Ihre Ideen. Ihre Bank.

Sicherheitsloch bei SMS-Benachrichtungsservice für Überweisungen

Status: Keine Umsetzung
von am ‎13.06.2016 21:36

Hallo,

 

gerade lese ich (Auskunft des Kundenservice):

 

"In diesen Fällen werden Sie nicht benachrichtigt:

- der Betrag liegt unter 1000,00 EUR

- es handelt sich um eine interne Umbuchung

- die Überweisung erfolgte auf ein Referenzkonto"

 

Der letzte Punkt sollte m. E. dringend (!) überdacht werden. Der Sinn des Benachrichtigungsservice ist ja wohl, dass man rechtzeitig eingreifen kann, wenn eine unbefugte Person Zugriff auf das Konto hat (inkl. der TANs) . Es ist aber für eine derartige unbefugte Person kein Problem, noch schnell das "Zielkonto" als Referenzkonto einzurichten und damit die SMS-Benachrichtigung zu verhindern. 

 

Alternative wäre natürlich auch eine SMS-Benachrichtigung denkbar, die jedesmal informiert, wenn jemand ein neues Referenzkonto einrichtet...

 

 

 

Status: Keine Umsetzung

Hallo @ORothe,

vielen Dank für Ihren Hinweis und Entschuldigung für die späte Rückmeldung.

 

Wir haben diese Idee mit unseren IT-Security-Experten besprochen. Die Kollegen haben darauf hingewiesen, dass es, für den Fall das ein "Angreifer" über mehr als eine TAN verfügt, es ein leichtes wäre, den Benachrichtigungsservice zu deaktivieren. Des Weiteren würde eine Aufnahme von Überweisungen auf Referenzkonten eine erhebliche Mehranzahl von SMS-Benachrichtigungen generieren.

 

Da wir unseren Kunden diesen Service jedoch auch weiterhin kostenfrei anbieten möchten und die Sicherheit wie oben geschildert nicht verbessert wird, können wir diesen Vorschlag nicht umsetzen.

 

Die Planung unsererseits geht daher in die Richtung sicherheitsrelevante Events (Änderung Referenzkontoanlage, Limit-Änderungen, PIN-Änderungen etc.) in einen Benachrichtigungsservice mit aufzunehmen. Der genaue Umsetzungszeitpunkt ist uns noch nicht bekannt.

Wir werden aber an dieser Stelle informieren, sobald es Neuigkeiten gibt.

 

Viele Grüße aus Nürnberg
Sonja
Community Moderator

Kommentare
von
am ‎17.06.2016 12:35
Status geändert in: Zur Diskussion
 
von
am ‎21.08.2016 21:19

Mag sein, dass ich mich irre aber wenn derjenige eh schon über Pin+Tan verfügt, kann er die SMS Benachrichtigung auch einfach deaktivieren oder?

von
am ‎21.02.2017 15:31
Status geändert in: Keine Umsetzung

Hallo @ORothe,

vielen Dank für Ihren Hinweis und Entschuldigung für die späte Rückmeldung.

 

Wir haben diese Idee mit unseren IT-Security-Experten besprochen. Die Kollegen haben darauf hingewiesen, dass es, für den Fall das ein "Angreifer" über mehr als eine TAN verfügt, es ein leichtes wäre, den Benachrichtigungsservice zu deaktivieren. Des Weiteren würde eine Aufnahme von Überweisungen auf Referenzkonten eine erhebliche Mehranzahl von SMS-Benachrichtigungen generieren.

 

Da wir unseren Kunden diesen Service jedoch auch weiterhin kostenfrei anbieten möchten und die Sicherheit wie oben geschildert nicht verbessert wird, können wir diesen Vorschlag nicht umsetzen.

 

Die Planung unsererseits geht daher in die Richtung sicherheitsrelevante Events (Änderung Referenzkontoanlage, Limit-Änderungen, PIN-Änderungen etc.) in einen Benachrichtigungsservice mit aufzunehmen. Der genaue Umsetzungszeitpunkt ist uns noch nicht bekannt.

Wir werden aber an dieser Stelle informieren, sobald es Neuigkeiten gibt.

 

Viele Grüße aus Nürnberg
Sonja
Community Moderator