Ihre Ideen. Ihre Bank.

Verschlüsselte E-Mails

Status: Zur Diskussion
von kopterpilot am ‎14.01.2015 17:05

Die Sparkassen machen es, die Universitäten machen es, die Firmen machen es, nur CORTAL CONSORS macht es nicht. Ein echter Schwachpunkt.

Status: Zur Diskussion
Kommentare
von CB_Nina
am ‎14.01.2015 18:00
Status geändert in: Zur Diskussion
 
von kopterpilot
am ‎19.01.2015 15:43

Ein aktueller Kommentar dazu meinerseits: Mit schöner Regelmäßigkeit bekomme ich Emails der Consorsbank mit dem Betreff:

 

Wichtige Terminanschreiben für Konto XXXXXX

 

Zum Beispiel gerade eben. Und da steht dann immer das gleiche drin: "Wir haben Ihnen heute wichtige Termininformationen zu Ihren Wertpapieren in Ihr persönliches OnlineArchiv im Internet eingestellt." Davon mal abgesehen, das das Unsinn ist (die Information ist nicht "im Internet eingestellt", sondern es müsste heissen "über das Internet auf unserem Server abrufbar") ist eine solche E-Mail denkbar nichtssagend.

 

Man stelle sich vor, statt eine Info per E-Mail zu schicken, würde das jeder Shop oder jede Bank so machen! Etwa so: "Bitte loggen Sie sich unbedingt bei uns ein, wir haben eine wichtige Info für Sie", zum Beispiel Amazon oder Ebay. Oder man bekäme einen Brief mit der Post, oder einen Anruf: Bitte kommen Sie doch mal in unserer Filiale vorbei, wir möchten Ihnen etwas mitteilen.

 

Meist ignoriere ich daher diese E-Mails der Consorsbank. Nur heute habe ich mal hineingeschaut, da ich ausnahmsweise Zeit habe. Und da steht folgendes interessantes: "Der Rahmen für die maximale Verwaltungsvergütung wird von derzeit 1,10 % p. a. auf 0,9 % p. a. gesenkt. " Das betrifft einen Immobilienfonds, und die Änderung wirkt sich für mich im Cent-Bereich aus. Und eine "zeitlich kritische Entscheidung", wie es in der Consors-Email heist, ist davon wirklich nicht abhängig. Nur einmal habe ich aber allerdings einen Aktiensplit (Siemens -> Osram) verpasst, von gefühlt 100 "Wichtigen Terminanschreiben".

 

Also, liebe Consorsbank: Schickt doch eure E-Mails einfach PGP-verschlüsselt an die Kunden die damit umgehen können. Für den Browser braucht es dafür ja auch nur ein Plugin (z.B. Mailvelope), das ist wirklich nicht kompliziert. Eure Kunden sind auch nicht dümmer als ihr selbst. Und dann könnt Ihr auch eure geheimen Botschaften ganz zwanglos per E-Mail übermitteln.

 

Kopterpilot

 

von Morphan
am ‎05.06.2015 17:51

Volle Zustimmung für PGP-Unterstützung.

Es gibt kaum einen sensibleren Bereich der Online-Kommunikation als das Bank-/Versicherungswesen. Die Mitbewerber bieten z.T. bereits an, dass Kunden ihren öffentlichen PGP-Schlüssel für die Kommunikation hinterlegen können und stellen umgekehrt den/die Schlüssel der Bank zur Verfügung.

 

Ich hoffe, dass sich hierzu jemand vom Support oder der IT-Sicherheit äußert: Ist eine Einführung von PGP geplant?

von Ryo
am ‎08.07.2015 23:26

Ich denke bei Ihrer Idee eher an die Unterstützung von De-Mail. Ja, ist nicht so sicher wie PGP, aber seien wir ehrlich, PGP ist aktuell für die breite Masse nicht einsetzbar, da es ein gewisses technisches Know-How erfordert, es einzurichten. 

von HerrHeller
am ‎25.08.2015 11:37

Verschlüsselung ist nicht nur gut, sondern auch notwendig, wie wir mittlerweile alle wissen sollten.

Ich schlage statt PGP allerdings S/MIME vor, da es sich hierbei schon um einen bewährten Standart handelt, der übrigens in vielen Programmen schon implementiert ist, und auch von völlig unbedarften Leuten problemlos eingesetzt bzw. verwendet werden könnte.

von kopterpilot
‎12.09.2015 09:36 , bearbeitet ‎12.09.2015 09:48

S/MIME und PGP schließen sich nicht aus, ein Mitbewerber der Consorsbank bietet seinen Kunden beides an. PGP ist das, was z.B. GMX zur End-zu-End Verschlüsselung verwendet. Wenn man Kunde bei GMX ist oder einen Freemail-Account dort hat, kann man auch eine Einladung zur verschlüsselten Kommunikation direkt an die Consorsbank senden. Das geht so: 

1. Klicken Sie im Posteingang auf "Einstellungen".
2. Klicken Sie unter "Sicherheit" auf "Verschlüsselung".
3. Geben Sie bei "Kontakte einladen" die E-Mail-Adresse des Einzuladenden ein, z.B. info@consorsbank.de
4. Bestätigen Sie mit "Einladung senden".

 

Es kommt dann ein sehr höflich formulierter Autoreply zurück: "Herzlichen Dank für Ihre E-Mail an die Consorsbank. Diese wird derzeit von uns bearbeitet. Bitte haben Sie noch etwas Geduld, wir werden uns in Kürze bei Ihnen melden." Das läßt doch hoffen!

von werli
am ‎30.10.2016 13:29

Ein Mitbewerber macht das online vorbildlich. Mit Kunden kommuniziert er nie per unverschlüsselter E-Mail. Jeder Online-Kunde bekommt eine Web-Mailbox auf dem Server des Mitbewerbers. Freigeschaltet wird diese Mailbox nachdem der Kunde angerufen und dabei mit bestimmten Fragen authentifiziert wurde. Der Zugriff zu dieser Web-Mailbox ist natürlich nur über HTTPS möglich. Wenn der Kunde aber diese Mailbox nicht nutzen will, kann er dort seine private E-Mail-Adresse angeben und entweder deren S/MIME-Zertifikat oder öffentlichen PGP-Schlüssel hochladen sowie aktualisieren und kommuniziert ab dann mit der Bank entsprechend verschlüsselt über seine private E-Mail und nicht mehr über die weiterhin existierende Web-Mailbox.

 

Wahrscheinlich sind diese Web-Mailboxen Bestandteil eines Secure E-Mail-Gateway. Secure E-Mail-Gateways gibt es bereits seit Jahren. Man muss also das Rad nicht neu erfinden. Der Aufwand für dieses erhebliche Mehr an Sicherheit beschränkt sich somit auf etwas Rechenkapazität, Installation und Pflege des Secure E-Mail-Gateway und der minimalen Schulung einiger Mitarbeiter zwecks Erstellung der Mailboxen.

 

Ob der Kunde sich für S/MIME oder PGP entscheidet ist Geschmackssache. Anbieten sollte man beides. Technisch leisten beide Verfahren für Signierung und Verschlüsselung exakt dasselbe. S/MIME ist in allen Mailclient-Programmen (Thunderbird & Co.) bereits implementiert und diese recht einfache Implementierung und Handhabung ist für Unbedarfte schneller verständlich. Die Erweiterung Enigmail hingegen , die für Thunderbird PGP implementiert, muss neben Gpg4Win (o.ä.) erst installiert werden und ist komplexer, kann dafür aber auch bei Zusatzfunktionen wie der Verwaltung und Kontrolle der Schlüssel der Korrespondenzpartner strenger und somit verwechslungssicherer konfiguriert werden - eher etwas für Fortgeschrittene.

 

Noch etwas. Über verschlüsselte E-Mail könnte man ja auch - kurz vor jedem Wechsel - jedem Kunden den Fingerabdruck des neuen TLS-Server-Zertifikats mitteilen, das den Zugang zur Website der Bank und damit zum Online-Bankkonto absichert. Der Neukunde erhält erstmalig den aktuellen Fingerabdruck per Post mit den Bankunterlagen - letzteres wie bei dem Mitbewerber.

von Notgroschen
am ‎22.10.2017 20:17

Schade, dass sich bei dem Thema einfach nichts tut. Aber Consors befindet sich ja in "guter" Gesellschaft. Und so müssen eben Millionen Kunden regelmäßig Kontoauszüge und allerlei Abrechnungen (Strom, Telefon u. v. m.) von diversen Servern aktiv herunterladen...

Bei den Einladungen zu Hauptversammlungen klappt das Versenden PGP-verschlüsselter E-Mails dagegen schon seit vielen Jahren.

von Kiwengwa
‎22.10.2017 20:45 , bearbeitet ‎22.10.2017 21:00

Zwei Dinge sind hier zu unterscheiden: Das eine ist ein wohl organisiertes Dokumentenarchiv. Consors hat hier ein, im Vergleich zu anderen Geldinstituten, vorbildliches OnlineArchiv. Das zweite, und das ist dagegen ärgerlich, ist, dass es keine Möglichkeit gibt zum Beispiel mit der Honorarberatung von Consors verschlüsselt über PGP-Email zu kommunizieren. Nervig auch, dass es nicht möglich ist, zeitkritische Informationen ohne zeitraubenden Umweg über das OnlineArchiv empfangen zu können.  Die ständigen E-Mails mit dem Betreff "Wichtige Terminanschreiben" (gemeint ist wahrscheinlich: "Wichtiges Terminanschreiben") ignoriere ich aus dem Grund fast immer, und denke: wird ja nicht so wichtig sein.

von SCHLUMPFINE777
am ‎29.10.2017 06:58
PGP verschlüsselte/signierte Mails würden einen weiteren Vorteil bringen. Phishingmails wären dadurch leichter zu erkennen. Wenn die Consorsbank (und alle anderen großen Unternehmen) ihre Mails mit einer qualifizierten Signatur versehen würden, dann bräuchte man unsignierte oder falsch signierte Mails einfach nur ungeöfnet in den Papierkorb weiterleiten. Wenn dieses Verfahren durch Banken eingesetzt und ggf. als Sicherheitsfeature beworben würde, dann gäbe es zumindest in meinem Bekanntenkreis einige die die Notwendigkeit erkennen würden.