Split: aktuelle Stunde

Hallo Worf,

so wie es aussieht haben die einfach nur einen PC mit einer Software der Volksbank laufen gehabt. Viele Details sind da sehr zweifelhaft oder schwammig geschildert. Wie z.B. kann sein, das das Opfer einen abgesicherten Laptop nutzt, der nur für das Internetbanking genutzt wird und dann findet die Kripo diverse Schadprogramme!? Sorry, wenn ich den PC nur für das Onlienbanking nutze, passiert mir rein gar nichts auch ohen Schutzsoftware. Und Trojanische Pferde und andere Übeltäter kommen nicht von alleine auf dem PC....


Gruß

Holger

Hallo Holger,



Wie bitte?? :shock:
Okay, ist hier nicht das Thema, aber ich bitte darum, Dich besser zu informieren.

Wenn man den Prof. Borges von der Ruhr Uni Bochum als Experten - im WDR Beitrag - sieht, dann fragt man sich, wie es mit der deutschen Bildungs-"Elite" bestellt ist. Habe ich irgendwas überhört, oder hat er wirklich NIE auf HBCI als Alternative verwiesen!?

Das Gefassel von wegen "Virenscanner" war nun wirklich erbärmlich.

Also den Pokal "klare Chance vertan" würde ich eher den Sprecher der VR Banken da geben. Sorry, aber wie kann man nur so bescheuert sein öffentlich auch noch bekannt zu geben das der Kunde ja mit den Problem alleine darsteht bei seiner Bank wenn ein Schadensfall auftritt. Wenn der auch nur einen Moment drüber nachgedacht hätte was er da sagt, hätte er sich entschuldigt und den Fall nochmal geprüft mit der Aussage das Fehler halt passieren können und da vielleicht entsprechende Mitarbeiter schlecht informiert waren.

Schlimm genug das man Wochen gebraucht hat den Kunden zu antworten, dann sich auch nichtmal bemühen den Schaden zu ersetzen und die Schuld komplett auf den Kunden zu schieben ist schon sehr gewagt. Viel schlechter kann man sich gar nicht ins Bild setzen. Da ist es völlig egal welches Sicherheitssystem die anbieten.

Da bringt doch auch das HBCI Verfahren nichts, man bekommt niemals 100% der Kunden dazu HBCI mit Chipkarten zu benutzen weil es einfach für viele Kunden zu aufwendig und nicht mobil genug ist das ernsthaft einzusetzen. Selbst wenn man ein grosser Prozentteil der Kunden zu den Verfahren überreden könnte, bleibt immer noch das Risiko das der Rest einen Schadensfall erleidet und dann steht der VR-Mann genauso dumm vor der Presse wenn er erklärt das der Kunde doch selber Schuld hat.

Und dann hilft auch die Ausrede nichts der Kunde hätte ja HBCI Chipkarte nutzen können. Wenn HBCI PIN/TAN so unsicher ist, warum wohl bieten es dann wohl auch die GENO Banken an? Da müsste man ja zu den Entschluss kommen das Geno Banken gezielt ein unsicheres Verfahren den Kunden andrehen oder man sagt ganz klar das PIN/TAN bzw. iTAN ein grunsätzlich sicheres Verfahren ist wie es auch der Jurist dort getan hat.

Bleiben also die Fragen:

Ist PIN/TAN/iTAN ein sicheres Verfahren?
Wenn ja, warum dann HBCI Chipkarte?
Weil es sicherer ist?
Warum bieten dann Banken ein unsicheres System als HBCI an?
Ist das in diesem Fall nicht fahrlässig und müsste in der Tat die Bank dann nicht den Schaden ersetzen? Werden die Kunden überhaupt auf den Bankseiten darüber informiert das HBCI Chipkarten sicherer sind als PIN/TAN und wenn ja, warum ist die Beweislastverteilung dann bei beiden Verfahren identisch seitens der Bank?

Die Antwort ist doch einfach, natürlich ist HBCI im Grundsatz sicherer aber die Banken wissen ganz genau das man niemals den Grossteil der Kunden damit erreicht. Wenn man die Kunden dazu zwingen würde, freuen sich die anderen Banken die mobilere Systeme anbieten und die von Kunden genutzt werden die vorsichtiger mit ihren Rechner umgehen. Das kann sich keine Bank leisten also wird es so oder so auch etwas unsichere Systeme als HBCI immer geben und dies wird auch angeboten. Damit werben tut aber kaum jemand, wer will auch schon zugeben das er ein Verfahren dem Kunden anbietet welches vielleicht unsicher ist aber nunmal von 99% der Kunden ohne spezielle Computerkenntnisse genutzt werden kann?

HBCI Chipkarten werden sich aufgrund der Kosten, des Installationsaufwandes und der fehlenden Mobilität niemals durchsetzen.

Da gebe ich Dir im Großen und Ganzen schon Recht. Für die Sicherheit des Kundenrechners kann die Bank kaum verantwortlich gemacht werden.

Aber ist es nicht so, dass eine große Zahl der Kunden mit diesem Thema schlicht und einfach überfordert ist?

Wir (Teilnehmer dieses Forums) wissen über die Risiken und Gefahren des Internets bescheid, aber kann ein "Normalanwender" wirklich abschätzen, welche Gefahren im Internet (und damit auch beim Online-Banking) auf ihn lauern?

Eigentlich ist das Banking über den Browser mit PIN/TAN die derzeit wohl "gefährlichste" Art des Online-Bankings für den Kunden. Und gerade dieses wird von einem Großteil der Banken/Sparkassen favorisiert vermarktet. Verständlicherweise, denn die Kosten gegenüber einem softwarebasierten System mit HBCI-Kartenleser und Chipkarte sind natürlich "unschlagbar". Wäre es aber nicht besser, den Kunden zuerst HBCI mit Chipkarte anzubieten und erst dann, wenn der Kunde z.B. die damit verbundenen Kosten nicht tragen will, auf die anderen Verfahren auszuweichen?

Ich sehe in den derzeitigen "Vermarktungsstrategien" für Online-Banking ein ganz großes Riskiko für jegliche Formen des Online-Bankings. Immer nur auf die Kosten zu achten ist eine sehr kurzfristige Denkweise. Wenn das Vertrauen der Kunden in das Online-Banking weiter zurückgeht, werden die Kosten für "Imageaufbesserungen und vertrauensbildende Maßnahmen" um ein vielfaches höher liegen, als wenn man dem Kunden von Anfang an die sicherere Variante angeboten hätte. Sollte der aktuelle Fall auch noch dazu führen, dass die Banken/Sparkassen zu Schadensersatz verpflichtet werden, dann hat sich das Thema wahrscheinlich von selbst erledigt und die Kreditinstitute werden dann wohl in den "sauren Apfel" beissen müssen, ihren Kunden sichere HBCI-Verfahren anzubieten oder das Online-Banking ganz einzustellen.

Stefan Balk

Das alte Thema von vielen Seiten beleuchtet und eigentlich hat jeder Recht.

Ich selbst habe bis zur ersten massiven Phishing Welle gesagt, daß den Kunden HBCI zu teuer oder zu kompliziert sei.

Mittlerweile halte ich diese Aussage für in dieser Form nicht mehr haltbar.
Sonst müssten alle Kunden bei der DiBa oder so sein, weil man da für das Konto nix bezahlt. Genau so sieht es mit Versicherungen und allen anderen Finanzprodukten aus.
Ich denke es kommt auf die Argumentation an. Der Kunde, der über die Risiken aufgeklärt wird entscheidet sich sehr häufig für eine kleine Investition.

Eines der häufigsten Gespräche kurz zitiert:
Kunde:"Ich habe ohnehin kaum Geld auf dem Konto."
Bank:"Eben dann ist es doppelt ärgerlich, wenn das auch noch geklaut wird."
Noch ein Zitat:
Kunde:"Mir ist noch nie was passiert."
Bank:"Das kann sich schnell ändern. Sie haben ja auch nicht jeden Tag einen Haftpflichschaden und trotzdem eine Versicherung. Da ist ist nicht zu teuer mit einmalig XX Euro auf Nummer sicher zu gehen."
---------------------------------------------------------------------
Es gibt natürlich noch den Aspekt, daß die Kunden nicht richtig damit umgehen können.
Einige hier im Forum können da wohl so manche Geschichte erzählen.
Aber auch hier ist die Bank gefordert.
Wir haben (ein Glück) das windata im Einsatz, was sehr simpel zu bedienen ist.
Wir haben jeden einzelnen Schritt zum Einrichten der Chipkarte im genauen Wortlaut aufgeschrieben und um Screenshots ergänzt.
Genau so haben wir es für HBCI-Dateiversion und windata auf einem USB-Stick gemacht.
80% der Kunden kommen damit klar. Für die anderen 20% haben wir seit gestern die windata-Hotline.

Diese oben genannten 100% sind nicht nur 100% der HBCI Kunden, sondern 100% der online banking Bestellungen, da wir als Bank entschieden haben für Neuanträge ausschließlich HBCI anzubieten.

Das führt uns zum nächsten Thema: Mobilität!
Der Vorteil des TAN-Bogens ist die riesige Mobilität.
Aber ehrlich - wer macht am Strand online banking?
Also haben wir noch die Geschäftskunden, die viel unterwegs sind. Die haben eh ein Notebook auf dem auch HBCI laufen kann.
Bleiben die, die das mal zu Hause und mal auf der Arbeit nutzen.
Da bieten wir HBCI auf einem USB-Stick.
Einige haben aber auch schon gesagt, daß sie es nur noch zu Hause nutzen wollen, weil dann doch nichts so dringend ist, daß man auf der Arbeit unbedingt ne Überweisung fertig machen muß.

Das bringt uns zum nächsten Punkt: Sicherheit.
HBCI als Dateiversion (USB-Stick und Diskette) ist auch nicht 100% sicher.
Aber das war PIN/TAN auch nie. Es gab nur keine Trojaner-Angriffe.
Irgendwann müssen wir den Kunden, die heute HBCI machen erklären, daß es ein neues Verfahren gibt.
Aber das ist doch positiv: Wir als Bank nutzen unser Fachwissen um Euch lieben Kunden fortlaufend das anzubieten, was Euch den größten Schutz bietet. Das ist ein toller Service.

Ach ja: PIN/TAN ist leicht zu nutzen? - Da brauche ich aber einen Mausklick mehr, als für eine HBCI-Überweisung.
Ausserdem hat eine Banking-Software viel mehr Möglichkeiten, als ein web-Interface (Datenbankfunktionen und Multi-Bank-Fähigkeit).

Zwischenfazit: HBCI ist schon eine gute Alternative.



Wir als Bank sind doch dafür da diese Dinger zu verbreiten.
Ausserdem gibt es doch noch die Signaturkarte mit potentiell vielen Anwendungsmöglichkeiten. Da kann man dem Kunden so einen Kartenleser noch schmackhafter machen.


Das Problem ist leider, daß die Schuld immer bei der Bank liegt, weil sich das medienwirksam verkaufen lässt. Komplizierte Technik interessiert doch keinen. Bild deckt auf: "Bank überweist Kundengeld an Mafia!"

Und ausserdem ist es wirklich nicht leicht den Rechner immer sauber zu halten. Siehe Hinweis von Raimund über die Anzahl Service updates.Wer hat den schon Zeit und Lust sich damit zu beschäftigen. Das ist nicht immer Dummheit, sondern einfach Stress.
Aber prinzipiell hast Du Recht. Wir hätten weniger Probleme, wenn die Kunden saubere Rechner hätten. Und wir können ihn auch nicht überall an die Hand nehmen. Wer heute einen PC mit Internetanbindung in Betrieb nimmt, muß wissen, daß er sich nicht vor Angriffen schützen kann.
Das Leben ist kein Friede-Freude-Eierkuchen-Paradies.

Ich denke der Auftrag der Bank sollte sein, den Kunden vernünftig zu informieren und ihm für das online banking ein Werkzeug zu geben, daß hinreichend sicher genutzt werden kann, weil Bankgeschäfte immer sehr heikle geschäfte sind. Da ist PIN/TAN nur anzubieten, wenn man definitiv sagt, daß das Konto dabei mit relativ geringem Aufwand geplündert werden kann.


Dies und andere Teile Deiner Aussage kann ich nur voll unterschreiben und dick unterstreichen.

Als Antwort auf die Frage
"Warum bieten GenoBanken den Kunden das unsichere PIN/TAN an?":
Weil die Leute am Schalter und in der PK- und FK- Betreuung selbst nicht genau wissen, was HBCI ist. Wenn der Kunde eine Rückfrage stellt muß man die Hosen runter lassen. Und wer ist vor dem Kunden schon gerne der "unwissende Depp"? Also lieber das verkaufen,was man kennt.
Mit Depp hat das allerdings nicht viel zu tun, weil man das beheben kann, indem man den Kollegen das Verfahren erklärt. Es gibt sogar Kollegen, die stolz sind dem Kunden etwas kompliziertes erklären und anbieten zu können. Da ist man dann nicht mehr der "unwissende Depp", sondern plötzlich der informierte und kluge Bankberater. So kann sich die Perspektive ändern.

Der zweite Punkt ist, daß jeder PIN/TAN kennt, weil es das seit 1000 Jahren gibt. Das wird nicht angeboten, das verkauft sich von selbst.

Fazit:
Es ist mit viel Arbeit verbunden Kunden und Kollegen aufzuklären, zu schulen und immer wieder auf dem Laufenden zu halten.
Aber wir müssen das im Sinne der Sicherheit tun.
Unser Vorteil: Die Bank verdient sich dadurch das Vertrauen, dass sie ohnehin vom Kunden als Vorschuss erhalten hat.

Ich schon, aber wie ich geschrieben habe ist es nicht 100% sicher.

Macht aber noch(!) keiner und es ist ne Ecke komplizierter als die TANs zu fischen. Also auf einer Stufe sehe ich die Verfahren definitiv nicht.



Ach die haben dann das Geld unserer Kunden. Na dann kann man doch den Kunden aus dem "Aktuelle Stunde"-Bericht mal den Hinweis geben bei den Medien nach den 4800 Euro zu suchen. Ach ne! Das war ja gefarmt. Sorry.

Klar - ich mach dann mal ein upload meiner key-Datei hier ins Forum, dann kann sich das jeder runterladen.
Hier noch mal ganz klar: Man kann nicht alles haben!
100000% Schutz, volle Mobilität, keine Kosten etc.
Es geht darum den besten Mittelweg zu finden und der heisst nicht PIN/TAN.


Gute Schätzung:
Trojanerangriffe augf HBCI (Datei): 0 Euro
Phishingangriffe auf HBCI (Datei): 0 Euro
Angriffe jeder Art auf PIN/TAN: sehr viel Geld !!!

Die erweiterte Sicherheit (so wie manche das mit iTAN flicken) wird es bei uns mit HBCI-Diskette geflickt. Eine endgültige Lösung ist das m.E. nicht, aber ein Schritt in die richtige Richtung.

Aber irgendwie bringt diese Diskussion ohnehin nichts, weil keiner seine Überzeugung ändern wird.

Frieden?