abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Sicherheitskonzept

Link zum Beitrag wurde kopiert.

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 7
Registriert: 19.04.2016

Liebe Community und Consorsbank,

 

vergebt mir, wenn dieses Thema vielleicht schon mehrfach angesprochen wurde.. aber ich mache mir ein wenig Gedanken zum Thema Sicherheit der Bankguthaben und habe mich gefragt, ob ich ggf. Mißverständnissen unterliege.

 

Also.. ich nutze einen TAN-Generator und habe "ein paar Konten" bei der Consorsbank (Giro, Tagesgeld, Depotverrechnung). Ich habe auch noch externe Tages- bzw. Festgeldkonten, um - sofern man das so nennen kann - immer mal wieder günstige Zinsangebote wahrzunehmen.

 

Hinsichtlich der Sicherheit gibt es m.E.

-Login mit Kontonummer (nicht besonders geheim) und 5-stelliger PIN (sehr geheim),

-TAN aus kundenindividuellem Generator (Parameter: Zielkontonummernkomponente),

-Überweisungslimits je Konto (ohne weiteres nur nach unten änderbar) und

-Referenzkonten je Konto (zur Beschränkung der Zahlungsempfänger).

Zusätzlich wäre ggf. die SMS-Info zu nennen.

 

Nun gibt es aus Kundensicht natürlich "konfliktige" Zielansprüche, nämlich

-höchstmögliche Sicherheit und

-einfachste Handhabung,

wobei meine Priorität auf ersterer liegt. Eine Bank hat es also nicht ganz leicht, zugegeben.

 

Wenn ich über die verschiedenen Angriffsszenarien nachdenke, sehe ich natürlich Computerattacken - wobei in meinem Fall höhere Beträge fast ausschließlich auf meine eigenen Konten laufen, wo ich die Kontonummer kenne (Angriff vermutlich schwierig, da die Nummer ja in den TAN-Generator eingegeben wird). Von daher kann ich so halbwegs damit leben, daß der Überweisungsbetrag nicht in die TAN-Berechnung mit eingeht. Wäre aber gut, es wird niemals die Sicherheit reduzieren - und kommt es nicht auf höchstmögliche Sicherheit für die Kunden an..?

 

Dann wäre da sicher ein Szenario, in dem ein Angreifer den TAN-Generator erbeutet. Es soll ja immer mal wieder eingebrochen werden.. jedenfalls ist nicht auszuschließen, daß der TAN-Generator in fremde Hände fällt. Dann ist da "nur" noch die 5-stellige PIN, die ich glücklicherweise selbst ändern kann. Hier bin ich durchaus kritisch, was Länge und Aufbau angeht. Es wurde ja ausgiebig argumentiert - aber kann die Möglichkeit einer längeren PIN die Sicherheit reduzieren? Wohl nicht - und kommt es nicht auf höchstmögliche Sicherheit für die Kunden an? Warum wird wohl bei so ziemlich jedem Account Großbuchstaben, Kleinbuchstaben, Sonderzeichen etc. gefordert - bei Länge von mindestens 8 Zeichen?

 

Beim rein numerischen Code von maximal 5 Stellen sehe ich in jedem Fall die Möglichkeit, diesen direkt mitzulesen oder unauffällig abzufilmen. Unmöglich ist das jedenfalls nicht. Klar, daß man nicht vor allen Leuten seine Bankgeschäfte machen muß, aber.. allgegenwärtige Kameras usw.

 

Ein Mitbewerber bietet übrigens einen ähnlichen TAN-Generator wie die Consorsbank, der aber mit einer zusätzlichen PIN gesichert ist. Finde ich gut.

 

So - nehmen wir an, ein Angreifer gerät tatsächlich in den Besitz von PIN und TAN-Generator. Sicher der Super-GAU, aber wohl nicht unmöglich. Wie sieht es dann aus?

 

Schauen wir auf die Kontenlimits und die Referenzkonten. Hier habe ich ein wenig Schwierigkeiten, denn.. wenn ein Unberechtigter nicht PIN und TAN-Generator hat, kann er keine Transaktionen tätigen.. egal auf welches Konto und über welchen Betrag - in dem Fall greifen Kontenlimits und Referenzkonten nicht. WENN er aber über PIN und TAN-Generator verfügt - was sollen dann Limit und Referenzkonten? Er kann dann doch eigene Referenzkonten anlegen und 50 Überweisungen über 1.000 EUR erfassen.. vorausgesetzt, er hat die Zeit dazu. Oder verstehe ich da etwas nicht? Ein Tageslimit habe ich nicht gefunden. Auch wenn es je TAN 2-3 Minuten erfordert, sollte das Super-GAU-Szenario besser gesichert sein, die Ansätze dazu bestehen ja.

 

Mit den Limits habe ich noch weitere Probleme: die gelten offenbar auch innerhalb des eigenen Kontenverbundes. Was soll denn das? Das können sogar die Sparkassen.. heißt dort "Umbuchung" im Gegensatz zu "Überweisung" und geht natürlich ohne Limit. Bedeutet.. ein geringes Limit macht dem Kunden selbst das Leben schwer und schützt ihn vor Angreifern nicht. Wo ist mein Denkfehler?

 

Was ich - wohl im Gegensatz zu anderen Kunden - sehr begrüße, ist die ausschließlich schriftliche Möglichkeit, die Kontenlimits anzuheben. Weil genau das ja einem Angreifer verwehrt bleiben soll. Dumm nur, daß die Kontenlimits insofern unwirksam sind, als daß sie je Überweisung wirken, die wiederum in unbegrenzter Zahl möglich sind.

 

Danke fürs Lesen schonmal :-). Ich würde praktische Hinweise zum Sicherheitskonzept im Bezug auf meine Ausführungen sehr begrüßen - hoffend, daß ich einigen Mißverständnissen aufgesessen bin.

 

Konkrete Fragen auch an die Bank:

1.

Welcher Umgang mit dem TAN-Generator wird empfohlen? Eher auf Dienstreisen zu Hause lassen und gut verstecken - oder besser mitnehmen? Gibt es die Möglichkeit, diesen zusätzlich mit einer PIN zu sichern (s. Mitbewerber) - meiner ist wohl noch einer der ersten?

2.

Welche effektiven Möglichkeiten, sich vor Diebstahl zu schützen, gibt es außer der Sicherung von PIN und TAN-Generator? Kontenlimits und Referenzkonten zählen aus meiner Sicht nicht dazu (ohne PIN/TAN nicht nötig und mit PIN/TAN wirkungslos).

3.

Gibt es eine wirksame Möglichkeit, Verfügungen beispielsweise auf EUR 10.000 täglich zu begrenzen und höhere im Bedarfsfall ausschließlich schriftlich (z.B. per Fax, jedoch ohne EUR 20,00 Gebühren) zu tätigen? Müßte ja mit Tageslimits und kurzfristiger schriftlicher Anhebung des Limits zu erreichen sein (danach Limit per TAN wieder senken).

 

Vielen Dank für die freundliche Unterstützung!

 

PowerFritz

18 Antworten 18

Autorität
Beiträge: 4472
Registriert: 06.02.2015

@Knudsen@CB_Kai hat geschrieben, dass dies auf der Agenda stehe. Das Feature könnte demnach, so wie ich das lese, 2018 oder 2019 kommen, aber definitiv nicht innerhalb von "kürzester" Zeit. Vor allem da die demnächst gültigen gesetzlichen Anforderungen umgesetzt werden müssen.

0 Likes

Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 10
Registriert: 22.03.2017

@immermalanders: Na ja, zuvor hatte @CB_Petra geschrieben, dass „mit Nachdruck“ an diesem Feature gearbeitet werde. So dachte ich nach vielen Monaten, dass man ja mal nachfragen könne. Da hätte sie, CB_Petra, vielleicht gleich dazuschreiben können, dass damit gemeint ist, dass noch Jahre ins Land gehen. Und die „gesetzlichen Anforderungen“ – welche auch immer gemeint sind – stehen vermutlich auch nicht erst seit vorgestern auf der Todo-Liste ...

0 Likes

Moderator
Beiträge: 448
Registriert: 15.10.2015

Hallo @Knudsen,

vielen Dank für Ihre berechtigte Nachfrage.

Zu meinem Bedauern hat eine erneute Anfrage bei den zuständigen Kollegen nicht die von Ihnen vermutlich gewünschte Antwort erbracht.

An der Umsetzung Ihres Wunsches, online ein Tageslimit einrichten zu können, wird gearbeitet. Wann genau die Umsetzung erfolgt, kann ich Ihnen zu diesem Zeitpunkt nicht sagen. Ich bitte um Verständnis.

Beste Grüße

CB_Petra
Community Moderatorin

0 Likes

Moderator
Beiträge: 60
Registriert: 29.06.2016

Hallo @Knudsen,

 

uns liegt nun die Rückmeldung der zuständigen Kollegen vor.

 

Nach wie vor möchten wir diesen Service gerne umsetzen. Allerdings wird dies voraussichtlich erst im nächsten Jahr der Fall sein.

Daher bitte ich Sie noch um etwas Geduld.

 

Liebe Grüße

 

CB_Christel

Community Moderatorin

 

0 Likes

Regelmäßiger Autor
Beiträge: 63
Registriert: 10.03.2014

Moin!

 

Hab das mal mit Interesse gelesen.

 

Ich denke, 100%ige Sicherheit gibt's nirgendwo, aber 99,999999% sollten reichen.

 

Um eine Überweisung zu tätigen, müsste jemand schon meine Sim-Karte für die SMS-Tan abfangen. Würde ich merken. Zumal die Sim ja auch noch durch Pin geschützt wird.

Meine Banking-Pin ist nirgendwo notiert. Aber irgendwo habe ich ein nur für mich lesbares Memo als Gedankenstütze, aus der ich die Pin ableiten könnte.

Ich frage mein Konto täglich per App ab. Merkwürdige Bewegungen würden mir daher sofort auffallen.

PS, ich mache Online-Banking seit lange vergangenen Btx-Zeiten mit 14,4er-Modem.

🙂

0 Likes

Enthusiast
Beiträge: 790
Registriert: 08.12.2014

Hallo @Taler,

 

das mag bei einem klassischen Mobiltelefon noch gestimmt haben, bei einem Smartphone ist das eine ganz andere Geschichte. Denn wurde das Gerät übernommen kann der Angreifer die PIN über einen Keylogger abfangen, Online eine Überweisung erstellen und mit der abgefangenen SMS bestätigen. Alles ist mit einem Gerät möglich. Die Idee zwei Signalwege für die Authentifizierung zu nutzen ist somit passé.

 

Gruß

Myrddin

0 Likes

Routinierter Autor
Beiträge: 142
Registriert: 11.05.2014

@PowerFritz

 

Es wurde ja ausgiebig argumentiert - aber kann die Möglichkeit einer längeren PIN die Sicherheit reduzieren? Wohl nicht - und kommt es nicht auf höchstmögliche Sicherheit für die Kunden an? Warum wird wohl bei so ziemlich jedem Account Großbuchstaben, Kleinbuchstaben, Sonderzeichen etc. gefordert - bei Länge von mindestens 8 Zeichen?

 

 

Die richtige Frage ist, ob eine längere PIN die Sicherheit erhöhen kann. Und das kann sie eben nicht. Sogar im Gegenteil - je länger die PIN, desto eher wird sie irgendwo notiert, desto eher wird für mehrere Logins das gleiche Passwort verwendet, etc...

 

BTW: Die PIN ist alphanumerisch...

 


Gelegentlicher Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Community Beobachter
Beiträge: 10
Registriert: 22.03.2017

Hallo, da bin ich wieder,

 

und nach weit über 2 Jahren frage ich mal wieder nach:

 

Hat sich was getan in Sachen „Tageslimit für Onlineüberweisungen“? 

 

Danke und Grüße!

0 Likes

Moderator
Beiträge: 589
Registriert: 17.09.2015

Hallo @Knudsen,

besten Dank für Ihre Nachfrage. Gut Ding will ja bekanntlich Weile haben, daher bitte ich die Verzögerung in der Kommunikation zu entschuldigen.
Heute darf ich Ihnen heute mitteilen, dass wir die Möglichkeit eines Tageslimits für Onlineüberweisungen voraussichtlich im Dezember einführen werden.

Wir gehen daher, Stand heute, von eine Verfügbarkeit des Features zum Jahresende aus.

Beste Grüße

CB_Kai

Community Moderator

Antworten