Liebe Community, ich bin noch recht jung bei ConsorsBank, und war eigentlich sehr gut zufrieden. Gerade den Support finde ich wirklich klasse. Allerdings beschleicht mich zunehmend das mulmige Gefühl, dass mein Depot bzw. das Verrechnungskonto nicht ausreichend geschützt ist.
Zuerst etwas Kontext: Die Grundsicherheit bei Transaktionen (Wertpapierverkäufe, Überweisungen, etc.) besteht ja darin, dass ein Angreifer sowohl die Zugangsdaten (PIN) als auch einen zweiten Faktor (TAN) besitzen muss, um die Transaktion durchzuführen. Es versteht sich von selbst, dass ein Kunde dafür Sorge tragen muss, diese Zugangsinformationen zu schützen, darüber zu diskutieren ist nicht zielführend. Nichtsdestrotrotz ist es natürlich nicht unmöglich, dass es durch Diebstahl, gezielte Hacks, usw. einem Angreifer gelingt, Zugang auf beide Faktoren zu erhalten.
Deshalb bietet die ConsorsBank -wie auch die Konkurrenz- einige optionale Konfigurationsoptionen an, die ein Nutzer wählen kann, um in einem solchen Fall zumindest den Schaden zu begrenzen. Diese werden unter https://www.consorsbank.de/ev/Service-Beratung/Sicherheit aufgelistet. Sie beziehen sich in ihrem Beschreibungstext alle explizit auf Überweisungen, sollen diese also weiter einschränken bzw. deren Sicherheit zusätzlich erhöhen. Das heißt, diese Funktionen sollen über die o. g. Grundsicherheit hinausgehen. Sie müssten also als Notfallleine greifen, wenn ein Angreifer Zugriff auf PIN & TAN erlangt hat.
Leider erhöht - anders als bei der Konkurrenz, die solche Optionen anbietet - nach meinem Verständnis keine einzige der Funktionen die Sicherheit. Es ist schlicht völlig irrelevant, ob diese Funktionen aktiviert werden oder nicht, da nichts davon über die o. g. Grundsicherheit hinausgeht:
Referenzkonten: Hiermit sollen Überweisungsziele eingeschränkt werden können ("wenn mich schon jemand hackt, kann er sich das Geld wenigstens nicht selber auszahlen lassen, ha!"). Ganz "bequem" über das Online-Banking lassen sich völlig beliebige Personen als Ziele eintragen. Bestätigt werden muss eine Änderung nur mit den Grundsicherheitsfaktoren.
Online-Tageslimit: Hier soll der Schaden begrenzt werden können ("wenn mich schon jemand hackt, kann er wenigstens nur X€/Tag auszahlen lassen, ha!"). Das Tageslimit kann in Sekundenschnelle geändert werden (max. 50.000€/Tag). Bestätigt werden muss eine Änderung nur mit den Grundsicherheitsfaktoren.
SMS-Benachrichtigungen: Der Kunde erhält eine SMS, wenn eine Überweisung durchgeführt wurde ("wenn mich schon jemand hackt, krieg ich wenigstens sofort eine Info, wenn er etwas überweist, ha!"). Aber: Laut Beschreibung erhält man gar keine SMS, wenn man auf ein Referenzkonto überweist (ja, das, das man problemlos ändern kann). Und selbst wenn: Auch wenn ich die SMS-Benachrichtigung einmal konfiguriert habe, kann ich die Funktion mit einem Klick wieder deaktivieren. Bestätigt werden muss lediglich mit den Grundsicherheitsfaktoren. In einem Selbsttest erhält man nicht mal eine SMS, dass diese Einstellung geändert wurde.
Ein potentieller Angreifer, der die Grundsicherheit durchbrochen hat, müsste also nur folgende Reihenfolge einhalten:
Login in das ConsorsBank-Depot des Opfers mittels PIN und TAN, auf die er Zugriff gelangt hat
Die SMS-Einstellungen bearbeiten: Hier schaltet er die SMS-Einstellungen vorsichtshalber mit zwei Klicks aus. Wäre nicht mal nötig, weil er später auf ein Referenzkonto überweist, aber ist eben ein vorsichtiger Angreifer.
Das Online-Tageslimit auf das ConsorsBank-weite Maximum von 50.000 setzen.
Ein neues Referenzkonto anlegen. Hier kann er einfach irgendein Konto auf seinen eigenen Namen eintragen.
Alle Wertpapiere verkaufen.
50.000€ auf sein privates Konto überweisen. Den Schritt hier kann er jeden Tag wiederholen, bis das Konto leer ist. Eine Benachrichtigung bekommt der Kunde nicht.
Wie erkennbar, ist es völlig egal, ob das Opfer alle Sicherheitsoptionen eingestellt hat oder gar keine. Am Ende kann es um satte 50.000€/Tag bestohlen werden, ohne auch nur irgendwie (nein, nichtmal über die Änderungen seiner Sicherheitseinstellungen) benachrichtigt zu werden.
Weil ich es in anderen Threads gesehen habe: Mit der Antwort "muss er halt aufpassen, dass Pin & Tan nicht in die Hände Dritter gelangen" kann ich wirklich nichts anfangen. Was ist dann überhaupt der Sinn der ganzen Funktionen? Wofür haben sich die Programmierer die Mühe gemacht, diese einzubauen? Niemand, der so weit kommt, überhaupt eine Überweisung anstoßen zu können, indem er Pin & Tan knackt, ist so dämlich, diese Funktion nicht einfach vor der Übweisung zu deaktivieren. Schlussendlich erhält das Opfer also nur SMS für die Überweisungen, die er auch wirklich selbst durchgeführt hat, aber ziemlich sicher keine im Ernstfall.
Andere Online-Broker machen das übrigens anders. "Referenzkonto" heißt dort beispielsweise:
Es gibt nur ein einziges Konto, das Ziel von Überweisungen sein kann.
Um dieses Konto zu ändern, muss ein unterschriebenes Dokument eingereicht werden.
SELBST WENN das Konto geändert, die Unterschrift also gefäscht wird: Es ist nur möglich, das Konto auf jemanden mit einem EXAKT GLEICHEN NAMEN zu ändern. D. h. wenn das Depot zu "Max Mustermann" gehört, MUSS ein Konto gewählt werden, dessen Inhaber EBENFALLS "Max Mustermann" heißt.
Hier ist erkennbar: Die Grundsicherheit zu knacken reicht nicht aus. Man muss auch noch gleich heißen und ein unterschriebenes Dokument einreichen. DAS ist WIRKLICH eine zusätzliche Barriere. DAS begrenzt WIRKLICH den Schaden im Ernstfall.
Verbesserungsvorschläge:
Referenzkonten müssen mindestens optional so einstellbar sein, dass sie ausschließlich über Schriftverkehr geändert werden können. Auf gar keinen Fall sollte es möglich sein, von einem Verrechnungskonto (!) aus auf ein Konto mit einem anderen Empfängernamen (!!) zu überweisen.
Wenn man soetwas wie ein Online-Tageslimit einführt und das auch für das Verrechnungskonto geltend macht, dann sollte man es mindestens optional so einstellen können, dass nur STÄRKERE BESCHRÄNKUNGEN (also Limit VERRINGERN, nicht ERHÖHEN) mittels TAN möglich sind. Das Limit zu erhöhen sollte zumindest konfigurabel ausschließlich via Schriftverkehr möglich sein.
Der Kunde sollte IMMER eine Benachrichtigung bekommen (mindestens per E-Mail), wenn seine Einstellungen geändert werden.
Den SMS-Benachrichtigungsdienst sollte man ebenfalls nicht einfach so problemlos deaktivieren können. Zum Beispiel könnte man einen Code eingeben müssen, der an die vorherige Nummer verschickt wird (neuer Faktor), um ihn zu deaktivieren.
Ich kann verstehen, dass die ConsorsBank aus Kostengründen auf weiteren Schriftverkehr verzichten möchte. Imho ist es auch völlig ausreichend, wenn man zumindest das Referenzkonto wirklich beschränken könnte. Hier ist es m. E. aber auch ein absolutes must have für einen Online-Broker.
Sind hier noch Verbesserungen geplant? Wie an der Länge des Textes erkennbar, ist das für mich nämlich wirklich bedenklich.. Und ich möchte eigentlich ungerne direkt nochmal wechseln. 😉
... Mehr anzeigen