Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

Re(13): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

User587913 — Sun, 08 Mar 2020 21:11:35 GMT

Genau, und wenn du dann irgendwo Urlaub machst außerhalb Ö oder evtl außerhalb der EU?

Bin ich permanent.
Wenn mich meine Paranoia vollkommen überkommen sollte, wird der gesamte Traffic halt über ein VPN durchgereicht und fertig ist der Salat.

Wieso willst du deinem Provider überhaupt Vertrauen entgegenbringen?

Wieso willst du der in deinem Rechner verbauten CPU überhaupt Vertrauen entgegenbringen? Oder einem Webbrowser, dessen Code du mit Sicherheit keinem vollständigen Audit unterzogen hast, bevor du ihn kompiliert hast? Oder einem Betriebssystem...etc. pp.

Was muss denn passieren, damit du das Vetrauen in deinen Provider verlierst?
Reicht unerlaubtes Abhören nicht?

Daten in Klartext abspeichern z. B.?

Glaubst nicht dass die nächste aktuell noch unentdeckte Sicherheitslücke
früher oder später kommt?

Glauben tun wir in der Kirche, Moschee oder Synagoge.

Ein Großteil der Angriffe auf Kapital wurde übrigens mittels Social engineering bewerkstelligt, denn daran beißt man sich - im Gegensatz zu mehreren Abstraktionsschichten mit dazugehörigen Sicherheitsmaßnahmen aus Hard- und Software - wesentlich weniger Zähne aus und kommt auch noch schneller an mehr Kohlen.

Datensparsamkeit ist - wie bei jedem elektronischen Gerät - der Weg zum Ziel, weswegen ich die Prosa hier nicht einmal ansatzweise nachvollziehen kann, aber okay.

Re(12): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

PeterShaw — Sun, 08 Mar 2020 20:43:20 GMT

>Jo, eh nur die ISP-seitige

Genau, und wenn du dann irgendwo Urlaub machst außerhalb Ö oder evtl außerhalb der EU? Wie schaut es dann damit aus? Ganz abgesehen davon, dass der BND für die Amis unsere Leitungen von/nach D mit der Hilfe oder zumindest unter Duldung der Telekom abgehört hat. Wenn du A1 als Netzbetreiber hast, dann musst du dir also auch Sorgen machen, ob die nicht selber ihren Zugriff etwas großzügiger nutzen, als ihnen zusteht.

Wieso willst du deinem Provider überhaupt Vertrauen entgegenbringen?

Was muss denn passieren, damit du das Vetrauen in deinen Provider verlierst? Reicht unerlaubtes Abhören nicht?

>Den ungepatchten Exploit zeigst du mir einmal.

Najo, das ist jetzt mind. ein halbes Jahr alt, wenn das inzwischen nicht gepatcht wäre, wäre das sowieso schlimm. Außerdem ist das nur ein Beispiel dafür, dass wir unseren Mobiltelefonen nicht unbegründet vertrauen sollten. Darüber wickeln manche Leute inzwischen ihr ganzes Leben ab, eben inkl. der Bankgeschäfte. Glaubst nicht dass die nächste aktuell noch unentdeckte Sicherheitslücke früher oder später kommt?

Re(11): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

User587913 — Sun, 08 Mar 2020 16:52:23 GMT

Firewall oder dergleichen gibt es nicht

Jo, eh nur die ISP-seitige die - seit die GSMA bzgl. der Schwachstellen in (veralteten) SIM-Toolkits informiert ist - Traffic, der auf ebenjene Schwachstellen (und viele andere) abzielt, blockiert. Soviel dazu.

und diese heimliche SMS führt dann dazu, dass sich dein Browser am Handy
öffnet und eine Webseite meiner Wahl anzeigt.

Den ungepatchten Exploit zeigst du mir einmal. Ich glaube du verwechselst S@T Push (welches von meinem Provider nicht einmal mehr genutzt wird) mit einem im Userspace des Betriebssystems laufenden Webbrowser.

Re(12): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

PeterShaw — Sun, 08 Mar 2020 16:49:10 GMT

Stille SMS sind was Anderes. Das sind einfach Ping-SMS, damit du schauen kannst ob ein Handy grad angeschaltet ist und wo es sich ungefähr befindet. Das hat mit meinem Thema gar nix zu tun - die sind auch harmlos, denn wo sich dein Handy befindet muss der Netzbetreiber wissen, dein Handy muss sich schließlich zu den Funkmasten verbinden, da fallen diese Daten technisch bedingt an.

Danke für deine Bestätigung, dass du nicht weißt wovon du sprichst.

Re(10): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

PeterShaw — Sun, 08 Mar 2020 16:46:58 GMT

>glaubst du ensthaft, dass sich irgend eine Bank heutzutage ein derartiges Datenschutzverstossproblem einhandeln würde

Die Bank selbst überhaupt nicht. CCC und Co. zeigten aber bereits, dass die Banken ihre Apps nicht im Griff haben (und sowieso die Programmierung outsourcen), indem sie Exploits herzeigten, wo unberechtigte Dritte über die App Lücken nutzen können um Kontostand einzusehen oder sogar was zu überweisen. Gerade die Bankingapps sind auf Sparflamme programmiert, das reflektieren auch die schlechten Reviews in den Stores für die meisten Banken.

>Und die Sache mit den Flughäfen hab ich so auch noch nie erlebt. Wo war das denn?

Erlebt nicht - aber in Großbritannien, USA, Neuseeland, Australien, Kanada (und evtl. einige so Länder wie die Türkei), da ist das gesetzlich verankert, dass sie dich direkt am Flughafen mal festhalten können (und nicht wenige Stunden, sondern je nach Land wochenlang), wenn du dich weigerst ihnen Zutritt zum Mobiltelefon (oder auch Laptop) zu gewähren. Sicher werden sie dich oder mich nicht festhalten... solange dein Name nicht fernöstlich klingt, oder du den falschen Stempel im Reisepass hast, oder zB der Freund von einem high-profile-Journalisten bist, wie hier zB: https://www.bbc.com/news/uk-35343852

Kann blöd laufen und du wirst einfach mit jemandem verwechselt, das reicht vollkommen aus, für vieles. Verwechslungen können dich in vielen Situationen treffen, bei der Hausdurchsuchung die Tür verwechselt, usw usf.

>Das heisst du verwendet gar keine Apps? Oder vertraust du da nur den Banken nicht?

Hab nur cardTAN mit dem Generator, und leider zig Generatoren hier rumliegen weil jede Bank einen anderen braucht, seufz. Du musst umgekehrt denken, warum schenkst du von vornherein ein Vertrauen her? Das Problem ist nicht nur die App selber. Die Betriebssysteme haben ja Privacy-Funktionen eingebaut, die sich aber manchmal aushebeln lassen oder einfach verbuggt sind. Es reicht dann schon, wenn ein einziges Mal was schiefgeht für wenige Sekunden, das reicht vollkommen aus damit die App Kontakt- und Anrufliste sowie die SMS lesen kann.

Der Schaden ist nämlich dann da, nicht mehr rückgängig machbar. Es gibt arglose Leute, die Psychotherapeuten sind und ihre Patienten im Handy drin haben. Da gab es mal den Aufschrei, weil genau in so einem Fall den Patienten plötzlich auf Facebook andere Patienten als Freunde vorgeschlagen wurden. Die Ursache kennt man nicht 100%ig, aber es hatte wohl was mit Whatsapp zu tun (das gehört Facebook).

Es gibt nur einen Grund um Bankgeschäfte und Kommunikationsmittel zu kombinieren, und das ist rein Bequemlichkeit. Natürlich will niemand für jede Aktion ein separates Handy mitschleppen müssen. Seine Privatsphäre zu schützen, ist bei digitalen Sachen aber nie bequem.

Unsere Post verkauft mutmaßlich (es gilt die Unschuldsvermutung) unsere Daten zu Werbe- und sonstigen Zwecken, mutmaßlich um Kohle damit zu machen. Warum soll es nicht die eine oder andere Bank, hust, bawag, vielleicht auch so machen wollen...

Re(11): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

Paulas_Papa — Sun, 08 Mar 2020 16:32:04 GMT

Danke für deine Bestätigung. Den Befund deines Arztes solltest du vielleicht noch anfügen!

https://de.wikipedia.org/wiki/Stille_SMS

Re(10): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

PeterShaw — Sun, 08 Mar 2020 16:24:11 GMT

>Vielleicht gut gegen Paranoia...

Mit Paranoia hat das nix zu tun, über das Netz des Mobilfunkbetreibers gibt es einen ziemlich intensiven Zugriff aufs Handy, Firewall oder dergleichen gibt es nicht. Deine SIM-Karte selbst ist ein winziger Computer, der über diverse Befehle mit deinem Handy kommunizieren kann, egal welches OS da drauf läuft. Exploits gibt es bereits, zB kannst du nach dem Stichwort simjacker googeln.

Ganz kurz beschrieben, wenn ich deine Handynr kenne, kann ich dir eine SMS schicken die dein Handy gar nicht anzeigt, und diese heimliche SMS führt dann dazu, dass sich dein Browser am Handy öffnet und eine Webseite meiner Wahl anzeigt.

Und das ist noch halbwegs harmlos, oder? Willst du auf sowas Onlinebanking betreiben? Deine Handynummer finde ich auch raus, zB über den Hack der Wiener Büchereien, wenn du dort irgendwann mal Mitglied warst, alle Daten frei im Netz verfügbar.

Soviel zum Stichwort paranoid...

Re(9): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

Thing — Sun, 08 Mar 2020 16:04:38 GMT

Das heisst du verwendet gar keine Apps? Oder vertraust du da nur den Banken nicht?

Eigentlich erlaubt man ja (zumindest bei iOS, ich glaub aber auch bei Android) den Anwendungen diverse Zugriffe. Und ja, ich weiss, dass es immer wieder alle möglichen Sicherheitslücken gibt. Aber glaubst du ensthaft, dass sich irgend eine Bank heutzutage ein derartiges Datenschutzverstossproblem einhandeln würde, ohne einen erkennbaren Nutzen zu haben.

Und die Sache mit den Flughäfen hab ich so auch noch nie erlebt. Wo war das denn? Im schlimmsten Fall wird man manchmal gebeten, das Gerät kurz einzuschalten. Aber dass sich da jemand mit meinen Fotos vergnügt oder das Password aus mir rausprügelt ...

Re(9): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

Paulas_Papa — Sun, 08 Mar 2020 14:43:03 GMT

https://www.heise.de/tests/Shelter-Sandbox-fuer-Android-Apps-4237532.html

Vielleicht gut gegen Paranoia...

Re(8): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

PeterShaw — Sun, 08 Mar 2020 14:25:00 GMT

>dann nur mit Zusatzkosten (Stichwort: cardTAN-fähige Raiffeisen Bankomatkarte).

Ah stimmt, wenn du kein Girokonto mit Karte hast, ist cardTAN keine so einfache Alternative. Da kommst dann wahrscheinlich bei 50 Cent Kosten pro Anmeldung im Onlinebanking raus...

>Die App wäre okay, aber gern hab ich das auch nicht.

Die Apps installiere ich mir aus Prinzip nicht, ich kann nicht zu 100% garantieren, dass die keinen Zugriff auf private Dateien wie Fotos oder Kontakte erlangen können. Noch dazu lösch ich das Ding vor jeder Auslandsreise, in manchen meiner Zielländer gibt's im Zweifelsfall Beugehaft wenn du am Flughafen den Sperrcode nicht rausgibst, falls sie doch fragen sollten. Daher müssen die privaten Fotos usw, usf. runter. Kannst dir vorstellen, wie gut das diese Apps verkraften, wenn du nach der Reise das Backup wieder einspielst, da kannst gleich zur Bankfiliale gehen.

Re(7): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

Thing — Sun, 08 Mar 2020 12:19:25 GMT

Als Kunde hätte ich auch kein Problem mit der CardTan, ebensowenig wie mit der Desktop-App. Ich mache Bankzeug ohnehin nur zuhause aus am PC. Für die Raika dürfte die CardTan-Variante aber auch ein Kostenfaktor sein, den sie möglichst vermeiden wollen. Daher bieten sie diese Varianten wohl auch nicht so offensiv an wie die App.

Bei mir hätte CardTan wie schon gesagt aber nicht funktioniert bzw. wenn, dann nur mit Zusatzkosten (Stichwort: cardTAN-fähige Raiffeisen Bankomatkarte).

Die App wäre okay, aber gern hab ich das auch nicht. Mein Firmenhandy (iPhone SE) hat leider nur 16 GB und da ist es etwas lästig, wenn ich x Banken-Apps installiere. iOS lagert die Anwendungen bei Speichermagel zwar relativ intelligent aus und bei Bedarf wieder ein, aber lustig ist das trotzdem nicht. Ich könnte das Handy zwar austauschen gegen ein neueres mit mehr Speicher, aber dann ist auch das Gerät größer und ich hab mich einfach an das 4-Zoll-iPhone gewöhnt.

Re(6): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

PeterShaw — Fri, 06 Mar 2020 10:46:45 GMT

>und ein paar Revoluzzer versucht man mit der Desktop-App oder CardTan zu befriedigen

Verstehe nicht was das Problem mit der cardTAN ist - bei der Desktopapp kommt es auf die Bank drauf an, bei manchen ist es mehr oder weniger eine Webseite in einem eigenen Programmfenster, also quasi ein Browser ohne die üblichen Knöpfe. Aber cardTAN funktioniert ja universell ganz gut. Bei der Erste nervt mich der Generator an sich mit seiner umständlicheren Bedienung, aber zigfach besser als jede App ist es sowieso.

Re: Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

soul — Thu, 05 Mar 2020 22:20:40 GMT

Hey kontaktiert mal einer Raiffeisen und heizt ihnen wegen den wohl am
08.03.2020 ablaufenden pushTAN Desktop Zertifikate für Windows ein.

interessiert doch nur dich. machs selber. bekomme meinen push aufs handy.

Re(5): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

Thing — Thu, 05 Mar 2020 19:16:35 GMT

Sie haben übrigens mit CardTan noch ein drittes Standbein. Bei mir hätte das aber auch nichts genutzt.

https://www.raiffeisen.at/de/online-banking/mein-elba/sicherheit/cardtan.html

Am liebsten hätten sie wohl alle Kunden auf der App-Schiene und ein paar Revoluzzer versucht man mit der Desktop-App oder CardTan zu befriedigen. Und arme (jetzt nicht unbedingt monetär gesehen) Schweine wie mich verdrängt man, in dem man sie so lange hinhält, bis sie frustriert das Handtuch werfen.

Re(2): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

Marax — Thu, 05 Mar 2020 15:31:36 GMT

weil ich online banking nur auf meinem desktop PC zuhause mache und noch nie die notwendigkeit hatte eine app zu verwenden um meinen kontostand zu kontrollieren oder mobil eine überweisung machen musste.

Re(4): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

Desolationrob — Thu, 05 Mar 2020 07:00:40 GMT

hm...aber schlüssig. Wo steht geschrieben das jeder ein Smartphone nutzen muss, immer dabei hat etc.

Re(3): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

Thing — Wed, 04 Mar 2020 19:30:39 GMT

Das war damals (Ende August) eher eine wenig kommunizierte Notlösung für Kunden, die die Smartphone-App aus diversen Gründen nicht verwenden konnten oder wollten.

Bei mir war es etwas anders. Ich hätte die App ja gerne verwendet, aber die Raika konnte oder wollte nicht. Das mit der Dektop-App konnte bei mir übrigens auch nicht funktionieren. Ich war aufgrund meines Kundenstatus (nein, ich bin weder Promi, noch hab ich Corona) von Elba ausgeschlossen.

https://forum.geizhals.at/t899779,8004545.html#8004545

Re(4): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

hellbringer — Wed, 04 Mar 2020 15:16:43 GMT

Ich wusste gar nicht dass es noch Raiffeisen-Kunden gibt :D

Die haben sogar Apple Pay!

Re(3): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

PeterShaw — Wed, 04 Mar 2020 15:11:20 GMT

Ich wusste gar nicht dass es noch Raiffeisen-Kunden gibt :D

Re(2): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

hellbringer — Wed, 04 Mar 2020 14:40:56 GMT

warum nutzt man denn sowas ?

Ich als Raiffeisen-Kunde wusste gar nicht, dass es sowas gibt

Re: Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

Desolationrob — Wed, 04 Mar 2020 14:26:42 GMT

warum nutzt man denn sowas ?

Re(2): Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

User587913 — Wed, 04 Mar 2020 11:41:11 GMT

Gibt ja mindestens einen hier im Forum, der in der R-IT arbeitet und das Malheur vielleicht schneller an die Codemonkeys durchreichen hätte können, als er als Plebejerkunde.

Re: Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

gullimail — Wed, 04 Mar 2020 06:18:42 GMT

Hey kontaktiert mal einer Raiffeisen und heizt ihnen

Na mach doch, wird mehr bringen wenn du das als Kunde machst als ich als Nicht-Kunde.

Raiffeisen pushTAN Desktop Zertifikat läuft ab?!

davmus1 — Tue, 03 Mar 2020 19:29:11 GMT

Hey kontaktiert mal einer Raiffeisen und heizt ihnen wegen den wohl am 08.03.2020 ablaufenden pushTAN Desktop Zertifikate für Windows ein.

Seit dem verspäteten Erscheinen im September hat Raiffeisen das lahme und leicht buggy pushTAN Desktop V1.0 nie mehr gepudatet und so laufen jetzt auch die, von vielen Browserherstellern eh schon als schwindelig betrachteten, Symantec Zertifikate ab.

Bei mir laufen sowohl bei der Installations.exe als auch der pushTAN.exe am 08.03. die Zertifikate ab, und auch bei der jetzt herunter geladenen Installationsdatei scheinen es wohl noch die gleichen Zertifikate zu sein.

Insbesondere DAU User dürften dann doch bald Probleme haben, wenn Windows beim Installieren oder Starten Fehlermeldungen wegen ungültigem Zertifikat anzeigt?