expertenaustausch > comp.* > comp.security.misc

wg (01.09.2019, 17:36)
Guten Tag,

meine Onlinebank (in A) wird mit Sept. auf PSD2 umgestellen.
Dafür wird mir eine SmartTAN App für das Smartphone zur Verfüpgung gestellt.

Weiss jemand, wie die Sicherheit soeiner App gewährleistet wird,
bzw. wie *ich* die Sicherheit, Authentizität überprüfen kann?

Die App soll vom Google-Play store aufs Smartfone gelanden und
installiert werden.

Bei 'ner Drohen App oder Hotelguide isses mir ja eher wurscht, sensible
Daten sind eh nicht auf meinem Phone.

Danke für Konnemtare,
Wolf
Stefan Claas (01.09.2019, 17:50)
wg wrote:

[..]
> Daten sind eh nicht auf meinem Phone.
> Danke für Konnemtare,
> Wolf


Ich stand auch vor der Wahl und habe mich entschlossen wieder
persönlich bei meiner Bank zu erscheinen und kein Online Banking
mehr zu nutzen. Vermissen tue ich es nicht und ab und zu mal etwas
laufen fördert die Gesundheit. :-)

Grüße
Stefan
Georg Schwarz (01.09.2019, 17:57)
wg <wg1> wrote:

> Weiss jemand, wie die Sicherheit soeiner App gewährleistet wird,
> bzw. wie *ich* die Sicherheit, Authentizität überprüfen kann?


realistischerweise gar nicht, zumal es ja um die Sicherheit des gesamten
Gerätes geht.
Lars Gebauer (01.09.2019, 18:03)
* wg:
> Weiss jemand, wie die Sicherheit soeiner App gewährleistet wird,


Aber ja: Der App-Anbieter, also die Bank, trägt bei nicht grob
fahrlässiger Verwendung das volle Risiko. Das ist sicher genug.

> bzw. wie *ich* die Sicherheit, Authentizität überprüfen kann?


*Du*? - Gar nicht.

Dazu würdest Du mindestens den Quellcode *und* hinreichende Kenntnisse
benötigen. HTH (Das gilt übrigens alle Apps und sonstige Software.)
Lars Gebauer (01.09.2019, 18:04)
* wg:
> Weiss jemand, wie die Sicherheit soeiner App gewährleistet wird,


Aber ja: Der App-Anbieter, also die Bank, trägt bei nicht grob
fahrlässiger Verwendung das volle Risiko. Das ist sicher genug.

> bzw. wie *ich* die Sicherheit, Authentizität überprüfen kann?


*Du*? - Gar nicht.

Dazu würdest Du mindestens den Quellcode *und* hinreichende Kenntnisse
benötigen. HTH (Das gilt übrigens für alle Apps und sonstige Software.)
Beate Goebel (01.09.2019, 18:07)
wg schrieb am 01 Sep 2019

> meine Onlinebank (in A) wird mit Sept. auf PSD2 umgestellen.
> Dafür wird mir eine SmartTAN App für das Smartphone zur Verfüpgung
> gestellt.
> Weiss jemand, wie die Sicherheit so einer App gewährleistet wird,
> bzw. wie *ich* die Sicherheit, Authentizität überprüfen kann?


Vergiss es.

Die können es auch nicht:
iPhones über Jahre mit bösartigen Implants infiziert


Oder kannst Du das Mobil routen und selbst das Android abdichten?

Beate
Thomas Einzel (01.09.2019, 18:28)
Am 01.09.2019 um 17:36 schrieb wg:
> Guten Tag,
> meine Onlinebank (in A) wird mit Sept. auf PSD2 umgestellen.
> Dafür wird mir eine SmartTAN App für das Smartphone zur Verfüpgung gestellt.
> Weiss jemand, wie die Sicherheit soeiner App gewährleistet wird,
> bzw. wie *ich* die Sicherheit, Authentizität überprüfen kann?


Du gar nicht und andere nicht dauerhaft.

Da es hier um echtes und meist das eigene Geld geht: ohne Smartphone.
Auf keinen Fall 1. und 2. Faktor und Transfer alles über _ein_
Onlinegerät - erst recht nicht mit einem Smartphone/Tablet.

Es gibt ChipTAN und PhotoTAN mit extra Offlinegeräten, sowie jede Menge
Banken die eines von beiden Verfahren unterstützen.
Andreas Kohlbach (01.09.2019, 21:40)
On Sun, 1 Sep 2019 17:50:05 +0200, Stefan Claas wrote:
> wg wrote:
> Ich stand auch vor der Wahl und habe mich entschlossen wieder
> persönlich bei meiner Bank zu erscheinen und kein Online Banking
> mehr zu nutzen. Vermissen tue ich es nicht und ab und zu mal etwas
> laufen fördert die Gesundheit. :-)


Meine Bank beendet die Nutzung von SMS-TAN. Ich werde daher wieder auf
das Telefon-Banking umsteigen, statt einen Chipkartenleser zu kaufen,
oder eine App auf einem Smartphone zu installieren. Back to the 90s.
computerfritz (01.09.2019, 22:57)
On 9/1/19 5:36 PM, wg wrote:
> Guten Tag,
> meine Onlinebank (in A) wird mit Sept. auf PSD2 umgestellen.
> Dafür wird mir eine SmartTAN App für das Smartphone zur Verfüpgung gestellt.


alle oest. Banken haben auch cardTAN (nein, das ca. 65x80x10mm Grosses
Geraet kostet nichts) aber man muss selber danach fragen.
zB:

> Weiss jemand, wie die Sicherheit soeiner App gewährleistet wird,
> bzw. wie *ich* die Sicherheit, Authentizität überprüfen kann?


weil ich das nicht ueberpruefen kann, sind mir Handy-Apps sehr suspekt.
Darum habe ich bei zwei Banken catdTAN aktiviert (ach ja, es reicht ein
Geraet fuer alle oest. Banken, falls man Konten bei versch. Banken hat)

Gruesse
Julius
Volker Delf (02.09.2019, 07:58)
Stefan Claas schrieb:
>Ich stand auch vor der Wahl und habe mich entschlossen wieder
>persönlich bei meiner Bank zu erscheinen und kein Online Banking
>mehr zu nutzen. Vermissen tue ich es nicht und ab und zu mal etwas
>laufen fördert die Gesundheit. :-)

Das wird doch wohl nicht dein Ernst sein, abgesehen von den
begrüßungswerten gesundheitlichen Übungen?
Du musst doch nicht den ganzen Unfug mit den Banking-Äpp's mitmachen ;-)

mfg Volker
wg (02.09.2019, 10:00)
On 01.09.2019 17:36, wg wrote:
[..]
> Daten sind eh nicht auf meinem Phone.
> Danke für Kommentare,
> Wolf


.... und ich dachte ich wär paranoid ...

Alle Kommentare spiegeln meine Bedenken.

Danke und schönen Tag.
Ralph Aichinger (02.09.2019, 12:45)
computerfritz <computerfritz> wrote:
> alle oest. Banken haben auch cardTAN (nein, das ca. 65x80x10mm Grosses
> Geraet kostet nichts) aber man muss selber danach fragen.
> zB:


Bei einem Freund von mir wurde das gerade abgedreht (signieren
mit Smartcard und Reader am Computer).

Jetzt hat er ein kostenlosen, aber fürs Banking nur als Belegbeschwerer
nutzbares Teil daheim.

/ralph
Thomas Einzel (02.09.2019, 12:50)
Am 02.09.2019 um 12:45 schrieb Ralph Aichinger:
> computerfritz <computerfritz> wrote:
>> alle oest. Banken haben auch cardTAN (nein, das ca. 65x80x10mm Grosses
>> Geraet kostet nichts) aber man muss selber danach fragen.
>> zB:

> Bei einem Freund von mir wurde das gerade abgedreht (signieren
> mit Smartcard und Reader am Computer).


Falls es noch für weitere Nutzer interessant sein könnte: welche Bank
hat das abgelehnt, warum und vor allem: welche Alternativen wurden
angeboten?
Juergen Ilse (02.09.2019, 15:26)
Hallo,

Lars Gebauer <lars.gebauer> wrote:
> * wg:
>> Weiss jemand, wie die Sicherheit soeiner App gewährleistet wird,

> Aber ja: Der App-Anbieter, also die Bank, trägt bei nicht grob
> fahrlässiger Verwendung das volle Risiko. Das ist sicher genug.


Wer beurteilt, was grob fahrlaessige Verwendung ist und wie kannst du
beweisen, dass du nicht grob fahrlaessig gehandelt hasst? Ist wirklich
sichergestellt, dass die Beweislast, dass grob fahrlaessige Verwendung
vorliegen koennte bei der Bank liegt? Hast du das schriftlich?

Tschuess,
Juergen Ilse (juergen)
Lars Gebauer (02.09.2019, 15:39)
* Juergen Ilse:
> Lars Gebauer <lars.gebauer> wrote:
>> * wg:
>>> Weiss jemand, wie die Sicherheit soeiner App gewährleistet wird,

>> Aber ja: Der App-Anbieter, also die Bank, trägt bei nicht grob
>> fahrlässiger Verwendung das volle Risiko. Das ist sicher genug.

> Wer beurteilt, was grob fahrlaessige Verwendung ist


Im Zweifel ein Gericht nach Gutachten.

> und wie kannst du
> beweisen, dass du nicht grob fahrlaessig gehandelt hasst?


Das muß ich gar nicht.

> Ist wirklich
> sichergestellt, dass die Beweislast, dass grob fahrlaessige Verwendung
> vorliegen koennte bei der Bank liegt? Hast du das schriftlich?


Aber natürlich. Kannst Du in der ZPO nachlesen. In ganz kurz: Wer vor
Gericht was behauptet, muß das auch belegen.

Ähnliche Themen