Sicheres Online-Banking

Sehr geehrter Herr Arnold,
anscheinend ist die Zeit etwas an ihnen vorbeigezogen. In ihrem Artikel "Sicheres Online-Banking" gehen sie sehr ausführlich auf das Pin-Tan Verfahren ein.
Dass HBCI II bereits seit langem als die sicherste Methode gilt, ist ihnen nur den Satz "Der Einsatz einer Chipkarte erhöht die Sicherheit" wert. Dieses HBCI II Verfahren ist in jeder gängigen Software für Online-Banking enthalten und so mit nichten für
"weniger fortgeschrittene Anwender". Im Gegenteil !
Schade etwas mehr Sorgfalt in der Auseinandersetzung mit dem Thema hätte ihnen gut getan, aber wenn ihre Bankfiliale um die Ecke liegt...............

faro28

 

Also wenn ich so überlege, wie viele verkorkste Kartenleserinstallationen ich in meiner Laufbahn schon repariert habe, kann ich die Meinung des Redakteurs durchaus nachvollziehen. Für den normalen Computeranwender nahezu nicht zu gebrauchen.

 

Hi,
ich benutze seit jetzt nunmehr vier Jahren den CyberJack Gerätemanager der Fa. ReinerSCT in der Version 5.4.3.0. auf dem mittlerweile dritten PC mit XP pro.
Der Kartenleser wurde damals sogar von der Sparkasse gesponsort.
Gut also kann ich diese Erfahrung nicht nachvollziehen. Es ging ja auch nicht um die technische Umsetzbarkeit sondern vielmehr um die Sicherheit des Verfahrens.

faro28

 

Was nutzt einem das sicherste Verfahren, wenn es in der Praxis am User/Technik scheitert?

 

Sehr geehrter Herr faro28,

vielen Dank für Ihre Kritik. Gerne hätte ich dem Online-Banking per Chipkarte mehr Platz eingeräumt, denn es kann die Sicherheit deutlich steigern.
Allerdings ist Platz im Heft knapp. Warum habe ich ausgerechnet an der Chipkarte gespart? Nun, obschon sie seit Langem zu haben ist und obwohl das neue FinTS-Protokoll die Implementierung für die Banken erleichtert, kommt die Nutzung der Chipkarten nicht in Fahrt. Das hat mehrere Gründe. Der wichtigste Grund wird sein: Die Banken mögen die Karten nicht, denn sie bereiten unglaublich viel Arbeit. Offensichtlich haben viele Anwender mit der Installation der Kartenleser Schwierigkeiten und wenden sich dann an die Bank. Das sind Support-Kosten, die die Banken nicht wollen.
Ich persönlich glaube nicht, dass sich die Chipkarten in nächster Zeit fürs Online-Banking durchsetzten. Ich halte es für wahrscheinlicher, dass ID-Token mit One-Time-Passwörtern sich eher durchsetzen werden (das sind kleine Geräte mit LCD-Anzeige, die Passwörter generieren). Man wird sehen.

Mit freundlichen Grüßen
Arne Arnold

 

Hallo Herr Arnold,
ihre Antwort ist für mich nicht nachvollziehbar.

Das ist doch wohl nicht wirklich ein Argument.

Also ich habe mein Konto bei einer der größten Banken, die übrigens gar nicht Bank heißt . Dort ist ist absolut problemlos sich für die Karte zu entscheiden. Im Gegenteil, man wird darauf hingewiesen, dass dies die zur Zeit sicherste angebotene Methode ist. Und einen kostengünstigen Telefonsupport leistet sich die SK auch noch.

Ist mir klar, wenn sie in Fachzeitschriften ständig unter den Tisch gekehrt werden.

Ich nutze ebenfalls einen SmartCardReader CyberJack der Fa. ReinerSCT und die Treiberinstallation verlief schnell und unkompliziert. Imho dürfte auch der Normal-und Weniguser hier über keine tiefgreifenden Probleme stolpern. Sollte der ein oder andere dennoch Probleme haben, wäre es sicherlich, im Interesse der eigenen Sicherheit, die einfachste Methode, sich den Kartenleser von einem Fachmann oder gutem Bekannten installieren zu lassen. Wer sich Sicherheitsschlösser, Rolladensperren und Gitter ins Haus einbauen lässt sollte auch die paar Euronen hierfür übrig haben.

Ich persönlich, und hier schließe ich mich faro28 an, hätte mir eine umfassendere und offenere Berichterstattung gewünscht. Vielleicht hätten sie damit auch bei etlichen Lesern eine Lanze für die Karte brechen können. :nixwissen So allerdings bleibt ihrem Artikel der Hauch einer einseitigen Berichterstattungung anhaften.

Herliche Grüße FE

 

Was die Leute alles so für eine fachzeitschrift halten...
Wenn du dir mal eine Fachzeitschrift holst wirst du auch entsprechende Themen und Berichterstattungen erhalten. Solange du bei "spezial Interests" bleibst gibts eben nur eine Oberflächliche Darstellung. Dafür muss eine solche Zeitung einfach ein zu großes Spektrum an Themen bearbeiten.
Die Entscheidung liegt ganz allein bei dir.

 

Das HBCI-Verfahren hat aber auch ein paar nicht unwesentliche Einschränkungen:
1. Man benötigt einen Kartenleser.
2. Der Kartenleser ist für HBCI nur mit einem Bankprogramm nutzbar.
3. Wenn beides vorhanden ist, müssen die Konten auf dem jeweiligen Bankprogramm eingerichtet sein.

Das heißt doch, dass man es eigentlich nur richtig auf dem eigenen Computer nutzen kann. Mal schnell beim Kumpel oder im Internetcafe eine Überweisung auslösen, ist also Illusion. Das funktioniert nur mit dem Pin/Tan-Verfahren.

 

@hnas2

Das siehst Du völlig richtig. Aber wenn ich "sicheres Online-Banking" will, werde ich mit Sicherheit nicht mal schnell beim Kumpel und erst recht nicht in einem Internetcafe irgendwelche Transaktionen tätigen. Sicherheit geht nun mal nicht immer mit Einfachheit oder Leichtigkeit einher.
Gerade die von Dir angegebenen 3 Punkte sorgen ja für die große Sicherheit. Wenn Du dazu noch einen Kartenleser mit eigener Tastatur nutzt hast Du, meines Wissens, den derzeit höchsten Sicherheitsstandard beim Online-Banking.

Greetz FE

 

Worin siehst du denn ein Risiko, sowas auf einem fremden Rechner zu machen? Mag ja sein, dass es Rechner gibt, die jede Tastenbetätigung protokollieren, aber das sind doch dann Rechner die es darauf anlegen. Ein normaler Bürorechner ja wohl kaum. Und was nutzt eine TAN, mit der ich eine Transaktion ausgeführt habe? Die ist benutzt und für weitere Geschäfte nicht mehr nutzbar. Bleiben also Kontonummer und PIN. Die Kontonummer steht auf jedem Briefbogen, ist also auch kein Geheimnis. Und mit dem Online-PIN kann sich derjenige bestenfalls meinen Kontostand und die letzten Buchungen ansehen. Das kann unangenehm sein, richtet aber in dem Sinne keinen richtigen Schaden an. Aber das alles nur auf einem Computer, bei dem die Tastatureingaben geloggt werden, und einen solchen muss ich mir ja nicht aussuchen.

 

Zur Kontonummer.
Es gibt Leute die besorgen sich deine Kontonummer aus dem Papierkorb deine Bank (wo einige Leute ihre Kontoauszüge wegwerfen) und buchen dann von dir ab. Die Banken kontrollieren so gut wie nix mehr.

 

Also ein gewisses Risiko besteht immer bei Durchführung von Bankgeschäften auf fremden Rechnern. Ich will ja nicht behaupten, dass dies an der Tagesordnung ist. Es wird hier mit Sicherheit nur ein geringer Prozentsatz betroffen sein, aber wenns einen erwischt, dann ist das Gejammer immer groß. Auch die Banken haben dieses Risiko erkannt, denn nicht umsonst schwenken sie jetzt vom PIN/Tan-Verfahren zum iTAN-Verfahren. Also wie gesagt, es kann und geht auch in der Regel gut, aber wenn´s ums Geld geht bin ich Sicherheitsfanatiker. Ich habe Dir als Beispiel nur mal zwei Links angehangen, könnte die Liste aber beliebig fortsetzen.

In einem heißt es wörtlich:

Online-Banking - was heißt das?

Im anderen

c't 22/2005, S. 148: Sicherheit Online-Banking


Letzten Endes soll jeder nach seiner Fasson glücklich werden. Fakt bleibt aber - egal wie man dazu persönlich steht - dass derzeit HBCI die sicherste Online-Banking-Variante ist.



FE

 

Die Banken kontrollieren normalerweise nicht, ob eine Einzugsermächtigung vorliegt oder nicht.Jeder Bankkunde hat die Möglichkeit, Abbuchungen, die aufgrund von erteilten oder wieder kassierten oder nie erteilten Einzugsermächtigungen vorgenommen wurden, zu stornieren bis zu 6 Wochen nach der Transaktion.Wer seine Kontobewegungen im Blick hat, der geht bei dieser Art der Abbuchung kein Risiko ein.Die Banken sind verpflichtet,in diesen Fällen diese Stornierung (meist gegen eine sehr geringe Gebühr) unverzüglich vorzunehmen.

 

Ja und, was stört es, wird es eben zurück gebucht. Abbuchungen kann man zu Lasten des Abbuchenden einfach zurück holen. Anders sieht es bei Überweisungen aus.

PS. Ich nutze immer noch das gute alte Überweisungsformular und gebe die Dinger einmal die Woche bei der Bank rein. Ist einfach ein anderes Verhältnis zu der Sache, ähnlich wie Zahlung per Bargeld oder Kreditkarte.

 

Hey, EBehrmann,

Du bist ja ein noch größerer Sicherheitsfanatiker als ich

Zweifelsohne bleibt das immer noch die sicherste Methode !!


Greetz FE

 

Dabei hat das noch nicht einmal etwas mit Sicherheit zu tun, ist nur das Gefühl zum Geld.

Bargeld und Überweisungsformular ist eben doch ein anderes Gefühl, als Mausklick und Kreditkarte.

Kaufe mal ein Auto und zahle 30.000 Euro bar, dann merkst du, was ich meine. Auch bei dem Geldempfänger löst das Bargeld ein anderes Gefühl, eine andere Stimmung aus.

 

Genau das macht der mit deiner Kontonummer auch. Die Banken kontrollieren nämlich auch die Unterschriften nicht. Natürlich haftet die BAnk. Aber ich könnte mir vorstellen, dass dir ein eigenverschulden nachgewiesen wird (herausgabe der Kontonummer bei privat Kunden) und dich das einiges kostet.

 

Meine Bank sagt noch: "Guten Tag Herr Behrmann." Wenn dort ein Fremder Überweisungen von mit abgeben würden, dann werden sie schon stutzig.

Das sind eben die Vorteile auf dem Dorf.

 

Also überweisungen werden hier nur in einen großen Kasten geworfen und irgendein armer Azubi darf sie in den Rechner eingeben... (Vorstadt)

 

Also mit dem Bargeld gebe ich Dir vollkommen recht. Auch ich lebe nach dem Motto "Nur Bares ist Wahres". Der gute Mann an der Kasse meiner Bank grüßt mich auch noch persönlich und mit Namen wenn ich Geld abholen komme. Aber leider wird der jetzt auch wegrationalisiert oder, vornehmer ausgedrückt, in den Vorruhestand geschickt. Dann wird der Kassenschalter nur noch an bestimmten Zeiten geöffnet und mit wechselndem Personal besetzt sein. Die restlichen Zeiten bekommst Du an den Kundenschaltern zwar Geld, aber nur in eingeschränktem Maße.
Was die Überweisungen angeht, die habe ich schon lange nicht mehr persönlich abgegeben. Das hätte mich nämlich 2,- € pro Überweisung gekostet. Dafür hat die SK überall in den Vorräumen ihrer Filialen Überweisungautomaten aufgestellt. Deren Benutzung ist kostenlos. Lediglich die Kontenbewegung kostete 40 Cent. Es ist hier wie überall. Die teuersten Kosten sind die Personalkosten, also wird das Personal durch Elektronik ersetzt.
Ob ich nun in einem neutralen Vorraum die Tastatur eines Automaten bediene dafür aber extra zur Bank muss, oder bequem zu Hause die Tastatur meines PC, dass ist für den persönlichen Kontakt ziemlich egal. Nur preislich ist es ein Unterschied - es kostet nämlich nix.

Das ist Unsinn. Die Banken kontrollieren die Unterschriften aufgrund der hohen Personalitensität und der damit verbundenen Kosten nicht, wären dazu aber vor einer Transaktion verpflichtet. Ergo müssen sie im Falle einer Fehl-oder Falschüberweisung diese rückgängig machen. I.d.R. ist die Frist hier auf 6 Wochen begrenzt. Die Preisgabe meiner Kontonummer ist ganz allein meine Sache, die ist nämlich öffentlich. Bedenke mal, dass bei nahezu jeder Online-oder Telefonbestellung Deine Kontonummer angibst. Auch bei Versicherungen oder sonstigen Unternehmen (z.B. ADAC oder ähnl.) liegt die vor. Du verwechselst das wohl mit der Geheimnummer (neudeutsch PIN). Da sieht die Sache natürlich anders aus.

Aber wir entfernen uns vom Thema. Eigentlich hätte ich eine Antwort von Herrn Arnold erwartet. Aber die kann ja noch kommen FE