Die Stadtsparkasse Bottrop verschickt die TAN-Listen nicht mehr in einem speziellem (Schwarz, verschweisst, undurchsichtig) umschlag. Die TAN Liste kamm in einem normalem Briefumschlag. In dem Umschlag war ein A4-Zettel mit neuen TAN-Nummer. Nachfrage bei der Sparkasse ergab, daß es normal ist und daß die Sicherheit durch meine PIN-Nummer garantiert ist.
Ich kann irgendwie nicht glauben daß es O.K ist.
Hier meine Bedenken:
1) Nach dem Ausdrucken bei der Bank müssen die Listen in einen Umschlag gesteckt werden. Diese Person kann ohne Probleme alle Listen kopieren.
2) Der Briefträger kann die Briefe öffnen und die TAN's kopieren.
3) usw.

Mit dem neuem und sicherem (l.t Sparkasse) Verfahren ist es für mich nicht mehr möglich festzustellen, ob jemand meine TAN-Liste gesehen hat. In dem alten Verfahren war die TAN-Liste in einem spezial Umschlag verschweißt und es war nicht möglich sie zu sehen, ohne den Umschlag zu zerstören.

wie gesagt, ohne PIN nützt die beste TAN Liste nichts.

ich geb dir mal eben eine TAN von mir, nimm die 1935 und hol 100€

mein Konto läuft bei der Commerzbank.

und hau die kohle auf den kopf...prost

Die TAN-Liste wird nicht in Bottrop, sondern zentral für 250 Sparkassen in Fellbach gedruckt (siehe Stempel oben rechts). Druck und Versand sind vollautomatisch, zudem ist fellbach reines Druckoutputzentrum, auch dort kennt niemand deine PIN (in der Sparkasse übrigens auch nicht).

Der Breifumschlag sollte verschlossen sein, das icht wichtig. Ohne sichtbare Schäden den Umschlag zu öffnen, die Liste zu kopieren und sie dir dann zu übergeben ist nicht ganz trivial. Wenn doch fehlt immer noch die PIN und eien alte TAN zur Aktivierung der Liste.

Das gewählte Verfahren entspricht zudem externen Revisionsanforderungen.

Und als direkt Betroffener ( ) noch eine kleine Ergänzung zur Antwort vom Cap:

Selbst wenn es jemandem gelänge, die TAN-Liste abzufangen, den Umschlag ohne Beschädigung zu öffnen, die Liste zu kopieren und dann wieder einzutüten und zuzustellen: Ohne PIN geht nix, ohne TAN aus der alten Liste auch nicht (wie Cap schon sagte). Und da derjenige nicht weiss,
wann der Kunde seine Liste aktiviert müsste er unter Umständen verdammt lange warten, bis er überhaupt eine TAN aus der neuen Liste
nutzen kann.
Mal ganz abgesehen davon, dass am Umschlag selbst nicht erkennbar ist,
dass darin eine TAN-Liste ist ! Es ist noch nicht mal erkennbar, dass die
Sparkasse der Absender ist !

Gruß

Michael

S-Man:
Du bist wirklich sehr lustig. Dein Beitrag wirklich sehr professionell. Ich hatte Zweifel und dachte, dass ich hier Hilfe bekomme. Es gibt zwei arten von Menschen: intelligente und die die glauben, dass die intelligent sind. Du gehörst leider zu den die es nur glauben. Kannst Du vielleicht deine TAN-Liste und deine Credit Card einscannen und hier veröffentlichen? Mal schauen was mit dem Geld auf Deinem Konto passieren wird.

Captain FRAG:
Danke für Deine Antwort und hier noch eine Frage:
Wenn die TAN-Liste in einem einfachem Umschlag versendet wird, warum werden die PIN-Nummer von den EC/Credit Karten immer in den speziellen Umschlägen versendet?

pass mal du Planetopia Zuschauer:

von einer Kreditkarte war hier nicht die Rede.....und ohne PIN geht beim onlinebanking nix.
Aber da du ja so intelligent bist, möchte ich dir auch noch meine PIN geben:

*********

Viel Spaß und alles relative Glück dieser Welt,

Gruß

A. Einstein

brrrrr Ihr beiden......!

schön langsam, schaukelt euch hier nicht hoch!


wir sollten alle überlegen, was wir schreiben....und persönlich sollte keiner werden!


also grundsätzlich:
Gehirn einschalten, überlegen, sachlich argumentieren und keine Tiefschläge verteilen. Auch wenn sie Ironisch gemeint sind.

Andereseits gilt: Wer austeilt, muß auch einstecken können!



Gegenseitige Stichelei bringt nichts - außer böses Blut und das wollen wir hier nicht verbreiten!


Das ist jetzt nicht persönlich gemeint, sondern als allgemeiner kommentar zu sehen!

@all: Ball flachhalten!
das sind zwei verschiedene Paar Schuhe: Die Karten-PIN kann (noch) nicht von dir geändert werden. Das ist eines.

Dann: Du würdest nicht merken, wenn dir jemand die Karte & Karten-PIN kopiert, zB der nette Bankmitarbeiter oder der Postbote. Das gilt bedingt auch für den TAN-Bogen, aber die OnlinePin ist ja deine eigene und die sollte ja keiner ausser dir haben.

Der TAN Bogen kann einfach gelöscht werden und du bekommst einfach und billig einen neuen. Die Karte ist viel aufwändiger produziert und ist mit der PIN verheiratet.

Und: Die Karte, nebst PIN kann anonym verwendet werden - auch um an Bargeld zu kommen. Beim Onlinebanking muss das Geld ja irgendwohin überwiesen werden, es ist also immer ein Konto am anderen Ende.

Achso: Wenn du dir Sorgen um die Sicherheit deines Kontos machst, dann empfiehlt dir sicherlich deine Sparkasse eine HBCI-Chipkarte. Hier kannst du dir sogar einen Computervirus einfangen, ohne das deinen TANs etwas passiert. Hier liegt in meinen Augen nämlich die größere Gefahr.

Gruß
Raimund

Ich glaube wenn er einmal HBCI-Chipkarte hat, braucht er sich um TAN´s gar kein Gedanken oder Sorgen mehr zu machen. *duckundwegschleich

Aber zum Thema. Als kleinen aber feinen Sicherheitsaspekt könnte man hier auch noch die Kontonummer nennen. Privatpersonen "veröffentlichen" ja meist nicht Ihre Kontonummer (durch Firmenbriefpapier o.ä.) und ein Mitarbeiter in der TAN-Versand-Stelle kennt sicherlich nicht die Kontonummern, die zur jeweiligen TAN-Liste gehört.

Somit weis er weder die PIN noch die Kontonummer noch hat er eine Ahnung wann die Liste aktiviert wird. Also ich würde mir da keine Gedanken machen Manfi3d.

Gruß

Enrico

PS: Werden TAN-Listen nach Sperre auch so versendet? Da wäre ich dann schon etwas kritischer muß ich sagen, auch wenn da zum freischalten meist eine von Dir unterschriebene Empfangsbestätigung norwendig ist.

Die Kontonummer ist eh' uninteressant, da sich unsere Kunden beim Einloggen über Anmeldename und PIN legitimieren. Beides ist vom Kunden jederzeit änderbar!


Gruß

Michael

yeah, U got it


ich versteh dich jetzt absichtlich miss, hitman: ich find es gut, das Manfi3d sich Gedanken macht und deshalb ist eine konstruktive Diskussion hier auch gut. Ein Kunde kann ja nicht wissen, wie die Dinger verschickt werden, woher auch.
Die Diskussion ist auch gut, denn hinter einer öffentlichen Frage könnten zich andere Kunden stehen, die solche Sachen nicht öffentlich ansprechen, noch ihre Bank fragen und ihre Bedenken höchstens am Stammtisch diskutieren (womit wir wieder auf Planetopia Niveau wären).

Gruß
Raimund

Ich denke die MA aus dem Druckzentrum können wir mal aussen vor lassen. Social engineering (wenn man das so nennen will) ist und wird immer irgendwie theoretisch und warscheinlich praktisch möglich sein. Auch zu Zeiten als die TAN verdeckt gedruckt wurden, hätte man eine Bahn Normalpapier davorspannen können und hätte lesbare TANs gehabt. Sowas muss durch interne Kontrollmaßnahmen ausgeschlossen werden. TAN Diebstahl "intern" ist uninteressant, gerade weil Überweisungen 100% nachvollziehbar sind. Es greift auch kein Mitarbeiter in die Portkasse, wenn alle Scheine und Münzen mit GPS Sendern und Fingerabrucksensoren ausgestattet sind.

Wichtig ist das man den Postweg sogut es geht absichert, dazu sind die getroffenen Maßnahmen durchaus geeignet.

Hallo

Hat schon jemand Banfi3d recht gegeben?

Es ist doch nicht wirklich verwunderlich, wenn ein Onlinebanking-Nutzer dem jahrelang gesagt wurde "PIN/TAN ist u.a. dadurch sicher, weil Beides getrennt (und in undurchsichtigen Umschlägen) versendet wird" jetzt Bedenken hat.

Die Argumentation in diesem Beitrag lautet jetzt hauptsächlich: "Es gibt ja noch die PIN", "Die TAN-Liste muss ja noch freigeschaltet werden" und "nimm doch eine HBCI-Lösung".

Nicht gerade befriedigend! Wobei es deswegen natürlich nicht zwangsläufig ein Sicherheitsrisiko ist, sondern eher ein Weglassen einer zusätzlichen Sicherheitsmaßnahme.

Gruß
Marc

Ich finde es auch gut, wenn jemand ehrlich seine Sicherheitsbedenken äußert.

Bei der Einführung des neuen TAN-Listendrucks haben wir auch mal eine Telefonumfrage gestartet und es war erschreckend, wie wenig die meisten Leute sich über Sicherheit Gedanken machen. Kein Wunder, dass viele auf Phishing & Co. hereinfallen.

Ansonsten schließe ich mich mafi an.

Nur nochmal für die die evtl. denken ich hätte etwas dagegen dass hier jemand bedenken hat. Ich meinte das auch anders, wie Raimund mit dem Satz verdeutlichte.



Die Argumente warum man hier den Sicherheitsbedenken zustimmen sollte finde ich aber auch nicht.

Allerdings halte ich auch nicht viel davon hier Panik zu machen (bezieht sich nicht auf Banfi3d!!). Warum sollte ich sagen, "Du hast recht, da ist die Sicherheit des Online-Banking gefährdet." wenn dem nicht so ist. Der Druck im versiegeltem Umschlag hatte sicherlich historische Gründe, weil evtl. z.B. die Listen zur Bank gesendet wurden, da aufbewart und dann erst zum Kunden gingen. Oder gar noch mehr Stationen hatten. Jetzt geht die Liste direkt zum Kunden.

Ich finde es genauso gut, wenn Sie Leute gedanken machen. Allerdings bin ich auch froh wenn man diese Bedenken aus der Welt schaffen kann.

Natürlich hast du in gewisser Weise Recht.
Aber das Verfahren was du da beschreibst gilt prinzipiell immer noch.

Man darf nicht vergessen das wir die PIN hauptsächlich nicht per Post verschicken und wenn doch dann nur gegen Legitimation.

Auch wenn die erste TAN-Liste offen (also nur im Briefumschlag) zugestellt wird können wir sicher sein das keine Daten gestohlen werden. Hundertprozentige Sicherheit gibt es aber natürlich nie.

Gut, den Sicherheitsbedenken würde ich auch nicht zustimmen und gegenarguementieren, aber ich denke mafi zielt eher auf "die Sicherheitsbedenken ernst nehmen ab". So möchte ich meinen Kommentar jedenfalls verstanden wissen.

einfach HBCI verwenden :mrgreen:

Ich habe das erste Mal auch etwas komisch geguckt, als die TANs auf Normalpapier kamen. Aber wenigstens kommt der Umschlag bei mir an. Und beim geringsten Anzeichen einer Beschädigung lasse ich die Liste einfach sperren und bestell neu.

Ich hatte auch vor einiger Zeit (als die Listen noch verdeckt gedruckt und versandt wurden) mal das Problem, dass die Adressdatenbestände der Sparkasse in Bottrop offensichtlich nicht mit denen im Fellbacher Zentrum übereinstimmten. So ging meine Liste an eine alte Adresse. Da hätte sie Gott weiß wer in die Hände bekommen können.

Aber all das ist nicht so dramatisch - denn ohne meine PIN und vor allem OHNE AKTIVIERUNG ist die Liste völlig unnütz. Und für die Aktivierung benötigt man die alte TAN-Liste ebenfalls. Von daher ist es relativ Wurst, wie mir die TANs zugestellt werden. Denn wer eine Liste aus einem geöffneten und wieder verschlossenen bzw. beschädigten Umschlag (beides erkennt man normalerweise) freischalten würde, dem wäre absolut nicht mehr zu helfen.

Moin,
ich denke das die Lösung einer PIN /TAN Abfrage eigentlich in Sich schon eine Schwierigkeit erzeugt, nämlich den Menschen! Ich würde mir mehr Sorgen um den Verlust meiner Daten im PC machen, als das jemand meine TAN-Liste lesen könnte. Sind wir mal ehrlich, wenn ich anfange die TAN Listen der Nutzer zu lesen und zu kopieren ist das mehr arbeit als ich eigentlich haben möchte, oder? Woher soll ich wissen wie viel Geld der einzelne User auf seinem Konto hat?

Also nimmt man einen einfacheren Weg, nämlich phishing, aber noch netter ist es den heimischen PC mit einem Trojaner zu versehen der die Anfrage bestimmter Seiten auf einen bestimmten, weil einprogrammierten Server verschiebt. Das ist leider keine graue Theorie sondern schon vorgekommen! Der User glaubt er hat die richtige Seite aufgerufen und gibt seine Daten ein und schwupps, jetzt habe ich PIN/TAN und auch Name oder Kontonummer!
Klar es läuft immer auf viel Aufwand hinaus, ist aber nicht wirklich schwierig! Entscheidend ist was anderes, nämlich will jemand sich den Aufwand machen?
Ein versiegelter Umschlag oder ein "normaler" Umschlag ist, denke ich ist
relativ egal!
Die Schadensabwehr liegt beim normalen User, der hat das eigentliche Problem, wenn er nicht aufpasst sind seine Daten weg und er merkt es erst zu spät! (Firewall & Virenscanner reagieren immer erst im Nachherein und ein Virus oder Trojaner ist schnell geändert)

Fazit: Das Verfahren ist sicher so lange der User auf seine Sachen aufpasst und nicht an die falschen gerät. Trotzdem hätte man durchaus bessere Mechanismen einbauen können! Zum Beispiel eine Höchstgrenze der Überweisungsumme ( frei definierbar durch den Benutzer, beim Einrichten am Schalter ), aber man kann ja noch hoffen.

Gruß
Jens