Hallo,

ich wollte mal einen Fall eines Bekannten und fragen, wie das ganze eigentlich funktioniert.
Er hat eine ganz normale Überweisung getätigt, bzw. etwas auf ein anderes Konto von ihm beim selben Kreditinstitut umgebucht. Alles verlief so wie sonst auch, nur nach der Umbuchung wurder der Betrag nicht auf dem anderen Konto gutgeschrieben. Ihm kam es komisch vor, er wartete jedoch einen Tag bevor er sich bei der Bank meldete.
Das Geld wurde auf einem anderen Konto gutgeschrieben, Bankdaten kann er jetzt auf dem Kontoauszug ablesen, Name ist auch angegeben. Alles ist innerhalb Deutschlands geblieben, doch soll das Geld nicht zurückzubuchen sein. Die Bank sagt er sei Schuld, denn er habe einen Virus auf dem Rechner gehabt.
Ist der Fall wirklich so einfach zu bewerten? Habe bisher immer nur von Fällen gelesen und gehört, in den Kunden irgendwelche mysteriösen Links angeklickt haben oder ähnliches, was hier auszuschließen ist. Trägt die Bank da nicht auch eine Teilverantwortung ? Ist man privat oder die Bank eventuell dagegen versichert ?

Hallo!
Es sind sehr wenig Infos, die du uns gibst.
Pauschal kann man sagen, dass es tatsächlich Trojaner gibt, die die Daten einer Überweisung fälschen können, ohne dass der Benutzer das merken kann. Das ist ja der Grund, weshalb TAN-Listen abgeschafft werden.
Wer dafür die Verantwortung trägt ist anscheinend in Deutschland Geschmacksache des jeweiligen Richters.
Meiner Meinung nach ist das Sache des Kunden, denn der Trojaner arbeitet ja auf dem Kundensystem und der Kunde ist für sein System eigentlich selbst verantwortlich. Es gibt aber genügend Urteile, wonach die Bank "schuld" ist. Das wird teilweise sehr haarsträubend begründet. Kürzlich war die Begründung, dass der Kunde nicht ausreichend die deutsche Sprache beherrschte......

Wie auch immer. Objektiv liegt die Schuld natürlich bei denjenigen, die Trojaner verbreiten und sich später damit bereichern. Da man denen aber selten habhaft werden kann werden halt je nach Richter abwechselnd Kunde oder Bank schuldig gesprochen. Beobachter aus der Zukunft müssen auch denken, wir haben sie nicht mehr alle

Mein Tipp für deinen Bekannten: Er geht zur Polizei und erstattet Anzeige gegen Unbekannt. Dann schreibt er eine detaillierte Sachverhaltsdarstellung des Vorfalls (bitte genauer als hier vorgetragen) und reicht beides bei seiner Bank ein mit der Bitte (Ausrufezeichen! bloß nicht fordern sondern BITTEN) um Erstattung des Betrags im Rahmen der laufenden guten Geschäftsbeziehung.
Das würde ich dann mal ganz ergebnisoffen und sachlich abwarten. Je nach Ausgang gern hier nochmal fragen.

Viel Erfolg!

Also er benutzt das Smarttan-Verfahren, falls das irgendeine Rolle spielt. Was wäre denn noch wichtig zu wissen um sich ein Bild von der Sache machen zu können ?

Es gibt mindestens zwei verschiedene Smarttan-Verfahren.
Bitte schildert alles ganz genau der Bank wie ich geschrieben habe.

Bei den akteullen SmartTAN-Verfahren, die ich kenne, wird die Empfängerkontonummer in ein Gerät eingegeben (mit Tastatur oder optisch über einen Sensor). Dabei ist die Aufmerksamkeit des Nutzers entscheidend.

Kontrolliert er die Empfängerdaten nicht, also die Zielkontonummer, dann gibt es keine Sicherheit und ich persönlich würde in diesem Fall dann zumindest von einer Teilschuld ausgehen, insbesondere, wenn einem schon etwas "komisch" vorkommt und man dann noch einen Tag abwartet, um sich bei der Bank zu melden.

Das ist jetzt aber wirklich nur meine Meinung zu einer wahrscheinlichen Möglichkeit, wie es beim SmartTAN-Verfahren zu einem Schaden kommen kann. Ohne den Fall bis ins kleinste Detail zu kennen, kann man dazu leider nichts sagen. Die Bank wird diese Details - zur Not mit Hilfe des Rechenzentrums - klären.

Allgemein: Der Empfänger des Geldes muss ja das Geld zurückgeben. Ist das Geld innerhalb von Deutschland geblieben, dann hat man zumindest eine winzige Chance, etwas davon wieder zurückzubekommen.

Ich drück euch die Daumen,
Gruß
Raimund

Oder er hat noch ein altes, wo die TAN's nicht auftragsbezogen waren. Weiß man alles nicht. Gehört mit zu den vielen Details die man zur genauen Beurteilung wissen müsste.

Aber wie an ihn ran kommen? Der Auftraggeber kennt ja dessen zustellungsfähige Anschrift nicht und seine Bank auch nicht, wenn dies eine andere ist.
Müsste also im Zweifel im Rahmen einer Strafanzeige durch die Strafverfolgungsbehörde geklärt werden.

@easynote: Hat die Bank deines Bekannten eigentlich schon einen Rückruf versucht oder haben die pauschal gesagt, da geht nichts?

Also bei seinem Tan-Verfahren ist es noch so, dass es nicht auftragsbezogen ist. Er kann also nicht noch einmal nachprüfen, ob die Kontodaten alle die richtigen sind, wie man es beispielsweise bei den Tans per SMS hat. Er hat schon einmal mit der Abteilung seiner Bank, die sich mit den Gegebenheiten auseinandersetzt, gesprochen. Der Hacker soll ihm quasi ein "fiktives" Bild auf seinen Rechner geschickt haben, wo er die eigentlich richtigen Kontodaten eingegeben hat. In der Realität hat jedoch der Hacker die Daten eingegeben. Genau durchblicken tue ich da nicht, so hat er mir dies jedoch geschildert.
Also Kontodaten von der Person, an die das Geld gegangen ist, hat er. Es ist die selbe Bank, bei der er auch ist. Das Geld wurde dort jedoch schon abgebucht. Die Polizei meinte, dass die Inhaber des Kontos meistens Drogenabhängige wären, die das Konto für jemanden eröffnen, der ihm einen Schuss ermöglichen.

Schonmal vielen Dank für eure Hilfe!

Bist du da sicher? SmartTAN ist meines Wissens eher eine Bezeichnung der genossenschaftlichen Banken und die Einfach-TAN ist da halt so gut wie ausgestorben. Um welche Bank geht es denn?

Bei der gleichen Bank ist der Empfänger=Geldwäscher? Immerhin habt ihr Glück, dass der nicht im Ausland sitzt. So wie ich gehört habe sind das eher seltener Drogenabhängige sondern meist gierige oder verzweifelte Leute, die auf dubiose "Einfach-mit-wenig-Arbeit-schnelles-Geld-Verdienen-Angebote" reingefallen sind.
Lesetipp: https://www.a-i3.org/content/view/937/211/
bzw.
http://www.anti-geldwaesche.de/

Gruß
Raimund

Also ohne die genauen Details können wir hier wirklich in alle möglichen Richtungen spekulieren.

Pauschal würde ich sagen, sofern es sich um eine Bank handelt, die bewusst die unsicheren Verfahren wie TAN/iTAN einsetzt, so kann eher mit einer Erstattung gerechnet werden. Für die Bank ist die Erstattung dann quasi günstiger als die Einführung eines neueren Verfahrens.

Sofern es aber per SMS aufs Handy oder über den TAN-Generator lief, so kann dem Geschädigten meiner persönlichen Meinung nach eine Mitschuld gegeben werden, da er vorhandene Sicherheitsmerkmale nicht genutzt hat.

Und wie Raimund schon sagt. Es handelt sich idR um gutgläubige Menschen, die sich zu Finanzagenten machen lassen.

Dass das Geld vom Empfängerkonto abgebucht wurde, bedeutet lediglich im Sinne des Überweisungsgesetzes, dass die Bank den Betrag nicht zurückbuchen darf. Es sollte auf jeden Fall Strafanzeige erstattet werden und ich drück euch die Daumen, dass bei dem Kontoinhaber noch was zu holen ist !

So eine pauschale Aussage ... TAN/iTAN ist dann unsicher, wenn der Kunde, der es benutzt, keine Sorge walten lässt. Ansonsten ist TAN/iTAN sicher.

Da können wir dann auch direkt sagen, dass die neuen Verfahren unsicher sind, wenn er sein Smartphone mit Apps zu ballert die er sich zuvor über das Internet angeschaut hat. Die passenden Medienberichte gibt es ja schon.

Der Nachteil des ganzen ist nämlich, dass den meisten Kunden überhaupt nicht bewusst ist, dass ihr Smartphone nichts anderes ist, als ein tragbarer Klein Computer mit dem sie auch telefonieren können.

Die Kunden machen sich nämlich über ihr Smartphone noch weniger Gedanken bezüglich der Sicherheit, als über ihr Computersystem, und da auch schon zu wenig.

Insofern, bitte nicht immer die TAN/iTAN Verfahren als unsicher darstellen, die Verfahren an sich sind nicht unsicher !

Energischer Einspruch, Euer Ehren!
iTAN hat faktisch ein Manko bei man-in-the-middle Geschichten. Und zwar deshalb, weil der Nutzer eine Kompromittierung nicht erkennen kann.
Das ist für mich ein ganz klarer Sicherheitsnachteil zulasten des Verfahrens an sich.
Deshalb finde ich iTAN schon unsicher.

Bei chipTAN und smsTAN kann man die Manipulation erkennen, denn dann stimmt die Rückmeldung nicht mehr.

Und das ist systemisch bedingt, hat mit dem Nutzer nichts zu tun.

Man in the Middle ... der taucht aber doch genau dann auf, wenn man ihn reinlässt, jetzt mal von den aufwendigen Trace und Mirror Plattformen abgesehen. Kurzum, der Kunde hat was auf seinem System und das kommt nicht von irgendwo her, sondern er hat sich eingefangen oder Unbefugten Zugriff auf seinem System gestattet. Richtig ? Oder falsch ?

Ich rede von den Verfahren, nicht von der Manipulationserkennung. Wenn es um die Manipulationserkennung geht, da sind wir ja dann schon durch die Frontdoor durch. Gerade im Bereich von smsTAN vertun sich die Banken ganz ganz gehörig in Bezug auf Sicherheit. Da komme ich dann aber in ca. 6-10 Monaten darauf zurück, denn dann wird es auch der derjenige verstanden haben, dass Cross-Apps ohne weiteres nicht nur PC sondern auch Smartphones kapern können ( und dann kann er im übrigen eine Kompromittierung auch erstmal nicht erkennen).

Ganz klar, auch das passiert nur, wenn der Nutzer sich irgendwas eingefangen hat.

Fakt ist : Fängt er sich nichts ein, ist seine Leitung nicht kompromittiert , sprich kein Trace, keine Umleitung auf einen Mirrorserver, keine Veröffentlichung seiner TAN Nummern in seiner Facebook-Wall, keine Spyware, kein Phishing, ... , dann ist doch wohl TAN und iTAN nicht unsicher ? Korrekt ?

Ich sprach von der Sicherheit der Verfahren an sich, ABER ... obnutzer, Du scheinst es bereits abzuwiegen, wie sicher sind die Verfahren bei "was-wäre-wenn" in Bezug auf die kundenseitige Erkennung ob kompromittiert oder nicht. Aber dann sind wir doch bereits schon mittendrin.

Oder ?

Ja, das ist natürlich auch richtig.
Ich ging jetzt vom aktuell vorliegenden Bedrohungsszenario der Praxis aus und nicht von allem, was denkbar wäre. Denn alles was denkbar wäre abzusichern würde dazu führen, dass das Internet komplett geschlossen werden müsste.


Ich wiege nur danach ab, was praktische Relevanz hat.
Denn wie gesagt: Wenn ich alles einbeziehe was technisch möglich und denkbar ist, würde ich Onlinebanking komplett abschaffen müssen.

Stimmt wohl

Ja das ist richtig, hilft uns aber nicht weiter. Es bringt mir als Bankmitarbeiter keinen Nutzen zu wissen, dass im Idealfall nix passiert.

Dass die TAN-Verfahren technisch(!) nicht unantastbar sein können, wissen wir alle. In der täglichen Praxis wird also die Möglichkeit, einen Betrug zu erkennen, zum wichtigsten Merkmal. Daher werde ich TAN/iTAN weiterhin als unsicher bezeichnen, einfach weil in der Praxis ständig wieder irgendwelche Kunden von Trojanern befallen werden.

Und genau deshalb werden sich auch die TAN-Verfahren weiter entwickeln. Weil technisch versierte Kunden/Menschen wie Du leider die Minderheit sind.

Gruß

Volle Zustimmung, zimmi, sehr gut ausgedrückt!

Schon klar, aber es ist euch schon bewusst, was ihr macht oder ?

1. Nun im Visier der Trojaner und Malware Programmierer : PC "UND" Smart-Phone ( cross-datamining, damit lassen sich in Zukunft auch direkt noch ganz neue Profile seitens der Malwarer und Phisher erstellen, das nur mal am Rande ) und da der Nutzer sich das Zeug ohnehin schon auf seinem PC eingefangen hat, was spricht dagegen das er sich nichts mit seinem Smartphone einfängt ? Ganz im Gegenteil, durch das Smartphone wird es nämlich erst richtig leicht, die Hintertür zum Benutzer aufzuschliessen. [Und wie gesagt, in Zukunft wird man diesbezüglich sicherlich noch schönere Quellen an derartige Postings anhängen können, wir sind ja erst am Anfang des Ganzen]
2. Wie oben bereits erwähnt, anstatt dem Benutzer (endlich) klarzumachen, dass er Sorge walten muss über sein System, gibt man ihm jetzt ein neues Kind an die Hand und sagt ihm, durch die zusätzliche Nutzung seines Smartphones oder Mobiltelefones ist er jetzt sicher ( ja nicht sicherer, sondern wenn ich mir manche Werbeprospekte anschauen, muss dieser Nutzer der ja blauäugig mit seinem PC bis dato umgegangen ist, denken, nun ist er endlich auf der sicheren Seite ) Resultat : Nutzer kann endlich wieder weniger Sorge walten lassen, denn genau das werden viele denken, wenn auch nur unterbewusst.
3. Durch die unterschwellige Akzeptanz des Smartphones, klatschen natürlich die Unternehmen wie Google jetzt schon in die Hände, verkümmert das Kind namens eWallet oder auch Wallet bis dato vor sich hin.

Man kann sich streiten, ohne Frage. Aber ich muss mir die Frage stellen, was hat das Smartphone, was nichts anderes ist als ein PC mit Modem salopp gesagt, im Zahlungsverkehr zu suchen ? Meiner Meinung nach nichts, aber dafür ist es zu spät, logo. Und wenn die Orga einmal beschlossen hat, wohin der Weg führt, wird er auch gegangen.

Es bleibt nur zu hoffen, dass der Bumerang kein grosser sein wird, der da eventuell auf seinem Weg zurück ist.

Das sagst du so einfach! Was soll denn eine Bank deiner Meinung nach tun? Wir können und wollen vor allem auch gar nicht die PC-Verhältnisse unserer Kunden kennen, überwachen oder was auch immer... Ist auch nicht die Sache der Banken, oder?

Und mal ehrlich: welcher Normal-User blickt da heute noch durch? Wir können ja schlecht von jedem Kunden erwarten, dass er ein IT-Spezialist ist, oder? Das Ganze wird doch immer komplizierter...

Deshalb versuchen die Banken den Kunden ein so sicheres Verfahren wie möglich anzubieten, und da zählen auch meiner Meinung nach TAN-Listen im allgemeinen nicht dazu!

MobileTAN ist nicht die Allround-Lösung, aber das ist SmartTAN oder ChipTAN auch nicht... Ein bisschen Aufmerksamkeit des Users gehört immer dazu - aber wir wissen alle, dass es da draussen auch genügend DAU's gibt... Stellt sich bloß die Frage: ist das deren Schuld????

.....welches kostenmäßig im Rahmen bleibt und vom Durchschnittsnutzer auch bedienbar und beherrschbar ist müsste der Satz auch noch weitergehen.

Womit wir wieder beim Thema wären. Denn die neuen Verfahren bieten dem Benutzer zumindest die Möglichkeit, einen falschen Auftrag zu erkennen. Deswegen allein sind sie schon als sicherer als iTAN zu bezeichnen. Ob das jeder auch so nutzt ist eine andere Frage. Und dass man damit nicht sämtliche denkbaren heutigen und zukünftigen Bedrohungsszenarien abdeckt ist auch klar.
Aber wenn du die Sicherungsmedien noch sicherer machst werden sie zu teuer oder können vom Benutzer nicht mehr bedient werden, weil der dafür erst ein IT-Studium braucht.

Ich geb dir Recht, Smartphones haben meiner persönlichen Meinung nach auch nichts im Online-Banking zu suchen. Weil ich die Hintergründe und Absichten des Verfahrens kenne.

Jetzt musst du aber berücksichtigen, dass die mobileTAN nicht mal eben von "uns" aus dem Hut gezaubert wurde, sondern diesen Entscheidungen ein jahrelanger Prozess voraus geht. Der Zentrale Kreditausschuss muss erstmal deutschlandweit für alle entscheiden, dass ein solches Verfahren eingeführt werden soll. Dann reagieren die Bankverbände darauf, dann müssen die Rechenzentren den Kram entwickeln... (ich wüsst gern mal, was aktuell für Verfahren in der gedanklichen Pipeline stecken).

So, (übertrieben gesagt) Jahre später ist die mobileTAN fertig und direkt springen Kunden mit Smartphone und Internet-Flat drauf und ruinieren direkt den gewollten Medienbruch(!). Und ich denke mir: Mensch das Verfahren ist für stinknormale Handys gedacht und nicht für eure Taschencomputer ... =(

Eine Banking-App kann die mobileTAN unterdrücken, klar. Aber mir sind aktuell keine Möglichkeiten bekannt, zu merken, dass der Kunde die Webseite nicht von daheim sondern über das Smartphone öffnet. Definitiv nicht im Sinne der Banken... aber was sollen wir tun?

Ich bewerte es beim Thema mobileTAN-Trojaner noch positiv, dass das Teil nur mit äußerst aktiver Mithilfe des Nutzers auf dem Smartphone landen kann. Erst PC infizieren, dort Angabe des Smartphone-Typs und was weiß ich, erst danach die Infizierung des "Handys"..