Hallo zusammen,

habe heute BankingZV installiert und gleich eine Überweisung drüber laufen lassen.

Dabei fiel mir auf, dass in dem Fenster, in dem man nach Senden der Überweisung die TAN eingeben soll, die Daten zur Überweisung (Konto, Summe etc.) nicht mehr angezeigt werden. In Banking4W wurden diese Daten angezeigt.
Da zusammen mit der TAN (SMS-TAN) aber genau diese Daten als Abgleich zurückgeliefert werden, fehlt aus meiner Sicht jetzt ein wichtiger Sicherheitsfaktor. Die Sicherheit im SMS-TAN-Verfahren besteht doch darin, dass ich bei der Eingabe der TAN kontrollieren kann (und muss), ob die TAN zu meiner Überweisung paßt. Jetzt gebe ich blind eine TAN ein, ohne zu wissen, ob diese zu meiner Überweisung paßt.

Kann man diese Anzeige im TAN-Eingabefenster in BankingZV wieder so einstellen wie in Banking4W?
Oder ist das bei der Programmierung von Banking ZV vergessen worden?
Dann wäre das kurzfristig zu korrigieren.

Grüße Uwe

Gerade dieser Sicherheitsfaktor wurde durch das Weglassen ja ausdrücklich eingeführt!

In allen offiziellen Verfahrensbeschreibungen steht ausdrücklich, dass man die Daten, die in der SMS bzw. im TAN-Generator zur Kontrolle gezeigt werden, nicht mit den Daten am Bildschirm des Rechners vergleichen soll, sondern mit den Daten auf dem Original-Beleg, also Rechnung etc. Hintergrund ist, dass ein auf dem Rechner wohnender Trojaner die Bildschirmanzeige problemlos verändern kann. Wer da nicht aufpasst gibt eine Überweisung "Äpfel" ein. Der Trojaner ändert die auf "Birnen" und überträgt die Birnen zum Bankrechner. Auf dem Kontrollmedium wird dann die TAN-Generierung für Birnen angezeigt - beim Vergleich mit dem Bildschirm (der inzwischen auch Birnen anzeigt, weil er vom Trojaner verändert wurde) stimmt das Ganze zusammen und der Auftrag wird freigegbeen. PENG. Tot.

Wenn man die angezeigten Birnen jedoch mit dem Originalbeleg vergleicht, wo nach wie vor Äpfel stehen, fällt es auf...

Hallo msa,

klingt schon irgendwie logisch, was Du da sagst.

Ich fand es halt praktisch, dass ich bei der TAN-Eingabe halt immer sehen konnte, dass es die passende Überweisung ist, die ich da freigebe. Mein Zahlengedächtnis ist recht gut, so dass ich schon wußte, ob die angezeigten Daten zu meiner Überweisung paßten.

Jetzt müßte ich ja quasi immer die Ursprungsrechnung als Kontrolle danebenlegen, das finde ich doch ausgesprochen umständlich. Zumal man die ja oft nur elektronisch hat (bei Übernahme aus Ebay o.ä.). Überweist man dann mehrere Posten, so sind die ursprünglichen Daten für die einzelnen Überweisungen ja gar nicht mehr in der Anzeige drin, also auch hier eine Kontrolle nicht mehr direkt möglich.

Also ich hätte schon ganz gerne zumindest die Wahlmöglichkeit, ob ich mir diese Daten im aus Bequemlichkeit im TAN-Fenster anzeigen lasse (oder hat die EU uns mündigen Bürgern das grundsätzlich im neuen Verfahren untersagt;-)?

Grüße Uwe

Klar, praktisch war es schon. Ich mußte schmunzeln, als ich es seinerzeit das erste Mal gesehen habe, weil es eben dem Gedanken entgegen lief. Wäre interessant zu wissen, was genau der Auslöser war, es jetzt wegzulassen. Vielleicht äußert sich Subsembly hier noch dazu

Einen Workaround gibt es aber eh. In der Liste, aus der Du die Übertragung anstößt (Überweisungen oder Ausgangskorb), stehen die Daten ja drin. Ggf. muß man noch die IBAN-Spalte einblenden. Nach Beginn der Übertragung kann man dann das TAN-Fenster so zurechtschieben, dass man den Auftrag in der Liste sehen kann. Welcher da gerade übertragen wird kann man bei mehreren an dem Auftragsicon sehen. Somit hat man die zu überprüfenden Daten doch auf dem Schirm, wenn auch nicht direkt im TAN-Fenster.

helft mir mal, ich versteh das Problem nicht. Wenn ich dem Programm blind vertraue, dann reicht dort doch die Kontrolle bei der Eingabe. Und wenn das Zahlengedächtnis gut ist, dann seh ich doch am TAN-Gerät, was ich gerade freigebe. Gab es vorher eine Liste der Einzelposten?
Gruß
Raimund

Früher stand da halt "Überweisung 50,12 EUR an Martin Muster, IBAN DE1234567890..." TAN:______________

Zahlengedächtnis hilft wohl nur, wenn ich jede Überweisung sofort absende und freigebe - wie im WebBanking. Aber das ist wohl eher nicht die Herangehensweise in einem Programm. Da erfaßt man erst alles, vielleicht auch schon lange vor dem Zahlungszeitpunkt, und sendet dann alle zu dem Termin fälligen Aufträge einen nach dem anderen. Da kann man sich sicher nicht mehr "erinnern".

Hallo zusammen,

ich war positiv überrascht, dass Herr Selle jetzt wieder Kontonummer und Summe ins TAN-Abfragefenster integriert hat.
Das ist halt der Vorteil, wenn eine kleine, flexible Firma die SW betreut.

Danke noch mal an den 'Chef'

Grüße Uwe