Versand von TAN listen bei der Sparkasse Bottrop

wie gesagt, ohne PIN nützt die beste TAN Liste nichts.

ich geb dir mal eben eine TAN von mir, nimm die 1935 und hol 100€

mein Konto läuft bei der Commerzbank.

und hau die kohle auf den kopf...prost

Und als direkt Betroffener ( ) noch eine kleine Ergänzung zur Antwort vom Cap:

Selbst wenn es jemandem gelänge, die TAN-Liste abzufangen, den Umschlag ohne Beschädigung zu öffnen, die Liste zu kopieren und dann wieder einzutüten und zuzustellen: Ohne PIN geht nix, ohne TAN aus der alten Liste auch nicht (wie Cap schon sagte). Und da derjenige nicht weiss,
wann der Kunde seine Liste aktiviert müsste er unter Umständen verdammt lange warten, bis er überhaupt eine TAN aus der neuen Liste
nutzen kann.
Mal ganz abgesehen davon, dass am Umschlag selbst nicht erkennbar ist,
dass darin eine TAN-Liste ist ! Es ist noch nicht mal erkennbar, dass die
Sparkasse der Absender ist !

Gruß

Michael

pass mal du Planetopia Zuschauer:

von einer Kreditkarte war hier nicht die Rede.....und ohne PIN geht beim onlinebanking nix.
Aber da du ja so intelligent bist, möchte ich dir auch noch meine PIN geben:

*********

Viel Spaß und alles relative Glück dieser Welt,

Gruß

A. Einstein

@all: Ball flachhalten!
das sind zwei verschiedene Paar Schuhe: Die Karten-PIN kann (noch) nicht von dir geändert werden. Das ist eines.

Dann: Du würdest nicht merken, wenn dir jemand die Karte & Karten-PIN kopiert, zB der nette Bankmitarbeiter oder der Postbote. Das gilt bedingt auch für den TAN-Bogen, aber die OnlinePin ist ja deine eigene und die sollte ja keiner ausser dir haben.

Der TAN Bogen kann einfach gelöscht werden und du bekommst einfach und billig einen neuen. Die Karte ist viel aufwändiger produziert und ist mit der PIN verheiratet.

Und: Die Karte, nebst PIN kann anonym verwendet werden - auch um an Bargeld zu kommen. Beim Onlinebanking muss das Geld ja irgendwohin überwiesen werden, es ist also immer ein Konto am anderen Ende.

Achso: Wenn du dir Sorgen um die Sicherheit deines Kontos machst, dann empfiehlt dir sicherlich deine Sparkasse eine HBCI-Chipkarte. Hier kannst du dir sogar einen Computervirus einfangen, ohne das deinen TANs etwas passiert. Hier liegt in meinen Augen nämlich die größere Gefahr.

Gruß
Raimund

Die Kontonummer ist eh' uninteressant, da sich unsere Kunden beim Einloggen über Anmeldename und PIN legitimieren. Beides ist vom Kunden jederzeit änderbar!


Gruß

Michael

Ich denke die MA aus dem Druckzentrum können wir mal aussen vor lassen. Social engineering (wenn man das so nennen will) ist und wird immer irgendwie theoretisch und warscheinlich praktisch möglich sein. Auch zu Zeiten als die TAN verdeckt gedruckt wurden, hätte man eine Bahn Normalpapier davorspannen können und hätte lesbare TANs gehabt. Sowas muss durch interne Kontrollmaßnahmen ausgeschlossen werden. TAN Diebstahl "intern" ist uninteressant, gerade weil Überweisungen 100% nachvollziehbar sind. Es greift auch kein Mitarbeiter in die Portkasse, wenn alle Scheine und Münzen mit GPS Sendern und Fingerabrucksensoren ausgestattet sind.

Wichtig ist das man den Postweg sogut es geht absichert, dazu sind die getroffenen Maßnahmen durchaus geeignet.

Ich finde es auch gut, wenn jemand ehrlich seine Sicherheitsbedenken äußert.

Bei der Einführung des neuen TAN-Listendrucks haben wir auch mal eine Telefonumfrage gestartet und es war erschreckend, wie wenig die meisten Leute sich über Sicherheit Gedanken machen. Kein Wunder, dass viele auf Phishing & Co. hereinfallen.

Ansonsten schließe ich mich mafi an.

Natürlich hast du in gewisser Weise Recht.
Aber das Verfahren was du da beschreibst gilt prinzipiell immer noch.

Man darf nicht vergessen das wir die PIN hauptsächlich nicht per Post verschicken und wenn doch dann nur gegen Legitimation.

Auch wenn die erste TAN-Liste offen (also nur im Briefumschlag) zugestellt wird können wir sicher sein das keine Daten gestohlen werden. Hundertprozentige Sicherheit gibt es aber natürlich nie.

einfach HBCI verwenden :mrgreen:

Moin,
ich denke das die Lösung einer PIN /TAN Abfrage eigentlich in Sich schon eine Schwierigkeit erzeugt, nämlich den Menschen! Ich würde mir mehr Sorgen um den Verlust meiner Daten im PC machen, als das jemand meine TAN-Liste lesen könnte. Sind wir mal ehrlich, wenn ich anfange die TAN Listen der Nutzer zu lesen und zu kopieren ist das mehr arbeit als ich eigentlich haben möchte, oder? Woher soll ich wissen wie viel Geld der einzelne User auf seinem Konto hat?

Also nimmt man einen einfacheren Weg, nämlich phishing, aber noch netter ist es den heimischen PC mit einem Trojaner zu versehen der die Anfrage bestimmter Seiten auf einen bestimmten, weil einprogrammierten Server verschiebt. Das ist leider keine graue Theorie sondern schon vorgekommen! Der User glaubt er hat die richtige Seite aufgerufen und gibt seine Daten ein und schwupps, jetzt habe ich PIN/TAN und auch Name oder Kontonummer!
Klar es läuft immer auf viel Aufwand hinaus, ist aber nicht wirklich schwierig! Entscheidend ist was anderes, nämlich will jemand sich den Aufwand machen?
Ein versiegelter Umschlag oder ein "normaler" Umschlag ist, denke ich ist
relativ egal!
Die Schadensabwehr liegt beim normalen User, der hat das eigentliche Problem, wenn er nicht aufpasst sind seine Daten weg und er merkt es erst zu spät! (Firewall & Virenscanner reagieren immer erst im Nachherein und ein Virus oder Trojaner ist schnell geändert)

Fazit: Das Verfahren ist sicher so lange der User auf seine Sachen aufpasst und nicht an die falschen gerät. Trotzdem hätte man durchaus bessere Mechanismen einbauen können! Zum Beispiel eine Höchstgrenze der Überweisungsumme ( frei definierbar durch den Benutzer, beim Einrichten am Schalter ), aber man kann ja noch hoffen.

Gruß
Jens