IT Security

Claus Lehmann · Site Admin Anmeldedatum: 31.08.2007 Beiträge: 18123

Hier mal als eigener Thread (statt einfach unter Presse), da sehr ausführlich und der Artikelautor der Meinung ist, dass es bei den untersuchten UK Sites sehr im Argen liegt:
https://isecguy.wordpress.com/2017/03/13/state-of-security-in-the-uk-p2p-lending-landscape/

Das Thema ist denke ich relativ wichtig für Anleger auch wenn es keinen interessiert solange nichts passiert. Mir ist aufgefallen, dass deutlich mehr Sites in Kontinentaleuropa auf 2 Faktor Authentifizierung setzen als in UK.
_________________
Meine Investments (aktualisiert 12/24):
Laufend: Bondora*, Estateguru*, Indemo*, Inrento*, Mintos*, Crowdestate* (Rest), October* (Rest), Linked Finance* (Rest), Plenti (Rest), Ventus Energy*, Seedrs*, Crowdcube, Housers* (Rest),
Beendet: Smava, Auxmoney, MyC4, Zidisha, Crosslend, Lendico, Omarahee, Lendy, Ablrate, Bondmason, Finbee*, Assetz Capital, Bulkestate, Fellow Finance, Investly*, Iuvo*, Landex, Lendermarket*, Lenndy, Moneything,
Neofinance*, Reinvest24, Robocash*, Viainvest*, Viventor, Zlty Melon

nobodyofconsequence · P2P Legende Anmeldedatum: 02.09.2007 Beiträge: 5230

Wer macht denn vernünftige 2FA in Kontinentaleuropa? Kenne ich eigentlich nur von Bitcoin Sites.
Consors macht sowas und noch ein oder zwei andere Banken aber die meisten sind noch bei SMS als zweitem Faktor, was Du auch gleich sein lassen kannst.

Mal abgesehen davon, dass ich 2FA für etwas überbewertet halte, weil die meisten Lösungen über das Handy laufen und das damit zumindest gegen Handy-Hacks und simplen Diebstahl nicht hilft, ein Allheilmittel ist das also auch nicht, es sei denn man nutzt das Telefon konsequent nicht für den ersten Faktor.

Am wichtigsten für die Sicherheit sind sichere Prozesse im Hintergrund. Also ein Monitoring, das schnell Alarm schlägt, wenn etwas gehacked/ausgenutzt wird, Erschweren von Account-Hacks durch social engineering, Prozesse, die angerichteten Schaden begrenzen bzw. evtl. rückgängig machen können, gute Haftungsregelungen,...

Das komplett sichere System wird es nie geben, viel wichtiger ist, wie man mit angerichteten Schäden und Problemen umgeht.

Claus Lehmann · Site Admin Anmeldedatum: 31.08.2007 Beiträge: 18123

Ja über SMS. Spontan fallen mir ein Bondora* (teilweise einstellbar, teilweise Pflicht), Fellow Finance, Lendix* , Linked Finance, Crowdestate. Vielleicht hab ich noch welche, die mir jetzt grad nicht einfallen.

In UK kenne ich es nur von Saving Stream.

Bei mir erhöht das schon die Sicherheit, da ich mich nie über das Handy einlogge, sondern immer nur vom Computer. Allerdings muss ich zugeben, dass ich es auch manchmal als lästig empfinde. Insofern schön, wenn es wirklich nur sehr sicherheitsrelevante Dinge sind die per SMS bestätigt werden müssen (wie Auszahlungen, oder Datenänderungen in meinem Profil und nicht jede beliebige Benutzeraktion)
_________________
Meine Investments (aktualisiert 12/24):
Laufend: Bondora*, Estateguru*, Indemo*, Inrento*, Mintos*, Crowdestate* (Rest), October* (Rest), Linked Finance* (Rest), Plenti (Rest), Ventus Energy*, Seedrs*, Crowdcube, Housers* (Rest),
Beendet: Smava, Auxmoney, MyC4, Zidisha, Crosslend, Lendico, Omarahee, Lendy, Ablrate, Bondmason, Finbee*, Assetz Capital, Bulkestate, Fellow Finance, Investly*, Iuvo*, Landex, Lendermarket*, Lenndy, Moneything,
Neofinance*, Reinvest24, Robocash*, Viainvest*, Viventor, Zlty Melon

nobodyofconsequence · P2P Legende Anmeldedatum: 02.09.2007 Beiträge: 5230

Hab den Kommentar noch mal ergänzt.

SMS sind relativ leicht abzufangen, wenn Du die Nummer kennst. Die kannst Du als Sicherheitsmerkmal gleich bleibenlassen.

Claus Lehmann · Site Admin Anmeldedatum: 31.08.2007 Beiträge: 18123

Tatsächlich? Für "Otto Normal Hacker", also nicht NSA oder so? Ich nehme aber mal an dazu muss er sich in die selbe Funkzelle begeben in der ich mit meinem Handy bin, oder? Wenn ja, dann würde das zumindest die üblichen Massen-hacks ausschließen. Bliebe ein gezielter "Angriff" auf den einzelnen Anleger.

Zur Klarstellung für einige, die hier vielleicht mitlesen: Die SMS alleine bringt keinen was, wenn er nicht sowieso schon den Account Zugang hat. Einige britische Anleger lassen sich die SMS im Urlaub an einen Free SMS Service schicken wo sie jeder mit Internet Zugang ohne Passwort lesen kann. Das finde ich etwas strange, aber ihr Argument ist dass der SMS Code nutzlos ist, solange man nicht das zugehörige Account kennt und sich dort einloggen kann.

Und in dem Artikel ganz oben ist 2 FA auch nur ein Aspekt. Der Artikel zeigt einige deutliche, vorhandene Schwächen bei Plattformen auf, ist m.E. für anleger generell mal lesenswert.
_________________
Meine Investments (aktualisiert 12/24):
Laufend: Bondora*, Estateguru*, Indemo*, Inrento*, Mintos*, Crowdestate* (Rest), October* (Rest), Linked Finance* (Rest), Plenti (Rest), Ventus Energy*, Seedrs*, Crowdcube, Housers* (Rest),
Beendet: Smava, Auxmoney, MyC4, Zidisha, Crosslend, Lendico, Omarahee, Lendy, Ablrate, Bondmason, Finbee*, Assetz Capital, Bulkestate, Fellow Finance, Investly*, Iuvo*, Landex, Lendermarket*, Lenndy, Moneything,
Neofinance*, Reinvest24, Robocash*, Viainvest*, Viventor, Zlty Melon

nobodyofconsequence · P2P Legende Anmeldedatum: 02.09.2007 Beiträge: 5230

Nein, er kann am anderen Ende der Welt sitzen.

Braucht aber etwas Vorbereitung. Du lässt eine Zweitkarte einer SIM erzeugen (ich glaube, es gab sogar Hacks, wie man das selber machen kann), schmeißt das Original aus dem Netz (über einen GSM-Steuercode) und schon bekommst die SMS nur noch Du.

Ist Aufwand, aber wenn Du Konten leerräumen willst, machst Du halt zwei Monate Vorbereitung und räumst dann in einer Nacht ein paar hundert Konten ab.

GSM-Netze sind wahnsinnig unsicher.

Claus Lehmann · Site Admin Anmeldedatum: 31.08.2007 Beiträge: 18123

Okay, aber vergleich das mal mit der Vorbereitung, die nötig ist wenn KEINE 2FA per SMS da ist. Da ist schon noch ein Unterschied.

Im Artikel nicht vor kamen nicht technische Sicherheitssperren, wie Auszahlung nur an das Konto von dem die Einzahlungen kamen.
_________________
Meine Investments (aktualisiert 12/24):
Laufend: Bondora*, Estateguru*, Indemo*, Inrento*, Mintos*, Crowdestate* (Rest), October* (Rest), Linked Finance* (Rest), Plenti (Rest), Ventus Energy*, Seedrs*, Crowdcube, Housers* (Rest),
Beendet: Smava, Auxmoney, MyC4, Zidisha, Crosslend, Lendico, Omarahee, Lendy, Ablrate, Bondmason, Finbee*, Assetz Capital, Bulkestate, Fellow Finance, Investly*, Iuvo*, Landex, Lendermarket*, Lenndy, Moneything,
Neofinance*, Reinvest24, Robocash*, Viainvest*, Viventor, Zlty Melon

nobodyofconsequence · P2P Legende Anmeldedatum: 02.09.2007 Beiträge: 5230

nobodyofconsequence · P2P Legende Anmeldedatum: 02.09.2007 Beiträge: 5230

sharky1337 · Anmeldedatum: 04.10.2016 Beiträge: 61

Ich glaube die Lage bzgl. IT Sec bei Fintechs ist katastrophal.

https://media.ccc.de/v/33c3-7969-shut_up_and_take_my_money