Wie sicher ist Ihre Bank?

Ja, ich bin beken­nen­der Nutzer von Online-Banking. Nein, ich sehe da kei­nen Widerspruch zum Thema Sicherheit. Das mag man­cher für blau­äu­gig hal­ten, jedoch gibt es durch­aus eini­ge Schutzmaßnahmen, die zum Thema Sicherheit beitragen:

  • Nutzung nur von Endgeräten mit aktu­el­len Patches, Sicherheitsfixes, Updates und natür­lich akti­vem und aktu­el­lem Virenscanner
  • Nutzung (und Kontrolle bei jeder Nutzung) von ver­schlüs­sel­ten Verbindungen im Browser zum Banking-Portal
  • Kein Online Banking über öffent­li­che Hot Spots
  • Trennung von Banking App und TAN Generator auf ver­schie­de­nen Endgeräten
  • und vie­le mehr.

Doch was nützt es, wenn die­se Maßnahmen durch bana­le Dinge unter­lau­fen werden?

Meine Nachricht an die Bank vom 11.08.2016:

Sehr geehr­te Damen und Herren! Es ist sehr unglück­lich, dass bei der SMS TAN die TAN direkt zu Beginn der Nachricht steht. Auf einem iPho­ne wird bei akti­vier­ter SMS Anzeige im Sperrbildschirm somit jedem die TAN ange­zeigt, der das Gerät in den Händen hält. Das hebelt den eigent­li­chen Schutz ja wie­der aus.”

bank1

Ich war etwas über­rascht, mei­ne Bank reagier­te noch am sel­ben Tag:

Sehr geehr­ter Herr Kuhrau,

vie­len Dank für Ihre Nachricht.

Sie haben eine Frage zum mTAN-Verfahren, die wir Ihnen ger­ne beant­wor­ten. bei Smartphones mit dem Betriebssystem iOS oder Android haben Sie die Möglichkeit, die Anzeige der Nachrichten im Sperrbildschirm aus­zu­blen­den. Somit wird Ihnen ange­zeigt, von wem Sie eine Nachricht erhal­ten haben aller­dings ohne den Inhalt der Nachricht.

Bei wei­te­ren Fragen sind wir ger­ne Ihr Ansprechpartner. Sie errei­chen unse­re Kundenbetreuung Montag bis Samstag von 07:00 bis 22:00 Uhr tele­fo­nisch unter xxx-xxxxxxxx. Bitte hal­ten Sie für Ihren Anruf Ihre Kundennummer und Ihre Telefon-PIN bereit.
Gerne kön­nen Sie uns direkt auf elek­tro­ni­schem Weg auf die­ses Schreiben ant­wor­ten. Wählen Sie hier­für bit­te unter dem Menüpunkt »Aktion« das Feld »Antworten«.

Mit freund­li­chen Grüßen
Ihre Bank”

bank2

Das hat mich dann nun doch etwas erstaunt. Von einem ande­ren Kreditinstitut weiß ich, dass die­se dort auch auf­ge­tre­te­ne “Sicherheitslücke” mit weni­gen Klicks sei­tens der Bank beho­ben wur­de. Diese Bank sieht das etwas anders. “Schalten Sie doch ein­fach eine Standardfunktion ihres Telefons aus, dann müs­sen wir uns nicht mit die­sem Problem rum­schla­gen!”, zumin­dest war das mein Empfinden.

Unbeirrt und zuver­sicht­lich habe ich noch mal freund­lich nachgehakt:

Hallo! Danke für die schnel­le Antwort. Ja, die Funktion ist mir bekannt. Stellt sich die Frage, was ist siche­rer: dar­auf zu hof­fen, dass Ihre Kunden mit SMS TAN die Benachrichtigung für den Sperrbildschirm aus­schal­ten (womit auch alle ande­ren Infos und Nachrichten weg­fal­len, was eine erheb­li­che Einschränkung der mensch­li­chen Komfortzone bedeu­tet — in der Praxis wis­sen wir, wie das aus­geht 🙂 ) oder von Ihrer Seite aus (wie ande­re Bankinstitute es bereits machen) den Platzhalter für die TAN in der SMS Maske ein­fach ans Ende in der Textvorlage verschieben?”

bank3

Klar, die Benachrichtigungen kön­nen im Sperrbildschirm deak­ti­viert wer­den. In die­sem Fall dann für alle SMS (eine Filtermöglichkeit ist mir nicht bekannt). Für eini­ge Anwender ist SMS eh “old school”, von daher wäre die Deaktivierung für sie zu ver­schmer­zen. Doch gera­de die “old school”-Generation abseits von Apps und Whatsapp tut sich damit sicher schwer. Hinzu kommt, dass nicht jeder Nutzer so firm ist, dass er weiß, wo und wie er die­se Nachrichten abstellt.

Nun, Antwort bis­her kei­ne. Ich hal­te Sie auf dem Laufenden.

Wie hält es Ihre Bank mit der Sicherheit von SMS TAN?

1 Antwort
  1. Sascha Kuhrau says:

    13 Tage sind ver­gan­gen, kei­ne Reaktion mehr sei­tens der Bank. Das zum Thema Sicherheit. Auf der Webseite steht dazu übri­gens “Sicherheit hat beim Online-Banking höch­ste Priorität. Als Kunde der 1822direkt kön­nen Sie sich dar­auf ver­las­sen, dass die neu­esten Sicherheitstechnologien ein­ge­setzt wer­den.” NOT REALLY …

    Antworten

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.