Bank-/Depot-Sicherheit (2FA) in Bezug auf Risiko des Handy-Diebstahls

  • Mein Problem ist das was Du den zweiten Faktor nennst:

    -(...)

    a) relativ wenig Vertrauen in die Sicherheit (eventuell doch mit Photo/abgenommenen Fingerabdruck entsperrbar? Hack möglich?)

    Touch ID gibt's zumindest bei Apple schon lange nicht mehr, damit ist der Hack mit dem abgenommenen Fingerabdruck nicht möglich.

    Face ID lässt sich meines Wissens nicht hacken, da das Handy jedes mal einen 3D-Scan vom Gesicht macht und noch weitere Faktoren prüft.


    Im Vergleich zum üblichen Vorgehen (PIN auf die Karte schreiben, Passwortzettel unter der Tastatur etc.) gibt das eine bedeutend höhere Sicherheit.

    Zudem sind wir hier nicht in Brasilien oder Südafrika, wo man Angst haben muss, dass nicht nur das Gerät abhanden kommt, sondern auch noch der Eigentümer so "bearbeitet" wird, dass er an Transaktionen mitwirken muss.

  • Touch ID gibt's zumindest bei Apple schon lange nicht mehr, damit ist der Hack mit dem abgenommenen Fingerabdruck nicht möglich.

    Aber es galt damals als sicher.

    In 5 Jahren wird faceID in der jetzigen Form garantiert auch nicht mehr als sicher gelten

    Zitat

    Im Vergleich zum üblichen Vorgehen (PIN auf die Karte schreiben, Passwortzettel unter der Tastatur etc.) gibt das eine bedeutend höhere Sicherheit.

    Das ist unfair. Dann kann ich auch sagen: Displaysperre bringt nichts, dann schalten die Nutzer die einfach ab. ;-)


    Aber ich vermute Dein Punkt ist: Wenn es (im Dienste der Sicherheit) zu kompliziert ist, suchen sich Menschen einfacherere Wege, die noch unsicherer sind.

    Und ja, dem ist wohl so.

    Das einfachste war eine feste Liste an TANs, dann gab es iTANs, dann SMS-TAN.

    Das ist ja alles Geschichte, aber die ersten beiden waren von jedem zu handeln und mit der aktuellen Handydichte ist auch SMS-TAN für 99% easy gemacht.

    Sind aber alle nicht sicher genug...

    chipTAN hat den großen Vorteil, dass es eigentlich in jeder Bank funktionieren könnte und nur der Bezug "richtige Girocard zum Konto" vom Nutzer hergestellt werden muss.

    Bei den diversen Apps macht jede Bank etwas anders. Manche haben verschiedene Konten in der selben App, manche puschen die TAN, bei manchen muss man pullen. Manche haben Passwort, andere PIN aus zahlen, viele erlauben Fingerabdruck.

    Die Apps heißen auch immer anders und haben oft den Namen der Bank gar nicht im Namen ("Tan2go", "SecureGo", "SecureGoPlus", 'SecurePlus"...).

    Alle wollen, ein weiteres Passwort für die App. Transfer von einem Handy aufs nächsten gleicht bei vielen Banken einer Examensarbeit und läuft dann auf neuen Freischaltbrief hinaus.


    Ich habe 4 solcher Apps auf dem Handy, die alle anders funktionieren...


    Klar, der Standardfall wird die App der örtlichen Sparkasse sein und gut. Aber für Leute, die sich nicht alle 1-3 Jahre an etwas neues gewöhnen wollen (IT-Dienstleisterwechsel; jetzt in Banking integriert; neue Version; oder doch mal Kontowechsel) war chipTAN eigentlich der Weg. Zumal turnusmäßig alle paar Jahre das Geheimnis (die Karte) ausgetauscht wurde.


    Von der IT-Sicherheit her (und das ist mein Blick) wird es aber weiter in Richtung "so einfach wie möglich, so sicher wie gerade noch legal" gehen. Und wenn dann europäische Banken mit ausländischen Systemen konkurrieren müssen (paypal, VISA...) merkt man schnell, welches System sich durchsetzt.

    Kreditkarten und Paypal kümmern sich minimal um Sicherheit und belasten damit auch den Nutzer nicht. Stattdessen versprechen Sie ihm, dass er im Missbrauchsfall keine Probleme bekommt, weil quasi immer eine Versicherung mit abgeschlossen wurde, statt die Sicherheit zu erhöhen.

    Die kosten dafür sieht aber der Nutzer nicht direkt, das wird über Verkäufergebühren und Datenverkauf refinanziert.

    Das gleiche mit Bonuspunkten etc.

    Und da es mich nicht mehr kostet, wenn ich mit der Karte bezahle, die mir zusätzlich Bonuspunkte, Ratenzahlung, Versicherung, Cashback verspricht, werden die "soliden" Anbieter, die nur eine Zahlung anbieten und kein drumherum den Bach runter gehen.


    OK, zum Ende bin ich doch sehr weit vom Thema abgeschweift.


    Mein Credo: Keep it simple, secure (KISS?), weniger Softwarekram und Beigeschäfte, Konzentration auf den Hauptzweck.

  • itschytoo

    Ich kann deine Ausführungen nachvollziehen, aber trotzdem ist mir der Blick irgendwie zu einseitig.

    Früher konnte man einfach einen Überweisungsträger ausfüllen und bei der Bank einwerfen. Man musst nur die Kontonummer des Überweisers wissen und eventuell noch die Unterschrift nachahmen. Das war super simpel.
    Und jetzt diskutiert man darüber, ob Face ID eventuell nicht sicher genug ist...

  • itschytoo

    Ich kann deine Ausführungen nachvollziehen, aber trotzdem ist mir der Blick irgendwie zu einseitig.

    Früher konnte man einfach einen Überweisungsträger ausfüllen und bei der Bank einwerfen. Man musst nur die Kontonummer des Überweisers wissen und eventuell noch die Unterschrift nachahmen. Das war super simpel.
    Und jetzt diskutiert man darüber, ob Face ID eventuell nicht sicher genug ist...

    Verstehe ich.


    Damals musste man aber vor Ort sein, da konnte nicht ein Australier meine Kontodaten von einem Holländer kaufen und zusammen mit einem Peruaner mein 2fa aushebeln. ;-)


    Aber der eigentliche Unterschied: Der Bankbeamte, der mich und meine Familie kannte hat meinen Überweisungsträger gelesen, das abgetippt und gesehen dass der Betrag nicht zum Betreff passt. oder wenn ich dem nicht ein paar Wochen vorher erzählt hatte, dass ich ein Auto kaufen will, fragt er zurück ob ich wirklich 20.000 DM überweisen will. Und das ist auch gar nicht schlimm, denn so dauert die Überweisung halt 7 Tage statt 5.

    Und wenn er nicht zurückfragt, soll er mal erklären, wieso das trotz gefälschter Unterschrift durchgegangen ist.


    Will sagen: Geschwindigkeit + Verantwortlichkeit + Zusatzwissen sind heute anders und der Aufwand eines Angriffs ist auch nicht mehr so wie früher, sondern kann halbautomatisch auf tausende Ziele zugleich erfolgen.


    FaceID ist eine Technik, die aus den USA kommt und für 1 Milliarde Menschen komplett gleich funktioniert. Die Hardware, die verhindert, dass man an den eigentlichen Verschlüsselungskey ("Gesicht" ist ja nur eine Ableitung davon) kommt, ist auch hunderttausendfach identisch und da haben 20 weitere Firmen, die meisten aus China, mitgewirkt. Das Gerät ist ständig mit allen anderen auf der Welt verbunden und hat die Möglichkeit, dass Software von außen manipuliert werden kann ("updates"). Das ganze wird dann von jemanden benutzt, der nie darauf geschult wurde und gerne alles mögliche darauf installiert.


    Ich weiß aber, dass das eher eine Sicht ist, wenn man aus der Branche kommt.

    Der normale Umgang ist es, einfach nur das zu machen was alle machen und dann zu jammern, wenn einen die Bank nicht entschädigt und dass der Staat da nichts gegen tut.

    So verhalte ich mich ja bei Dingen wo ich nicht weiß wie schlimm es ist (z.B. Baustatik? Medizinische Diagnostik?) auch...

    Könnte mir vorstellen, das Baustatiker ungern U-Bahn fahren oder so. ^^

  • Damals musste man aber vor Ort sein, da konnte nicht ein Australier meine Kontodaten von einem Holländer kaufen und zusammen mit einem Peruaner mein 2fa aushebeln. ;-)

    Ne, musste man nicht. Den Überweisungsträger konnte man bequem zuhause ausfüllen/ fälschen und bei der nächsten Sparkasse in den dafür vorgesehenen Briefkasten schmeißen. Der eigene Berater hat den überweisungsträger spätestens ab Mitte/Ende der 90er nicht mehr zu Gesicht bekommen. Die gingen dann in die ZV Abteilung zur Ausführung.


    Bei gefälschter Unterschrift hat in der Regel die Bank gehaftet. So wie es heute eben auch ist. Banken zahlen aktuell auch Schäden, solange der Kunde nicht fahrlässig gehandelt hat.

  • ... Damals musste man aber vor Ort sein, da konnte nicht ein Australier meine Kontodaten von einem Holländer kaufen und zusammen mit einem Peruaner mein 2fa aushebeln. ...

    Nee, damals musste man als Betrüger weder vor Ort sein noch solche komplizierten Wege gehen. Ich kann mich noch an die Zeit erinnern, als gelegentlich geschäftliche Anfragen aus Litauen, Estland etc. (es waren fast immer unsere neuen "Freunde" aus dem Baltikum) kamen. Zunächst wunderte man sich, dann sprach sich herum, dass die einfach nur eine Antwort auf dem Geschäftsbriefbogen mit Kontonummer und Unterschrift haben wollten. Eigentlich hatten es die Betrüger damals viel leichter als heute diejenigen, die mühsam versuchen, im Onlinebanking etwas illegal abzugreifen. Und bis heute ist die SEPA-Firmenlastschrift, die ein Unternehmer nicht einfach so wie ein Verbraucher wieder stornieren lassen kann, das gefährlichste, was es in dem Bereich gibt. Wenn das Mandat mit einer kopierten echten Unterschrift per Fax übermittelt wird, hast du als Geschäftskunde viel größere Probleme als jeder noch so schlampige Privatkunde wegen Mißbrauchs des Onlinebankings jemals bekommen kann.

  • FaceID ist eine Technik, die aus den USA kommt und für 1 Milliarde Menschen komplett gleich funktioniert. Die Hardware, die verhindert, dass man an den eigentlichen Verschlüsselungskey ("Gesicht" ist ja nur eine Ableitung davon) kommt, ist auch hunderttausendfach identisch und da haben 20 weitere Firmen, die meisten aus China, mitgewirkt. Das Gerät ist ständig mit allen anderen auf der Welt verbunden und hat die Möglichkeit, dass Software von außen manipuliert werden kann ("updates"). Das ganze wird dann von jemanden benutzt, der nie darauf geschult wurde und gerne alles mögliche darauf installiert.

    Im Prinzip hast du Recht, aber jetzt packe das bitte nochmal in den Kontext des Themas: Hier geht es um das Szenario, dass irgendein eher minderbegabter Krimineller das Smartphone klaut, Zugriff auf Banking Apps bekommt und Sicherheitsmechanismen umgehen kann. Dazu muss er bei aktuellen Smartphones in der Lage sein, Sicherheitslücken auszunutzen oder die Firmware zu manipulieren. Wer solche Fähigkeiten hat, der geht sicherlich nicht die Gefahr ein, physisch die Geräte zu "zocken" um mit gut Glück ein paar tausend Euro zu erbieten.


    Zudem: Belies' dich mal zum Thema Secure Enclave bei Apple - man wendet da viel Hirnschmalz auf, um das von dir beschriebene Manipulationsszenario unmöglich zu machen.
    Abgesehen davon ist es kaum noch möglich, zumindest bei Apple Devices, einfach so die Firmware zu manipulieren.

    Bei guten Android Geräten dürfte es ähnlich sein.

  • Vielen, vielen Dank für euer Feedback. Die "Lockscreen-Benachrichtigungen", habe ich nun bereits deaktiviert!


    Das mit dem Backup Handy finde ich auch eine sehr gute Idee. So nutze ich mein altes Handy bereits - fraglich ist nur, wie lange die Software da noch aktuell ist um die aktuellen Apps zu unterstützen.


    Also nochmals vielen Dank für die vielen Tipps und den Austausch! :thumbsup:

  • Das mit dem Backup Handy finde ich auch eine sehr gute Idee. So nutze ich mein altes Handy bereits - fraglich ist nur, wie lange die Software da noch aktuell ist um die aktuellen Apps zu unterstützen.

    Ja, die nicht gepflegte Software (Sicherheitslücken) ist das Problem beim alten Handy.


    Da hilft es IMHO zu alternativen ROMS zu gucken. Ich hab z.B. ein Moto G5 (kostet 20 Eur gebraucht), das von LineageOS* noch mit Sicherheitsupdates unterstützt wird.

    Zudem ist es normalerweise aus und es ist keine andere Software drauf installiert, was das Angriffsrisiko reduziert.


    *ja, für alternative ROMs muss man den Bootloader entsperren. Ich halte das aber in diesem Szenario für unkritischer als veraltete Software.

  • Hier hab ich gerade das Gefühl, im IT-Forum gelandet zu sein. :)


    Hab jetzt "IMHO"; "ROMS"; "Moto G5", "LineageOS" und "Bootloader" nicht gegoogelt.


    Ich verstehe daraus, dass du ein neueres Smartphone "Moto G5" hast, dies durch ein alternatives Betriebssystem "ROMS" von "LineageOS" betrieben wird und du das Betriebssystem während des Starts des "Moto G5" installiert hast.


    Hab ich es halbwegs verstanden ohne Google itschytoo ?



    Neugierige Grüße vom dunklen, schönen linken Niederrhein



    Danger92

    "Man muss nicht alles wissen, man muss nur wissen, wo es steht." Zitat von Unbekannt.

  • Ah sorry. Ich Versuche zu erklären.

    Moto G5 ist ein altes Handy. Das bekommt von Motorola schon länger keine Updates mehr.

    Lineageos ist eine Gruppe von Leuten, die Googles Android Betriebssystem (das ja im Kern kostenlos ist) so anpassen, dass auch neuere Versionen von Android auf manchen älteren Geräten installiert werden können und damit die Software sicherer ist als bei Geräten wo keine Sicherheitslücken mehr geschlossen werden.

    Um das zu installieren muss man auf dem Handy eine Sicherheitsmaßnahme abschalten (den "bootloader öffnen").

    Es gibt dafür gute Anleitungen aber ganz einfach ist es nicht.

    Für die meisten ist die beste Variante ein altes iPhone (6s - 8) dafür zu nehmen, das wird offiziell sehr lange unterstützt und selbst ein zersplittertes Display ist hier nicht schlimm.

  • Häufig funktionieren Banking-Apps (TAN) nicht auf Android Smartphones die gerootet sind. Ist mir zumindest in meiner Android-Zeit zweimal passiert.

    Die funktionieren grundsätzlich nicht, solange die App erkennt, dass das Smartphone gerootet ist. Das lässt sich aber umgehen. Stichworte: Magisk, Universal Safetynet Fix, Shamiko, LSPosed.


    Auf meinem gerooteten Pixel 6 funktionieren alle Banking- und TAN-Apps und auch Google Pay.


    Das wird sich aber in Zukunft ändern, wenn Google die Play Integrity API durchsetzt. So etwa ab Android 14 wird man also für TAN-Apps tatsächlich auf ein nicht gerootetes Gerät angewiesen sein.


    LineageOS ist übrigens kein Garant für aktuelle Sicherheitsupdates. Und Lineage ist AOSP, also vom Lockscreen Bypass betroffen, den ich hier erläutert habe, sofern das November 2022 Sicherheitsupdate nicht installiert ist.