expertenaustausch > etc.finanz.* > etc.finanz.banken+broker

Werner Holtfreter (29.11.2019, 21:27)
Hallo,

ich benutze ein dummes Handy zum Empfang der mTAN.

Geht es verloren, fehlt es an einer TAN, um ein anderes Handy
freizuschalten.* Während man bei der DKB-App zwei Geräte
registrieren kann und so beim Verlust eines Gerätes handlungsfähig
bleibt, geht das bei der Targobank anscheinend nicht.

Ich habe mir daher die entsprechende App der Targobank kurz
angeschaut. Wer klaren Verstandes ist, wird die nicht benutzen:

- Ausdrückliches Verbot, gerootete Geräte zu verwenden
und ausdrückliches Gebot, das Gerät aktuell zu halten
(wie lange geht das bei ungerooteten Smartphones?!)

- Eingabe der Online-Pin in das Smartphone! Damit wird
über die App ein zweiter Angriffsweg geöffnet, statt
*ausschließlich* Sicherheit zu schaffen.

- Benutzungsbedingung:
| Bei missbräuchlicher Nutzung nach einem Verlust des
| Gerätes [...] übernimmt die Bank ebenfalls keine Haftung.

*) Das ist an sich richtig und konsequent, sonst könnte
ein Angreifer die 2-Faktor-Authentifizierung aushebeln.
Georg Schwarz (29.11.2019, 23:16)
Werner Holtfreter <holtfreter> wrote:

> *) Das ist an sich richtig und konsequent, sonst könnte
> ein Angreifer die 2-Faktor-Authentifizierung aushebeln.


die Registrierung mehrer Nummern für mTAN, sofern es auf sichere Weise
geschieht, widerspricht 2FA keineswegs.Leider bieten das die wenigsten
Banken an.
Andreas M. Kirchwitz (30.11.2019, 05:25)
Werner Holtfreter <holtfreter> wrote:

> ich benutze ein dummes Handy zum Empfang der mTAN.


Gratulation, wenn Deine Bank das noch anbietet.

> Geht es verloren, fehlt es an einer TAN, um ein anderes Handy
> freizuschalten.


mTAN ist an eine Mobilfunk-Nummer gebunden, nicht an das Gerät,
oder missverstehe ich Dein Anliegen?

> Während man bei der DKB-App zwei Geräte
> registrieren kann und so beim Verlust eines Gerätes handlungsfähig
> bleibt, geht das bei der Targobank anscheinend nicht.


TAN-Geräte und TAN-Apps lassen sich in der Regel mehrere zugleich
an ein Konto koppeln. Das ist anders als bei mTAN, wo üblicherweise
nur genau eine Mobilfunk-Nummer hinterlegt werden kann.

Das war aber schon immer so, jedenfalls kenne ich es nicht anders.

In der Praxis kann man gut damit leben. Seine Mobilfunk-Nummer
verliert man eher selten überraschend. Geräte (TAN-Generator
oder Smartphone) gehen aber durchaus mal unerwartet kaputt.

> Ich habe mir daher die entsprechende App der Targobank kurz
> angeschaut. Wer klaren Verstandes ist, wird die nicht benutzen:


Heutiges Online-Banking oder bargeldloses Bezahlen hat mit Verstand
nichts mehr zu tun.

Ich habe es aufgegeben, dort Sicherheit zu erwarten. Es hilft ja
nicht, wenn ich mich auf meiner Seite um Sicherheit bemühe, aber
die Banken auf ihrer Seite bewusst alle Sicherheit aushebeln.

> - Ausdrückliches Verbot, gerootete Geräte zu verwenden
> und ausdrückliches Gebot, das Gerät aktuell zu halten
> (wie lange geht das bei ungerooteten Smartphones?!)


Wenn die Banking-Apps ein gerootetes Smartphone erkennen oder
einen zu alten Software-Stand, laufen sie gar nicht erst.

Solange die Apps laufen, hast Du offenbar alles "richtig" gemacht.

Ein Richter wird vielleicht fragen, ob man zeitnah immer brav
die Updates eingespielt hat, die der Hersteller und der Play-Store
angeboten haben. Das bestätigt man. Dass der Hersteller schon seit
zwei Jahren keinen Patch mehr bereitgestellt hat, ist dabei egal.
Wichtig ist, der Nutzer hat getan, was in seiner Macht steht.

> - Eingabe der Online-Pin in das Smartphone! Damit wird
> über die App ein zweiter Angriffsweg geöffnet, statt
> *ausschließlich* Sicherheit zu schaffen.


Okay, über Sicherheit von Banking-Apps reden wir besser nicht,
da gibt es keine Sicherheit. Muss jeder selbst entscheiden, ob
er damit leben kann.

> - Benutzungsbedingung:
>| Bei missbräuchlicher Nutzung nach einem Verlust des
>| Gerätes [...] übernimmt die Bank ebenfalls keine Haftung.


Steht das da so ohne Einschränkungen?

Wenn man Dinge verliert, die zum Banking gehören, muss man das
zeitnah melden und jene Dinge sperren lassen. Dann hat man alles
getan, was möglich ist, um Folgeschäden gering zu halten.

Den Schaden trägt dann im wesentlichen die Bank, das ist meines
Wissens gesetzlich geregelt. Ob die Bank das freiwillig auch so
sieht oder ob man sich sein Recht erst einklagen muss, ist leider
eine andere Frage. Will man bei so einer Bank gerne Kunde sein?

Grüße, Andreas
Georg Schwarz (30.11.2019, 12:59)
Andreas M. Kirchwitz <amk> wrote:

> TAN-Geräte und TAN-Apps lassen sich in der Regel mehrere zugleich
> an ein Konto koppeln. Das ist anders als bei mTAN, wo üblicherweise
> nur genau eine Mobilfunk-Nummer hinterlegt werden kann.
> Das war aber schon immer so, jedenfalls kenne ich es nicht anders.


bei der Postbank konnte man, als sie noch mTAN anbot, mehrere Nummern
hinterlegen.

> Ein Richter wird vielleicht fragen, ob man zeitnah immer brav
> die Updates eingespielt hat, die der Hersteller und der Play-Store
> angeboten haben. Das bestätigt man. Dass der Hersteller schon seit
> zwei Jahren keinen Patch mehr bereitgestellt hat, ist dabei egal.
> Wichtig ist, der Nutzer hat getan, was in seiner Macht steht.


aus meiner Sicht eine gewagte Spekulation, das so mit Sicherheit zu
behaupten. Wenn es der Bank wichtig sein sollte, könnte sie in solch
einem Fall durchaus mit einem Gutachter aufwarten, der erläutert, dass
das Gerät ja deswegen unsicher war, weil es schon seit wei Jahren keine
Sicherheitsupdates mehr gesehen hat.
Wir werden es erst wissen, wenn solche Fälle tatsächlich vor Gericht
laden.
Andreas M. Kirchwitz (30.11.2019, 17:53)
Georg Schwarz <georg.schwarz> wrote:

> aus meiner Sicht eine gewagte Spekulation, das so mit Sicherheit zu
> behaupten.


Sicher ist vor Gericht bekanntlich nichts. :-)

> Wenn es der Bank wichtig sein sollte, könnte sie in solch
> einem Fall durchaus mit einem Gutachter aufwarten, der erläutert, dass
> das Gerät ja deswegen unsicher war, weil es schon seit wei Jahren keine
> Sicherheitsupdates mehr gesehen hat.


Was ist Deine Vermutung, wie es ablaufen wird? Der Anwender hat alles
auf Auto-Update gestellt, mehr kann er nicht tun. Solange das Gerät
läuft, sich alle Apps brav aktualisieren lassen, das Gerät vom
Apple/Google-Store reingelassen wird, und solange auch die Banking-App
nicht meckert, muss der Anwender davon ausgehen, alles sei prima.

Wann, wie und ob Smartphone-Hersteller System-Updates bereitstellen,
folgt keinem festen Schema, jeder macht, was er will, der Anwender
kann das nicht beeinflussen oder voraussehen.

Die mir bisher bekannten TAN- und Banking-Apps prüfen alle selbst auf
ein möglicherweise gerootetes Gerät, auf verdächtige Software und auf
einen hinreichend aktuellen Android-Stand (ich glaube, Android 4 oder 5
ist meist das Minimum, das ist dann bis zu 3 oder 4 Jahre ohne Patches,
aber es steht den Banken ja frei, wenigstens Android 6, 7 oder gar 8
vorauszusetzen, damit überhaupt die Chance auf Patches besteht, falls
der Hersteller überhaupt welche anbietet, was oft unrealistisch ist).

Woher soll der Anwender wissen, ob sein Gerät sicher ist oder nicht?
Also ernsthaft, selbst ich wüsste das nicht, ich studiere nicht die
Developer Notes von Google. Keine Ahnung, ob mein Smartphone-Hersteller
alles wichtige abdeckt oder nicht. Es ist ohnehin bekannt, dass
Hersteller in Wahrheit überhaupt nicht alle Patches einbauen, aber
dennoch die Versionszahl in der Anzeige hochsetzen.

> Wir werden es erst wissen, wenn solche Fälle tatsächlich vor Gericht
> laden.


Klar, in einigen Jahren wird es die ersten Urteile geben. Und was
machen wir bis dahin? Verzichten wir auf TAN- und Banking-Apps?

Ich frage das ganz pragmatisch ohne Hintergedanken.

Muss ja irgendwie weitergehen ... Andreas
Arno Welzel (30.11.2019, 18:19)
Werner Holtfreter:

> ich benutze ein dummes Handy zum Empfang der mTAN.
> Geht es verloren, fehlt es an einer TAN, um ein anderes Handy
> freizuschalten.* Während man bei der DKB-App zwei Geräte
> registrieren kann und so beim Verlust eines Gerätes handlungsfähig
> bleibt, geht das bei der Targobank anscheinend nicht. [...]


Dann wechsele die Bank. Wo ist das Problem?
Werner Holtfreter (30.11.2019, 23:45)
Andreas M. Kirchwitz wrote:

> Werner Holtfreter <holtfreter> wrote:
>> Geht es verloren, fehlt es an einer TAN, um ein anderes Handy
>> freizuschalten.

> mTAN ist an eine Mobilfunk-Nummer gebunden


Ja, aber eine neue SIM-Karte mit der gleichen Nummer bekommt man ja
auch nicht binnen Stunden.

Ob man eine Ersatzkarte mit der gleiche Nummer im Fall von Prepaid
bekommen kann, weiß ich nicht.

> TAN-Geräte und TAN-Apps lassen sich in der Regel mehrere zugleich
> an ein Konto koppeln. Das ist anders als bei mTAN, wo
> üblicherweise nur genau eine Mobilfunk-Nummer hinterlegt werden
> kann.


Deshalb habe ich mich für die Targobank-App interessiert.

> Seine Mobilfunk-Nummer verliert man eher selten überraschend.


Wie schon angedeutet: Wenn man das Handy verliert ist auch
(zumindest für eine Zeit) die Mobilfunk-Nummer weg.

Vernünftig sind generische, nicht personalisiert TAN-Generatoren, in
die man seine Bankkarte schiebt. Aber da gibt es momentan noch zu
viele verschiedene Systeme. Ich warte ab.

>> Ich habe mir daher die entsprechende App der Targobank kurz
>> angeschaut. Wer klaren Verstandes ist, wird die nicht benutzen:


>> - Ausdrückliches Verbot, gerootete Geräte zu verwenden
>> und ausdrückliches Gebot, das Gerät aktuell zu halten
>> (wie lange geht das bei ungerooteten Smartphones?!)

> Wenn die Banking-Apps ein gerootetes Smartphone erkennen oder
> einen zu alten Software-Stand, laufen sie gar nicht erst.


Das steht da auch drin. Trotzdem gibt es nochmal ein Verbot.
Verständlich, nachdem es Methoden gibt, das Rooten zu verdecken.

>> - Benutzungsbedingung:
>>| Bei missbräuchlicher Nutzung nach einem Verlust des
>>| Gerätes [...] übernimmt die Bank ebenfalls keine Haftung.

> Steht das da so ohne Einschränkungen?


Ja, ich fand keine. Wer es genauer wissen will: TARGOBANK Mobile
Banking installieren und vor der Benutzung die Bedingungen lesen.

> Wenn man Dinge verliert, die zum Banking gehören, muss man das
> zeitnah melden und jene Dinge sperren lassen. Dann hat man alles
> getan, was möglich ist, um Folgeschäden gering zu halten.


Das wäre fair.
Andreas M. Kirchwitz (01.12.2019, 06:59)
Werner Holtfreter <holtfreter> wrote:

> Ob man eine Ersatzkarte mit der gleiche Nummer im Fall von Prepaid
> bekommen kann, weiß ich nicht.


Früher hatte ich tatsächlich mehrere SIM-Karten mit der gleichen
Nummer, die gleichberechtigt waren. Es durfte immer nur eine
eingebucht sein, sonst gab es Durcheinander. Ist schon lange her.
Ob das heute noch angeboten wird, weiß ich nicht, vermutlich nicht.

>> Seine Mobilfunk-Nummer verliert man eher selten überraschend.

> Wie schon angedeutet: Wenn man das Handy verliert ist auch
> (zumindest für eine Zeit) die Mobilfunk-Nummer weg.


Okay, das ist ein Argument. Für mich selbst habe ich entschieden,
dass dies so selten vorkommt, dass ich damit leben kann, außerdem
gibt es in der Regel noch Telefon-Banking, so dass man im Notfall
nicht komplett abgeschnitten ist.

Wenn ich zurückblicke, dann lagen (die sehr seltenen) Probleme beim
Kontozugriff allerdings nie auf meiner Seite, sondern die Bank hat
irgendwas verzapft. Das lies sich in der Regel telefonisch klären.

Vielleicht machen wir uns also viel zu viele Gedanken. :-)

Grüße, Andreas
Matthias Hanft (01.12.2019, 09:53)
Andreas M. Kirchwitz schrieb:
> Früher hatte ich tatsächlich mehrere SIM-Karten mit der gleichen
> Nummer, die gleichberechtigt waren. Es durfte immer nur eine
> eingebucht sein, sonst gab es Durcheinander. Ist schon lange her.
> Ob das heute noch angeboten wird, weiß ich nicht, vermutlich nicht.


So was ähnliches. Nennt sich "MultiSIM" und es dürfen auch alle
(meist drei) gleichzeitig eingebucht sein. Klingeln tut's über-
all, und wer zuerst abnimmt, hat gewonnen. Mit *123# (oder so
ähnlich) muss man festlegen, wo SMS ankommen sollen.

Manche Provider bieten das allerdings nur in Geschäftskunden-
tarifen an.

> Vielleicht machen wir uns also viel zu viele Gedanken. :-)


Was auch noch eine Lösung ist: Heiraten! Dann habt ihr ein
Gemeinschaftskonto, und die Frau hat ein eigenes Handy mit
einem eigenen Bankzugang :-)

Gruß Matthias.
Marc Haber (01.12.2019, 10:50)
Arno Welzel <usenet> wrote:
>Werner Holtfreter:
>[...]
>Dann wechsele die Bank. Wo ist das Problem?


Zu viele Girokonten zu haben, wirkt sich mindestens temporär in der
Übregangsphase schlecht auf den Schufa-Score aus.

Grüße
Marc
Ludger Averborg (01.12.2019, 11:16)
On Sun, 1 Dec 2019 08:53:21 +0100, Matthias Hanft
<mh> wrote:

>Andreas M. Kirchwitz schrieb:
>So was ähnliches. Nennt sich "MultiSIM" und es dürfen auch alle
>(meist drei) gleichzeitig eingebucht sein. Klingeln tut's über-
>all, und wer zuerst abnimmt, hat gewonnen. Mit *123# (oder so
>ähnlich) muss man festlegen, wo SMS ankommen sollen.
>Manche Provider bieten das allerdings nur in Geschäftskunden-
>tarifen an.
>Was auch noch eine Lösung ist: Heiraten! Dann habt ihr ein
>Gemeinschaftskonto, und die Frau hat ein eigenes Handy mit
>einem eigenen Bankzugang :-)

Das geht auch schon, indem du einer anderen Person (fiktiv)
Bankvollmacht erteils und dann die Zugangswerkzeuge für den
(fiktiv) Bevollmächtigten für dich behältst.
Aber heiraten ist schöner.

l.
Matthias Hanft (01.12.2019, 12:48)
Ludger Averborg schrieb:
> Das geht auch schon, indem du einer anderen Person (fiktiv)
> Bankvollmacht erteils und dann die Zugangswerkzeuge für den
> (fiktiv) Bevollmächtigten für dich behältst.


Da muss die andere Person aber mitspielen, weil sie der Bank
zumindest ihren Personalausweis vorzeigen muss. Und i.d.R.
schickt die Bank die Zugangsdaten auch direkt an den Bevoll-
mächtigten, so dass der die Briefe mit den Daten hat, aber
nicht aufmachen soll/darf. Ziemlich wackelige Konstruktion...

Gruß Matthias.
Martin Gerdes (01.12.2019, 17:13)
Werner Holtfreter <holtfreter> schrieb:

>>> Geht [das Handy] verloren, fehlt es an einer TAN, um ein anderes Handy
>>> freizuschalten.


>> mTAN ist an eine Mobilfunk-Nummer gebunden


> Ja, aber eine neue SIM-Karte mit der gleichen Nummer bekommt man ja
> auch nicht binnen Stunden.


Je nu.

> Ob man eine Ersatzkarte mit der gleiche Nummer im Fall von Prepaid
> bekommen kann, weiß ich nicht.


Prepaid oder postpaid ist egal. Entweder Du bekommst für den vorhandenen
Vertrag ein neues SIM von Deinem Anbieter (weil nämlich das alte SIM
verloren, gestohlen oder kaputt ist) oder Du überträgst die Nummer auf
einen neuen/anderen Vertrag, was einige Zeit dauern dürfte.

In der Zeit kannst Du auf dieses Konto dann nicht online zugreifen,
weswegen es sinnvoll ist, ein Zweitkonto in der Hinterhand zu haben, auf
das Du mit einem anderen Verfahren zugreifen kannst.

Die meisten Konten bieten ja mehrere Zugangsverfahren. Bei der Targobank
ist das aber eher mißlich, weil man in der Regel die "Äpp" auf dem
gleichen Gerät haben wird, zu dem auch die Mobilfunknummer zum Empfang
der mTAN gehört.

Gerät weg -- Kontozugang weg.

Bei einer anderen Bank mag es eine mTAN und ein Bank-Tamagotchi geben,
da ist der Zugang aufs Konto nicht weg, wenn das Handy verloren geht.

>>> Während man bei der DKB-App zwei Geräte registrieren kann und so
>>> beim Verlust eines Gerätes handlungsfähig bleibt, geht das bei
>>> der Targobank anscheinend nicht.


> Vernünftig sind generische, nicht personalisiert TAN-Generatoren, in
> die man seine Bankkarte schiebt. Aber da gibt es momentan noch zu
> viele verschiedene Systeme. Ich warte ab.


Ob man die Bank-Sicherheitshysterie als "vernünftig" bezeichnen sollte,
möchte ich sehr be2feln.

Die Targobank machts momentan übrigens ganz supersicher:

Sie will für JEDES Einloggen eine (immerhin kostenfreie) mTAN sehen
(PSD2 verlangt das nur alle 60 Tage) und außerdem meldet die Bank JEDES
Einloggen über ein Captcha an Google (Verträgt sich dieses Verfahren
eigentlich mit den Resten des deutschen Bankgeheimnisses?).
Martin Gerdes (01.12.2019, 17:13)
"Andreas M. Kirchwitz" <amk> schrieb:

>> Ob man eine Ersatzkarte mit der gleiche Nummer im Fall von Prepaid
>> bekommen kann, weiß ich nicht.


>Früher hatte ich tatsächlich mehrere SIM-Karten mit der gleichen
>Nummer, die gleichberechtigt waren. Es durfte immer nur eine
>eingebucht sein, sonst gab es Durcheinander. Ist schon lange her.
>Ob das heute noch angeboten wird, weiß ich nicht, vermutlich nicht.


Das gibts noch (eine im Handy, eine im Tablet, beide über einen Vertrag
abgerechnet). Das muß übrigens keineswegs zu einem Durcheinander führen.
Georg Schwarz (01.12.2019, 21:23)
Werner Holtfreter <holtfreter> wrote:

> Vernünftig sind generische, nicht personalisiert TAN-Generatoren, in
> die man seine Bankkarte schiebt. Aber da gibt es momentan noch zu
> viele verschiedene Systeme. Ich warte ab.


ich denke nicht dass sich an diesem Umstand viel ändern wird.
So viele verschieden Verfahren für ChipTAN gibt es in Deutschland
übrigens gar nicht.
gibt z.B. eine Übersicht.

Ähnliche Themen