantere schon. Insbesondere, wenn man die Funktion outsourced.

  17. Re: Und was ist daran so schlimm?

    Autor: bccc1 27.11.18 - 13:56

    Mein Verständnis:
    Die App verbindet sich zu verschiedenen Servern. Bei einer dieser Verbindungen gab es ein Zertifikatsproblem. Diese Verbindung wurde daher NICHT aufgebaut und alle damit zusammenhängenden Funktionen in der App wurden deaktiviert. Da die App trotzdem wie gewohnt funktionierte, war es wohl keine wichtige Verbindung.
    So lese ich die Meldung hier auf golem. Auf Twitter kann ich gerade nicht nachsehen, das wird vom Proxy geblockt.

    Das comdirect einfach so sagt ignoriert den Fehler finde ich auch nicht gut. Ich wollte nur klarstellen, das es kein Sicherheitsrisiko gab.

  18. Re: Und was ist daran so schlimm?

    Autor: quark2017 28.11.18 - 09:19

    bccc1 schrieb:
    --------------------------------------------------------------------------------
    > Das comdirect einfach so sagt ignoriert den Fehler finde ich auch nicht
    > gut. Ich wollte nur klarstellen, das es kein Sicherheitsrisiko gab.

    Und du macht den selben Denkfehler wie die ComDirekt-Clowns.

    1. Weiß der Nutzer gar nicht, zu wie vielen unterschiedlichen Domains eine Verbindung aufgebaut wird.
    2. Kann der Nutzer anhand der Meldung NICHT sehen, welches der Verbindungen/Zertifikate betroffen ist.

    Wenn nun ein MiM einen Angriff auf die Datenverbindung zur Bank ausführt.
    Dann sieht der Nutzer die Zertifikats-Warnung. Weil er aber in der App nicht sehen kann, ob dies nun das Zertifikat für die unwichtigen Outbank-News oder das kritische Zertifikat von comDirekt betrifft, kann der Nutzer somit NICHT erkennen, dass ein MiM-Angriff stattfindet.

    DAS ist ein massives Sicherheitsproblem.

  19. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 28.11.18 - 12:10

    quark2017 schrieb:
    --------------------------------------------------------------------------------
    > DAS ist ein massives Sicherheitsproblem.

    Nein, eben nicht.
    Nochmal: Es bestand nie die Gefahr für einen MITM-Angriff.
    Es ist doch erst einmal völlig egal. was der Nutzer sieht, solange die App das verhindert.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DASGIP Information and Process Technology GmbH, Jülich
  2. BWI GmbH, Wilhelmshaven, Bonn, Meckenheim, München
  3. d.velop Life Sciences GmbH, Gescher
  4. Hitachi Automotive Systems Europe GmbH, Schwaig-Oberding (Raum München)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 469€
  3. 289€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Nuki Smart Lock 2.0 im Test: Tolles Aufsatzschloss hat Software-Schwächen
Nuki Smart Lock 2.0 im Test
Tolles Aufsatzschloss hat Software-Schwächen

Mit dem Smart Lock 2.0 macht Nuki Türschlösser schlauer und Türen bequemer. Kritisierte Sicherheitsprobleme sind beseitigt worden, aber die Software zeigt noch immer Schwächen.
Ein Test von Ingo Pakalski


    Digitaler Knoten 4.0: Auto und Ampel im Austausch
    Digitaler Knoten 4.0
    Auto und Ampel im Austausch

    Auf der Autobahn klappt das autonome Fahren schon recht gut. In der Stadt brauchen die Autos jedoch Unterstützung. In Braunschweig testet das DLR die Vernetzung von Autos und Infrastruktur, damit die autonom fahrenden Autos im fließenden Verkehr links abbiegen können.
    Ein Bericht von Werner Pluta

    1. LTE-V2X vs. WLAN 802.11p Wer hat Recht im Streit ums Auto-WLAN?
    2. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
    3. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

    Black Mirror Staffel 5: Der Gesellschaft den Spiegel vorhalten
    Black Mirror Staffel 5
    Der Gesellschaft den Spiegel vorhalten

    Black Mirror zeigt in der neuen Staffel noch alltagsnäher als bisher, wie heutige Technologien das Leben in der Zukunft katastrophal auf den Kopf stellen könnten. Dabei greift die Serie auch aktuelle Diskussionen auf und zeigt mitunter, was bereits im heutigen Alltag schiefläuft - ein Meisterwerk! Achtung, Spoiler!
    Eine Rezension von Tobias Költzsch

    1. Streaming Netflix testet an Instagram erinnernden News-Feed
    2. Start von Disney+ Netflix wird nicht dauerhaft alle Disney-Inhalte verlieren
    3. Videostreaming Netflix will Zuschauerzahlen nicht länger geheim halten

    1. Lidl Connect: Smartphone-Tarife erhalten mehr Datenvolumen - ohne LTE
      Lidl Connect
      Smartphone-Tarife erhalten mehr Datenvolumen - ohne LTE

      Der Lebensmittel-Discounter Lidl hat seine eigenen Smartphone-Tarife überarbeitet. In allen Optionen wird das enthaltene Datenvolumen erhöht. Lidl-Kunden nutzen das Vodafone-Netz, aber der LTE-Zugang ist weiterhin nicht dabei.

    2. Steam Play: Tschüss Windows, hallo Linux - ein Gamer zieht um
      Steam Play
      Tschüss Windows, hallo Linux - ein Gamer zieht um

      Wenn ein Gamer von Windows auf Linux umsteigt, ist das aufwendig - nahm ich an. Die Distribution Manjaro macht jedoch immerhin die Installation leicht. Laufen Spiele auch und laufen sie so schnell wie unter Windows?

    3. Rocket Lake: Intel soll 14-nm-Chips bei Samsung fertigen lassen
      Rocket Lake
      Intel soll 14-nm-Chips bei Samsung fertigen lassen

      Offenbar sind Intels Probleme bei der 14-nm-Halbleiterfertigung größer als erwartet: Nächstes Jahr soll Samsung die Rocket-Lake-Chips herstellen, damit Intel selbst mehr Kapazität für andere Designs hat. Schon im April 2019 hatte GPU-Chef Raja Koduri die 14-nm-Fab in Giheung besucht.


    1. 12:25

    2. 12:07

    3. 11:52

    4. 11:43

    5. 11:32

    6. 11:24

    7. 11:11

    8. 11:02