Hallo,

im Zuge der Zusammenführung von Dresdner Bank und Commerzbank soll ab Frühjahr 2011 der HBCI-PIN/TAN-Zugang für bisherige Dresdner Bank-Kunden offenkundig eingestellt werden. Stattdessen wird der Umstieg auf HBCI mit Chipkarte oder Schlüsseldatei nahegelegt:



Diese Info könnte den einen oder anderen EB'ler interessieren...

Otto

Ich habe diesen erschreckenden Drohbrief ebenfalls erhalten. Bislang konnte mir aber von den Dresdner/CoBa-Experten sagen, ob es wenigstens für Geschäftskunden das PIN/TAN Verfahren weiter geben wird. Hotline, Geschäftskundenberater, u.s.w. zeigen sich nicht informiert. Hat hier jemand dazu evtl. mehr Informationen?

Es wäre für uns sehr wichtig, hierzu recht bald Klarheit zu bekommen, um im schlimmsten Fall rechtzeitig die Bank wechseln zu können und neues Geschäftspapier zu drucken. Denn ein Umstieg kommt für uns unter keinen Umständen in Frage - weder auf Datenträger noch Chipkarte. Lieber stelle ich die 11 Konten auf eine andere Bank um. Hätte hierzu evtl. einer der Forenteilnehmer eine Empfehlung für eine andere Bank, die höflich und realistisch mit solchen Kunden umgeht, die von 10 oder mehr Arbeitsstationen aus auf ihre Konten zugreifen möchten?

Hi PeerTavori,

PIN TAN wird bei der Commerzbank für Softwareprodukte abgeschaltet.
Das PIN\TAN eigentlich ein Sicherheitsmedium eher für Privatkunden ist, sind Geschäftskunden vermutlich dafür erst recht nicht im Fokus!

Viele Grüße

Holger

Ich frage ja nur, weil die Dresdner Bank auch schon einen Vorstoß gemacht hatte und dann aber wegen massiver Proteste von Kundenseite das PIN/TAN bestehen ließ.

Mittlerweile habe ich den Tipp bekommen, dass es auch diesmal ein Widerspruchsverfahren gibt. Das muss man wohl in der Frankfurter Zentrale auf dem Postweg einleiten. Werde ich tun.

Ich bezweifle übrigens stark, dass nur Privatkunden PIN/TAN nutzen. Nach meiner Erfahrung sind Privatkunden sogar eher bereit, aufwändige, unsichere oder nicht sehr benutzerfreundliche Verfahren zu nutzen - schlicht und einfach weil Zeit den Privatkunden nichts kostet. Deshalb sehe ich auch die von der CoBA angebotenen Lösungen eher estmal im Privatkundenbereich. Da spielt es auch keine so große Rolle, wenn man ein paar Kunden verliert.

Peer, das Wort unsicher hat in deiner Auflistung nichts zu suchen. Die papiergebunden Tanlisten sind unsicher. Vor den aktuellen Bedrohungen (Trojanern) schützen nur die in dienen Augen aufwändigen und nicht benutzerfreundlichen Verfahren.
Du solltest das, was du beim Widerspruchsverfahren unterschreibst, gut durchlesen. Möglich und absolut berechtigt, dass du mit der Unterschrift auf Schadensersatz bei Trojanerbefall verzichtest. Ich würde das jedenfalls so machen.

Hi Peer,

das Du widerspruch einlegen kannst, ist ja ok. Es wird an der technischen Umsetzung vermutlich nichts ändern! Die CoBa ist damals als BTX eingestellt wurde, den Schritt gegangen und hat PIN\TAN für Kundenprodukte eingestellt. Die Dresdner Bank wird in die Systeme der CoBa integriert. Da kannst Du dir mal die Wahscheinlichkeit ausrechnen, das die extra ein PIN\TAN Verfahren schaffen.

Zum PIN\TAN Verfahren und Geschäftskunden:
Die Zeit der Papier TANs sind vorbei. Heutige TAN Verfahren nutzen eine Mobiltelefon, oder die EC Karte. Das ist für den Großteil der Geschäftkunden bereits ein KO Kriterium, wenn mehrere Mitarbeiter das nutzen sollen!

PIN\TAN wird es bei der CoBa auch weiter geben: für den Privatkunden im Internetbanking (oder dem Geschäftskunden, dem das Internetbanking reicht)

Viele Grüße

Holger

Hallo PeerTavori,

vielleicht ist die Info bei dir auch nur falsch angekommen. Hier geht es speziell um die Abschaltung von PIN/TAN über die HBCI-Schnittstelle der DreBa. PIN/TAN kann man weiterhin (auch 2011) über die Webseite nutzen.

Möchtest du jedoch unbedingt ein OnlineBanking-Programm (z.B. Starmoney) nutzen, kannst du dies zukünftig tatsächlich nur über HBCI-Chipkarte oder HBCI-Schlüsseldatei.

Weitere Info hierzu findest du unter http://hbci.commerzbank.de/

Gruß

Das sehe ich anders. Ein auf einem USB-Datenträger gespeicherter Schlüssel, der lediglich durch eine PIN abgesichert ist, treibt mir den Angstschweiß auf die Strirn. Jede noch so primitive Keylogger-Software / USB-Auslemalware kann hier alle Informationen abziehen, um beliebig viele Transaktionen anzustoßen. Ich finde das gruselig.

Denn genau diese Lösung werden 99% der Anwender nutzen, da die Chipkartenleser in sehr vielen Fällen völlig unpraktikabel und tolldreist teuer sind. In unserem Fall haben wir sogar extreme Schwierigkeiten, überhaupt ein USB-Medium einzubinden, weil der USB-Zugang an Finanzarbeitsplätzen grundsätzlich aus Sicherheitsgründen abgeschaltet ist.

Einer unserer Kunden setzt sich übrigens als Hersteller hauptamtlich Trojanern und der zugehörigen Sicherheitssoftware auseinander - der lacht sich krank über das, was die Banken derzeit treiben - die gehen davon aus, dass die Diebstahl- und Betrugsrate ca. um den Faktor 10 ansteigt - was zwar gut für deren Umsätze mit Sicherheitssoftware ist, mich persönlich aber eher ängstigt. Fazit: Ich fühle mich als Opfer, auf das alle Kosten und die Inkompetenz der CoBA abgewälzt werden.

###update:###

Da jetzt - obwohl von der Frankfurter Hotline anderslautend bestätigt - einfach der gesamte Zugang abgeschaltet wurde, werde ich wohl im Eilverfahren alle 13 Konten schnellstmöglich zu einer etwas seriöser agierenden Bank umziehen müssen.

Könnte mir bitte einer der Forenleser hierzu einen Tipp geben? Ich suche eine Bank, die kundenfreundlich ist und bei der man ein paar Geschäftskonten führen kann (kleine Firma, Umsatz weniger als 10 Mio.), die auch EU sowie non-EU-Zahlungsverkehr sauber abwickelt.

Wesentlich dabei ist, dass ich an die Original-SWIFT-Datensätze herankomme, um sie in unsere eigene Buchhaltungsoftware einzuspeisen. Das klappt bislang via t-online csv-export seit über 10 Jahren völlig problemlos und ich sehe nicht ein, dies wegen einer arroganten Bank zu ändern.

Peer, dur wirst in diesem Forum eher wenig Leute finden, die Dir zu einem unsicheren Verfahren raten und Bankempfehlungen sind hier erst recht verpönt.
Nochmal: Tanlisten sind unsicher. Punkt. Ich entnehrme deinen bisherigen Äußerungen, dass du nicht hören willst, dass zu der Absicherung mit HBCI-Chipkarte oder Schlüsseldatei etwas mehr gehört als ein Passwort auf einem Stick. Schadensfälle sind mir aus der Schiene jedenfalls nicht bekannt.
Wenn Du aber unbedingt wechseln willst, dann geh zur Sparkasse oder Volksbank vor Ort und nutze das Chip-Tan-Verfahren. Bei beiden ( und bei vielen anderen auch) kannst du die csv-Datein sogar aus dem Internetportal erzeugen.
Wenn du meinst, die ach so praktischen Tanlisten weiter nutzen zu müssen, dann stelle dich darauf ein, dass du noch in 2011 von deiner neuen Hausbank Post bekommen wirst. Entweder wird das die Mitteilung der Abschaltung sein oder eine Haftungsfreizeichnungserklärung. Nur dass du es verstehst: Darin wirst du die Bank von jeder Haftung freistellen. Und das zurecht.

@ PeerTavori

Wie bereits Fellini geschrieben hat, sind Einschritt-TAN-Verfahren die unsicherste Möglichkeit überhaupt. Praktische alle Schadprogramme für den Bankingbereich sind auf das PinTAN-Verfahren spezialisiert, und bei den Einschritt-TAN-Verfahren (inklusive TAN-Listen) fehlt die Kontrollmöglichkeit durch den Kunden, da die abgefragte TAN keinen direkten Bezug zum Auftrag hat. Wenn man schon umbedingt mit dem PinTAN-Verfahren arbeiten möchte, sollte man auf jeden Fall ein Zweischritt-TAN-Verfahren wie mobileTAN / smsTAN oder ein Chipkartentan-Verfahren wählen, bei dem die Auftragsdaten in die TAN-Generierung mit einbezogen werden.

@ Nemo/Fellini: Durch wiederholen wird eine Aussage nicht klüger.

Kein Mensch bezweifelt, dass TANs eine relativ unsichere Sache sind. Die Sicherheit von USB- (oder sogar Festplatten-) gespeicherten Schlüsseln ist aber noch wesentlich grausiger. Selbst der dümmste Keylogger führt da sofort zum GAU.

Man treibt hier den Teufel mit dem Mega-Beelzebub aus, noch dazu mit einem untauglichen Verfahren, das eine zusätzliche technische Schnittstelle benötigt.

In unserem Fall werden wir sogar sehr erfinderisch sein müssen, denn ich habe noch keine Ahnung, wo ich den Schlüssel an einem Arbeitsplatz ohne USB-Port ablegen soll. (Vorausgesetzt ich werde jemals einen freigeschaltet bekommen. Bis heute haben die "Kompetenzträger" dies nicht geschafft) Ich habe sehr wenig Lust dazu, dies auf einem Netzlaufwerk zu tun, aber so wie es aussieht wird das wohl der einzige Weg sein, um bis zur Kündigung aller Konten mit dieser Bank weiter arbeiten zu können. DAS nenne ich unsicher.

Mein CoBa-Firmenkundenberater hat mir übrigens inzwischen einen sehr lustigen Vorschlag gemacht: Da weder er noch irgend einer seiner Kollegen (zentral gelegene CoBa-Filiale in einer deutschen Großstadt) sich mit Elektronik überhaupt auskennt, soll ich ihm doch einfach alle Überweisungen zufaxen. So viel zur CoBa-Kompetenz im electronic Banking. (Die SWIFT-Datensätze wird er wahrscheinlich vom Azubi abtippen lassen und uns per Telex schicken wollen.)

Bravo, Coba. Die Firma wird einem Staatsbetrieb immer ähnlicher, zumindest was das Kompetenzniveau angeht.

[quote="Nemo"]@ PeerTavori

Wie bereits Fellini geschrieben hat, sind Einschritt-TAN-Verfahren die unsicherste Möglichkeit überhaupt. P

Hallo Peer,

meiner Meinung nach solltest du eine Chipkarte zur Absicherung verwenden, auch wenn du das ausschließt, am besten sogar per EBICS-Zugang. Vorschlag: Die Fachleute der Bank(en) sollten mal mit den Entscheidungsträgern in deinem Betrieb über die Vorzüge und natürlich über die Sicherheit sprechen. Es sollte dann eigentlich kein Problem mit der Freigabe des USB-Ports geben.

Gruß
Raimund