abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Sicherheitskonzept

Link zum Beitrag wurde kopiert.

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 7
Registriert: 19.04.2016

Liebe Community und Consorsbank,

 

vergebt mir, wenn dieses Thema vielleicht schon mehrfach angesprochen wurde.. aber ich mache mir ein wenig Gedanken zum Thema Sicherheit der Bankguthaben und habe mich gefragt, ob ich ggf. Mißverständnissen unterliege.

 

Also.. ich nutze einen TAN-Generator und habe "ein paar Konten" bei der Consorsbank (Giro, Tagesgeld, Depotverrechnung). Ich habe auch noch externe Tages- bzw. Festgeldkonten, um - sofern man das so nennen kann - immer mal wieder günstige Zinsangebote wahrzunehmen.

 

Hinsichtlich der Sicherheit gibt es m.E.

-Login mit Kontonummer (nicht besonders geheim) und 5-stelliger PIN (sehr geheim),

-TAN aus kundenindividuellem Generator (Parameter: Zielkontonummernkomponente),

-Überweisungslimits je Konto (ohne weiteres nur nach unten änderbar) und

-Referenzkonten je Konto (zur Beschränkung der Zahlungsempfänger).

Zusätzlich wäre ggf. die SMS-Info zu nennen.

 

Nun gibt es aus Kundensicht natürlich "konfliktige" Zielansprüche, nämlich

-höchstmögliche Sicherheit und

-einfachste Handhabung,

wobei meine Priorität auf ersterer liegt. Eine Bank hat es also nicht ganz leicht, zugegeben.

 

Wenn ich über die verschiedenen Angriffsszenarien nachdenke, sehe ich natürlich Computerattacken - wobei in meinem Fall höhere Beträge fast ausschließlich auf meine eigenen Konten laufen, wo ich die Kontonummer kenne (Angriff vermutlich schwierig, da die Nummer ja in den TAN-Generator eingegeben wird). Von daher kann ich so halbwegs damit leben, daß der Überweisungsbetrag nicht in die TAN-Berechnung mit eingeht. Wäre aber gut, es wird niemals die Sicherheit reduzieren - und kommt es nicht auf höchstmögliche Sicherheit für die Kunden an..?

 

Dann wäre da sicher ein Szenario, in dem ein Angreifer den TAN-Generator erbeutet. Es soll ja immer mal wieder eingebrochen werden.. jedenfalls ist nicht auszuschließen, daß der TAN-Generator in fremde Hände fällt. Dann ist da "nur" noch die 5-stellige PIN, die ich glücklicherweise selbst ändern kann. Hier bin ich durchaus kritisch, was Länge und Aufbau angeht. Es wurde ja ausgiebig argumentiert - aber kann die Möglichkeit einer längeren PIN die Sicherheit reduzieren? Wohl nicht - und kommt es nicht auf höchstmögliche Sicherheit für die Kunden an? Warum wird wohl bei so ziemlich jedem Account Großbuchstaben, Kleinbuchstaben, Sonderzeichen etc. gefordert - bei Länge von mindestens 8 Zeichen?

 

Beim rein numerischen Code von maximal 5 Stellen sehe ich in jedem Fall die Möglichkeit, diesen direkt mitzulesen oder unauffällig abzufilmen. Unmöglich ist das jedenfalls nicht. Klar, daß man nicht vor allen Leuten seine Bankgeschäfte machen muß, aber.. allgegenwärtige Kameras usw.

 

Ein Mitbewerber bietet übrigens einen ähnlichen TAN-Generator wie die Consorsbank, der aber mit einer zusätzlichen PIN gesichert ist. Finde ich gut.

 

So - nehmen wir an, ein Angreifer gerät tatsächlich in den Besitz von PIN und TAN-Generator. Sicher der Super-GAU, aber wohl nicht unmöglich. Wie sieht es dann aus?

 

Schauen wir auf die Kontenlimits und die Referenzkonten. Hier habe ich ein wenig Schwierigkeiten, denn.. wenn ein Unberechtigter nicht PIN und TAN-Generator hat, kann er keine Transaktionen tätigen.. egal auf welches Konto und über welchen Betrag - in dem Fall greifen Kontenlimits und Referenzkonten nicht. WENN er aber über PIN und TAN-Generator verfügt - was sollen dann Limit und Referenzkonten? Er kann dann doch eigene Referenzkonten anlegen und 50 Überweisungen über 1.000 EUR erfassen.. vorausgesetzt, er hat die Zeit dazu. Oder verstehe ich da etwas nicht? Ein Tageslimit habe ich nicht gefunden. Auch wenn es je TAN 2-3 Minuten erfordert, sollte das Super-GAU-Szenario besser gesichert sein, die Ansätze dazu bestehen ja.

 

Mit den Limits habe ich noch weitere Probleme: die gelten offenbar auch innerhalb des eigenen Kontenverbundes. Was soll denn das? Das können sogar die Sparkassen.. heißt dort "Umbuchung" im Gegensatz zu "Überweisung" und geht natürlich ohne Limit. Bedeutet.. ein geringes Limit macht dem Kunden selbst das Leben schwer und schützt ihn vor Angreifern nicht. Wo ist mein Denkfehler?

 

Was ich - wohl im Gegensatz zu anderen Kunden - sehr begrüße, ist die ausschließlich schriftliche Möglichkeit, die Kontenlimits anzuheben. Weil genau das ja einem Angreifer verwehrt bleiben soll. Dumm nur, daß die Kontenlimits insofern unwirksam sind, als daß sie je Überweisung wirken, die wiederum in unbegrenzter Zahl möglich sind.

 

Danke fürs Lesen schonmal :-). Ich würde praktische Hinweise zum Sicherheitskonzept im Bezug auf meine Ausführungen sehr begrüßen - hoffend, daß ich einigen Mißverständnissen aufgesessen bin.

 

Konkrete Fragen auch an die Bank:

1.

Welcher Umgang mit dem TAN-Generator wird empfohlen? Eher auf Dienstreisen zu Hause lassen und gut verstecken - oder besser mitnehmen? Gibt es die Möglichkeit, diesen zusätzlich mit einer PIN zu sichern (s. Mitbewerber) - meiner ist wohl noch einer der ersten?

2.

Welche effektiven Möglichkeiten, sich vor Diebstahl zu schützen, gibt es außer der Sicherung von PIN und TAN-Generator? Kontenlimits und Referenzkonten zählen aus meiner Sicht nicht dazu (ohne PIN/TAN nicht nötig und mit PIN/TAN wirkungslos).

3.

Gibt es eine wirksame Möglichkeit, Verfügungen beispielsweise auf EUR 10.000 täglich zu begrenzen und höhere im Bedarfsfall ausschließlich schriftlich (z.B. per Fax, jedoch ohne EUR 20,00 Gebühren) zu tätigen? Müßte ja mit Tageslimits und kurzfristiger schriftlicher Anhebung des Limits zu erreichen sein (danach Limit per TAN wieder senken).

 

Vielen Dank für die freundliche Unterstützung!

 

PowerFritz

18 Antworten 18

Moderator
Beiträge: 448
Registriert: 15.10.2015

Hallo @PowerFritz,

vielen Dank für Ihren Beitrag. Sicherheit beim Online-Banking ist auch für die Consorsbank ein wichtiges Thema.
Zunächst einmal folgender Hinweis: Die PIN kann aus Buchstaben (Groß- und Kleinschreibung) und/oder Zahlen bestehen.

Zum Umgang mit dem TAN-Generator wird empfohlen, diesen immer getrennt von der PIN aufzubewahren. Im Besten Fall sollte die PIN im Gedächnis und nicht in einer Schublade, Geldbörse o.ä. verfügbar sein.

Zu Ihrer 3. Frage: ein tägliches Verfügungslimit ist nicht vorgesehen. Selbstverständlich können Sie ein Limit pro Einzelverfügung einrichten, wobei eine Reduzierung online, eine Erhöhung aus Sicherheitsgründen nur per Post möglich ist. Für schriftlich eingereichte Überweisungen wird eine Gebühr von 2,95 Euro erhoben.

Kennen Sie schon das Sicherheitsversprechen der Consorsbank?

Ich hoffe, Sie fühlen sich zukünftig sicher bei uns.

Freundliche Grüße

CB_Petra
Community Moderatorin

0 Likes

Enthusiast
Beiträge: 224
Registriert: 02.11.2014

Mir hat man auf Nachfrage bei der Consorsbank ein Tageslimit für Onlineüberweisungen eingerichtet. Beantragung musste schriftlich erfolgen, aber es wir mir auch online angezeigt. Aus meiner Sicht ist das ein wichtiger Baustein zur Onlinesicherheit.

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 7
Registriert: 19.04.2016

Liebe Consorsbank,

 

ich danke Ihnen für Ihre Antwort; sie hat mir insofern weitergeholfen, als daß ich bisher von einer rein numerischen PIN ausgegangen war - die ich selbstverständlich nirgendwo notiere. Bei fünf Stellen ist das so eben möglich :-). Ebenso danke ich dem Vorredner für die Erwähnung des Tageslimits!

 

Hinsichtlich des Sicherheitskonzeptes bin ich weiterhin "gesund skeptisch" und habe durchaus auch Verständnisprobleme hinsichtlich der bankseitigen Denkweise: verdichtet ausgedrückt, verstehe ich

 

1.

Wir nutzen einfachere Sicherheitsvorkehrungen als andere Anbieter,

 

2.

es gibt unterschiedliche Detailansätze, die jedoch bei etwas genauerem Hinsehen wirkungslos sind und

 

3.

wenn etwas passiert, ersetzen wir den Schaden lieber, statt mit recht einfachen Vorkehrungen (z.B. die öffentilch relativ bekannte Kontonummer ist nicht Teil der Login-Komponenten, längeres Paßwort, Transaktionsbetrag Teil der TAN) den subjektiven Schutz etwas zu erhöhen.

 

Insbesondere bei Punkt 3 würde ich bei einer Bank nicht unbedingt erwarten, nach Entwendung eines 5-6stelligen Betrages locker und problemlos Ersatz zu bekommen. Wäre ich die Bank, würde ich immer mit grober Fahrlässigkeit argumentieren - bei ein paar hundert EUR tendenziell sicher nicht.

 

Ich gehöre übrigens nicht zu den Zeitgenossen, die grundsätzlich kritisch im Sinne von negativ gegenüber "allem" sind. Ich bin der Consorsbank durchaus verbunden, weil sie beispielsweise mein Konto kostenlos führt und bisher ausnahmslos bei allen Reklamationen (eine Handvoll innerhalb von 15 Jahren) tadellos kulant agiert hat. Und ich glaube auch nicht, daß meine bescheidenen Mittel bei der Consorsbank "tatsächlich unsicher" sind (was immer das heißt).

 

Es bleiben aber die bereits erörterten offenen Fragen:

Ohne Zugangsdaten und TAN-Generator sind keine Transaktionen möglich; darauf vertraue ich fest. Weitere Vorkehrungen (Referenzkonten, Limits) sind dann nicht nötig.

Mit Zugangsdaten und TAN-Generator sind alle weiteren Vorkehrungen (Referenzkonten, Limits) wirkungslos. Übrigens auch die im Sicherheitsversprechen geforderte SMS-Benachrichtigung - bei Überweisungen auf Referenzkonten gibts keine.

 

Am ehesten .. naja.. "überzeugt" mich, daß - sollten sich Fälle unberechtigter Zugriffe häufen bzw. gehäuft haben - die Bank wohl lange reagiert hätte. Vermutlich werden die von mir als sicherheitserhöhend eingeschätzten Vorkehrungen von Fachleuten als wenig effektiv eingestuft - so wie von mir die Referenzkonten und die Limits :-).

 

Dann prüf ich jetzt mal flott mein Konto bezüglich auffälliger Bewegungen.

 

Freundlichst,

 

PowerFritz

 

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 10
Registriert: 22.03.2017

Hallo zusammen, 

 

in einem Beitrag dieser Community fand ich folgende Aussage: “Mir hat man auf Nachfrage bei der Consorsbank ein Tageslimit für Onlineüberweisungen eingerichtet.

 

Auf Nachfrage meinerseits hat ein Mitarbeiter der Kundenbetreuung mir dies nicht bestätigen können, auch nicht nach seinerseitiger Nachfrage bei den Kollegen. 

 

Daher meine Frage: Was ist nun dran am Tageslimit für Onlineüberweisungen – machbar oder nicht?

 

Vielen Dank und viele Grüße!

0 Likes

Moderator
Beiträge: 448
Registriert: 15.10.2015

Hallo @Knudsen,

vielen Dank für Ihre Anfrage.

Ob und wie die generelle Möglichkeit der Hinterlegung eines Tageslimits für Onlineüberweisungen besteht, entzieht sich meiner Kenntnis. Zur Klärung habe ich daher die zuständigen Kollegen um Rückmeldung gebeten. Sobald uns Moderatoren diese vorliegt, informieren wir Sie an dieser Stelle.

Damit alles zu einem Thema in der Community auf einen Blick zu finden ist, habe ich Ihren Beitrag dem von Ihnen verlinkten Thread angehängt.

Freundliche Grüße

CB_Petra
Community Moderatorin

0 Likes

Moderator
Beiträge: 448
Registriert: 15.10.2015

Hallo @Knudsen,

danke für Ihre Geduld. Es freut mich Ihnen mitzuteilen, dass, laut den zuständigen Kollegen, dieses Sicherheitsmerkmal in Zukunft allen Kunden zur Verfügung stehen wird. An der Umsetzung wird mit Nachdruck gearbeitet. Sollte jemand sich, trotz des bereits bestehenden Sicherheitsversprechens, noch zusätzlich absichern wollen, reicht ein formloser und unterschriebener Auftrag per Post. Ich bitte allerdings zu bedenken, dass eine Erhöhung des hinterlegten Limits ebenfalls nur per Post möglich ist.

Freundliche Grüße

CB_Petra
Community Moderatorin

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 10
Registriert: 22.03.2017
Danke für Ihre Antwort.

Leider ist Ihr Beitrag inhaltlich für mich überhaupt nicht zu verstehen – ist das Tageslimit nun schon einzurichten („es reicht ein formloser und unterschriebener Auftrag per Post”) oder etwa doch noch nicht („es wird mit Nachdruck an der Umsetzung gearbeitet“)?

Und was bedeutet der Satz „es wird in Zukunft allen Kunden zur Verfügung stehen”? Zurzeit steht es also nicht allen Kunden zur Verfügung!? Steht es momentan denn mir als Kunde zur Verfügung?

Mit der Bitte um Aufhellung, Grüße!
0 Likes

Moderator
Beiträge: 598
Registriert: 17.09.2015

Hallo@Knudsen,

gerne präzisieren wir die gemachten Aussagen.

Aktuell ist die Hinterlegung eines Tageslimits online nicht möglich,steht aber auf der Agenda und wird als zusätzliches Sicherheitfeature von uns eingerichtet. Kunden, die sich neben dem erwähnten Sicherheitsversprechen und der Option einer SMS Benachrichtigung bei über 1000 Euro weiter absichern wollen können ein Tageslimit durch die formlose und unterschriebene Beauftragung per Post bei uns einrichten lassen.

In diesem Zusammenhang erlaube ich mir, in Anbetracht der Fokussierung auf die Technische Sicherheit, auf den Umstand hinzuweisen, dass der bei weitem höchste Anteil der entstandenen Schäden auf unzureichenden, teils fahrlässigen Umgang mit Zugangsdaten zurückzuführen ist.

Bitte beachten Sie hier auch unser Sicherheitsversprechen.
https://www.consorsbank.de/ev/Service-Beratung/Sicherheit#Sicherheitsversprechen

Hierdurch werden sich hoffentlich viele Aspekte zur Notwendigkeit der weiteren technischen Aufrüstung relativieren.

Beste Grüße

CB_Kai

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 10
Registriert: 22.03.2017

Hallo, da bin ich wieder …

 

… geht das denn inzwischen nun eigentlich mit der Online-Aktivierung eines Tageslimits?

0 Likes
Antworten