o.k. vielen vielen Dank nochmal für Eure Hilfe - kleine Rückfrage noch - sollten wir uns einen Anwalt nehmen und sollten wir uns gleich an den Ombudsmann wenden oder zunächst den Weg über den Vorstand gehen???

Immer erst bis zum Vorstand der Bank!! Die Bank muss wenigstens die Möglichkeit bekommen, "richtig" in Eurem Sinne zu reagieren, sonst ist das Klima in allen Folgeschritten verschmutzt.
Dann Ombudsmann.
Dann Anwalt.

Ich würde vorschlagen:
Vorstand - Ombudsmann - Anwalt

In der Hoffnung, dass Stufe 1 schon reicht. Da jede Bank verpflichtet ist, ein Risiko- und IT-Sicherheitsmanagement vorzuhalten, kann ich mir nicht vorstellen, dass niemand in der Bank sich mit den Themen beschäftigt. Der Vorstand (bzw. sein Sekretariat *gg*) sollte wissen, wer das ist und von da solltest du eine kompentene Antwort bekommen. Sollte diese dir nicht gefallen, stehen die die weiteren Wege witerhin oiffen.

Danke nochmal!! Dann wenden wir uns jetzt mal an den Vorstand. Schriftlich mit Fristsetzung oder ist das zu scharf?

Auf jeden Fall schriftlich. Frist ist m.E. noch nicht erforderlich, ein "kurzfristig" sollte reichen.

Man könnte eine Frist setzen, ich persönlich würde aber eher die freundliche Variante vorziehen. In Erwartung Ihrer Antwort verbleibe ich mit freundlichen Grüßen

Eine Antwort kommt bestimmt. Jedenfalls muss der Vorstand die "Fachabteilung" befragen und dann die Antwort formulieren. Also nicht gleich verzweifeln, wenn 3-4 Tage nichts passiert.

Hoffentlich auch seinen zuständigen Verband. Die eigene Fachabteilung scheint ja schon einmal versagt zu haben.

Was hat das mit dem Verband zu tun? Ausserdem kann es auch ein einzelner Mitarbeiter verbockt haben, indem er die Anfrage eben nicht an EBL geschickt sondern in Eigenregie "gelöst" hat.

In den mir bekannten Verbänden gibt es für Themengebiete Ansprechpartner, insbesondere für rechtliche Fragen.
Sehr kleine Institute können ja nicht für jedes Spezialthema die absoluten Spezialisten vorhalten.


-> Idealfall, wäre zu wünschen für den Fragesteller.

so sorry, jetzt muss ich Euch leider nochmal eine Frage stellen. Was ich trotz der ganzen Diskussionen immer noch nicht verstanden habe ist, wie sich dieser Trojaner überhaupt einloggen konnte. Schließlich benötigt man für den Login ja eine PIN. Oder ist dieses Schadprogramm so konstruiert, dass es sich mit dem nächsten Login einfach an den User dranhängt? Die PIN haben wir ja schließlich nirgendwo herausgegeben .. sorry, für Euch ist der Zusammenhang wahrscheinlich sonnenklar, aber mir Technik Deppen eben nicht..

Der Trojaner "hängt" sich an den Browser und nutzt damit deine Anmeldung aus. Im Rahmen der Überweisung lässt er dich alles ausfüllen und schickt danach aber seine Überweisungsdaten an den Bankrechner, dessen TAN-Abfrage dann die vom Trojaner gewünschte Überweisung ausführt und nicht deine.

Hi,
ausserdem kann ein Trojaner auch die Tastatureingaben mitlesen.

Gruß,
Vader

dann könnte er theoretisch ja auch die TAN in Echtzeit abfishen, ohne den User explizit danach zu fragen, oder?

ja, deswegen ist TAN und auch iTAN nicht mehr sicher.

Wenn das keine mißbräuchliche Verwendung ist, was dann?


Das wäre kein Mißbrauch, sondern ein GAU. Dann wäre nämlich der Bankserver gecrackt. Ich glaube kaum, dass dann der Kunde noch mit 150 EUR haften müsste

Meiner Meinung nach ist es schon so, dass der Kunde seit PSD nur noch mit max. 150 EUR haftet. Inwieweit hier der Kunde eine gewisse Mitschuld trägt wg. Virenscanner usw. ist eine andere Geschichte.

Ich persönlich würde auf jeden Fall versuchen, wenigstens einen Teil des Geldes von der Bank zu bekommen.

Genau das machen die Trojaner auch. Letzten Endes hat man nur beim iTAN-Verfahren der Fiducia-Volksbanken noch eine kleine Möglichkeit, den Auftrag zu kontrollieren. Das übliche iTAN-Verfahren ist gegen einen Echtzeit-Trojaner machtlos

@ Computerversteher:
Der Missbrauch gemäß PSD ist nicht aus Sicht des Kunden zu sehen. Wenn eine Überweisung anhand des iTAN-Verfahrens am Bankrechner mit einer TAN legitimiert wird, dann ist dieser Auftrag regulär und rechtens eingereicht.

Das die Commerzbank übrigens lieber das iTAN-Verfahren behält und die Schadensfälle bezahlt, anstatt neue Technologie einzuführen, gibt mir zu denken.

Kleiner Einschub:
Unter HBCI wird bei der Commerzbank im Gegensatz zu den meisten Instituten überhaupt kein PIN/TAN-Verfahren mehr angeboten und das ist auch gut so.

Hmm, ist es denn dort kritisch? Gibt es schon Trojaner, die Software befallen oder reden wir hier nach wie vor über Browser-Trojaner?

Das halte ich für diskussionswürdig, ob das wirklich so ist!?


Regulär eingereicht: ja. Aber entspricht trotzdem nicht dem Willen des Kunden. Der wollte ja einen anderen Auftrag erteilen.
Ist sowas nicht lt. BGB ein Erklärungsirrtum und anfechtbar?


Aber ich lasse mich gern eines besseren belehren. Dann aber bitte mit begründeten Erklärungen, nicht mit irgendwelchen Vermutungen.
Weiter oben war ja sogar die Rede davon, dass sich dies nur auf Abbuchungen bezieht?

Kann da vielleicht mal einer Licht ins Dunkel bringen? :?

Nein es ist nicht kritisch, aber ich stehe dem ganzen PIN/TAN-Gehabe ablehnend gegenüber, egal ob über Browser-Banking oder Software-Banking. Das ist aber meine persönliche Meinung und ich finde es sehr gut daß die Commerzbank über HBCI das PIN/TAN-Verfahren nicht anbietet.

Ich kenne die Vorzüge von SMS-TAN und auch von dem Smart-TAN-optic Verfahren, versetzt euch aber mal in die Lage der Anwender die mit verschiedenen Banken arbeiten. Wer blickt denn bitte als Laie bei den ganzen PIN/TAN-Verfahren noch durch? Statt sich immer neue PIN/TAN-Verfahren auszudenken wäre es an der Zeit im HBCI/FintTS-Banking einen einheitlichen Standard bei den Karten einzuführen, so daß man mit einer Karte alle seine Banken bedienen kann. Wenn diese Einstiegsbarrieren endlich einmal behoben sind, braucht kein Mensch mehr PIN/TAN und das Verfahren kann dann endlich entsorgt werden.

PS: Und natürlich kann es auch Mißbrauch bei dem HBCI/FinTS-Verfahren geben, wenn Ressourcen aber frei werden (die im Moment wegen dem Erfinden und Einführen neuer PIN/TAN-Verfahren gebunden sind) können diese effektiv zur Weiterentwicklung von HBCI/FinTS eingesetzt werden.

PPS: Dieser Beitrag schildert nur meine persönliche Meinung als Privatperson wieder.

Tschüss

Sebastian