:moin: allerseits ,

ich bin neu in dem Forum, und weiß deshalb nicht genau ob ich den richtigen Themenbereich getroffen habe... falls nicht, gern verschieben ops: .

Mein Name ist Lars, und ich bin gestern von meiner Volksbank angeschrieben worden dass sie ab 1. Okt. meinen bzw. alle Online-Verfügungsrahmen auf 1000,-€ pro Tag limitieren möchten. :noidea: Ohne Widerspruch würde die Klausel zum Bestandteil meines Vertrages mit der Bank, ich könne aber auch meinen Rahmen selbst erhöhen.

:arrow: Nun dazu warum ich mich hier zu Wort melde.

Darf die Bank einfach so dem Kunden eine solche Fessel aufzwingen?
Ich will unbegrenzt über mein Konto verfügen können und finde es eine große Frechheit dass ich da jetzt tätig werden muss um das Übel von mir abzuwenden.
Gestern war der 17. September... wenn ich jetzt 3 Wochen im Auslandsurlaub gewesen wäre, und von dort am 3. Okt eine Überweisung über 1000,-€ hätte machen müssen, wäre die glatt geplatzt.
-Das kann doch nicht möglich sein.

Was haltet Ihr davon?
-Ich fühl mich echt verarscht und entmündigt! :x

Noch was: Von wegen Sicherheit und so... mir ist nicht bekannt dass es geknackte Sicherheitssysteme bei den Banken gegeben hat. Es hat schon beim einfachen TAN-Verfahren keine Fälle gegeben, beim i-TAN schon gar nicht. Klar dass verlorene Geldbeutel mit KtoNr, PIN und TAN nicht mitzählen.

Schöne Grüße,

Lars

In welcher Welt lebst Du denn?

Phishing ist Dir aber schon ein Begriff, oder? Schonmal was von Pharming gehört, Man-of-the-Middle-Attacke oder ähnlichem?

Die Bank macht dies aus Sicherheitsgründen, damit das Phishing-Risiko bei Kunden zunächst auf eben den Maximalbetrag von 1.000 Euro begrenzt ist.

Du kannst mit der Bank jederzeit ein höheres Limit vereinbaren, wenn Du möchtest. Solltest Du dort persönlich bekannt sein, spricht wohl auch nichts dagegen Dir bei höheren Rechungen ein Tageslimit zu vergeben, damit Du diese überweisen kannst.

Bei der Bank bei der ich arbeite sind wir ähnlich verfahren und haben praktisch nur positive Rückmeldungen von unseren Kunden erhalten.

Und zum Thema Sicherheit: Du scheinst Dich da ja sehr gut auszukennen?!?

Hylli

Hi Lars,

Du hast schon recht, die eigentliche Verfahren ist noch nie gehackt worden. Aber es gibt genügend Anwender, die immer noch auf übelste Phishingmails reinfallen und ganze Tanbögen inklusive Index in schlechte Webseiten "eintasten". Daneben sind viele AnwenderPC inzwischen mit Trojanern verseucht, die die Anzeige manipulieren und so in Realzeit, während der Eingabe einer Überweisung die Daten im Hintergrund fälschen.

Aus diesen und vielen anderen Gründen gelten einfache TAN Verfahren und auch die indizierte TAN gegen aktuelle Angriffsszenarien nicht mehr als sicher genung.
Verbraucherschützer fordern daher schon lange, die Überweisungslimite zu begrenzen, womit auch die Schadensfälle begrenzt werden. Wenn man den Aussagen der Bitcom trauen darf, liegt die durchschnittliche Schadenshöhe im letzten Jahr bei über 4000 EUR! Ich wage zu behaupten, dass viele dieser Schäden in dr Höhe nicht aufgetreten wären, wenn das Limit auf eine sinnvolle Höhe begrenzt gewesen wäre.
Von daher tut die Volksbank eigentlich etwas für ihre Kunden. Der Betrag von 1000 Eur, ist sicherlich nicht für alle Kunden eine sinnvolle Höhe. Die Mehrhet der Kunden wird aber selten mehr als 1000 EUR überweisen. Von daher halte ich persönlich das Vorgehen für gut und richtig! Wer ein größeres Limit haben möchte, kann dies ja einstellen lassen und wird so hoffentlich noch für die Problematik sensibilisiert.

Achja: Wer regelmäßig ein größeres Limit benötigt ist in der Regel kein Privatmann! Da frage ich mich sowieso, wie man da noch Internetbanking mit einem Browser und einem TAN Verfahren machen kann.

Gruß

Holger

@Hylli08:
Dass diese Maßnahme vom Grundsatz Ok ist habe ich nicht abgestritten... es geht darum dass man den Kunden hier vor vollendete Tatsachen stellt ohne ihm eine angemessene Reaktionszeit zu geben.
Der Kunde müsste, sofern er eine Limitierung des Zugriffs möchte, der Bank das Limit mitteilen und nicht umgekehrt.
Diese Möglichkeit besteht ja scheinbar schon seit längerem...

Dieses Vorgehen ärgert mich einfach weil es Standard geworden ist die Menschen zu bevormunden.

Zum Thema Sicherheit: Ich habe, sofern mein Bankleiter mich nicht angeflunkert hat, mit dem für die E-Banking-Sicherheit zuständigen Leiter meiner Volksbankgruppe gesprochen. Seiner Aussage zufolge gab es keine Fälle in denen ein PIN-TAN-Kombination geknackt wurde... Ausgenommen sind natürlich die Fälle in denen diese Daten ausspioniert wurden.
Bei meinem E-Banking muss jemand meinen Alias (selbst gewählt), meinen PIN (selbst gewählt) und zusätzlich noch die passende i-Tan aus meiner Liste haben um eine Transaktion durchführen zu können...

Wenn man seine PIN und TAN natürlich am Mann trägt usw kann natürlich was passieren.
Aber wenn ich die Kombination meines Safes auf der Stirn stehen habe ist er deshalb ja auch nicht unsicher.

Hast Du andere Erfahrungen mit der Sicherheit??

Gruß,

Lars

@Holger:
Danke auch für Deine Antwort.
Oben hab ich ja schon gesagt, wenn man natürlich die Daten raus gibt ist nichts sicher.

Das Problem sehe ich in der Vorgehensweise: Ab Morgen kannst Du nicht mehr! -Das ist mein Problem.
Lief mit i-Tan genauso: DinA4 Bogen i-Tan bekommen mit dem Hinweis die TAN-Bögen bleiben bis zum Aufbrauchen gültig.
Kurze Zeit später machte ich beim E-Banking ein dummes Gesicht weil eine i-TAN gefordert wurde.
Hab mir den Mist klein kopiert, aber normal müsste ich ein DinA4 Blatt in meinem Geldbeutel spazieren führen... fand ich auch Mist... nicht der Systemwechsel sondern die Vorgehensweise und das kundenunfreundliche Format (Checkkarte wäre sinnvoll).

Das Limit 1000,-€ reicht bei mir als Privatmann leider nicht aus... aus mehreren Gründen. Hast aber Recht, bei vielen könnte das Limit in der Regel ausreichen.

Gruß,

Lars

Ich drück's jetzt mal so aus: Vielleicht hatte die Bank ja schon den ein oder anderen Phishing/Trojanerfall bei welchen von Kunden nicht unerhebliche Summen unwiederbringlich ins Ausland gewandert sind.

Um nun dieses Risiko zumindest betragsmäßig einzuschränken, hat man eben diese groß angelegte Aktion durchgeführt.

Ich frage mich allerdings auch, wer auf den Gedanken kommt im Urlaub auf Malle oder wo auch immer eine Überweisung tätigen zu müssen?

Das ist in meinen Augen keine Bevormundung, sondern dient vielmehr dem Schutz von was PC-Sicherheit unbedarfteren Kunden angeht, nicht mehr und nicht weniger.


Wenn's darum geht, ob ich selbst schonmal Opfer gewesen wäre: Nein, hängt wohl auch mit meinem Aufgabengebiet in der Bank sowie meinen privaten Interessen zusammen.

Nur soviel: Du unterschätzt die Gefahren in meinen Augen gewaltig!

Wie würdest Du reagieren, wenn Du plötzlich nach Absenden Deiner iTAN die Meldung erhältst, dass diese bereits verbraucht ist?

Wie würdest Du reagieren, wenn Du plötzlich beim Einloggen ins eBanking nach einer TAN gefragt wirst aus Sicherheitsgründen?

...

Phishing-Mails sind out, aber Phishing ist nicht tot, sondern es gibt immer gewieftere Methoden die Daten von Bankkunden auszuspionieren um diese missbräuchlich zu verwenden!

Hylli

Hallo Lars,

hast Du Deinen Bankmenschen schonmal auf mobile TAN angesprochen bzw. er Dich? Dann brauchst Du den umständlichen iTAN Bogen nicht mehr klein kopieren. Dein Handy wirst Du vermutlich immer bei Dir haben.

Gruß

Wie auch immer, 3 Wochen Vorlaufzeit sind definitiv zu kurz. Wesentliche einseitige Vertragsänderungen (inhaltlich ist dashier eine Kündigung mit Fortsetzungsangebot unter geänderten Bedingungen) sollten schon mindestens 6 Wochen vorher angekündigt werden, damit eben so Fälle wie der obige gedachte Urlaub eben nicht zum Nachteil werden können.
Es soll schon Banken gegeben haben, die in ähnlichen Fällen wie oben jetzt auf einmal eine lebenslange Rente zahlen dürfen, da die ÜW an die Versicherung leider nicht ausgeführt wurde...

Klar, kann sein dass die Bank da negative Erfahrungen gemacht hat Hylli08, oder sie gar nicht erst machen möchte... OK, aber wäre ne Kundenempfehlung in die Richtung nicht auch gut... dann entscheidet wieder der Kunde... ist aber auch egal die haben es jetzt so gemacht.
Mit der Erfahrung meinte ich ob Du anders in Deiner Umgebung gehört hast. Wenn meine TAN 'verbraucht' wäre würde ich bei der Bank anrufen und checken was da abgeht. Die verbrauchten TAN's kann ich bei meinen Transaktionen abrufen und gegenchecken... das sollte man tun bevor man eine weitere eingibt, aber bei i-TAN hängt die Phishing-Mail ja dann auch schon in der Luft. Eine Sicherheitsabfrage zum Einloggen gibt es nicht, dann hat man die falsche Seite erwischt... Ist aber klar was Du meinst, man sollte eben aufpassen.

Wie Captain Frag aber anmerkte war die Geschichte aber viel zu kurzfristig. Und es ist nicht unbedingt unmöglich im Urlaub mal nen kräftigen Geldbetrag buchen zu müssen. Ich habe einen guten Bekannten der fährt ca alle 2 Jahre für ne Woche nach England um sich von dort ein Auto mitzubringen. Sowas kann auch per Überweisung geschehen. Oder man muss mal seinem Bruder aus der Patsche helfen... ist mir so ergangen. -Auch egal, aber eine angemessene Vorwarnzeit sollte gegeben sein.

Zur mobile-TAN von SR: Ich bin da sehr skeptisch. Einmal brauche ich dann immer mein Handy-ohne geht nix mehr (Akku leer reicht, verlegt oder vergessen auch blöd). Andererseits kann ich nicht mal eben bei meiner Frau anrufen und sagen überweis mal schnell. Und der für mich interessanteste Punkt ist dass es mich jede TAN Geld kostet oder eine monatliche Gebühr. Ich brauche monatlich zwischen 5 und 15 TAN's.

Gruß,

Lars

Hi Lars,

der entscheidende Punkt bei der mobilen Tan ist, dass diese im Gegensatz zur indizierten TAN als ein der wenigen (derzeit) sicheren TAN Verfahren gilt. Von daher ist der Tipp von SR nicht ganz so verkehrt (wobei mir persönlich die mobile TAN auch zu unpraktisch ist).

Gruß

Holger

Hallo Holger,

der Tipp ist ja auch vollkommen in Ordnung, nur bin ich davon wegen der oben aufgeführten Punkte noch nicht so überzeugt.
Dass die Geschichte sehr sicher ist (so lange nicht wieder alle Daten irgendwie in die falschen Hände geraten) leuchtet mir ein. Der Fehlerfaktor 'leichtgläubiger oder unvorsichtiger oder reingelegter Mensch' ist hier ausgeschlossen, weil selbst dieser die TAN nicht kennt und preisgeben kann. -Insofern klasse, ach so, und nur für eine bestimmte (die laufende) Transaktion :thup:

Gruß,

Lars

@Lars

Mal ehrlich: Wieviel Kunden würden darauf reagieren, wenn man nicht konkret nachtelefoniert?


Richtige Antwort!


s.o. + da bist Du wohl einer von sagen wir mal 10% die diese Funktion überhaupt nutzen bzw. kennen!

Das mit dem Urlaub sehe ich allerdings als absolute Einzelfälle an und wie gesagt, wenn Du persönlich bei Deinem Berater bekannt bist, dann sollte es auch kein Problem sein, dass Limit temporär (Tageslimit) und nach dem Urlaub vielleicht dauerhaft höher zu setzen.

So verfahren wir zumindest mit unseren Kunden (kleine Bank, überschaubare Kundenanzahl, zumeist persönlich bekannt -> zumindest die, die ein temporäres Limit einrichten lassen!)


Vom Mobilfunkprovider oder der Bank? Hast Du bei der Bnak schon nachgefragt bzw. weißt Du ob die was verlangen?

OK, wir verlangen 10 Cent/SMS, muss aber nicht für Deine Bank gelten!


Ich drück's mal so aus: Ich habe schon so einiges mitgekriegt, insbesondere die Trojanergeschichte ist nicht zu verachten!

Stell Dir vor, Du tätigst im Urlaub in einem Internetcafé (könnte auch Dein Trojanerverseuchtes Notebook sein o.ä.) eine Überweisung, bestätigst diese mit der geforderten iTAN, vergisst die Umsätze gleich zu prüfen, alles erscheint ansonsten ganz normal wie immer und wenn Du nach Deinem Urlaub heimkommst, dann wurde die Überweisung an eine ganz andere Bankverbindung gesendet!

Man will ja den Teufel nicht an die Wand malen, aber sowas ist durchaus möglich!


Genau so isses, daher auch so sicher!

@Holger
Ich nutze in der Bank das iTAN-Verfahren, zuhause nur noch das mTAN-Verfahren bzw. HBCI mit Karte.

Unterwegs betreibe ich kein Onlinebanking, im Zweifel könnte ich zuhause anrufen und eine Überweisung manuell veranlassen.

Hylli

Hallo zusammen,
wir sind hier wieder beim Versuch einem Onlinebanking-Anwender zu erklären, dass es Risiken beim Onlinebanking gibt.
Der Kunde möchte natürlich alles so bequem wie möglich abwickeln. Enstprechende Schutzmöglichkeiten werden teilweise gänzlich außer acht gelassen. Da ist dann auch eine mobileTAN für 10 Cent zu teuer.
Einen Trojaner oder Virus fängt sich natürlich keiner ein!? Falls doch, wird natürlich nichts zugegeben und die Schuld auf die Bank abgeschoben. Die (Banken) sollen sich dann um den Schaden kümmern.

Bei den FIDUCIA-Banken gibt es übrigens das iTAN-Plus-Verfahren.

* Sie erfassen Ihre Online-Banking-Transaktion wie gewohnt und klicken dann auf „Eingabe prüfen“. Anschließend wird ein Kontrollbild mit Ihren Transaktionsdaten sowie dem Text zur Anforderung der TAN-Nummer angezeigt. Die Position der einzelnen Informationen ändert sich bei jeder neuen TAN-Anforderung
* Bitte prüfen Sie zu Ihrer Sicherheit die Transaktionsdaten und Ihr Geburtsdatum im Kontrollbild. Geben Sie Ihren Auftrag nur frei, wenn die Transaktionsdaten im Kontrollbild korrekt sind.

Sogar diese Kontrolle ist manchem Onlinebanking-Nutzer zu aufwendig.
Ich denke dieses Thema wird uns noch länger beschäftigen.

Schönen Gruß
dirwin

Guten Morgen allerseits ,

also ich habe gestern mit dem zuständigen Bearbeiter gesprochen. Das Tageslimit kann scheinbar nicht höher gesetzt werden... Wenn ich das Limit online einstelle (auf was auch immer) ist es ein Gesamtumsatzlimit... was auch immer das heißen mag... ich hab Gedacht für meine per TAN angewiesenen Aktionen, aber ich glaube fast damit sind alle Umsätze gemeint die anfallen, also auch Daueraufträge und Abbuchungen... da muss ich heute leider nochmal nachharken.
Und das ist nun wieder unsinnig, könnte ich meinen Tagesumsatzrahmen sagen wir mal bei 2000,- setzen um die normalen Eventuallitäten abzufangen, reicht das als Monatsumsatz natürlich bei weitem nicht aus und man muss dieses Limit u. U. wesentlich höher ansiedeln. -Seltsam

zu Hylli08: Bei meiner Bank kostet eine mobile TAN 9 ct.
Das Szenario mit dem Trojaner ist natürlich eine harte Nummer.
In der Regel wird das bei mir nicht passieren können, aber vereinzelt vielleicht schon. Man müsste einen Trojaner (nichts anderes als ein Programm im Hintergrund) aber eigentlich über den Taskmanager entlarven können - oder seh ich das falsch?
Also wenn ich vor dem E-Banking meinen Taskmanager auf laufende Anwendungen prüfe müsste ich doch auch save sein - oder nicht?

zu dirwin: Meine Bank ist eine FIDUCIA-geschützte Bank und ich finde diese Sicherheitsmaßnahme absolut nicht störend und sehr sinnvoll.
Und ja es ist mir zuviel 10 bzw 9ct pro SMS zu zahlen weil hier die Banken wieder für den Kunden versteckte Gewinne einfahren... klar ist ja wohl dass diese SMS die Bank keine 9 oder 10 ct kostet :!:
Es ist schon witzig, da die meisten Leute wohl bereit sind für ihre Sicherheit zu zahlen, sollten da Mehrgewinne vorprogrammiert sein. Und da das ganze vollautomatisch abläuft werden die schnell auflaufen.
Service wäre es dies kostenlos, oder zumindest zum Selbstkostenpreis anzubieten. Fakt ist ja dass man diesen 'Service' ja eigentlich nutzen 'sollte' um die Bankgeschäfte, und da sind wir erst bei dem eigentlichen Geschäft der Bank, abwickeln zu können.


Gruß,

Lars

Wenn Du Dich sehr gut auskennst vielleicht, aber wirklich nicht zwingend.

Geh' mal in den Taskmanager und dort auf Prozesse. Könntest Du auf Anhieb sagen für was dieser oder jener Prozess zuständig ist? Schwer wird es vor allem wenn sich ein Trojaner hinter einem Prozess verbirgt, der gerne mal öfter im Taskmanager zu finden ist, z.B. "svchost.exe".

Da muss man sich schon ziemlich gut damit auskennen!

Hilfreich ist zumindest ein Prozessmanager, welcher mehr zum einzelnen Prozess hergibt. Den windowseigenen Prozess-Manager (zumindest der von XP) kann man hier getrost vergessen.


Nicht wirklich!


Da irrst Du gewaltig!

Hylli

Hi Lars

Das ist alles schräg.
Wenn man mit Freunden über Sicherheit beim Onlinebanking redet, lächeln manche über Paranoia, andere finden das Risiko im Internet zu groß für hart erarbeitetes Geld.
HBCI und FinTS, davon hat mancher Kundenberater noch nie gehört. Es geht um Sicherheitsklasse3 bei denen die Programmierung seit Jahren noch nicht die Möglichkeiten der Hardware benutzt.
Wenn man jetzt nach dem neuen Sicherheitsstandard Secoder fragt dann heißt es der sei nur für Firmen interessant weil man da als Kunde hohe Aufpreise für die Automatisierungsmöglichkeiten bezahlen müsse. Nur Secoder ist aktuell und ultimativ sicher.
Obwohl ich nicht aus der Bankerszene bin und leider keine Ahnung vom programmieren habe, könnte ich so nochal 10min weiterschreiben.

*zwinker*

Es ist schön dass es diesen Ort hier gibt
Danke

Dann nimm doch einfach irgendeine FinTS Version (HBCI). Damit gehst du dem Problem des Phishings aus dem Weg.
Die einzige Angriffsmöglichkeit bei einem klasse 2 oder 3 Leser ist es dann, das die Signatur auf eine falsche Überweisung gegeben wird.

Dieses Manko wird aber erst durch Secoder behoben.

Aber das vorangegangene Szenario ist bis jetzt noch nicht dokumentiert worden.

Hallo Lars,

weit gefehlt! Ich plaudere jetzt mal ein wenig aus dem Nähkästchen.

Die Banken zahlen BRUTTO mehr als 10 ct pro SMS. Die SMS sind mit einem Prio-Code versehen, damit Du sie auch sofort erhälst und es nicht zum Timeout beim Internetbanking kommt. Daher sind diese TAN-SMS auch nicht mit "normalen" SMS vergleichbar und auch teuerer als die "üblichen".

Du kannst davon ausgehen, das die Preisdiskussionen für SMS-TANS lang und ausführlich in den Banken geführt wurden und Deine 9 ct pro SMS sicherlich bereits durch Deine Geno-Bank subventioniert sind.

Aber bei einem Hardwarepreis von unter einem Cent pro SMS ist dieser Prio-Code nicht grade verständlich. Es ginge sicherlich auch günstiger. Aber die UMTS Lizenzen müssen ja abbezahl werden.

Nutze doch einfach HBCI mit einer Chipkarte.

Aber das hat alles nichts mehr mit der Limitierung zu tun

Moin Leute ,

hoffe Ihr hattet ein schönes WE... also nochmal kurz weiter:

Zunächst möchte ich hiermit mein Statement zu der Gewinnerwirtschaftung der Banken mit dem m-TAN-Verfahren zurückziehen...
Wie ich erfahren habe schießen die Banken bei dem 'Service' sogar noch etwas zu.
Also Asche auf mein Haupt...

@Hylli: Du hast natürlich Recht, man muss sich dann schon etwas damit auskennen bzw. sich damit beschäftigen was da normal stehen sollte.
Die svchost.exe ist doch eine Systemdatei die von verschiedenen Orten ausgeführt wird um .dll-Dateien zu lesen. Hast Du auf Viren mit ähnlichem Namen hingewiesen oder gibt es dll-Dateien als Viren oder Trojaner?
Ist natürlich nicht ganz einfach da dann sicher zu sein ob alles passt.
Möglichkeit dazu: Sicheren PC neu starten, Task-Manager-Prozesse aufrufen und erst dann ins Netz gehen. Dann den Prozessmanager ausdrucken. Dann kann man vor dem Einloggen den Stand vergleichen... Ist doch ne Idee, oder?

@Klopfer: hat sich ja durch obige Zeilen erledigt.

...ich muss da aber waenger zustimmen, da verdient eben jemand anders nicht schlecht an den m-TAN-Verfahren.

Gruß,

Lars

Zur svchost.exe siehe z.B.:
http://frankn.com/html/svchost_exe.html
http://support.microsoft.com/kb/314056/de

Wichtig u.a., dass sich dieses Datei im Verzeichnis system32 befindet und nicht z.B. direkt unter windows.

Der Process Explorer bzw. Process Monitor von www.sysinternals.com kann hier vielleicht hilfreich sein.

Hylli