-
AppTan
Wo wir gerade dabei sind - AppTan bei dem die Tan auf dem selben Gerät empfangen wird auf dem auch die Bankingsoftware bzw. der Browser läuft (einschließlich dessen was N26 so macht) ist auch nur eine mäßig gute Idee:
https://www.heise.de/security/…k-angreifbar-3353401.html
Apple gibt sich wenigstens Mühe Sicherheitslücken zu schließen. Bei Android ist das den Herstellern sehr bald völlig egal (es gibt ja neue Geräte die den Fehler nicht haben...) und Systeme mit z.B. den Stagefright Lücken https://de.wikipedia.org/wiki/…8Sicherheitsl%C3%BCcke%29 sind noch massenhaft verbreitet.
-
Zitat
Original geschrieben von sparfux aber wer vergleicht denn schon noch Empfänger IBAN? Ich jedenfalls nicht.
Tja, dann kann die Bank aber sagen: Selber schuld. Ich vergleiche mindestens die ersten vier Stellen (Land+Prüfziffern) der IBAN.
-
Zitat
Original geschrieben von BartS1975
Ohne Schadprogramm kein Schaden. 
Bei manchen ist es wahrscheinlicher als bei anderen. Etliche Betriebssysteme sind sicherer als Windows (und sei es nur weil sie noch so selten sind, daß sich die Schadsoftwareentwicklung nicht lohnt). Aber vollständig lässt es sich nicht ausschließen - auch bei vorsichtigstem Verhalten.
-
Zitat
Original geschrieben von sparfux
Und warum soll das bei SMS-TAN oder App-TAN im Vergleich zu iTAN sicherer sein?
Weil in der SMS auch die Empfängerkontonummer und der Betrag stehen.
-
Zitat
Original geschrieben von sparfux
Was heisst "Man-in-the-middle" bei iTAN?
Kunde gibt Überweisung ein und bestätigt mit iTAN. Schadprogramm ändert Empfängerkonto.
-
Zitat
Original geschrieben von iStephan
bekunde ich meine (noch) fortdauernde Sympathie für iTAN
Warum nur? Das Man-in-the-middle Angriffe möglich sind und tatsächlich erfolgen ist offensichtlich. Daher ist dieses Verfahren aus technischer Sicht unzureichend. Das es nun (in diesem Fall) zumindest finanziell nicht zum Schaden des Kunden war ist zwar erfreulich - war aber auch erst durch Klage klarzustellen. Und das möchte man doch eher vermeiden.
-
iTan
In der aktuellen c't (22/16, S. 148) wird von einer Bankkundin berichtet, der eine mit iTan bestätigte Überweisung manipuliert wurde. Die "in Berlin ansässige" Bank wurde verurteilt den Schaden zu ersetzen. (AG Berlin-Mitte, Urteil vom 20. 4. 2016, Az. 15 C 20/15)
Solche Urteile dürften eher eine Motivation für die Abschaffung des iTan Verfahrens sein als angebliche geänderte Vorschriften.
-
Zitat
Original geschrieben von Goyale
Sicher sind ohnehin nur z.B. eine live lokal generierte ID, in Kombination mit einer PIN. Für eines meiner Konten (nicht in der Schufa eingetragen, und kostenlos 
) nutze ich einen SecureID-Token. Das Ding zeigt einen alle paar Sekunden wechselnden 6-stelligen Code an, welcher zur Bestätigung der Überweisung eingegeben werden muss. Dieser Code geht nicht abzufangen, außer jemand klaut den Token, und ich merke das nicht.
Sicher ist ein einfaches SecurID-Token aber auch nicht. Mit der Eingabe der Nummer kannst Du nur beweisen das Du das Token hast, aber nicht daß die bei der Bank ankommenden Überweisungsdaten die selben sind die Du eingegeben hast. Es gibt etliche Schadprogramme die (als "man in the middle") die Übertragung manipulieren können. Und es hat auch schon echte Schäden durch solche Angriffe gegeben. Deshalb wird bei mTan ja nicht nur die TAN sondern auch Betrag und Zielkonto mit übertragen - und der Benutzer ist dringend gehalten diese Informationen zu prüfen. (Ich erinnere mich von einem Urteil gelesen zu haben wo die Kundin das nicht gemacht hat und auf dem Schaden sitzen geblieben ist.) Bei den üblichen Tan-Generatoren werden ebenfalls Empfängerkonto und Betrag angezeigt und die TAN gilt nur für diese.
So ein Hardware-Dings (mit Zehnertastatur) das ohne Karte funktioniert gibt es z.B. bei der RaboDirect. Für ein Tagesgeldkonto das ohnehin nur Auszahlungen auf das Referenzkonto zulässt finde ich das reichlich übertrieben - und unpraktischer als mTan.
-
Re: Stiftung Warentest: aktueller Test 2016 für Girokonten!
Zitat
Original geschrieben von Goyale
Die Zehntkonto-Sammler sind so eine kleine Minderheit, dass die Stiftung Warentest "bedingungslos kostenlos" wie geschrieben verallgemeinern kann.
Es sind ja nicht nur die Zusatzkonteninhaber. Praktisch für (viel zu) viele relevant dürften eher Einnahmen aus Arbeitslosengeld I und II, Grundsicherung oder ähnliches sein. Das ist alles kein "Gehalt oder Rente", zugleich schmerzen dann Gebühren ganz besonders. Und wer nicht gerade das Glück hat Beamter zu sein kann heutzutage wohl nicht sicher ausschließen, irgendwann eventuell auch selbst einmal dazu zu gehören.
Von daher halte ich die Definition der Stiftung Warentest für unzureichend. Entweder tatsächlich bedingungslos kostenlos oder ein Nutzungserfordernis die auch durch Sozialleistungen, Unterhalt, Privatentnahmen bei Selbständigen, Rücklagenverbrauch etc. gedeckt sein kann.
-
VTB Gebühren
Die VTB ändert die AGB und führt allerlei Gebühren ein bzw. erhöht sie. Neben Gebühren für Duplikate und nicht von der Bank zu vertretenden Nachforschungen sind das auch:
Besondere Zinsbescheinigung je Beleg bislang: 3,00 EUR, ab 01.12.2016: 10,00 EUR
Saldenbestätigung je Beleg bislang: 0,00 EUR, ab 01.12.2016: 10,00 EUR
Erträgnisaufstellung bislang: 0,00 EUR, ab 01.12.2016: 10,00 EUR
Wofür braucht man sowas (zusätzlich zur lt. Gesetz kostenfreien Steuerbescheinigung)? Sollten mich die Änderungen stören?
