Zitat geschrieben von msa
Das kommt drauf an. Bei Apps muß im besten Falle nur EINMALIG an Anfang der Freischaltcode versendet werden und dann nicht mehr. Gerätewechsel könnte man sicher auch anderweitig ohne Brief abbilden. Freischaltung des neuen Gerätes durch die App auf dem alten Gerät ect. Bei der DiBa wird sowas ähnliches praktiziert. Außerdem soll es Kunden geben, die nicht alle 3 Wochen das Handy verlieren und nicht alle 6 Monate das neueste Handy brauchen. Bei TANs hingegen muß regelmäßig eine Folgetanliste versendet werden.
Bei einem Verlust/Diebstahl funktioniert da ja schon nicht mehr mit dem alten Gerät freigeben. In sofern ist das da natürlich schon sinnvoll und das bedeutet, neues Gerät = neuer Code. Und da ist wie gesagt noch die Sache mit den Passwort, nicht jeder hat nen Fingerprint am Start, in sofern kannst du natürlich ein Passwortreset nur sicher mit einem neuen Code per Post veranlassen. Oder wie das die Ing-Diba macht mit der App, nämlich per QR-Code den man vorher mit einer TAN startet. Das ist natürlich deutlich einfacher, erfordert aber zumindest ein weiteres Authentifizierungsverfahren im Banking. Im Zweifelsfall dann halt doch wieder ne SMS-TAN wenn keine TAN-Listen mehr angeboten werden.
Und das Passwörter vergessen werden, ist nun eine Sache die wirklich haufenweise täglich passiert. Aber nicht desto trotz, die Kosten ein neues System einzuführen, es zu supporten und ständig zu pflegen/testen ist natürlich ein Aufwand den man kaum betreibt um den Versand von TAN-Listen zu vermeiden. Es braucht auch nicht jeder alle 3 Wochen oder 6 Monate eine TAN-Liste...
Zitat
Dass Szenario 1. nicht oft vorgekommen ist ist schon klar. Vorgekommen ist es aber schon. Man könnte nun sagen "es ist nicht soooo schlimm, dass man reagieren müßte" - ja. Aber auch wenn's nur ein bisschen schlimm ist, kann man das abstellen. Eine PIN ist schnell besorgt, und wenn man die hat ist die TAN-Liste schnellstens aus dem Briefkasten entwendet. Es muß ja nicht immer nur ein FREMDE Bösewicht sein. Denk mal an Wohngemeinschaften, bei denen einer klamm ist o.Ä. Das kann dann sehr schnell gehen.
Im Klartext: Man hat also seine persönliche Geheimzahl an Dritte weitergegeben. Dafür kann die Bank dann genau was?
Zitat
Und zu Szenario 2: Das ist schon oft genug vorgekommen. Drum werden PIN und Karte dazu inzwischen in sehr viel größerem Abstand versendet als früher. Und ich werde von der Bank verpflichtet, mich zu melden, wenn nicht beides rechtzeitig eingeht. Ich habe erst heute eine Ersatzkreditkarte im Briefkasten gehabt. Die alte wurde von mir vor 2 Wochen gesperrt. Im Sperrdialog wurde ich verpflichtet, mich unverzüglich telefonisch bei der Bank zu melden, wenn ich nicht innerhalb von 14 Tagen neue PIN und neue Karte in Händen halte. Die PIN wurde so verschickt, daß sie ca. 7 Tage nach der Sperre bei mir eingetroffen ist, und die Karte traf erst am Tag 13 ein. Somit wäre von den Zeitabständen ein Fehlen sehr kurzfristig aufgefallen. Clever gemacht und sicher besser als früher, wo dann bei Wochenenden oder Feiertagen es vorkam, dass der Brief mit der Karte und der Brief mit der PIN am selben Tag in den Briefkasten geworfen wurde.
Ja und bei einer Folgeliste wird nur die Liste versandt und keine PIN. In sofern hinkt der Vergleich doch vorne und hinten. Wenn derjenige der die Post abgreift die PIN nicht hat, kann er mit einer Liste rein gar nichts anfangen. Und wenn der irgendwo in einer Wohngemeinschaft die PIN rausgefunden hat, kann er mit Sicherheit auch mal die TAN-Liste heimlich aus der Brieftasche nehmen. Das sind alles so Szenarien, die zwar in der Theorie ganz gefährlich klingen, in der Praxis sieht das aber völlig anders aus. Schadensfälle entstehen in 99,9% aller Fälle beim Online-Banking nicht auf diesem Weg.
Zitat
Wiederum Ansichtssache. Ich arbeite beruflich und privat mit sehr vielen Konten (> 350) bei verschiedenen Banken. Und zwar alles via HBCI und nicht via EBICS. Erstens weil EBICS in dem Fall exorbitant teuer wäre (EBICS-Grundgebühren pro Konto) und außerdem weil EBICS "nur" ein Batchverfahren ist, während HBCI bei den meisten Banken direkt arbeitet und man einfach sofort sieht, was los ist und was nicht. Klar, wenn ich EIN Konto habe, und auf das 1000 Zahlungen übertrage, dann wäre EBICS sinnvoller. Wenn ich aber auf große Mengen von Konten je 1-2 Zahlungen übertragen will, dann finde ich dafür HBCI einfach praktischer.
Das mag ja alles sein, nur sind die Sparda Banken Privatkundenbanken und Nutzer mit >350 Konten, wird man da mit Sicherheit keinen Einzigen finden. In sofern ist dein Use-Case da natürlich die absolute Ausnahme.
Zitat
Diese Großverarbeitung mache ich natürlich nicht mit einem TAN-Verfahren. Im privaten Umfeld gibt es aber auch noch Konten, die ich per TAN abwickele. Z.B. das für meine hochbetagte Mutter bei einer Sparkasse. Das läuft derzeit via pushTAN (die Chipkarten bei Sparkassen's ist mir zu umständlich). Und da sehe ich sehr wohl einen gewaltigen Unterschied drin, ob ich 5 Arztrechnungen jede einzeln mit einer pushTAN freigebe oder eine Sammelüberweisung mit einer Freigabe mache (zumal ich bei Sparkassen's das auch noch selbst gesteuert bequem in einzelnen Posten auf dem Auszug buchen lassen kann). Von wegen "gefährlich weil man nichts sieht" - jain. Ich sehe da jetzt nicht so die große Gefahr, theoretisch ja, praktisch nicht. Mir ist auch nicht bekannt, daß da schon groß was damit vorgekommen wäre.
Die Sache mit den Sammelüberweisungen bei der Sparkasse war schon mehrmals Thema in der Presse. Allerdinga beim Thema chipTAN. Und wenn der Angreifer geschickt vorgeht, kann er natürlich bei einer Sammelüberweisung an meinetwegen 5 Empfänger die Daten so umleiten, dass der Endbetrag trotzdem noch stimmt. Das ganze Verfahren ist damit eigentlich ausgehebelt denn die Sicherheit basiert darauf, dass man neben den Betrag eben auch die Empfänger-IBAN kontrollieren sollte. Wenn die Push-TAN der Sparkasse also nicht für jeden einzelnen Empfänger einer Sammelüberweisung die IBAN anzeigen sollte, würde das System keinerlei Mehrwehrt haben was die Sicherheit angeht. Und es wäre wohl auch kaum schneller als jede der 5 Überweisungen einzeln zu bestätigen wenn man eh schon dabei ist und die Empfängerdaten kontrolliert...
Zitat
Ja sicher, wäre und könnte. SPARDA DV in Nürnberg hat sicher aber nun mal für ein proprietäres Freigabeverfahren OHNE TAN entschieden (was ich ehrlich gesagt sehr viel gescheiter finde, denn die TAN beim pushTAN der Sparkassen ist für meine Begriffe zu nichts nutze. Genausogut kann ich durch Button in der App den Vorgang freigeben, ohne eine TAN abzutippen). Und bei der Innovations- und Veränderungsfreudigkeit der SPARDA DV kann ich mir beim besten Willen nicht vorstellen, daß die das gerade eingeführte Verfahren durch ein anderes ersetzen oder ein anderes parallel laufen lassen. An der Hotline möchte ich dann nicht sitzen, wenn die Kunden alles durcheinanderbringen.
Es würde nicht ersetzt werden. Es wäre alles in ein- und derselben App. Und jemand der Finanzsoftware verwendet, wird im Zweifelfsfall auch nen Button "Push-TAN anfordern" klicken können. Denkbar wäre natürlich auch, dass einfach in den Einstellungen so zu hinterlegen, dass die App nur noch Push-TANs generiert. Das ist nun echt kein Rocket Science, auch nicht für den User.
Das mit den Innovationen ist so eine Sache. Die finden nämlich nicht im HBCI/FinTS Sektor derzeit statt ("könnte" mit der PSD2 sich noch ändern), sondern im mobile Bereich. Der Standard Privatkunde kauft sich nämlich nicht irgendeine Finanzsoftware sondern möchte nur fix in sein Konto schauen. Und da ist die Nachfrage vor allem bei den mobilen Apps da und nicht bei HBCI-Programmen. Das ist im Privatkundenbereich ein im Verhältnis deutlich geringerer Nutzerkreis und in sofern muss eine Sparda DV natürlich auch schauen was sie fokusiert. Und die App kann beispielsweise die Kontoumsätze der letzten 10 Jahre abrufen, ganz im Gegensatz zu HBCI wo bei den meisten Banken nach 90 Tagen Schluss ist. Atm wüsste ich auch keine App oder Webanwendung, welche es ermöglicht soweit zurück noch Umsätze abzurufen aber ich lasse mich da gerne eines besseren belehren wo wir denn gerade schon beim Thema Innovations- und Veränderungsfreudigkeit sind.
Desweiteren stellt sich natürlich die Frage, welche Rolle externe Finanzsoftware in Zukunft überhaupt noch im Privatkundensektor spielen wird. Die meisten Nutzer verwenden diese wohl vor allem deshalb, weil sie mehere Konten einbinden wollen. Da sind aber gerade FinTechs wie Figo gerade massiv am Vormarsch und stellen bei den Banken ihre APIs vor. Für eine Bank ist es natürlich durchaus sexy nicht von X Banken die HBCI-Schnittstellen konfigurieren zu müssen sondern Anbieter zu haben, welche eine Java oder .Net Schnittstelle zur Verfügung stellen über der man externe Konten einbinden kann.
Das man in Zukunft seine Konten anderer Banken in den Apps oder Webanwendungen seiner Hausbank per HBCI einbinden können wird, dürfte damit wohl zum Standard werden. Hersteller von Finanzsoftware haben es jetzt schon schwer gerade gegen die mobilen Apps der Banken im Wettbewerb zu stehen, wenn diese aber noch externe Konten einbinden können, wird die Luft nochmal deutlich dünner...
