Ich finde es auch lästig. Aber genau so lästig finde ich, wie leichtfertig damit dauernd auf beiden Seiten umgegangen wird. Ich sehe es halt aus einer ganz anderen Sicht.
In der Industrie wurden die Autohersteller einfach verpflichtet, Gurte in die Autos einzubauen.
Wieso verbietet niemand den Softwareherstellern das Speichern von Zugangsdaten? Dann wäre endlich Ruhe. Benutzer würden nicht in Versuchung geführt und Hersteller bräuchten sich nicht mehr rechtfertigen und Banken könnten die Beweislast endlich wieder dort hin abgeben, wo sie hingehört, nämlich zum Benutzer.
Der Benutzer bringt freiwillig ohnehin nicht die notwendige Vernunft auf wie die damalige Gurt-Debatte zeigte.
Und wenn ich die Leute so erlebe denke ich ohnehin, denen ist ihr Geld wichtiger als ihre Gesundheit. Also warum soll dieses Thema mit zweierlei Maß gemessen werden?

@hibiscus
Danke für den Hinweis. Das ist natürlich ein sehr gutes Argument, aber dem bisherigen Threadverlauf konnte man das nicht entnehmen.

Ausprobiert habe ich es noch nicht, da ich mich bisher nicht getraut hatte, umzusteigen.

Es gibt genauso das schlüssige Argument, das in einigen Fällen die ständige PIN-Eingabe gefährlicher ist, als diese über ein Programm zu verwalten. Gerade bei der heute üblichen TAN-Nutzung über Chip oder SMS ist das für mich nachvollziehbar.
Es ist ja auch ziemlich egal, wie die Passwörter ausgelesen werden.

Ich habe nichts gegen Programme, die dem mündigen Nutzern (!) nach entsprechender Warnung (!) dies ermöglichen. Schlussendlich kann dann jeder mit etwas Nachdenken nachvollziehen, wo auf seinem System die Risiken sind und sich vernünftig überlegen, ob er sich im Schadensfall mit einer Bank anlegen will.

Eine Bank kann und ein Mitarbeiter darf natürlich nicht anders argumentieren - ein Softwareprogrammierer darf aber durchaus eine andere Meinung haben.

Aber zu dem Thema sollten wir einen eigenen Thread eröffnen, damit wir schön streiten können Wir müssen damit nicht Hibiscus belasten...

Gruß
Raimund

Raimund, was mir an deinem Text fehlt ist die Berücksichtigung, dass es sich hierbei um eine vertragliche Vereinbarung zwischen Kunde und Bank handelt. Das Thema wird hier oft als Ansichtssache dargestellt, als ob es allein darum ging, ob jemand das Risiko verantworten möchte oder eben nicht.
Das stinkt mir irgendwie richtig. Was ist mit Vertragstreue heutzutage?
Ist das wieder so ein "hast ja Recht aber lass mich in Ruhe" Ding?
Ist es in Zeiten, wo sogar ein BuPrä und ein Papst (!!!!) zurücktreten "out", sich an Vereinbarungen und Verträge zu halten? Ist es das, was uns die hohen Herren mit ihren Rücktritten vorleben?

Und wenn das Kind dann in den Brunnen gefallen ist wird sich rausgeredet. Man hätte die Bedinungen nicht gekannt, man könnte sie nicht lesen, man könnte zu wenig Deutsch, man wäre nicht drauf hingewiesen worden und vor allem der Spruch "die Software bietet es ja an". Dieser ganze bekloppte Verbraucherschutz heutzutage basiert genau darauf. Man nimmt dem "mündigen" Bürger sämtliche Verantwortung für sein Leben ab (mit einer Ausnahme: wenn er Steuern bezahlen soll) damit er nach seinem Gusto frei entscheiden kann, wie er sich verhält und verlagert es auf andere. Was soll das? Und vor allem wo soll das enden? Bekommt demnächst jeder ein Verzeichnis in dem er alphabetisch nachgucken kann, wer Schuld ist am aktuellen Problem?

Kannst diesen Teil gern in einen eigenen Thread abtrennen. Ich würde das gern noch weiter diskutieren. Denn irgendwann einmal würde ich es insgesamt auch gern nachvollziehen können. Das kann ich derzeit nicht ansatzweise.

Du willst doch wohl jetzt nicht ausgerechnet von der Bankenseite mit irgendwelche moralischen Fragen argumentieren, oder? Verdammt, wenn die Banken sich an moralischen Fragen orientieren würden, hätten wir viele Probleme nicht...

Mir geht es um das sinnlose und blinde Verfolgen von Regeln. Es wäre halt unmöglich, in den Sonderbedingungen sowas schwammiges zu schreiben:
Bei entsprechend abgesicherten Programmen und verantwortungsvollem Umgang mit der Hardware ist das Speichern der PIN aus Sicherheitsgründen manchmal zu empfehlen...
Das geht halt einfach nicht, weil bei Rechtsfragen eindeutige Vorschriften nötig sind.

Genau der verantwortungsvolle Umgang, den du ja eigentlich forderst, fordere ich auch. Nur halt nicht aus dem Grund, nur weil es in den Sonderbedingungen steht.

Allerdings: Wie ich schon schrieb: Die Bank kann es nicht anders regeln. Jedes Handeln gegen die vertraglichen Bedingungen verschiebt im Schadensfall die Haftungsfrage zu Ungunsten des Kunden.

Andere Seite: Realität.
Wie sieht denn die Technikfrage aus:
Ich kann mir kaum einen Fall vorstellen, bei dem eine gespeicherte PIN - außer in Fragen des Datenschutzes - im PIN&TAN-Verfahren einem potentiellen Betrüger einen Vorteil verschaffen würde. Eher im Gegenteil: Die ständige PIN-Eingabe ist durch das Auslesen von Formularfeldern eher einfacher, als das komplette Hacken einer Software.
Denn wenn der Betrüger im Programm schon alles machen kann, dann bleibt als Sicherungssystem die TAN. Und hier muss höchste Sicherheit gelten, hierauf muss geachtet werden!

@Raimund: :thup: :thup: :thup:
Klasse zusammengefasst.
In meinem SFirm sind alle Pins hinterlegt. Ansonsten wäre der Rundruf bei mehreren Zugängen Zugangsverfahren und über 50 Konten auch eine Qual.
Ihr könnte mir aber glauben, dass weder die EBICs-EU noch meine EC-Karte niemals unbeaufsichtigt in die Nähe meines PCs kommen.

Ja, ich kenne unsere Bankingverträge und bin mir meiner Sünde bewusst. Ich weiß aber auch, für welche Dumpfbacken wir (und wohl alle anderen Banken auch) gröbstens fahrlässig verursachte Schäden über die Haftungsfonds erstattet haben. Hier würde ich mir wünschen, dass der eine oder andere Depp mal tatsächlich für seine Dummheit bezahlen müsste. Das wird aus Marketinggründen wohl leider nur ein frommer Wunsch bleiben.

CU
Frank

Finde eure Argumente völlig OK.
Auch die Klarheit, mit der Fellini es auf den Punkt gebracht hat finde ich gut. Hätte ich mich nicht getraut, hätte wieder geheißen, man würde Benutzer flamen und so ein Quatsch.

Aber: Dann sollte man die Realität erkennend die Bedingungen ändern und das Haftungsrisiko sowie die Beweispflicht auch wieder dem Kunden übertragen, wo es hin gehört. Man kann sich nicht nur die Rosinen rauspicken.
Und aus der Haftung sein und die Regeln nicht einhalten geht nicht!

Im Moment ist es eine verdrehte Rechtslage die nicht so gelebt wird, das finde ich nicht in Ordnung.

Nein, die Beweispflicht auf den Kunden zu übertragen ist nicht die richtige Lösung. Der Kunde kann und darf nur für das verantwortlich sein was er auch vollständig selbst kontrollieren kann.

Es spricht nichts gegen die PIN-Speicherung in einer Anwendung, aber dann muss die Anwendung sowie die Nutzung der PIN entsprechend abgesichert sein.
Würde es ein zuverlässiges und einheitliches System geben, bräuchte man seine PIN auch nicht zu speichern sondern könnte z.B. alles mit EINER Chipkarte und einer PIN regeln.

Ich glaube, das ist komplett unrealistisch, dann dürfte man garkein Onlinebanking anbieten. Viele sind ja schon mit der Installation von Windows-Updates geschweige denn der Installation eines Virenscanners überfordert.


Und was heißt "abgesichert" genau?
Das zuverlässige und einheitliche System gibt es übrigens bereits: EBICS
Da kommen wir aber jetzt in die Diskussion, dass Onlinebanking auf sichere Art und Weise Gebühren kosten würde.
Und das darf es ja auch nicht.

Der Kunde darf also nichts für Sicherheit bezahlen müssen, keine Verantwortung für sein System tragen müssen und niemals Schuld sein. Hmmm, schwierig.

Richtig, es ist die Aufgabe der Bank, die Kommunikation zwischen ihr und dem Kunden abzusichern.

Nachtrag: Mit "absichern" ist gemeint, das die PIN nicht ohne eine weitere Legitimation verwendet werden kann.

Jetzt haben wir die Kernfrage: Was ist "abgesichert"?
Die Antwort auf diese Frage verändert sich ständig. Denkt mal 10 Jahre zurück. Tanlisten waren klasse. MITM war zwar theoretisch bekannt, aber Lichtjahre von der Praxis entfernt.
Die Maßstäbe verschieben sich ständig und letztendlich entscheiden Verbraucher, Gerichte, Betriebswirte und Marketingabteilungen (Reihenfolge bitte nach Gutdünken anpassen) täglich neu.

Ich betreibe Onlinebanking immer noch mit einer alten WISO Mein Geld-Version, die ich von meiner Bank! zum Sonderpreis gekauft hatte! Dort gibt es einen Datentresor, in dem man seine PINs speichern soll.

Wenn meine Bank diese Software selbst vertreibt, werde ich die doch nutzen dürfen.

Im übrigen kann ich ja trotz Speichermöglichkeit z. B. mein gesamtes Benutzerverzeichnis verschlüsseln. Damit bin ich ja wohl sicherer unterwegs, als jemand, der ständig neue seine PINs eingeben muß (wo notiert er sich die?) und jedem Keylogger aufsitzen kann.

Alle Argumente haben ihre Berechtigung, kann ich auch alle nachvollziehen. Und sie sind auch Realität.

Sieht denn an dieser Stelle niemand außer mir Handlungsbedarf, die vertragliche Situation an die tatsächliche anzugleichen?

Dochdoch, hab ich ja indirekt geschrieben.

Es ist ein grundsätzliches Dilemma, dass die Vorschriften und Regeln (Sonderbedingungen) für das schwächste Glied einer Sicherheitskette geschrieben werden - und viele viele drunter "leiden" müssen - und damit meine ich Banker und die vielen Kunden, die sich mit der angebotenen Sicherheitstechnik auseinandersetzen müssen.

Die juristisch belastbare Formulierung ist wohl die Crux an der Sache. Mir wäre z.B: eine Formulierung am liebsten: TAN bestätigen Aufträge. Bitte denken Sie vor der Eingabe einer TAN zweimal mit gesundem Menschenverstand darüber nach, ob Sie diesen Auftrag wirklich so von der Bank ausgeführt haben möchten. Kontrollieren Sie vor der Eingabe alle von der Bank zur Verfügung gestellten Informationen und überlegen Sie, ob dieser Auftrag wirklich so ausgeführt werden soll. Es existieren keinerlei Testüberweisungen, bei denen irgendwelche Beträge als Testaufträge bestätigt werden müssen. Wenn Summen zu Aufträgen angezeigt werden, dann wird auch Geld gebucht...

@Kleinsparschwein: Das Speicherverbot steht vermutlich trotzdem in den Bedingungen deiner Bank. Gemeint ist aber eher nicht ein verschlüsselter Datentresor, sondern das von Viren oder Kollegen einfach auslesbare Browserformularfeld. Da keine Bank dies aber so in die Formulare schreiben kann, geht sie auf Nummer sicher, und verbietet das Speichern generell. Tja: Und sie kann auch nicht anders - und ein Bankmensch darf im Namen seiner Bank auch nichts anderes sagen ohne sehr deutlich darauf hinzuweisen, dass der/die zu beratende KundIn gegen die Verträge handelt und auf eigenes Risiko handelt.

Gruß
Raimund