Phishing/Pharming - Geld weg

Also zu allererst müsste mal geklärt sein, ob bei dieser "mißbräuchlichen Verfügung" einer der Beteiligten (Empfänger bzw. Auftraggeber) nicht in Deutschland sitzt!
Denn die PSD (oder die §§ 675 a-z, 676 a-c BGB) gilt nur für den grenzüberschreitenden Zahlungsverkehr!
Für alles andere gilt nach wie vor das Überweisungsgesetz...
Es sei denn, "Frustrierter Kunde" wurde mit einer SEPA-Überweisung innerhalb Deutschlands geschröpft - dann zieht wieder PSD!

Das ist zumindest mein Stand nach der letzten Schulung!
Ich lasse mich gerne eines besseren belehren!

Naja:
1) HBCI Karte = Kosten für Kartenleser (50-100€) + ggf SECCOS Karte (oft aber bereits in der EC-karte integriert)
2) Smart-TAN+ > Generator ca. 10-20€ (und idR für meherere Banken kompatibel). Karte idR = EC Karte
Ich denke jeder Kunde wird einmalig 10-20€ zahlen können.
3) SMSTan/mTAN, bei machen Banken kostenlos, bei machen x Überweisungen pro Monat kostenlos (Anzahl reicht oft für normale Kunden)

Also zumindest Variante 2 sollte kein Problem sein.

Was soll der damit nicht anfangen. Ich denke Preis/Leistung(Sicherheit) ist bei Smart-Tan+ z.Z. am besten.
Bei HBCI Kartenlesern wird ja leider immer noch nicht die Display/Secoder Funktion genutzt. Somit weiß man leider immer noch nicht was man signiert. Bei Smart-Tan+ und mTAN, schon.

Ausserdem kann man den Smart-TAN+ Gen. leicht mitnehmen und er funktioniert mit Banking Programmen sowie den Webpages (mtan dito)
Für manche Kunden die z.Z. (i)Tan nutzen ist das wichtig.

Hallo Vader,

ich kenne die Vorzüge der neuen Sicherheitsverfahren und die fehlende Secoderfähigkeit beim FinTS ist natürlich sehr ärgerlich, aber es ist und bleibt für den Kunden unkomfortabel. Die Erzeugung einer TAN ist Anachronismus pur. Was kommt als nächstes: Steintafeln mit einem eigenen von der Bank signierten TAN-Steinmetzen?
Und sollte PIN/TAN endlich abgeschaltet werden wird die Secoderfunktion auch so schnell wie möglich in FinTS auftauchen, wetten?



Hallo Yeannie ,

ja das ist natürlich ein wunder Punkt, ich kenne zwar keinen Trick, frage mich aber wie die Schweizer Banken es geschafft haben über 50.000 Smartcard-Reader kostenlos an Ihre Kunden zu verteilen.

-->Versteht mich nicht falsch ich möchte keinen von euch kritisieren, es geht mir nur um das PIN/TAN-Verfahren, ich kann nicht verstehen warum weiter versucht wird das Ganze am Leben zu erhalten und im Gegenzug keine Anstrengungen im eigentlichen HBCI/FinTS-Banking mehr durchführt. Das Ganze wird nur noch komplizierter und am Ende stehen die Kunden wieder in den Fillialen rum, weil keiner mehr Homebanking durchführt. Begrabt PIN/TAN und alle profitieren davon.

Tschüsss

Sebastian

Warum?
Was besseres als chipTAN / smsTAN gibt es m. E. derzeit nicht, wenn man den Komfort bzw. Preis/Leisungsverhältnis betrachtet.

HBCI-Chipkarte mittels fest installierten Kartenleser ist halt leider Gottes sehr unflexibel.
Und eins ist mal klar: wenn das Verfahren zu kompliziert oder unbequem ist, wird es sich nie durchsetzen.
Oder warum ist bei Windows XP standardmäßig "Adminrecht" eingeschaltet?

Also wer das erzählt, gehört bestraft!
Die zitierten Paragrafen der PSD setzen eine EU-Richtlinie in Deutsches Recht um. Die PSD gilt daher für Zahlungen innerhalb der EU (also auch innerhalb Deutschlands). Es ist sogar egal, od die Zahlung als Inlands-(mit BLZ und Konto-Nr.) oder als SEPA-Auftrag (mit IBAN und BIC) erteilt wurde. Aus diesem Grund haben auch alle Banken in Deutschland zuim Herbst vergangenen Jahres ihre Sonderbindungen für den Überweisungsverkehr, für das Onlinebanking und für die Bank- und Kreditkarten geändert.

Bei der Erteilung des Auftrages können nach den neuen Regelungen auch Autentifikationsmedien benutzt werden (Karte, PIN/TAN, etc.).

Sofern dem Kunden keine grobe Fahrlässigkeit nachgewiesen werden kann, haftet der Kunde nicht, bei grober Fahrlässigkeit maximal mit 150 Euro. In den Sonderbedingungen ist sogar explizit genannt, was grob Fahrlässig ist. Ein Trojanerbefall steht da nicht dabei, deshalb sollte es sich um einfache Farläsigkeit handeln, bei der der Kunde nicht haftet - zumal bei den aktuellen Echtzeittrojanern für den Kunden mit geöhnlicher Erfahrung nciht erkennbar ist, ob die "Sicherheitsabfrage" nicht doch eine Meldung der Bank ist.

Laut den gesetztlichen Regelungen im BGB und den umsetzungen in den SB ist die Bank verpflichtet, bei Missbräuchlichen Verfügugnen umgehend (d.h. innerhalb 2-3 Tage) dem Kunden so zu stellen, als seider Missbrauch nicht vorgekommen (=Valutenneutrale Gutschrift).

Meine Empfehlung: mobileTAN oder SmartTAN/ChipTAN.optic benutzen - das ist ein bischen mehr an Sicherheit.

Selbst eine HBCI-Chipkarte wäre mit einem solchen Trojaner angreifbar, wenn die eingegebenen Daten in der Software manipuliert werden und der Kunde seine Autorrisierung mit Chipkarte und PIN gibt.

Eine Lösung gäbe es m.E. doch. Die qualifizierte elektronsiche Signatur - ein so unterzeichnetes Dokument ist rechtsverbindlich - laut BGB. Alle Haftungsregelungen in irgendwelchen Sonderbindungen wären dann unnötige, weils wie die persönliche händische Unterschrift gilt - nur den Aufwand hierfür will wohl im Moment keine tragen...

Endlich mal eine Bestätigung.
Mann, Mann, Mann, dieser Thread zeigt doch sehr eindrücklich, was für einen riesen Haufen Unsinn über dieses Thema von sich gegeben werden kann.
Sehr erschreckend.

Falsch, bei grober Fahrlässigkeit haftet der Kunde in vollem Umfang. Das war schon immer so. (Quelle: Sonderbedingungen für das Online-Banking)

Es ist auch garnicht nötig, einen Trojanerbefall als fahrlässig in den Sonderbedingungen zu beschreiben, sondern hier werden Verhaltensweisen genannt. Es ist grob fahrlässig, mehr als 1 TAN für einen Auftrag einzugeben. Wer dann ein Formular mit TAN´s volltippt, hat verloren. Es ist grob fahrlässig, nicht die Überweisungsdaten zu prüfen, sofern das Medium es ermöglicht. Damit sind Fiducia-Banken mit dem iTAN-Kontrollbild ebenfalls in der Lage zu sagen: Sie hätten den Betrug feststellen können.

Das soll nicht heißen, dass ich unsere Kunden mit diesen Paragraphen fertig machen will, oder dies auch so vor Gericht akzeptiert wird.
Aber die Sonderbedingungen enthalten schon eindeutige Bezeichnungen, was fahrlässig ist und was nicht.

Das ist leider so. Es gibt ein Pilotprojekt der Sparkasse Münsterland Ost, das klappt auch prima mit der S-TRUST Karte, - jedoch das wars dann auch, - soweit meine Informationen reichen.

bedauert Gerd
--

Ich auch....
Braucht man einen sechsseitigen Thread, um herauszufinden, wer dazu gehört