abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

mTan in mobiler App erlaubt?

Link zum Beitrag wurde kopiert.

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 10
Registriert: 06.05.2015

Die mobile App der Consorsbank erlaubt (funktional) anscheinend die Nutzung von mTans um unterwegs Überweisungen durchzuführen, was ich auch als ein tolles Feature ansehe.

 

Gemäß AGB ist dies an einem Gerät aber wohl verboten: 

7.2 (2) "Der Teilnehmer darf zur Autorisierung, z.B. eines Auftrags, der Aufhebung einer Sperre, nicht mehr als eine TAN verwenden. Beim Mobile-TAN-Verfahren darf das Gerät, mit dem die TANs empfangen werden (z.B. Mobiltelefon), nicht gleichzeitig für den Online-Dienst genutzt werden."

 

Eine sinnvolle mobile Nutzung der App und insb. der Überweisungsfunktion ist aber in der Praxis nur gegeben, wenn ich auch die mTans am gleichen Gerät empfange. Wer schleppt in der Realität schon ein zweites Handy oder iPad dafüer herum? 

Hier im Wissensbereich habe ich einen Beitrag gelesen iSv "Für erhöhte Sicherheit verwenden Sie zwei verschiedene Geräte.", was auch nicht nach einem klaren Verbot klingt. Leider habe ich eben den Beitrag nicht mehr gefunden.

 

Was ist nun Stand der Dinge? Man darf es nicht aber es wird technisch unterstützt? Welche Konsequenzen entstehen aus einer (verbotenen) Nutzung?

Wäre TouchID am iPhone ein ausreichender Schutz der die Gerätetrennung auch per AGBs möglich machen könnte?

 

Ich würde mich sehr über ein Feedback, insb. durch das CB-Team freuen.

Vielen Dank!

0 Likes
29 Antworten 29

Routinierter Autor
Beiträge: 117
Registriert: 13.11.2014

Meiner Meinung nach ganz klar eine Frage der Haftung im Missbrauchsfall. Man wurde darauf hingewiesen, dass man es nicht tun soll, Punkt. Wenn manche das nun trotzdem tun, wird ihnen vermutlich deswegen nicht das Konto gekündigt. Wenn allerdings jemand sein Handy verliert und ein Bösewicht dann das Konto leerräumt oder irrsinnige Optionswetten abschliesst, dann ist CB aus der Haftung raus.

Man soll ja auch keine PINs zusammen mit dem Plastikgeld mit sich rumtragen. Gibt trotzdem genug Leute, die das tun.

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 10
Registriert: 06.05.2015

Vielen Dank schon eimnmal für diese Rückmeldung.

 

Ganz klar ist mir das damit aber noch nicht.

 

Fall 1: Ich nutze an meinem iPhone die App, tätige eine Überweisung unterwegs und legitimiere diese mit einer mTan. Alles läuft gut, nichts passiert und ich brauche natürlich auch keine Rückbuchungen oder Schadensersatzforderungen o.ä.  anstrengen.

 

Fall 2: Ich habe die App auf meinem iPhone installiert und verliere dieses / jemand klaut es. Nun kann dieser wie auch immer mein iPhone entsperren und die App öffnen (errät das Kennwort). Wenn er nun eine Überweisung tätigt und diese per mTan legitimiert, kann er mir Schaden zufügen.

Wie hätte ich hier jedoch diese Gerätetrennung vermeiden können? Ich habe in diesem Fall 2 die mTan ja nicht selbst am gleichen Gerät wie die App genutzt (das war der Dieb). Die Consorsbank kann mir demnach kein Fehlverhalten vorwerfen, denn die Installation der App auf dem mTan-Empfänger ist ja nicht verboten.

EDIT: Oder Ist die App = Online-Dienst und damit darf die App nie auf dem mTan-Empfänger installiert werden? Das wäre absolut realitätsfremd, wer nutzt schon 2 verschiedene Handys dafür...

 

Fall 1: "Alles geht gut und niemanden interessiert es." vs. Fall 2: "Es kommt zum Betrug aber ich könnte es nicht verhindern und bin nicht schuld."

Versteht jemand was ich meine? 😉

 

 

Ich würde mich wie oben geschrieben auch freuen, wenn sich jemand von der Consorsbank zu diesem Thema melden würde.

0 Likes

Enthusiast
Beiträge: 790
Registriert: 08.12.2014

Hallo _christian,

 

das Problem beim mTAN ist ja nicht mal so sehr das man das Gerät verliert oder es einem geklaut wird, es geht darum das man sich nen Banking-Trojaner einfängt. Es gab bereits vor längerer Zeit entsprechende Meldungen das es solche Fälle zumindest in USA schon gegeben hat. Hier wurde sogar spekuliert das die in der Lage sind eine logische Verbindung zwischen PC und Smartphone herzustellen. Die Sache ist aber vermutlicher sogar einfacher.

 

Szenario: Dein SmartPhone ist infiziert, der Trojaner sieht Dir zu wie Du Dich einloggst, kennt nun also Deine PIN. Bei der nächsten Gelegenheit loggt der sich selber ein, erstellt eine Überweisung, lässt sich die TAN zuschicken, fängt die SMS entsprechend ab, bestätigt die Überweisung damit und weg ist die ganze hübsche Kohle.

 

mTAN war eine tolle Idee als das an Handys mit fester Firmware verschickt wurde. Die Schwäche des frei programmierbaren angreifbaren PCs wurde durch eine Kontrolle über einen zweiten Kanal und ein softwareseitig nicht veränderbares Endgerät beseitigt. Mit SmartPhones, die nun eben auch frei programmierbar sind, tut sich die Lücke erneut auf. Das wäre das Gleiche als würdest Du Dir aufm PC die TAN per eMail schicken lassen. Auf so eine Idee würde hoffentlich keiner kommen.

 

Das einzige was da hilft ist ein TAN-Generator, denn der ist nicht manipulierbar, weil fest programmiert. So lange die die Verschlüsselung nicht knacken kann man das wohl als sicher ansehen.

 

Es geht hier nicht darum jemand zu schikanieren oder zu nerven, sondern das sind Maßnahmen um die nötige Sicherheit beim Online-Banking zu gewährleisten. Wenn Du Dich an die gebotenen Sicherheitsregeln nicht halten möchtest wirst letztlich Du mit dem Schaden leben müssen, sollte dieser Fall tatsächlich eintreten. Kaum eine Bank wird Dir den Schaden ersetzen, denn die argumentieren ihr System ist sicher, wenn man sich an die Regeln hält.

 

Gruß

Myrddin

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 10
Registriert: 06.05.2015

Hallo Myrddin,

 

vielen Dank für deine ausführliche Antwort. Technisch und inhaltlich verstehe ich das somit.

 

Trotzdem bleibt für mich die Frage bestehen, ob damit in aller Konsequenz die Installation der App auf dem gleichen Gerät (zB iPhone) mit dem man mTans empfängt gemäß AGBs verboten ist.

Ich vermute, dass diese Konstellation bei vielen Nutzern so gegeben ist.

 

Es geht mir nicht darum, dass ich mich an irgendwelche Sicherheitsregeln nicht halten möchte, ich möchte die Situation nur verstehen. 🙂

 

Danke & VG

_christian

0 Likes

Enthusiast
Beiträge: 790
Registriert: 08.12.2014

Hallo _christian,

 

ob in dem Fall das die Nutzung nicht bestimmungsgemäß erfolgt irgendwelche Sanktionen vorgesehen sind kann Dir natürlich nur die Consorsbank sagen. Vielleicht erfolgt ja dazu noch eine Rückmeldung. So richtig vorstellen kann ichs mir nicht, ist ja letztlich Dein Risiko.

 

Das die Bank aber im Fall einer nicht bestimmungsgemäßen Nutzung jegliche Haftung im Schadensfall ablehnt und Du komplett auf Deinem Schaden sitzt bleibst, darauf kannst Du Dich vermutlich verlassen. 🙂

 

Gruß

Myrddin

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 10
Registriert: 06.05.2015

Es wäre super, wenn sich jemand vom Consorsbank-Team dazu kurz äußern könnte.

Vielen Dank!

0 Likes

Enthusiast
Beiträge: 224
Registriert: 02.11.2014

Hallo Christian,

die Antwort auf diese Frage kann man sich mit ein wenig gesundem Menschenverstand selbst ableiten. Die Kanaltrennung ist ein wichtiges Sicherheitsmerkmal. Wenn Du es (auch noch wissentlich, aber das dürfte im Endeffekt egal sein) umgehst und Du beim Onlinebanking einem Betrug zum Opfer fällst, dann wird eben die Consorsbank die Haftung problemslos komplett auf Dich abwälzen. Möglicherweiser kündigt sie Dir auch so direkt zu Deinem und Ihrem Schutz, da Du gegen grundlegende Sicherheitsmaßnahmen verstößt. Reicht ersteres nicht, um Dich eines besseren zu belehren und muss Dir ein Bankmitarbeiter erst zweiteres erklären?


Community Manager
Beiträge: 393
Registriert: 14.01.2014

Hallo @_christian

hallo Community, 

 

bitte entschuldigen Sie unsere späte Reaktion. Die geschilderte Fragestellung haben wir verstanden und können diese nachvollziehen. Um hier eine einheitliche Klärung zu bekommen, habe ich diesen Thread an die hierfür verantwortlichen Kollegen weitergeleitet. Aktuell liegen mir noch keine weiteren Informationen vor.

 

Ungeachtet der technischen Möglichkeiten stellt der TAN-Generator zur Autorisierung von Aufträgen über die Mobile App die sicherste Variante dar.

Sobald mir weitere Informationen zum Umgang mit der mTAN vorliegen, werde ich Sie gerne darüber in Kenntnis setzen.

 

Vielen Dank für Ihre Geduld

Michael Herbst

Community Manager


Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 10
Registriert: 06.05.2015

Vielen Dank für die Rückmeldung, ich freue mich auf weitere Updates. 🙂

Antworten