Abschließend noch etwas zum Verständnis: "Sicherheit" kann es nur auf Seiten des "nicht manipulierbaren" Bankrechners geben - etwas, worauf die Software auf der Kundenseite keinerlei Einfluss hat. Eine echte Sicherheit auf Kundensoftwareseite kann es nie geben, insofern kann es da auch keine wirklichen Sicherheitslücken geben.
Klar, es gibt Kundensoftware, bei der es eine Benutzerverwaltung gibt, so dass bestimmte Benutzer bestimmte Aktionen nur nach Anmeldung mit Passwort usw. durchführen bzw. einsehen können. Aber eine wirkliche Sicherheit ist das nicht, denn auf die Kundensoftware hat ein "Bösewicht" ja direkten Zugriff. Wenn er nicht gleich die Anmeldung knacken kann, kann er einen Trojaner hinterlegen, der das Nutzer-Anmeldepasswort ausspäht oder er kann den Datenverkehr zwischen Kundensoftware und Bank mitlesen und kann da die Anmeldedaten herausfiltern - schon ist die vermeintliche Sicherheit kompromittiert.
Also gibt es Sicherheit nur gegenüber dem von Kundenseite her nicht manipulierbaren Bankrechner. Wenn dieser eine TAN fordert, dann gibt es keinen Weg daran vobei - ohne TAN geht es nicht - und wenn sich die Kundensoftware (oder der Kunde
) auf den Kopf stellt. Genauso fragt die Kundensoftware eben dann keine TAN ab, wenn der Bankrechner keine verlangt.
Halten wir fest: Alle Einschränkungen auf Seiten der Kundensoftware sind mehr oder weniger nur "organisatorische Hilfsmittel". Sicherheit (und Sicherheitslücken) kann es nur auf Bankrechnerseite geben. Insofern war die Ursprungsfrage schon - verzeih mir den Ausdruck, aber mir fällt kein besserer ein, ist nicht böse gemeint - "Unsinn".
