ComputerBase Menü
Aktuelles

Banking-Apps "sicher"?

2

2777

Gast
Hallo!

Ich weiß, dass es keine sicheren Systeme gibt.

Trotzdem fand ich mein bisheriges Vorgehen (Banking am PC, Tan am Handy) sicherer als Banking-Apps. Manche Banken (zB. ing) bieten gar keine Tan App mehr an. Hier hat man nur die Wahl zwischen einer all-in-one Banking App oder kostenpflichtiger Hardware.

Wie gewährleistet die ing hier die Sicherheit im Sinne der 2FA? Wenn das Handy kompromitiert ist, dann hat der Angreifer vermutlich vollen Zugriff auf das Konto, wenn alles über ein Gerät läuft. Oder sehe ich das falsch? Gab es solche Fälle schon? Würde man den Schaden im Zweifel zeitnah und einfach ersetzt bekommen? Ich stelle es mir jedenfalls schwierig vor, hier als Kunde den Beweis zu führen.

Grüße
 
2777 schrieb:
Wie gewährleistet die ing hier die Sicherheit im Sinne der 2FA?
Zum Vergrößern anklicken....
Du brauchst ja bei der App erstmal den Zugangs Pin/Passwort um in die App rein zu kommen und dann brauchst du noch mal zum überweisen bei der Ing ein extra Pin. Da muss ein Angreifer erstmal daran kommen.

Noch dazu ist das ganze ja verschlüsselt auf dem Gerät. Also so von außen auslesen ist da auch nicht drin.
 
bisy schrieb:
Du brauchst ja bei der App erstmal den Zugangs Pin/Passwort um in die App rein zu kommen und dann brauchst du noch mal zum überweisen bei der Ing ein extra Pin. Da muss ein Angreifer erstmal daran kommen.
Zum Vergrößern anklicken....
Ist das bei der Überweisung immer der selbe Pin? Ich denke hier zB an einen Key-Logger. Wenn jemand sich in das Handy eingehackt hat, dann sieht er natürlich was du tippst.

Ich habe wie gesagt nicht so viel Ahnung. Gerade in Verbindung mit einem älteren Android-Sicherheitspatch stelle ich mir das ganze aber durchaus als möglich vor. Die App läuft ab Android 7 und somit auf Geräten, die möglicherweise einen Sicherheitspatch von 2017 haben... 2017 wurde der Support von Windows Vista eingestellt. Damit würde ja auch niemand Banking betreiben... Da frage ich mich schon, wie die App sicher sein kann. Zumindest müsste dem DAU hier eine Warnung angezeigt werden.
 
Zuletzt bearbeitet von einem Moderator:
2777 schrieb:
Wie gewährleistet die ing hier die Sicherheit im Sinne der 2FA?
Zum Vergrößern anklicken....
Ich nutze deshalb keine Banking App.
Banksachen mache ich klassisch am PC. Wenns nicht anders geht, dann im Browser.
2777 schrieb:
Wenn das Handy kompromitiert ist, dann hat der Angreifer vermutlich vollen Zugriff auf das Konto, wenn alles über ein Gerät läuft.
Zum Vergrößern anklicken....
Wenn das Handy kompromittiert ist, dann könnte man dir eine gefälschte Banking App unterschieben und allen Verkehr per man-in-the-middle Attack abfangen und manipuliert weiterleiten.
I.d.R. musst du aber die Geräte bei der Bank autorisieren/freischalten.
Das macht eine so beschriebene man-in-the-middle Attack extrem aufwendig.
2777 schrieb:
Ist das bei der Überweisung immer der selbe Pin?
Zum Vergrößern anklicken....
alleine diese Frage zeigt doch, dass du dich null mit dem Thema auseinandergesetzt hast.
 
Vorausgesetzt, man benutzt die App "nur" als 2.Weg-Bestätigung, wenn man das Banking also auf anderer Hardware tätigt, so ist dies eigentlich ziemlich sicher.
Im Angriffsfall müsste die gefälschte App oder was auch immer, mit 2 Servern interagieren, dem echten und dem des Hackers und unterwegs die Daten fälschen. M.E. nicht möglich.
Eine Bestätigung gilt nur genau für diese Aktion, bspw. für eine Überweisung mit genau der IBAN und genau dem Betrag. Die eingegebenen Daten müssen also exakt übereinstimmen, sonst verwirft die Bank den Auftrag.
Außerdem ist es bei meiner Bank so, dass die Abfrage-Bestätigung genau dann erfolgt, wenn ich dies bspw. auf dem PC angefordert habe. Dann erscheinen auch die Daten, die ich zuvor eingegeben habe.
 
  • Gefällt mir
Reaktionen: cyberpirate
h00bi schrieb:
alleine diese Frage zeigt doch, dass du dich null mit dem Thema auseinandergesetzt hast.
Zum Vergrößern anklicken....
?

Nein, das zeigt, dass du meine Frage nicht verstanden hast.

Wenn es immer der selbe Pin ist und alles über ein Gerät läuft, dann ist es nicht sicher. (ZB wegen keylogger) Daher bin ich ja gerade interessiert, wie die ing das umsetzt.
Ergänzung ()

Donald Duck schrieb:
Vorausgesetzt, man benutzt die App "nur" als 2.Weg-Bestätigung, wenn man das Banking also auf anderer Hardware tätigt, so ist dies eigentlich ziemlich sicher
Zum Vergrößern anklicken....
Kann man die Banking-App bei der Ing denn nur als "tan"-App nutzen und den Rest am PC machen?
 
2777 schrieb:
Ist das bei der Überweisung immer der selbe Pin?
Zum Vergrößern anklicken....
2777 schrieb:
Wenn es immer der selbe Pin ist und alles über ein Gerät läuft, dann ist es nicht sicher.
Zum Vergrößern anklicken....
Was genau meinst du denn mit PIN? Die TAN? Das Loginpasswort?

2777 schrieb:
Kann man die Banking-App bei der Ing denn nur als "tan"-App nutzen
Zum Vergrößern anklicken....
ING Diba hat kein TANs per App. Nur Bestätigung oder photoTAN. Steht alles auf der Website.
 
2777 schrieb:
Ist das bei der Überweisung immer der selbe Pin?
Zum Vergrößern anklicken....
Jop ist es, ist aber bei EC Karten auch immer der selbe PIN. Jedes Mal, wenn du Geld am Automaten abhebst oder da ne Überweisung tätigst, wird da für für beides der selbe Pin immer und immer wieder genutzt, bzw beim Einkaufen und bezahlen mit Karte wird auch der eine Pin genutzt. Wo gibt es da denn ne 2FA?



h00bi schrieb:
Wenn das Handy kompromittiert ist, dann könnte man dir eine gefälschte Banking App unterschieben und allen Verkehr per man-in-the-middle Attack abfangen und manipuliert weiterleiten.
Zum Vergrößern anklicken....
Das ganze kann man aber auch auf den PC übertragen. Das man sich am PC ein Trojaner, Keylogger einfängt oder auf ne gefälschte Bank Seite geleitet passiert wesentlich häufiger, als das jemand ne Bank App fälscht und dir die unterschrieb.



2777 schrieb:
Manche Banken (zB. ing) bieten gar keine Tan App mehr an.
Zum Vergrößern anklicken....
Die lösen das halt über die ING App, wenn du am PC ne Überweisung tatigst, musst du in der App die Freigabe dafür erteilen.

h00bi schrieb:
Was genau meinst du denn mit PIN?
Zum Vergrößern anklicken....
Bei der Ing halt der Freigabe Pin, wenn man ne Überweisung über die App tätigt.
 
Mich würden mal hier fundierte Meinungen zu den APPS "eToro" und "plus500" interessieren. Wenn sich schon jemand eine Meinung dazu bilden konnte würde mich das sehr interessieren. Grüße
 
Also wir drehen uns irgendwie im Kreis. Ich sehe auch nicht, was das Abheben von Bargeld mit meiner Frage zu tun hat.

Wie @Restart001 so würde auch ich mich über fundierte Antworten freuen.
 
Mobile Banking an sich ist sehr sicher, wie schon geschrieben wurde.
Natürlich muss man Sicherheitsregeln beachten:

  • System und Apps aktuell halten
  • kein gerootetes / gejailbreaktes Smartphone verwenden
  • Apps nur aus seriösen Quellen beziehen
  • Smartphone und Banking-App mit einem komplexen Zugang sichern (Passwort, Fingerabdruck etc.)
  • Zugangsdaten nicht weiter geben oder auf Webseiten außerhalb der Bank eingeben.
  • Kontobewegungen regelmäßig beobachten
 
Technisch muss es hier nicht einmal einen Unterschied geben. Häufig sind die Apps auch nur abgespeckte Browser, die die selbe url aufrufen, die du auch am PC eingibst. Da ist weder das eine noch das andere sicherer.
 
Machen wir doch mal den Gegen-Check:

Was kann der Angreifer alles mit einer PIN machen?
-> er sieht mein Kontostand für max 30 Tage, will er mehr sehen, dann braucht er eine individuelle TAN
-> er sieht, welche Bankprodukte ich nutze (Girokonto, Tagesgeld, Kreditkarte ...)

Was kann der Angreifer alles nicht tun?
-> alles wofür eine individuelle TAN notwendig ist, also Überweisungen, neue Geräte (Handy) anmelden, Überweisungslimit anpassen etc

Solange du somit PIN und TAN irgendwie sinnvoll von der Nutzung trennst, dann bist du schon sehr sicher unterwegs.
Ich mache hierfür meine Bankgeschäfte alle am PC, so dass ich dort die PIN erfasse ... für alle Transaktionen bekomme ich eine individuelle TAN auf mein Handy zugestellt. Der Angreifer müsste somit 2 unabhängige Systeme von mir angreifen, damit er sowohl PIN als auch TAN bekommt.
 
2777 schrieb:
Hier hat man nur die Wahl zwischen einer all-in-one Banking App oder kostenpflichtiger Hardware.
Zum Vergrößern anklicken....
Des Pudels Kern.

Mit der kostenpflichtigen Hardware (chip-TAN-Generator, QR-TAN) wüßte ich nicht, wie man das aushebeln sollte.
 
2777 schrieb:
Ich sehe auch nicht, was das Abheben von Bargeld mit meiner Frage zu tun hat.
Zum Vergrößern anklicken....
Doch im Grunde schon, du machst dir Gedanken über online Banking und fragst dich warum bei der Ing nur ein dauerhafter Pin genutzt wird und fragst dich, wie sicher das ganze ist.

Für deine Karte gibt es auch nur ein Pin und jeder der die Karte in die Hände bekommt und dein Pin kennt, kann damit shoppen gehen oder Geld abheben.

Sozusagen ist die Karte an sich und geldabheben bzw das Einkaufen mit der das unsicherste, was es gibt.
Danach dürfte dann warscheinlich als Beispiel die ing App kommen, wenn man alles auf einem Gerät macht. Da hat man auch eine dauerhafte Pin, aber man muss auch erstmal in die App rein kommen, die ja extra gesichert ist.

Sicherer wird es dann mit zwei getrennten Geräten, also eins fürs Banking und das andere für die TAN, oder Überweisung freigebe.

Am sichersten dürfte warscheinlich dann ein Linux live System sein fürs online Banking und eine Hardware TAN Generator sein.
 
  • Gefällt mir
Reaktionen: wolve666
bisy schrieb:
Bei der Ing halt der Freigabe Pin, wenn man ne Überweisung über die App tätigt.
Zum Vergrößern anklicken....
Bei gleichen PINs zur Freigabe ist das Gerät registriert und fest mit dem Konto verknüpft.
Die PIN per Keylogger zu phishen, wie der TE angedeutet hat, wäre kein direktes Sicherheitsproblem für das Konto.
 
  • Gefällt mir
Reaktionen: bisy
_killy_ schrieb:
Solange du somit PIN und TAN irgendwie sinnvoll von der Nutzung trennst,
Zum Vergrößern anklicken....
Fast alle Anbieter stellen oder haben schon umgestellt und es gibt keine separaten Tans mehr. Nur noch mit physhischen Geräten, wenn man eine mobile App nicht benutzen möchte/kann.

--> find ich Scheisse, TAN per SMS war echt super. Jetzt alles über 1 Gerät machen zu müssen (oder man kauft sich so nen TAn-Generator der ja unbedingt von der Diba sein muß und teuer ist :freak: und man macht sich total vom Handy abhängig. Wenn das mal defekt ist, geklaut wird oder sonst was, haste die Rennerei.

Genau deswegen stellt sich doch die Sichereheitsfrage. Ich bin .z.b. bei der IngDiba, da meldest du dich per App 1x an und für jede Aktion (Überweisen, Einstellungen ändern) musst du die GLEICHE Pin zum Bestätigen eintippen. Nix mit TAN.
Wenn du dein Geschäft (Wortspiel :D ) am PC verrichtest, musst du dein Einloggen mit der Pin übers Handy bestätigen und jede weitere Aktionen wie oben auch..nix Tan.

Das bessere Verfahren ist m.Mn. das mit den physischen TAN-Generatoren, das benutzt meine Mutter bei ihrer Bank (Sparda Bank).
 
Zuletzt bearbeitet:
Also die Ing-App läuft auf Geräten mit Android 7. Also ggf. auf Geräten mit Update-Ende 2017... In der App kann man alles ohne Tan machen.

Welche Sicherheitsmaẞnahme verhindert, dass das Geld auf einem gehacktem System von 2017 vom Konto abgezweigt wird? Wenn man das Banking am PC macht und sich am Handy nur die Tan holt, wäre man trotz gehacktem Handy relativ sicher. Die Tan alleine bringt nix.

Die Frage ist daher, ob der Bank das egal ist oder ob es wirklich sicher ist. Ich habe genau aus dieser Unklarheit von einer Kontoeröffnung abgesehen.
 
2777 schrieb:
Welche Sicherheitsmaẞnahme verhindert, dass das Geld auf einem gehacktem System von 2017 vom Konto abgezweigt wird?
Zum Vergrößern anklicken....
Brain.exe

Ansonsten nichts.
Natürlich ist die Voraussetzung, dass es jemand schafft dein Smartphone zu hacken, den Zugangs Pin für die App zu bekommen und dann noch den Pin zur Überweisungsfreigabe.

SMS TAN wäre genau so unsicher, da Angreifer einfach die Telefonnummer "übernehmen" können und dann bekommen die Angreifer die SMS TAN. Und am PC lässt sich ja relativ einfach User dazu bewegen ne Fake Seite zu öffnen, so kommt man an die Zugangsdaten zur Bank.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
Rooten und Banking Apps
2 3
Antworten
47
Aufrufe
7.171
burglar225
B
U
Smartphone für 2FA, Banking App
2
Antworten
30
Aufrufe
3.441
GlockMane88
G
P
Ist Online-Banking auf Android-Smartphones sicher?
2
Antworten
25
Aufrufe
9.383
pacific99
P
Q
Wie Sicher ist Online Banking mit smsTAN?
2
Antworten
26
Aufrufe
2.692
Domi83
D
Bat874906478HZU
Online Banking in einer Virtuellen Maschine Möglich und wenn ja Sicher?
Antworten
12
Aufrufe
6.023
BeBur
B

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz