(In-)Kompetenz der übelsten Art...

nexus

Active Member
Ich hab ja schon viel Dummheit und Dreistigkeit im Netz erlebt, aber das was ich vorhin bei Fefe gefunden hab, ist schon ziemlich krass :eek:

https://blog.fefe.de/?ts=a502de88

P.S.:
Da meine Schwester und ihr Mann (noch) Kunden bei denen sind, habe ich den beiden dringendst zu einem Anbieterwechsel geraten.
Wer solche Ratschläge erteilt, der hat es nicht anders verdient als daß ihm die Kunden weglaufen...:mad:
 

DeaD_EyE

Blog Benutzer
Danke für den Hinweis. Ich werde jeden, den ich kenne von dieser Bank abraten. Der wirtschaftliche Schaden muss maximal sein. Nur so lernen sie.
 

Whistler

Blog Benutzer
Die Zertifikate von outbank und outbankapp sind von LetsEncrypt und müssen entsprechen häufig erneuert werden.
Bei so 'nem kleinen Startup, zu dem die Comdirekt scheinbar ihre Banking-App ausgelagert hat, kann das schon mal vergessen werden...
 

danton

Debian User
Was heißt hier kleines Startup? Wenn man outbank.io aufruft, wird man auf outbankapp.com weitergeleitet. Dort wird bei "Über uns" der Werdegang von Outbank aufgeführt. Wenn man aber ins Impressum schaut, stellt man fest, dass der Landen mittlerweile Verivox gehört - was beim "Über uns" übrigens nicht erwähnt wird und das ganze in meinen Augen nicht vertrauenswürdiger macht.
Und mal ganz ehrlich: Beim Banking hätte ich schon erwartet, dass EV-Zertifikate verwendet werden oder zumindest welche mit Überprüfung der Identität, nicht nur einfache Domain-zertifizierte Zertifikate.
 

DeaD_EyE

Blog Benutzer
Egal was sie sind, sie können sich nicht heraus reden. Diese Argumentation zieht nicht, sobald es um den Zahlungsverkehr geht.
 

GwenDragon

Registered User
Ich hätte bei der App auch EV erwartet und nicht das reguläre LE-Zertifikat.
Seit wann bekommen die eine Zulassung mit so einem unsicheren PayGateway arbeiten zu dürfen. Greifen denn PCI-DSS-Vorschriften nicht?
 

PHP-Friends

Blog Benutzer
Die Zertifikate von outbank und outbankapp sind von LetsEncrypt und müssen entsprechen häufig erneuert werden.
Bei so 'nem kleinen Startup, zu dem die Comdirekt scheinbar ihre Banking-App ausgelagert hat, kann das schon mal vergessen werden...
Klar, könnte uns auch passieren, ebenso kann es Probleme mit der automatischen Verlängerung geben. Das ist auch gar kein Problem, denn deshalb monitoren wir die Gültigkeit aller bei uns relevanten Zertifikate und erhalten mehrere Wochen vor Ablauf entsprechende Meldungen. Das wird eine Bank doch nicht etwa anders machen? :rolleyes: :D
 

nexus

Active Member
Welches Zertifikat hier verwendet wird, spielt doch bei der ganzen Sache kaum eine Rolle.
Ich finde es besonders verwerflich, daß die Bank aktiv dazu aufruft, eine Sicherheitswarnung, welche genauso bei einem MITM kommt, einfach zu übergehen.
99,9% der Kunden wissen doch garnicht um die technischen Zusammenhänge und Hintergründe einer solchen Warnung...Und werden beim nächsten Erscheinen einer solchen Warnung diese wieder wegklicken, weil die Bank ja mal sagte, daß das okay wäre...Nur dann ist es tatsächlich ein MITM.:mad:

Hier sollten staatliche Kontrollgremien (BSI, Bankenaufsicht, wer auch immer) eingreifen und dafür sorgen, daß eine solche Warnung garnicht übergangen werden kann sondern daß die App bei einem derartigen Fehler ihren Dienst quittiert...
 

GwenDragon

Registered User
Eins steht fest, der Support trainiert die Kunden so zu Fehlverhalten. :eek:

Wenn dann gelernt wird, dass Wegklicken ok ist, kommt es dann zu Phishing und anderen Online-Betrügereien. Der Kunde ist (natürlich wie immer haftend) der Dumme, weil er das Falsche von seiner Bank gelernt hat.
 
Zitat von Golem: https://www.golem.de/news/banking-app-comdirect-empfiehlt-sicherheitswarnung-zu-ignorieren-1811-137933.html

Das Wegklicken der Fehlermeldung führt anders als beispielsweise in Browsern nicht dazu, dass eine ungesicherte Verbindung aufgemacht wird. Vielmehr funktioniert die entsprechende Funktionalität in dem Fall einfach nicht.
Wenn das stimmt, verstehe ich die Aufregung nicht ganz. Dann war es maximal eine missverständliche Kommunikation, obwohl nirgends von "wegklicken" die Rede war. Zu keinem Zeitpunkt war ein Kunde dadurch gefährdet, wenn er die Meldung gar nicht umgehen kann.

Dass das Zertifikat nicht rechtzeitig verlängert wurde, ist freilich eine andere Geschichte.
 
Last edited by a moderator:

Dragon0001

New Member
Der Zertifikat wurde laut Golem aber rechtzeitig verlängert/ersetzt. Hätte es daran gelegen, wäre auch kein Update der App nötig gewesen.
 

nexus

Active Member
Wenn das stimmt, verstehe ich die Aufregung nicht ganz.
Aufregung deshalb, weil die Bank ihren Kunden geraten hat, die Sicherheitswarnung einfach zu übergehen.
Auch wenn in diesem speziellen Fall den Kunden kein Schaden entstehen konnte, so bleibt die Aufforderung, die Warnung zu ignorieren, in den Köpfen der Kunden hängen.
Und wenn es dann doch jemand schafft, eine MITM-Attacke zu etablieren und sich in den Datenverkehr einzuklinken, dann erinnert sich der Kunde daran, daß man solche Warnungen ja ignorieren könne. Und wenn dann Daten (oder Geld) verloren gehen, dann ist das Geschrei groß...Und dann wird die Bank sich hinstellen und die Kunden fragen: "Ihr habt ja eine Warnung bekommen, warum habt ihr die ignoriert?"
Gerade in solchen sensiblen Bereichen wie Online-Banking ist es grundverkehrt, den Leuten ein falsches Gefühl von Sicherheit zu vermitteln...
 

Thunderbyte

Moderator
Staff member
Schlechte Aktion des Social Media Teams UND der App Entwickler, keine Frage.

Wenn nur die "News" Funktion, nicht aber die Kommunikation mit der Bank durch das abgelaufene Zertifikat ungesichert war, ist die Antwort, dass die Bankgeschäfte "sicher" sind, erst mal (folge)richtig.

Der GAU ist in erster Linie dadurch entstanden, dass der ERSTE Post der Bank nicht klar diesen Punkt und die Unterscheidung thematisiert hat. Einfach nur pauschal "passt scho" posten ist selbstverständlich extremst falsch. Essentielle Informationen weglassen -> Social Media GAU.

Anscheinend ist und war die "comdirect" App ( https://itunes.apple.com/de/app/comdirect-banking-app/id390234288?mt=8&ign-mpt=uo=4 ) schon immer nur eine umgelabelte Outbank App? Wer weiß...
 

Whistler

Blog Benutzer
Ach Gottchen, angeblich betrifft das kaputte Zertifikat nur die News der App.
Dann ist doch alles sicher. Ehrlich!!!!
Und außerdem stehen die Zahlungen doch heutzutage eh alle in der Blockchain.
Damit ist Dein Geld nicht spurlos weg - man sieht zumindest, wer es jetzt hat.
 
Aufregung deshalb, weil die Bank ihren Kunden geraten hat, die Sicherheitswarnung einfach zu übergehen.
Dass man den Rat eventuell missverstehen kann, mag sein. Trotzdem lese ich daraus...

Trotz Fehlermeldung kannst du die banking App wie gewohnt nutzen.
...eher genau das, was Sache war: Die App meckert zwar, aber es beeinträchtigt die essentiellen Funktionen nicht.

Ich glaube trotzdem, dass hier in typischer Fefe-Manier auf ein Unternehmen eingeschlagen wurde, ohne wirklich nachzudenken. Vor allem von zig anderen Usern, die das aufgegriffen haben. Die Sache war auf den Social Media Seiten sofort ein gefundenes Fressen.
 

marce

Active Member
Ok, und woher weiß der normale User, in welchem Fall "Fall A" eintritt und in welchem Fall "Fall B" eintritt - sprich alles läuft wie gewohnt und Deine Daten sind sicher oder "pöser Purche greift sich alles ab"?

Wer den Rat erteilt, Fehlermeldungen zu ignorieren hat das Prinzip nicht verstanden - und darf sich die entsprechenden Prügel verdient abholen.
 
Ich will auf das hinaus: Da steht nirgends, dass man eine Meldung weg klicken und eine unsichere Verbindung akzeptieren soll, wie es im Browser (ohne HSTS usw.) der Fall wäre. Es gab dort laut Screenshot nur einen OK-Button, den man so oder so betätigen musste, wenn man die Meldung weg bekommen möchte.

Was hätten sie denn sonst schreiben sollen? "Wir kennen das Problem, es ist zwar alles sicher und die App funktioniert trotzdem einwandfrei, ABER UM GOTTES WILLEN MACH DIE APP SOFORT ZU und benutze sie bis zu einem Update nicht wieder!" :confused:

Ja, man hätte mehr ins Detail gehen können, warum die App trotzdem ohne Sicherheitsbedenken weiter genutzt werden kann. Aber ursprünglich hat sich das auf diversen Seiten so angehört, dass die explizit empfehlen würden eine unsichere Verbindung mittels Ja/Nein Frage zuzulassen.


PS: Ich will diese Bank nicht in Schutz nehmen. Ich kannte die bis vor wenigen Tagen nicht einmal. Aber das wurde meiner Meinung nach mehr aufgebauscht, als notwendig…
 
Last edited by a moderator:

GwenDragon

Registered User
Wenn die Banking-App auch ohne das Zertifikat für den Newsserver funktioniert,
wozu dann das dämlich-nervige Popup, wenn dieses eh nichts löst?
Zu viel nutzlose Kommunikation nenne ich das.
 

Top