Geldkarte / TAN-Generator / Signaturkarte

Ein Markt für Onlinebanking Zugangsdaten? Daran habe ich meine Zweifel. Wer solche Daten sammeln kann - dass das geht bezweifle ich nicht - könnte diese doch eigentlich besser selbst verwenden. Denn die werden doch mit der Zeit kalt. Und mehrfach verkaufen kann man sie auch nicht.
Wie auch immer. Ganz am Ende kommt es auf die Haftung an. Und die liegt nach der Zahlungsdienstleister Direktive bei der Bank. Das heißt, selbst bei Fahrlässigkeit (nicht bei grober) gibt es eine sehr geringe Haftungsobergrenze des Kunden, ich glaube die liegt um die 100 Euro. Du brauchst also m.E. nichts befürchten, wenn du mit deinen Daten sorgsam umgehst wie es in der Vereinbarung mit der Bank festgelegt ist.

Vielen Dank,

zugegeben: eine Karte mit 2 PIN, d.h. verschiedenen PIN für verschiedene Funktionen, dürfte tatsächlich viele Probleme in der Benutzung bringen. Dabei wäre es wahrscheinlich auch egal, ob die Leute die zweite PIN selbst vergeben oder ob gleich 2 PIN zu der Karte ausgegeben werden. Im zweiten Fall bestünde aber vielleicht die Möglichkeit, dass die Bank den Fehleingabezähler einer gesperrten Karte zurücksetzen kann und der Kunde den PIN-Brief irgendwo aufgehoben hat. Dafür müsste man allerdings allen Kunden prinzipiell zwei PIN zu ihren Karten schicken, was wiederum bei Kunden ohne Bezug zum Online-Banking dazu führen würde, dass die falsche PIN verwendet wird.

Dort wo der Kunde PIN-Nummern selbst vergeben kann, wird man wohl immer eine PUK-Funktionalität benötigen.

Jetzt hat man bei der TAN-Funktion der EC-Karten wahrscheinlich das Problem, dass man eine Sicherheitsfunktionalität in den technischen Standards definiert und wahrscheinlich in allen Kartenlesern und Karten implementiert hat, die sich in der Anwendung als problematisch erwiesen hat und deshalb totgeschwiegen werden soll.
Das ist kein wirklich vertrauenförderndes Vorgehen.

Aber nochmal zum technischen Hintergrund.
Warum sollte die TAN-Applikation der EC-Karte andere TAN-Nummern generieren, wenn sie per PIN geschützt ist?
Wie soll es die Bank erfahren, dass der Kunde eine PIN vergeben hat?
Nach dem hier bisher Geschriebenen sollte das Setzen der PIN doch mit dem TAN-Generator erfolgen und davon bekommt die Bank ja erst einmal nichts mit.

Aha,

d.h., dass die Banken, die ChipTAN mit PIN-geschützten EC-Karten unterstützen für eine Transaktion prinzipiell zwei verschiedene TAN als gültig akzeptieren müssen, wenn sie keine Vorabinformation darüber haben, ob der Kunde eine Karten-PIN gesetzt hat. Richtig?

Also nicht richtig.

Die Bank akzeptiert nur eine TAN und benötigt dazu vorab die Information, ob die EC-Karte PIN-geschützt ist oder nicht.

Wie soll das der Bank mitgeteilt werden?

Dass man die PIN-Konfiguration pro Transaktion ändern könnte, wollte ich gar nicht angedeutet haben.

Die Wahrscheinlichkeit, dass meine Bank zu einem so konsequent verdrängten Sicherheitsmechanismus etwas weiß, würde ich als äußerst gering einstufen.

Weiß jemand, wie es der Kunde der Bank mitteilen sollte, dass er eine PIN für die TAN-Funktion der Karte gesetzt hat?

Dieses Anrufen und Papier hin und her schicken würde wohl zwangsläufig dazu führen, dass Kunde und Bank keinen gemeinsamen Zeitpunkt finden, zu dem auf die anderen TAN umgeschaltet wird.
Bist du dir sicher, dass das bei den Banken, die das angeboten haben oder vielleicht sogar noch anbieten, so laufen sollte?
Ein paar Beiträge zurück warst du doch noch der Meinung, dass es gar keine PIN-Sicherung gibt.

Garnicht, weil die Banken dieses Feature nicht anbieten! Deswegen wirst Du bei den Bankmitarbeitern, denen Du das Anliegen vorbringst, auch nur auf Unverständnis stoßen, die haben das noch nie gehört, weil es nirgends erwähnt wird. Und an andere, die das schon mal gehört haben (Produktplanung ect.) wirst Du als Kunde nicht rankommen. Und selbst wenn, dann würden die Dir sagen "Ham wa nich!". Banken machen für einen einzelnen Kunden keine Sonderregelungen, zumal wenn sie an der Zentral-EDV was umstellen müßten...

Die GAD-Banken "unterstützen" dies seit Jahren- aber man muss hier mal das Verständnis von "unterstützen" klären

Denn dieses "Feature" schafft in der Praxis keine bessere Sicherheit, nur weil ein paar Sicherheitsfanatiker dies auf dem Papier ausrechnen, sondern zusätzliche Fehlerquellen. Die Sicherheit hängt an der Akzeptanz der Kunden. Die wirst du mit der TAN-PIN verschlechtern, denn: Die PIN wird vom Nutzer vergeben.

Wirklich: Das ganze ist eine akademische Diskussion.
Banken kämpfen aktuell mit Schäden, weil die Kunden auf irgendwelche durch trojanische Pferde verursachte Tests reinfallen oder meinen, sie hätten Geld irrtümlich überwiesen bekommen und müssten das zurücküberweisen!

Gruß
Raimund
edit: In der Theorie erfolgt die Freischaltung so: Kunde/in ruft bei der GAD-Bank an und lässt sich mit der EB-Abt. verbinden und überredet dort jemanden, den Spaß mitzumachen. Dann wird an der Karte das PIN-Merkmal freigeschaltet (dauert 10 Sek.).
In der Praxis hat die EB-Abteilung hin und wieder extrem genervtee Kunden am Telefon, die keine gültige TAN erzeugen können, weil ein übereifriger neuer Kollege/in genau dieses PIN-Markmal am TAN-Chip der Karte aktiviert hat...

D.h. das funktioniert grundsätzlich und wird von den GAD-Banken auch unterstützt.

ABER


Da stimme ich dir voll zu.
Dieses Feature ist einfach mit zu vielen Stolperfallen implementiert worden:
* PIN-setzen verändert die TAN-Generierung
* PIN-setzen ob und wann wird dem Kunden überlassen
* Setzen der PIN durch den Kunden muss telefonisch mit der Bank abgestimmt werden
* "PIN" ist beim "PIN/TAN" verfahren kein eindeutiger Begriff mehr, wenn es eine Karten-PIN und eine Online-PIN gibt. Das kommt beim Telefonieren gar nicht gut.
* es gibt zu viele Möglichkeiten warum TAN nicht akzeptiert werden

M.E. reduziert aber nicht die Tatsache, dass man eine zusätzliche PIN eingeben müsste die Akzeptanz dieses Mechanismus, sondern die Umstände unter denen sich dieses Feature aktivieren lässt.
Wäre die PIN-Sicherung prinzipiell bei jeder Karte gesetzt und der Kunde bekommt im PIN-Brief beide PIN mitgeteilt, dann gäbe es wahrscheinlich weniger Probleme damit.


Hat da der neue Kollege auch nicht gewusst, was es damit auf sich hat oder gab es ein Missverständnis beim Telefonat mit dem Kunden?

Um die Befürchtungen hier zu beruhigen.
Ich werden auf absehbare Zeit bestimmt keine Bank dazu anrufen.
Da wäre mir die Gefahr von Missverständnissen viel zu groß.

Vielleicht noch mal etwas anderes in dieser Richtung.
Wenn man Onlinebanking ausschließlich zu Hause macht und die Karte zur TAN-Generierung immer zu Hause bleibt bzw. die Karte zwar mitgenommen aber nie in fremde Lesegeräte gesteckt wird, dann wäre bei mir der Wunsch nach einer zusätzlichen Sicherung deutlich geringer.
Mit der EC-Karte funktioniert das nicht.
Kann man auch eine HBCI-Karte zusätzlich als TAN-Generator für sein Konto aktivieren lassen?
Hintergrund: Seit meine Frau nur noch einen Ubuntu-PC hat, muss ich ihr Konto per HBCI-Chipkarte an meinem Windows-PC verwalten. Die RSA-HBCI-Karte würde wahrscheinlich nur vom kostenpflichtigen Moeyplex unterstützt werden. Meine Frau hat ihr Konto bei einer GAD-Bank.
Kann sie die HBCI-Karte zusätzlich zur HBCI-Funktion als TAN-Generator für ihr Konto aktivieren lassen?
Wenn ja, gilt dann für den TAN-Generator der HBCI-Karte bzgl. PIN-Sicherung das gleiche wie für die EC-Karte?
D.h. erzeugt die HBCI-Karte im Normalfall TAN-Nummer ohne Eingabe der HBCI-PIN?

bei den Genobanken geht das auch mit allen Karten, wobei hbci bei einigen auch auf der ec-Karte "mit auf dem Chip drauf" ist.
genau. aber deine Formulierung "bin mir sicher, dass es das nicht gibt..." war nicht ganz eindeutig.
Es gibt sowas und wenn jemand aus diesem Grund trotz aller Hindernisse zu einer GAD-Bank wechseln möchte - nur zu
Ich bin aber ehrlich: Ich halte diese Sicherheit hier für kontraproduktiv. Egal, ob man alle dazu zwingen möchte. Da Angriffsszenario ist mir dafür zu aufwändig und exotisch.
Der potentielle Schaden durch gehimmelte Karten, zusätzliche PIN-Briefe und den gestiegenen Aufwand beim Support würde in die Zig-Millionen gehen, der winzige Sicherheits- oder Imagegewinn wäre zu gering.

Gruß
Raimund