Bank-/Depot-Sicherheit (2FA) in Bezug auf Risiko des Handy-Diebstahls

    Hallo zusammen,


    ein Post von HomoSociologicus hat mich hellhörig gemacht, was das Thema Sicherheit angeht:

    Zitat von HomoSociologicus

    Mein Handy wurde mir gestohlen und ich wollte daraufhin den Zugang zu TR sperren lassen. Email an TR (Telefon gibts ja nicht) und im Betreff die Priorität vermerkt. Nach 3 Wochen wurde mir geantwortet.

    Heutzutage ist es ja im Online-Banking/Depot häufig so, dass durch SMS-Tan, pushTan, Fingerabdruck etc. der 2. Faktor meist über das Handy vollzogen wird.

    Zudem sind die Neo-Broker zumeist ja auch auf dem Handy und haben, wie oben angesprochen, eine lange Antwortzeit.


    Wie handhabt ihr das/schätzt das Risiko ein, dass bei Handy-Diebstahl jemand an euer Bankkonto/Depot kommt?

    Letztendlich ist das Smartphone ja meist durch einen Code gesperrt (Lockscreen) und die Bankapps/Brokerapps zusätzlich durch ein Passwort. Wohingegen zum Beispiel Benachrichtigungen auf dem Lockscreen (z.B. SMS (SMS-TAN)) einsehbar sind, ohne das Handy entsperren zu müssen.


    Falls der Lockscreen entsperrt werden könnte, könnte ggfs. auch auf Emails (Email App) zugegriffen werden und somit ein neues Passwort für Log-Ins mit der E-Mail Adresse gesetzt werden...


    Ist das nun paranoid von mir und sehr unwahrscheinlich oder wie denkt ihr über so etwas?

    Nutzt ihr deshalb evtl. EC-TAN-Generatoren?


    Vielen lieben Dank im Voraus!:saint:

    Zitat von Geizhals

    Wohingegen zum Beispiel Benachrichtigungen auf dem Lockscreen (z.B. SMS (SMS-TAN)) einsehbar sind, ohne das Handy entsperren zu müssen.

    Das würde ich als allererstes mal ändern! (Kann man ja auch anders einstellen)

    Nicht nur bzgl. Banking, auch allgemein will ich doch nicht, dass jeder der mein Handy in der Hand hat auch gleich meine SMS lesen kann?

    Wenn möglich chiptan. Ansonsten habe ich immer ein zweites Handy mit den Zugangsapps als Backup.

    Auf allen Handys Bildschirmsperre!

    Bei Diebstahl das Handy über Google/Apple von Ferne sperren/löschen.

    Sofort das E-Mail Passwort ändern.


    Das sind so die basics. Ab dann kommt es auf Einzelheiten an und kann SEHR umständlich sein.


    90% der Leute machen sich gefühlt nur Gedanken darum wie sie sich dann das nächste iPhone kaufen können. Das ist aber das kleinste Problem...

    Zitat von Geizhals

    Wie handhabt ihr das/schätzt das Risiko ein, dass bei Handy-Diebstahl jemand an euer Bankkonto/Depot kommt?

    Bei 0.

    Dazu muss ja überhaupt erstmal jemand mein Handy stehlen. Mir fehlt die Phantasie, wann, wie und wo das passieren soll.

    Dann muss ja auch noch gleich zweimal die biometrische Zugangskontrolle überwunden werden (Face ID zum Entsperren des Smartphones, Face ID zur Freigabe im Banking).

    ... oder die PIN erraten oder mit dem Telefon gleich noch der Finger erbeutet werden. Und die Zugangsdaten zum Banking werden auch noch benötigt.

    Wenn dein Hand mit einer Pin gesichert ist, dann wird es schon mal schwierig, auf dein Handy zu zugreifen.


    Wichtig: Pin per Streichmuster sind nicht zu empfehlen, da diese leicht durch fettspuren auf dem Display erkannt werden können.


    Banking Apps und Broker per Fingerabdruck absichern. Dann kann nur wenig passieren.


    Mailprogramme lassen sich normalerweise auch per Pin absichern. Dann kann noch weniger passieren.

    Oh ja, ganz wichtig: das Handy ist natürlich nur der zweite Faktor. Ich installiere keine Banking-App auf dem Handy. Banking findet am PC statt, die PIN ist nur in meinem Kopf und der zweite Faktor auf dem Handy.


    Wie man alles in einer App, geschützt nur von einmal faceid, haben kann, ist mir unbegreiflich.

    Zitat von Geizhals

    Wohingegen zum Beispiel Benachrichtigungen auf dem Lockscreen (z.B. SMS (SMS-TAN)) einsehbar sind, ohne das Handy entsperren zu müssen.

    Das Anzeigen von Nachrichteninhalten auf dem Lockscreen kann auch ausgestellt werden, zumindest bei allen einigermaßen aktuellen Android Geräten.

    Ansonsten im wesentlichen folgendes:

    -Wenn das verlorene/gestohlene Gerät noch online ist, kann ich es auch aus der Ferne alles löschen, bzw. wenn nur verloren ggf. halt orten.
    -SIM Karte sperren lassen, geht bei den meisten Provider online(wichtig für TR).
    -Wenn man z.B. Android/Google benutzt über die Account Verwaltung, das entsprechende Gerät/Login entfernen wenn keine komplette Löschung möglich ist. Beziehungsweise halt bei auch bei Banken etc. wenn möglich(geht bei TR nicht).

    -Neue SIM Karte besorgen (wichtig für TR).
    -mit neuer SIM Karte und Gerät das TR Konto neu verknüpfen.

    Zitat von itschytoo

    Wie man alles in einer App, geschützt nur von einmal faceid, haben kann, ist mir unbegreiflich.

    Erläutere doch mal bitte deine Bedenken. Es braucht immer noch zwei Faktoren: Besitz/Zugriff und Inhärenz (Biometrie). Letzteres lässt sich schwer klauen oder faken. Es sei denn, man hat einen bösen (eineiigen) Zwilling.

    Zitat von lieberjott

    Erläutere doch mal bitte deine Bedenken. Es braucht immer noch zwei Faktoren: Besitz/Zugriff und Inhärenz (Biometrie). Letzteres lässt sich schwer klauen oder faken. Es sei denn, man hat einen bösen (eineiigen) Zwilling.

    Mein Problem ist das was Du den zweiten Faktor nennst:

    - Sehr kompliziertes Passwort: Unpraktikabel

    - PIN und Handy löschen nach 3 Fehlversuchen: Angst vor versehentlicher Löschung

    - Biometrie:

    a) relativ wenig Vertrauen in die Sicherheit (eventuell doch mit Photo/abgenommenen Fingerabdruck entsperrbar? Hack möglich?)

    b) begrenzte Kontrolle über das Geheimnis (ich kann mein Gesicht/Finger nicht ändern, ich kann nicht immer verschleiert durch die Stadt gehen und nix anfassen...)


    Mit meiner Aussage (nicht alles auf einem Handy), will ich auch nicht sagen, dass sonst garantiert in zwei Jahren dein Bankkonto leer ist (Gefahr halte ich für nicht so groß), sondern, dass ich den Mehraufwand, dass getrennt zu haben für so gering halte, dass ein Verzicht darauf nicht gerechtfertigt wäre (Stichwort best-practices).

    In der Realität werden normalen Menschen Handys gestohlen um damit dann schnelle 100 Eur machen zu können. Wir sind ja vermutlich alle nicht im Ziel von staatlichen Akteuren oder haben die Tresorcodes für eine Bankfiliale auf dem Handy...

    Zitat von Mac83

    "Sehr kompliziertes Passwort: Unpraktikabel"


    Für dieses Problem gibt es passwortmanager.

    Und die sind super. Die bringen Dir aber nichts, wenn es sich (wie hier) um das Entsperrpasswort handelt. Dann braucht es ja noch ein zweites Handy mit Passwortmanager und einen kleinen usb-port roboter, der das auf Smartphone 1 eintippt. ;)

    Also bei echtem 2FA sehe ich da auch nicht die Problematik. Das sind schon ein paar Informationen die der jenige haben müsste um überhaupt einen Schaden zu verursachen.


    Trades aber nur mit einem Login ausführen zu können empfinde ich dagegen schon nicht mehr so optimal, das hatten wir in dem anderen Thema ja schon ausgiebig.

    Auch wenn derjenige zwar das Referenzkonto ohne 2FA nicht ändern kann, so könnte er Theoretisch "Wilde Sau" in deinem Depot spielen und deine Sauer verdiente Vermögensbildung in Trades beliebiger Werte zu nichte machen incl. Steuerlicher Konsequenzen zu deiner Person und unter deiner Steuer-Id.


    Das ist so ein Punkt der mir mehr Bauchschmerzen bereiten würde als 2FA über das Handy.

    Ich nutze auch die Banking App auf dem Smartphone.

    Man bräuchte mein Smartphone, dieses müsste mit Face-Id entsperren werden, um die Banking App zu öffnen welches mit einem Fingerprint geöffnet werden kann um einen Auftrsg auszuführen welches durch einen 5 Stelligen Code bestätigt werden mus.


    Im Grunde ist das schon 4 FA :D

    - Smartphone

    - Gesicht

    - Finger

    - Pin

    Da draußen sind hunderttausende Smartphones unterwegs, auf denen sich die Sperre einfach umgehen lässt: https://bugs.xdavidhu.me/googl…pixel-lock-screen-bypass/


    Also bevor ihr euch mit eurem Lockscreen sicher fühlt, erst mal prüfen, ob ihr das Android November-Update auf eurem Smartphone installiert habt.


    Natürlich kann es solche Lücken immer mal wieder geben. Eigentlich bräuchte man ein separates Gerät dafür, das man nicht mit sich rumträgt.


    Gabs schon mal, nennt sich TAN-Generator. Wird von den Banken zugunsten unsicherer Lösungen gerade überall abgeschafft.

    Zitat von H4KlAuS

    ... Trades aber nur mit einem Login ausführen zu können ...

    Gibt es das denn überhaupt? Ich kenne keine Banking-App für Mobilgeräte, bei der irgend etwas veranlasst werden kann, ohne dass wenigstens ein Passwort oder Zugangsdaten beim Zugriff auf die App einzugeben sind. Und nach 2 bis 5 Minuten wird automatisch ausgeloggt oder die Zugangskennung muss neu eingegeben werden, so dass auch nichts passieren kann, wenn sich jemand abzumelden vergisst und dann das Gerät verloren geht. Und wenn es wirklich eine Bank gibt, die so etwas ermöglicht, liegt das Risiko letztlich bei ihr. Dann muss sie den Kunden für nicht tatsächlich von ihm veranlasste Transaktionen schadlos stellen.

    Wenn ein TAN-Generator benötigt wird, kann der Dieb oder Finder des Telefons keinen Schaden anrichten. Auch bei der Photo-TAN setzt die Freigabe voraus, dass zuvor eine Anmeldung zum Onlinebanking stattgefunden hat (bei der ING mit Benutzername und PIN plus Freigabe durch die App, für die wiederum eine PIN eingegeben werden muss). Bei der DKB müssen in der Banking-App die kompletten Zugangsdaten (Benutzerkennung und PIN) eingegeben werden, für die TAN-App braucht es eine Anmeldung zum Online-Banking am PC und eine fünfstellige PIN für die App. In allen diesen Fällen, kann mit einem erbeuteten oder gefundenen Mobilgerät alleine kein Schaden angerichtet werden.

    @R.F.

    Bei Scalable ist das so.
    Du brauchst "nur" die Login-Daten in Form von E-Mail und PW, hast dann freie Hand und kannst das Depot einmal auf Links drehen.

    Das ist vielleicht etwas missverständlich rüber gekommen. Die Login Daten braucht man dabei immer. Aber wenn man die mal hat dann hast du freie Bahn.

    Bei anderen Brokern wird aber bei der Erstellung von Aufträgen erneut nach einem Pin, Tan, etc gefragt.

    Aber die Zugangsdaten hat der Dieb oder Finder ja nicht, wenn er nur unbefugt an das Telefon gelangt ist. An die muss er zusätzlich noch kommen.

    Das ist klar, wurde ja auch nie angezweifelt.

    Es ging darum das es, egal wer oder wie an E-Mail und PW gekommen ist (Smartphone oder PC speilt dabei nicht mal eine Rolle), keine weiter Absicherung mehr gibt.


    Also selbst über den Browser(egal welches Endgerät) kann man sich, ohne ein extra Gerät, Smartphone, Whatever, einloggen und alles machen. Ohne eine zusätzlichen Faktor oder Abfrage.