E-Banking der Migros Bank hat Sicherheitsleck

Benutzer trickst ganz einfach Zwei-Geräte-Policy aus – E-Banking-App geht nicht auf neuem Android – „Gehen Sie zur Post“.

Die Migros Bank, eines der führenden Inland-Geldhäuser, wollte das Mobil-Banking neu erfinden. Stattdessen verärgert die Bank von Gottlieb Duttweiler Tausende von Kunden.

Diese verzweifeln seit Wochen ob des neuen E-Bankings. Neben umständlicher Bedienung und überlasteter Hotline kommen nun gravierende Sicherheitsfehler zum Vorschein.

Der „Gag“ des vermeintlichen Online-Wurfs ist, dass Migros-Bank-Kunden auf das bekannte Kästchen oder den USB-Stick fürs Einloggen verzichten können.

Man habe als Pionier eine Lösung ohne externes Gerät, frohlockten die Verantwortlichen. Zwei unabhängige Geräte, also beispielsweise Handy und Tablet oder Tablet und Laptop, genügten.

Nun fand ein Nutzer mit Android-Mobilgeräten heraus, dass er mit einem einzigen Gerät im E-Banking der Migros Bank sich einloggen kann.

Das ging nach dessen Auskunft ganz einfach. Er installierte auf seinem Android Tablet sowohl die App fürs Handy als auch jene fürs Tablet – und schon konnte er sich vom gleichen Gerät aus anmelden.

Mit vollem Zugang zum System. Genau das darf laut Migros Bank nicht sein. Tür und Tor für Missbrauch wären geöffnet.

Vielmehr gilt wie bei allen Banken auch bei der Migros Bank weiterhin das 2-Geräte-Prinzip. Auf einem erfolgt der Anmelde-Vorgang, auf einem zweiten die Bestätigung für heikle Vorgänge wie Zahlungen.

Nun ist bei der grossen Retailbank, die zu neuen Mobil-Ufern aufbrechen wollte, beides via das gleiche Gerät möglich.

Das Sicherheitsleck unter dem führenden Android-System von Google wird von einem Migros-Bank-Sprecher kleingeredet – oder er versteht es gar nicht.

Denn statt auf die Frage einzugehen, wiederholt er Bekanntes.

„Das blosse Login geschieht ohne Bestätigung durch ein zweites Gerät“, führt er aus. Damit sei das neue Online-Banking „unkompliziert für Kunden“, die „nur ihren Kontostand anschauen möchten“.

Erst für Zahlungen würde es eine Bestätigung „auf einem zweiten Gerät“ benötigen. „Es sei denn, dem System seien die Zahlungsempfänger bereits als vertrauenswürdig bekannt“, schwächt er gleich ab.

Dass mit einem einzigen Gerät – zumindest bei Android – Log-in und Zahlungsfreigabe möglich ist, bleibt somit unkommentiert – und unwidersprochen.

Die Probleme mit dem neuen E-Banking der Migros Bank reichen aber noch tiefer. Es zeigt sich, dass offenbar Handys und Tablets unter Android generell nicht richtig funktionieren.

Die neue Android-Version 6 ist seit Wochen zum Testen bereit. Auf den Nexus-Handys von Google wird diese Version bereits standardmässig installiert, und in Bälde gilt das wohl für alle Android-Geräte.

Nur: Das E-Banking der Migros Bank geht dort nicht.

Der Grund liegt auch hier in der vermeintlichen Revolution der Zürcher Bank, dass ihre Kunden auf den USB-Stick verzichten können.

Der Code zur Bestätigung von Zahlungen via Handy wird nämlich nicht wie in der Online-Welt seit Jahren üblich via SMS verschickt, sondern kommt direkt in die neue App der Migros Bank.

Weil nun aber diese App fehlerhaft ist, ist auch die Ausführung von Zahlungen unmöglich.

Offenbar trifft das Problem unzählige Kunden des bekannten Instituts. Die Hotline der Migros Bank ist jedenfalls seit Wochen hoffnungslos überlastet.

Es komme zu Wartezeiten von 30 bis 45 Minuten, sagen mehrere Gesprächspartner. Wer schliesslich durchkommt und auf erhellende Antworten hofft, sieht sich getäuscht.

Man soll doch einfach das Handy wechseln. Gemeint ist die Wahl eines iPhones. Denn offenbar läuft das neue E-Banking der Migros Bank einzig in der Apple-Welt anstandslos.

Oder, so ein weiterer Vorschlag der überforderten Hotline-Mitarbeiter, man könne sich auf einer Migros-Bank-Filiale informieren lassen.

Dass dort mehr zu erfahren ist als bei den für technische Fragen inzwischen wohl geschulten Hotline-Leuten, ist eher unwahrscheinlich.

Schliesslich noch der ultimative Tipp des Migros-Bank-Callcenters.

Beziehen Sie doch Bargeld an einem unserer Bancomaten und gehen Sie damit zur Post. Dort erledigen Sie dann ganz einfach Ihre Zahlungen.

Steinzeit-Banking statt Mobil-Avantgarde.

Was als grosser Sprung in die Zukunft gedacht war, nämlich Zahlungen auslösen ohne USB-Stick oder anderweitiges Zweitgerät, ist zu einem Ärger ohne Ende geworden.

Die Probe aufs Exempel ist schnell gemacht. Wer auf seinem Handy Zahlungen via Migros-Bank-App tätigen will, ärgert sich grün und blau.

Die Zeit fürs Eintippen des Freigabecodes reiche nie und nimmer, sagt ein Benützer. Das führe dazu, dass man sich stets aufs Neue wieder einloggen müsse.

Bei 10 Zahlungen 10 Mal anmelden: Welcome to Digital Banking, made by Migros.

Kommentieren

Ihre E-Mail Adresse wird nicht veröffentlicht. Benötigte Felder sind markiert. *

38 Kommentare zu “E-Banking der Migros Bank hat Sicherheitsleck

  1. Es ist ohne Memorystick schneller geworden, was aber auf Kosten der Sicherheit geht!
    Ich kann mich ohne Zweitgerät mit meinem Passwort einloggen und habe so den vollen Überblick. Ich kenne keine andere Bank welche e-banking so offen macht.

  2. Ich war nach diesem Artikel ja vorgewarnt … aber mit bleibt als Migros Bank Kunde keine Wahl. Wer den Umstell-Brief erhält, muss sich vom bewährten USB Stick verabschieden. Leider funktioniert er bei mir bereits nicht mehr, so dass ich auch die Umstellung nicht wie kommuniziert durchführen kann. Der Anruf in die Bank ist mittlerweile kostenpflichtig und das Instruktions -Video auf der Bank Webseite kann aus technischen Gründen nicht angezeigt werden. Was funktioniert eigentlich noch normal bei der MB?

  3. Funktioniert die Sache jetzt. Es wurde mir mitgeteilt dass es früher oder später eine sicher deadline gäbe wo man vom USB-STICK(NICHT memory-stick-das ist ein sony-speicherkartenformat rsp karte) abschied nehmen muss.
    Unklar ist jetzt ob der auf win7 funktioniert. Offenbar schon. Hab noch winxp, bald auch win7.
    NB: Hatte kürzlich gravierendes E-banking login-problem auf pc mit usb-stick. Kein login. Hab alles probiert, es ging nicht. Als PC-Fachmann (20 Jahre)sollte man sich schon auskennen. Da es auch bei Facebook erstmals unerklärliche Abstürze beim scrollen kammen. studierte ich die fehlermeldung und die einträge bei start(msconfig). das führt zu netframework. die Netframework-dateien werden von windows benötigt ,sind in der software-liste aufgeführt. löschen mit netframework-cleaner reichte schon damit der login wieder funktionierte. anschliessend neuinstallation -geht normalerweise automatisch(wird packetweise gemacht). Erst dann erinnerte ich mich an einen ähnliche Fall.

  4. E-Banking-App geht nicht auf neuem Android! So ein Blödsinn! Ich arbeite mit E-Banking der MIGROSBANK seit Jahren, seinerzeit auch mit dem alten USB-Stick. Dies zur vollen Zufriedenheit und ohne irgendwelche Probleme. Auch der Wechsel auf Android 6 hat daran Nichts geändert. Alles funktioniert einwandfrei, ob ab Handy oder Computer.

    Wer will hier etwas schlecht-reden?

  5. Am 15. Januar 2016 versuchte G.M. das neue E-Banking der Migros Bank zu installieren. Er kam zum Schluss: „Android 6 Auch das Update funktioniert nicht auf meinem Pixel C!“
    und die Antwort von Migros Bank AG 18. Januar 2016:
    „Danke für Ihr Feedback, das Problem ist bereits bekannt. Wir setzen alles daran, das Problem baldmöglichst zu beheben. Wir entschuldigen uns für die Unannehmlichkeiten.“

    Dann schrieb am 13. April 2016 Y.R.
    „Soeben die Migros Bank App auf einem Pixel C von Google installiert. Die App startet kurz und schliesst wieder.“ und die Antwort von Migros Bank AG am 14. April 2016 „Das Problem ist uns bekannt und wir arbeiten mit Hochdruck an einer Lösung. Bitte entschuldigen Sie die Unannehmlichkeiten.“

    Und meine Erfahrung von heute, 21.5.2016: Noch immer läuft die App der Migros Bank nicht auf meinem Tablet Pixel C. Nach 4 Monaten mit Hochdruck an der Problemlösung… erfolglos.

  6. Das neue System ist ziemlich unsicher, denn
    Zahlungen gehen ohne 2 Gerät (musste noch nie eine Zahlung mit dem 2 Gerät bestätigen)
    Beim Passwort sind keine Sonderzeichen zulässig

    Ja es ist ohne Memorystick einfacher geworden, was aber hauptsächlich auf Kosten der Sicherheit ging!

  7. konnte vorher den M-Identity seit Jahren problemlos benutzen! Nun hat wahrscheinlich irgend so ein Hochschul(….) gemeint er könne das Rad neu erfinden? Bis jetzt habe ich es noch gar nicht geschafft eine Zahlung auszulösen. Schon beim Aufrufen der Einstiegseite erhalte ich nur die Antwort
    https://www.migrosbank.ch/de/error-e-banking.html Ich hoffe Migrosbank besinnt sich eines besseren und kehrt zu einem Kundenfreundlicherem E-Banking zurück!
    Da bleibt nur ein Wechsel auf eine andere Bank! Schade!

  8. Ich habe jetzt zweimal Zahlungen mit dem neuen eBanking gemacht und habe es gründlich satt. Zwar funktionieren die Apps auf beiden Geräten (Win7 und Android) nach intensiver Betreuung durch den Supporter, aber es passiert mir laufend, dass mich das eine oder andere System ausloggt, wenn ich zu langsam bin. Meine Lösung: Dauerauftrag des gesamten Betrages für die Einzahlungen vom Migroskonto auf mein CS-Konto mit vernünftigem e-banking-Verfahren.

  9. Untragbar! Ich bewältige mein Leben mit einem schlichten Handy einfach zum Telephonieren. Den angebotenen Kauf eines Zusatzgeräts fand ich eine Zumutung (etwa die Valiant will das beim geplanten Systemwechsel dort auf Verlangen gratis abgeben). Meine Anfrage nach einem Gratiszusatzgerät (immerhin habe ich nie einen Systemwechsel verlangt) wurde abgeschmettert. Im Vorfeld hatte ich bei meinem Konto, verschiedene zusätzliche Zahlungsvorlagen generiert in der Annahme auch ohne Zusatzgerät mindestens für diese Adressen Zahlungen auslösen zu können. Denkste! Geht nicht. Die Installation auf dem PC ist eine Sache für sich. Gleichzeitig kam die Meldung „Gratuliere. Installation gelungen“ und: „Installation gescheitert“… Diese Bank hat mich als Kundin gesehen. Der Kündigungsbrief startet heute…

  10. Nach 4 Versuchen endlich die neue Software installieren und registrieren können. Grausam zwischen durch ist der PC in einem stündigen Registrierungsschleife hänge geblieben.
    Nach dem mir dann das ausführen bestimmter Zahlungen verboten wurde musste ich mein Telefon neu registrieren. Das hat im 4ten Versuche geklappt nachdem ich mich im Universum zwischen Googlepay store & alter online banking APP gedreht habe. Nur scheint das Ding nicht signieren zu können! Somit zeigt die Telefon APP jetzt keine der als Vertrauenswürdig eingestuften Überweisungen an und im der PC Software sind diese nicht freigegeben.
    Die Hälfte der normalen monatlich zu tätigen Überweisungen sind somit virtuell hängen geblieben weil das tole System nicht funktioniert.
    Der online login ist gut und schön jedoch fliegt man da regelmäßig mitten in den Transaktionen über eine Zeitüberschreitung raus oder es wird mitgeteilt das man keine Internet Verbindung hat.

    Bin stocksauer und auf der Suche nach einer Bank die professionelles online banking hat.
    Brauch doch sonst nichts von „meiner“ Bank, ne funktionierende Online Banking Platform und am besten das Konto umsonst.
    Kostenfreie Nutzung von Geldautomaten ist seid dem Sommer passe. Warum noch Migrosbank, um mich bei der Zahlung von Rechnungen auch noch über die Online suite der Bank zu ärgern!
    Bin stocksauer kann meine Zahlungen nicht ohne Helpline tätigen. Genau was wann braucht!

  11. Schon mal was von Mobile ID gehört? Wenn nicht, dann wird es aber Zeit! Sicherheit muss nicht komplex sein…

  12. Das Problem bei solchen Lösungen ist die Komplexität. Die Sicherheit gegenüber einer einfachen SMS Transaktionssignierung wird nur minimal erhöht. Sicherheitsprobleme mit SMS werden meist von Sicherheitsfirmen mit entsprechenden Interessen publiziert. SMS Attacken sind relativ aufwendig und deshalb sehr selten erfolgreich. Wichtig sind intelligenten Betrugsmanagement Lösungen, die reagieren, wenn etwas schiefläuft. Denn das grösste Risiko ist und bleibt der Bankkunde. Da hilf keine Technologie.

  13. Das E-Banking der Migros Bank ist auch hinsitlich des Forex sehr fragwürdig. Z.B. hat man eine Aktie in EUR und man will eine in USD kaufen, geht es eine Ewigkeit bis der Kredit in USD auf dem Konto liegt…sicher nicht weniger als 2 Stunden. Ein System, dass nur für Leut geeignet ist, die Zeit haben…also nichts für Daytraders! Und auch nicht für solche, die anders zu tun haben, als auf den ganzen Tag auf dem Computer zu gaffen.

    • Hahahaha !!!
      Daytrader bei Migros, ich lach mich schlapp !
      Sie fahren auch mit dem VW Golf beim Formel 1 Rennen mit. Hahaha

  14. Also für Leute die täglich mit Banken zu tun haben, sollte es eigentlich klar sein. Dies ist kein Fehler sondern der neue automatische Datenaustausch, welchen die Konkurrenz eben erst in ca. 1 Jahr zu laufen bringt.
    Die Migros Bank ist damit den Grossbanken um Monate voraus – und zeigt damit, dass sie die IT im Griff hat.
    Herzlichen Glückwunsch Migros Bank.

    • Na dann sagen Sie doch mal wieso der damals hochgelobte Stick jetzt zum Flop geworden ist.

  15. Zahlungen freigeben kann man nicht mit nur einem Gerät, bitte erst überlegen, dann schreiben. Es braucht zwei Geräte für die Freigabe gewisser Zahlungen, etc. Und das nicht mit SMS, was ja genau das Anfällige ist. Prima Ebanking hat die Migrosbank.

    • Bitte den Artikel lesen.
      Es ist möglich nur einem Tablet die Zahlung zu Erfassen und mit dem gleichen Tablet die Zahlung zu signieren.

    • Hallo a.m.
      Sind Sie von der MB. Genau die gleiche Antwort kriegt man von der MB. Aber leider ist es so wie beschrieben. Der Trick sei hier nicht verraten.

  16. Die Post hat das alllllerallllerschlimmste komplizierteste Ebanking. Da ich mit allen Ebanking Systemen der Banken schon gearbeitet habe, sage ich klar, sie verstehen Nichts von Ebankingsystemen und SMS ist klar am Unsichersten.

    • Lieber Herr Meier

      Ich mache E-Banking und -Trading bei Migros, Post, Bank 2+ und einer deutschen Bank. Der Vorteil der Postfinance:
      – Sicherheit gewährleistet
      – Anmeldung einfach, die Codes einzugeben ist nicht schwierig
      – Es funktioniert auch im Ausland einwandfrei.

      Habe Nexus-Geräte mit neustem Android: Nach der Anmeldung wird die App geschlossen und man findet sie bei den geschlossenen Apps, kann sie wieder starten, sich wieder anmelden u.s.w. u.s.w.

  17. Ich finde es so oder so gefährlich e-Banking über das Smartphone oder sog. I-Phone zu machen. Das haben sicher die Hersteller und somit Hacker und NSA Zugriff auf die Daten.

    • Ja – haben sie! E-Banking aus der Speilzeukiste auf mobilen Devices … das beste Spielfeld für die Hackergiled von China bis in Silicon Valley !!!

  18. recherchieren sie doch anständig bevor sie solche beschissenen texte veröffentlichen. zur Anmeldung reicht ein gerät, erst zur Ausführung von Zahlungsaufträgen wird ein zweites gerät zur freigabe benötigt.
    aber Hauptsache banken-bashing betrieben, kommt vermutlich an ihrem Stammtisch besser an als auf möchte-gern-seriösen Homepages…

    • Liebe/s/r mst

      Sie reagieren so genervt, dass man meinen könnte, Sie hätten das bei der Migros Bank programmiert. Der IP-Artikel ist nicht „beschissen“. Als Migros-Bank-Kunde mit neusten Android-Geräten kann ich jedes Wort bestätigen. Leider. Nach dem Anmelden ging es nicht weiter, sondern wurde die App geschlossen. Man konnte sie bei den geschlossenen Apps wieder holen, sich neu anmelden – und schon verschwand die App wieder. Das ist natürlich unbrauchbar.

      Und als ich bei MB endlich jemanden erreichte, erklärte mir dieser, dass ich die Anwendung deinstallieren solle, was ich tat, worauf gar nichts mehr ging, weil ich für die neu installierte App keinen gültigen Aktivierungs-Codes mehr hatte. Oops. Der freundliche Herr von MB schickte umgehend neue Codes.
      Huereluschtig.

  19. Zitat: „Er installierte auf seinem Android Tablet sowohl die App fürs Handy als auch jene fürs Tablet – und schon konnte er sich vom gleichen Gerät aus anmelden.“

    Soweit ich weiss musste im beschriebenen Fall der «Hacker» bewusst die Sicherheitseinstellungen seines Androids deaktivieren und die zweite App mittels APK-Datei von Hand installieren, denn , die offizielle Android-App im PlayStore verifiziert, ob es ein Tablet oder SmartPhone ist und lässt nur die eine oder andere App installiere.

    Ob das nun ein Sicherheitsrisiko der Lösung mag ich bezweifeln…

    • Das E-Banking der Migros Bank ist nicht marktreif. Gerne würde ich die Begründung für eine eigene Applikation kennen. UBS hat die beste Lösung und die ist basiert auf dem normalen Browser. Für die Kunden der Migros Bank war schon die alte Lösung mit dem Stick mühsam und die neue ist erst recht unbrauchbar, ausser man hat sehr viel Zeit und extrem viel Geduld. Die Warterei am Telefon ist für mich einfach zu nervig – habe es aufgegeben. Es gibt ja zum Glück noch andere Banken.

  20. Der Autor ist offenbar etwas verwirrt. Bei der Migros Bank braucht es mit der neuen Lösung nie zwei Geräte für das Login. Das ist ja gerade super und hebt die Lösung von der der Konkurrenz ab. Was der angebliche Kunde da herausgefunden hat ist gewollt. Besser recherchieren!

  21. Übrigens. Auf einem 3G fähigen Tablet kann man auch e-Banking machen und den (in diesem Artikel gelobten) SMS-Code auf dem gleichen Gerät empfangen. Ein bisschen mehr Sachverstand und Objektivität würde dem Artikel gut tun…

  22. Ins CS E-Banking lässt es sich ebenfalls auf einem einzigen Gerät einloggen. App einmal auf dem Handy installiert und dessen Telefonnummer als „2.-Gerät“ eingerichtet -> volià, das Bestätigungs-SMS bei der Anmeldung kommt ebenfalls auf das Handy, auf dem die Banking-App läuft. Gehe davon aus, dass das bei den MEISTEN Banken so möglich ist!
    Nicht getestet habe ich die Zahlungen; sehe aber keinen Grund, dass das Bestätigungs-SMS nicht auf das Telefon kommt, auf dem die Transaktion aufgesetzt wurde, in diesem Fall halt das Handy…

  23. Auf meinem Hauptgerät konnte ich die Anwendung von Migros gar nicht installieren, deshalb musste ich einen alten PC dafür verwenden. Die Bestätigung mit iPhone klappt ab und zu, manchmal aber auch nicht. Schon das alte Banking mit dem Stick war extrem pannenanfällig. Da lobe ich mir eine einfache Lösung wie bei UBS oder noch besser bei ZKB, wo der Bestätigungscode via SMS verschickt wird. Ich denke, es ist an der Zeit, dass die Verantwortlichen für das Marketing und die IT und nich besser der arrogante CEO einen Abgang machen, damit fähige Leute das Unternehmen steuern. Auch die Geschichte mit den Retrozessionen war eine absolute Sauerei…

    • SMS ist genau das, was gefährlich ist. Und ehrlich gesagt, versteht der Schreiber des langen Berichts ganz klar gewisse Dinge nicht. Das Migrosbank Ebanking ist ganz klar sicherer als alles was über ein einziges Gerät geht oder SMS. Studieren bitte.

  24. Hey! guten Morgen! erwachet!

    meine Frau mit Galaxy 6 und ich mit iphone (beide 74) haben schon über 100 Zahlungen und Boersenauftraege (leider ist kein Eurex-Optionen Handel möglich)
    getätigt.

    Die Inbetriebnahme der neuen App ist zwar aufwändiger als der USB-Stick, aber der Betrieb ist viel einfacher!

    haben Sie schon was gelesen, von den kriminellen Konto-Abuchungen von Hackern beim System tan der Deitschen
    Telekom grade wieder passiert sind?

    Dieses System arbeitet mit der unsicheren Methide des Code-Zuschickens per SMS.

    Ihre Kenntisse sind mangelhaft, genauso wie Ihr Recherche.

    • Genau, bravo!!!! Migrosbank hat ein prima Ebanking. Gut Ding will Weile haben. Und ich kenne das CS, UBS, ZKB, Post- Ebanking. Bei mir hat die Installation prima geklappt. Man muss halt gut lesen, Punkt für Punkt wird man durch s Installationsprogramm geführt. Habe 4 Geräte aktiviert. Und auf dem Tablet nur das Migrosbankprogramm installiert. Zudem brauchts immer noch die Vertragsnummer, Passwort und Gerätepasswort. Hammer!