Hallo zusammen,

soeben hat mir ein Firmenkunde mitgeteilt, dass er seine vollständigen iTAN-Listen der DKB und Diba sowie die HBCI-PIN in SFirm gespeichert hat.

Von dieser Arbeitsweise habe ich ihm aus Sicherheitsgründen vollständig abgeraten.
Meine Argumente haben ihn überzeugt und massiv zum Nachdenken angeregt.

Wie kann es einem Kunden verargumentiert werden, dass er die PIN und alle TANs in einer Software speichern soll?

Ich freue mich auf eine kontroverse Unterhaltung.

Normalerweise sollte ein Firmenkunde EBICS machen. Dann fällt dieses ganze Gehampel mit dem Kinder-Pin/Tan weg.
Wenn das aus Kostengründen ausscheidet wenigstens HBCI Chipkarte, damit das Argument wegfällt, dass für jeden Auftrag eine TAN eingegeben werden muss.
Ansonsten ist das Argument gegen eine Speicherung ganz unzweideutig in den Onlinebanking Nutzungsbedingungen der Bank geregelt: elektr. Sicherungsmedien dürfen unter keinen Umständen gespeichert werden.
Wer es dennoch tut verhält sich grob fahrlässig und schaut im Schadenfall in die Röhre. Wenn er das Risiko tragen will wird man ihn davon vermutlich kaum abhalten können. Ansonsten versuch mal einem Raucher das Rauchen abzugewöhnen

Dieses Argument leutet ein und erschlägt jeden Einwand.

Aber warum bietet SFirm dann überhaupt eine solche Funktion, wenn es damit gegen die Bedingungen des eigenen Hauses verstößt?

Ergänzung:

OB die DKB EBICS anbieten kann ich nicht sicher sagen. Die Diba jedenfalls ziemlich sicher nicht.

Im HBCI-Bereich gibt es bei der DKB lt. Aussage der Bank keine Alternative zur iTAN-Liste.

Weil die Kundschaft das wünscht vielleicht? Weil auch Automobile angeboten werden, mit denen man schneller als 10km/h fahren KANN, obwohl man damit auch an den Brückenpfeiler donnern kann? Gottlob hat man im Leben immer noch eine gewisse Wahl, auch die, Gefahren einzugehen, wenn man es denn wirklich will.

Ich würde auch keine TANs in der Anwendung speichern, das ist klar. Aber eine Anwendung, wo ich bei der Abfrage von vielleicht einer größeren Anzahl von Konten bei jedem jedes Mal die PIN eingeben müßte, würde ich nie verwenden.

Abgesehen davon... das Speichern von TANs ist ja nur noch ein Randproblem, da die überwiegende Mehrheit der Banken garkeine TAN-Listen mehr verwendet. Warum die DKB nicht den normalen Weg von FI mitgeht und die moderneren TAN-Verfahren anbietet versteht sowieso niemand...

Grüße, Michael

Weil der Hersteller einer Software vordergründig die Wünsche des Kunden erfüllen will. Und der Hersteller hat ja mit den Bedingungen zwischen Kunde und Bank nichts am Hut.


Das muss sie können:
http://www.ebics.de/

SFirm war nicht immer ein Produkt der Starfinanz und diese nicht immer eine Tochter der FI.
Aber selbst wenn die Software direkt aus dem Hause der FI kommt ist es ja immer noch eine Sache eines jeden Instituts selbst, die Bedingungen mit dem Kunden zu vereinbaren.
Autohersteller bauen die Gurte ja auch dann ein, wenn das Auto nicht unbedingt in ein Land verkauft wird, wo es Gurtpflicht gibt.

Gibt es eine Bank in Deutschland welche es erlaubt, die PIN und alle iTANs in einer Software abzuspeichern?

Kann ich mir nur sehr schwer vorstellen........

Explizit erlauben bestimmt nicht.
Aber wenn nirgendwo steht, dass man es nicht darf, ist man auch nicht grob fahrlässig, wenn man es tut.
Braucht nur irgendwo mal ein Jurist pennen, schon ist es vergessen.

bei einer TAN-Liste wäre es evtl. sinnvoll nur eine gewisse Anzahl in die Liste aufzunehmen.
bei iTAN muss die ganze Liste eingegeben werden, da der Bank-Server ja aus dem kompletten TAN-Pool seine Zufallszahl ermittelt.
(alternativ würde ja nur manuelle Eingabe funktionieren)

Des weiteren sollte man bedenken, dass die Software-Variante lt. div. Zeitschriften/Tests sicherer sind als Onlinebanking über Browser.
Die Banken bieten diese Software zum Verkauf usw. an.

jede Methode, selbst der Überweisungsträger am Schalter ist unsicher (meines erachtens am unsichersten) denn eine "Unterschrift ist schnell ähnlich" aufgebracht, um Geld abzuziehen.


Am wichtigsten ist somit immer noch "Brain", eine entsprechende Virensoftware+Abo+Konfig. oder wie oe. HBCI-Karte oder EBICS.
des weiteren empfehle ich das Tageslimit zu senken, da hier die Banken oft sehr (zu) großzügig mit umgehen.

Das würde ich nicht empfehlen, weil sich die Beträge der Trojaner bisher immer im "tagesüblichen" Bereich bewegt haben. Setzt man also das Limit tief genug hat man selbst und auch die Bank dauernd den Mist mit der Limiterhöhung. Setzt man es so hoch, dass man selbst arbeitsfähig bleibt, hilft es nicht mehr gegen Trojaner.
Insgesamt wenig erfolgversprechend aus meiner Sicht.

div. Banken setzen das Tageslimit (bspw. auf 50.000 Euro), wenn man sodann nur max. 3-8.000 Euro (für Überweisungen) benötigt, ist das Limit doch obsolet.

denn was ist einem lieber - ein evtl. Schaden von 8.000 Euro oder 50.000 Euro.

...war nur eine "abschließende Randbemerkung", muss ja jeder selber wissen was man macht - nur dies wird oft vergessen und später wundert man sich.

Abgesehen von der Frage wie wahrscheinlich ein Trojaner bei SFirm ist wäre hier die Frage, wie wahrscheinlich ein Trojaner ist, der so hohe Beträge verfügt. Ich habe noch keinen gesehen. Und das war ja der Kern meine Aussage. Entweder bleibst du mit hohem Limit selbst handlungsfähig (es geht hier um einen Firmenkunden, der hat nicht nur 100 Euro Überweisungen...) oder du musst ständig von der Bank das Limit ändern lassen.

Ein Limit schützt nach meiner Beobachtung generell höchstens vor der eigenen Unaufmerksamkeit (versehentlich zu viele Nullen eingetippt oder Komma vergessen) aber nicht gegen Trojaner. Man wiegt sich damit in getäuschter Sicherheit.

Übrigens, @infoman: obsolet heißt überflüssig. Da du für und nicht gegen ein Limit bist scheint der Satz "ist das Limit doch obsolet" nicht ganz deine Meinung auszudrücken oder hast du dich umentschieden?

@obnutzer
da sieht man mal wieder, wie man manche Dinge unterschiedlich auffassen kann/will.
das 50.000er Limit wird doch nie greifen und somit überflüssig, wenn man in der Regel (in meinem Beispiel) nur 3-8.000 Euro transf.

wobei wir aber mit diesem "Nebenschauplatz" vom Thema abkommen, denn es gibt vorrangigere Methoden die oben auch erw. wurden.

Nicht ganz
Der Vorschlag mit 8000 oder 3000 ist genau so sinnlos. Das Risiko, dass eine Transaktion wegen Überschreitung des Limits oder des Kontostands oder einer Zufalls-/ Betragskontrolle hängen bleibt ist für Trojaner viel zu groß. Die handeln nach dem Prinzip "wenn man zum Zuge kommt muss das auch klappen". Daher bleiben die alle im dreistelligen und niedrigen vierstelligen Bereich.

Und das ist genau das Problem: Für einen sinnvollen Schutz gegen Trojaner müsste man das Limit dreistellig setzen. Aber damit ist man schon als Privatkunde nahezu handlungsunfähig, erst recht als Firmenkunde.

das ist deine Vermutung, die in meinen Augen absolut falsch ist, denn eine Verfügbarkeitsprüfung wird (wenn) durchgeführt und in entsprechender Höhe verwendet.

wenn 10.000 Euro auf der Strasse/Fussgängerzone liegen, nimmt man doch nicht nur 500 Euro mit :?

Nein, meine Erfahrung und Beobachtung. Ich habe mit dem Thema mehr zu tun als mir manchmal lieb ist
Wenn du definitiv einen Trojaner kennst, der mehr verfügt, nenne ihn mir bitte.


Unpassender Vergleich denn in dem Fall weiß ich ja, dass ich 10.000 haben kann. Ein Trojaner weiß das nicht, weil er das Limit und den Dispo i.d.R. nicht abfragen kann. Der ist darauf angelegt, unauffällige Beträge zu buchen, die das kleinste Risiko besitzen, irgendwo hängen zu bleiben.

Aber wir sollten hier keine Details zur Arbeitsweise von Trojanern breit treten.
Es ist für SFim einfach zu unwahrscheinlich, als dass sich die Diskussion lohnen würde.

Hier muss ich ausnahmsweise obnutzer deutlich wiedersprechen,
Limite machen Sinn und helfen Fälle zu verhindern und/oder den Schaden zu verringern.

Grundsätzlich sollte jedem Kunden ein Limit verpasst werden, dass seinen "Normal-Beträgen" entspricht und Ausnahmen sollten zeitlich befristet eingestellt werden.

Fast alle aktuellen und leider technisch ziemlich ausgereiften Trojaner "mißbrauchen" die Bankingfunktion "Kontostandabfrage" bzw. fragen sogar zunächst den "verfügbaren Betrag" ab. (Kontostand + Dispo)
Anschliessend wird dieser Maximalbetrag geringfügig gesenkt und als Überweisungsbetrag angegeben z. B. bei der Rücküberweisung oder der Testüberweisung.
Wir hatten schon versuchte Betrugsüberweisungen von über 18.000,00, die dann aber nicht ausgeführt werden konnten wegen dem Limit.
Jeder einzelne Schritt lässt sich aber im Bankrechner nachvollziehen. Was wohin überwiesen werden sollte...

Eindeutig lässt sich sogar oft feststellen, dass der Trojaner erst aktiv wird, wenn seine Kontoprüfung ergeben hat, dass es sich "lohnt", meist erst ab 1000,00 EUR.

Zum eigentlichen Thema:
TAN-Listen sind generell am Thema vorbei, diese dann auch noch zu speichern macht es halt noch einen Schritt "schlimmer".
Banken, die diese veraltete und längst nicht mehr sichere Technik anbieten, sollte man da ohnehin auf die Füße treten.

Die PIN in SFirm z. B. nur für den Rundruf zu speichern sehe ich dagegen als recht unkritisch.
a) wird sie verschlüsselt gespeichert
b) kann damit allein kein Geld bewegt werden
c) bei 20 Zugängen mit 50 Konten wird es einfach sonst auch lästiger den Rundruf zu starten

In der Hoffnung, dass es jetzt nicht wie eine Ausrede klingt aber ich ging davon aus, dass mittlerweile alle Banken die Dispoabfrage abgeschaltet hätten. Zumindest bin ich bei keiner Bank Kunden die das zulässt, überall sind nur Kontostandsabfragen möglich die keine Rückschluss auf den verfügbaren Betrag zulassen. Wenn das natürlich noch geht sieht die Sache ganz anders aus, dann stimme ich dir zu und halte ein Limit auch für sinnvoll.
Im übrigen ging ich - insbesondere bei Firmenkunden - davon aus, dass nur äußerst selten und zeitlich stark limitiert höhere Guthaben auf einem Girokonto liegen.
Muss ich mich relativieren :roll:

Das ist ja auch keine Ausrede und auch für viele Bankengruppen/Einzelinstitute korrekt

Die Funktion "verfügbarer Betrag" wird in der Tat immer mehr eingeschränkt, heißt verschwindet bei immer mehr Banken und Sparkassen.
Aber in dem Fall orientiert sich der Trojaner dann zur Not am Kontostand.
Z. B. Guthaben 10.165,45 EUR -> versuchte Betrugsüberweisung z.B. 10.045,35 EUR.
Kontostand Soll -2.300,45 - heißt meist, dass der Trojaner in diesem Fall nichts macht und einfach wartet, bis vielleicht mal Guthaben da ist.

So, jetzt aber ein schönes, langes Wochenende!