Thema "Re: PIN-Eingabe bei Telefonsupport" in Anregungen

PIN-Eingabe bei Telefonsupport

Bond246 — Mon, 15 Jan 2018 17:04:26 GMT

Hallöchen,

ich hatte heute mal wieder seit längerem Kontakt mit dem Telefonsupport. Meine Frage wurde schnell geklärt, ich musste nicht lange warten, alles wie üblich und alles zufriedenstellend.

Was ich jedoch immer wieder äußerst verwunderlich finde ist, dass ich meinen Login-PIN über die Telefontastatur eingeben muss. Das finde ich schon äußerst gefährlich. Gespräche können heutzutage problemlos mitgehört werden, insbesondere über SIP. Könnte man das nicht anders lösen? Zumal für die meisten Fragen auch nicht der PIN sofort zu Beginn des Gesprächs notwendig ist.

Andere Banken haben einen separaten Telefon-PIN. Wenn man den nicht oft braucht, werden den viele vergessen und dann nicht parat haben. Aber immerhin besser als den Onlinebanking-PIN zu verwenden.

Wiederum andere Banken fragen nur 2-3 Stellen des PINs ab, in meinen Augen durchaus eine Lösung.

Ebenfalls sinnvoll finde ich einen Rückruf-Service. Dann logge ich mich gewohnt online ein, habe mich also authentifiziert und von mir aus muss ich für die akustische Authentifizierung dann einen einmaligen PIN im Gespräch nennen, der mir vorher über den Rückruf-Service auf der Website generiert wird.

Wäre schön, wenn ihr die Praxis überdenken würdet.

Grüße

Betreff: PIN-Eingabe bei Telefonsupport

Zargoras — Mon, 15 Jan 2018 17:48:40 GMT

@Bond246

da ich es einfach unfassbar liebe mit einem Telefoncomputer zu sprechen, ignoriere ich ihn einfach, schon wenige sekunden nachdem es ausgesprochen hat, wird dir gesagt, das du keine Eingabe gemacht hast, oder das System deine Eingabe nicht verstanden hat, daraufhin wirst du zum nächsten freien Kundenberater durchgestellt.

Ich mache das immer so, allgemeine Fragen kannst du dann einfach so Stellen, für Kontospezifische sachen, musst du dich dann Authentifizieren, also Zugangsnummer, und 5 der sechs Stellen der Pin (z.B. bitte nennen sie Ihre Pin ohne die dritte Stelle).

Villeicht ist das eine praktikable Lösung für dich.

Was SIP und jegwede Femtozelle angeht, ist halt eher der commen sense, das es für Illegale aktivitäten nicht zur Verfügung sthet, sondern nur von Staatlichen Stellen missbraucht wird.

Re: PIN-Eingabe bei Telefonsupport

SMT_Jan-Ove — Tue, 16 Jan 2018 08:33:12 GMT

Guten Morgen, @Bond246,

danke für deinen Input zu unseren Sicherheitsmaßnahmen.

Wie @Zargoras schon richtig sagte, ist es beim Sprachcomputer auch möglich, einfach keine Eingaben zu tätigen und damit direkt zur Kundenbetreuung durchzukommen. Dies bietet sich zumindest für allgemeine Anfragen ohne spezifischen Kontobezug an.

Sobald es allerdings um kontorelevante Informationen oder um die Entgegennahme von telefonischen Aufträgen geht, ist die PIN-Abfrage auf jeden Fall notwendig.

Derzeit ist nicht geplant, an unserer bisherigen und auch sicheren Praxis etwas zu ändern. Einen Rückrufservice bieten wir sogar bereits an, dieser ist jedoch temporär deaktiviert. Wir haben deinen Vorschlag zur separaten Telefon-PIN aber gerne an unsere Kollegen weitergeleitet!

Beste Grüße

Jan-Ove

Re: PIN-Eingabe bei Telefonsupport

ehemaliger Nutzer — Sun, 04 Feb 2018 10:12:48 GMT

Guten Morgen,

ich muss sagen, ich war auch schwer verwundert, dass ich am Telefon tatsächlich fünf von sechs Stellen meiner Online-Banking-PIN nennen soll. Das widerspricht doch jeglicher Aufforderung seitens der Banken, dass man niemals am Telefon oder per Mail seine PIN nennen soll, um Phishing-Attacken zu vermeiden. Mehrere Nachteile entstehen daraus:

- Die Aufforderung dies auf keinen Fall zu tun, wird damit ziemlich unglaubwürdig. Denn anscheinend gibt es dann ja doch Ausnahmen, wo es angeblich nicht anders geht.

- Der Mitarbeiter weiß jetzt fünf Stellen meiner PIN. Bei drei Login-Versuchen ist das also eine Wahrscheinlichkeit von 3 zu 10, dass er sich in mein Konto einloggen könnte bzw. diese Information von vielen Konten gesammelt verkauft. 30% potentiell hackbare Konten durch auf diese Weise abgegriffene PINs. Nicht schlecht! Diese Daten lassen sich sicher gewinnbringend an Kriminelle verkaufen. Natürlich denke ich nicht, dass der Mitarbeiter das tatsächlich tut, aber das ist auf jeden Fall eine fette (und so offensichtliche) Sicherheitslücke.

- Diese fünf Stellen meiner PIN werden komplett unverschlüsselt per Telefon übertragen. Diese Information ließe sich also sehr leicht von Kriminellen abhören. Da braucht sich nur jemand zwischenschalten und hat bis auf eine einzige Stelle meine kompletten Zugangsdaten.

Auf jeden Fall ist das eine sehr schlechte Praxis, die zum einen die Kunden verwirrt und zum anderen einen Angriffspunkt für Kriminelle bietet. Ich bitte euch sehr höflich aber bestimmt, diese Praxis zu überdenken und möglichst schnell zu ändern.

Sonntägliche Grüße vom

Weltbuerger

Re: PIN-Eingabe bei Telefonsupport

Zargoras — Sun, 04 Feb 2018 16:08:55 GMT

@ehemaliger Nutzer

leider ist Sicherheit und Comfort immer ein trade off. Ich denke, das ich mit der derzeitigen Praxis ganz gut leben kann. Das mitschneiden von telefonaten durch nicht staatliche Stellen halte ich für vernachlässigbar. Beim einfachen Mithören, fehlt noch die Variable, welche Zahl weg gelassen wird, und vermutlich auch die adressierte Bank.

Eine extra telefon banking Pin wäre zu umständlich (wenn du so auf Sicherheit bedacht bist, könntest du ja auch nach jedem Telefonat deine online Pin ändern).

Andererseits stell dir mal die Frage, was jemand mit den Richtigen Login Daten machen könnte, er könnte mal schauen, wofür du dein Geld so ausgiebst, und wie viel du davon hast, überweisen kann er nicht, Einstellungen ändern auch nicht. Wären dir diese Informationen es Wert, dich strafbar zu machen? Schließlich bietet dir die comdirect ja auch die Möglichkeit ein zu sehen, wann sich zuletzt eingeloggt wurde, hier könntest du dann bei einem nicht von dir Autorisiertem Login, deine Bank um Klärung bitten (IP-Adresse etc.) und Anzeige erstatten. Nicht das ich das in Ordnung fänd, aber die notwendige Kriminelle Energie ist erheblich, sodass ich mich dann diesem geschlagen geben würde.

Was die Mitarbeiter angeht, die haben quasie bei jeder Bank einsicht in jedes Konto, machen sich aber Strafbar, wenn sie sich ohne driftigen Grund einblick verschaffen. Da wird jeder Datenaufruf geloggt, und im falle der Fälle diese Abfragen nicht legitimiert waren, gibt es ein gewaltiges Problem.

Und vergiss nicht, das die commdirect gegen Missbrauch versichert ist.

Wenn dir das alles zu unsicher ist, dann äußere eventuell eine Idee die dir gefallen würde, vielleicht hast du ja eine die Sicherer und Komfortabler ist, sodass alle Profitieren können.

Was ich aber als ein Plus an Sicherheit verstehen würde, wäre wenn die "Registierten" Geräte einsehbar währen, also HBCI/Fints, die trading App, Mobbox oder die comdirect App. Denn bei diesen kann ich nicht nachvollziehen, welche Kontaktaufnehmen, und jemand der zugriff auf meine Login Daten hatte, könnte immer Unbemerkt mal gucken.

Re: PIN-Eingabe bei Telefonsupport

ehemaliger Nutzer — Tue, 06 Feb 2018 09:46:19 GMT

@Zargoras

Eine einfache Lösung wäre es, statt nur einer Ziffer mindestens zwei, besser mehr wegzulassen. Bei zwei ausgelassenen Ziffern steigt die Wahrscheinlichkeit auf 3/100, dass jemand diese richtig errät. Bei dreien auf 3/1000 usw. Man könnte also am Telefon den Kunden nach beispielsweise drei zufällig ausgewählten Ziffern der PIN fragen. Zur Bestätigung der Identität sind drei zufällig ausgewählte und richtig genannte Ziffern genug, da die nur mit einer Wahrscheinlichkeit von 1/1000 zu erraten wären. Wenn man es noch sicherer will, könnten auch Buchstaben in der PIN erlaubt sein. Dann gäbe es zusammen mit den Zahlen 36 Möglichkeiten pro Stelle und die entsprechende Zweier- oder Dreierpotenz für mehrere weggelassene Stellen.

Zusätzlich sollte dann am Anfang eine automatische Ansage geschaltet werden, die den Kunden schon darauf hinweist, dass dies erforderlich sein kann, sollte es um kontospezifische Dinge gehen. Das Hauptproblem sehe ich nämlich eher in der Verwirrung, die beim Kunden entstehen kann, wenn er/sie nun doch - und entgegen aller Aufrufe seitens Banken und Sicherheitsbehörden - seine PIN laut nennen soll.

Es gibt regelmäßig Hinweise seitens vieler Banken (bei der comdirect weiß ich es nicht, da ich das Konto erst vor kurzem eröffnet habe), dass die Mitarbeiter der Bank den Kunden niemals über Telefon/Email/etc. nach der PIN fragen würden. Die comdirect tut dies jedoch. Ich habe in dem Moment jedenfalls gleich sehr gestutzt und verwirrt nachgefragt, ob ich nun wirklich den Großteil meiner PIN nennen soll. Dann habe ich nochmal kurz nachgedacht und gecheckt, ob ich wohl wirklich bei der comdirect-Hotline angerufen habe, was ich bestätigen konnte. Anschließend habe ich gleich eine Google-Suche gestartet und hätte ich keine offizielle Bestätigung dieser Praxis in diesem Forum gefunden, hätte ich auch gleich meine PIN geändert. Das ist für Kunden schwierig zu verarbeiten, wenn einem einerseits seit Jahren eingebläut wird, dass man NIE-NIE-NIEMALS jemanden seinen PIN nennen soll und dann gibt es doch diese Ausnahmen...

Ich kann alle Punkte ansonsten natürlich absolut nachvollziehen und sehe auch ein, dass somit die Identität bestätigt werden kann, fände es aber wichtig, diese Praxis zu überdenken. Es gibt sicher Experten, die noch bessere Vorschläge haben als ich 🙂

Re: PIN-Eingabe bei Telefonsupport

Goliath74 — Wed, 07 Feb 2018 08:02:21 GMT

Nur mal kurz drei Dinge die mir dazu einfallen.

In den Schreiben die ich mal zur Kontoeröffnung erhalten habe steht: Geben Sie Ihre Zugangsdaten nicht an dritte weiter.

Heißt für mich: Erste Person ich, zweite die Bank.

Wie soll ich denn Buchstaben über die Telefontastatur eingeben?

Du musst die Daten ja keinem Mitarbeiter geben, Du kannst Sie doch vorher über die Telefontastatur eingeben.

Re: PIN-Eingabe bei Telefonsupport

Zargoras — Tue, 13 Feb 2018 13:42:40 GMT

@ehemaliger Nutzer

wie gesagt, ich kann deine Einwände durchaus verstehen, aber ich glaube für mich gäbe es keinen Sicherheitsgewinn, wenn wehr als eine Zahl nicht genannt werden müsste, dann müsste ich wohl erst meinen Pin aufschreiben, kann es auch nicht recht erklären, aber bei mir ist die Pin sone Art melodische Abfolge (die fünfte Ziffer kann ich dir nur sagen, wenn ich die vorherigen durchgegangen bin und die fünfte dann nochmal Laut ausspreche).

Womit du natürlich recht hast, ist das dies sehr verwirrend wirken kann. Aber wie gesagt, eine wirklich gute Lösung ist wahrlich schwer, auch wenn ich diese in ein Paar Jahren vermutlich in Banking Apps sehe, da gibt es ja jetzt bereits teilweise Chat Funktionen, teils auch telefon/videochat. Diese sind ja durchaus gut verschlüsselbar, und eine Authorisierung kann ja durch das einloggen in die Banking App geschehen. Allerdings müsste die comdirect eine solche Funktion erst einmal unterstützen und dann wäre es fraglich ob der Rechtliche Rahmen dafür gegeben wäre.

Betreff: PIN-Eingabe bei Telefonsupport

Nasowas — Tue, 13 Nov 2018 21:08:53 GMT

Ich wurde heute auch nach meiner PIN Nummer gefragt vom Call Agent für eine Nachfrage nach einer MGM Marketingaktion. Das finde ich sehr befremdlich, gerade da mir als Kundin immer suggeriert wird dass dieser PIN nicht nur mit separater Post zugesendet wird und dabei extra blickdicht verschlossen - wenn ich ihn dann wiederum- bis auf eine Stelle - am Telefon ausplaudern soll sóndern dem sicheren Banking dienen soll.

Dabei hat die PIN offensichtlich eine Doppelfunktion. Sie dient dem persönlichen Banking des Kunden und auch dem Kundenservice in Klarform zur Identifikation. Damit kann kein Missbrauch ausgeschlossen werden eine Ziffernstelle zwichen 0 -9 zu bestimmen ist absurd einfach.

Damit ist klar dass die PIN nur vordergründig ausschließlich dem Nutzer bekannt ist - egal ob sie im System nur abgefragt wird und nicht gespeichert. Andere Geldinstitute sind hier schon sicherer aufegstellt.

Betreff: PIN-Eingabe bei Telefonsupport

Goliath74 — Tue, 13 Nov 2018 22:54:43 GMT

Ich denke zu dem Thema wurde bereits alles geschrieben.

Betreff: PIN-Eingabe bei Telefonsupport

Nasowas — Wed, 14 Nov 2018 19:08:59 GMT

Auch eine Form der Unternahmenshaltung und Umgang in der Kundenkommunikation, wenig professionell.

Betreff: PIN-Eingabe bei Telefonsupport

Weinlese — Fri, 16 Nov 2018 02:42:02 GMT

@Nasowas schrieb:
Andere Geldinstitute sind hier schon sicherer aufegstellt.

Wie wird das Problem der Kundenauthentifizierung am Telefon bei anderen Banken gelöst bzw. welches Verfahren würdest du dir hier wünschen?

Viele Grüße

Weinlese

Re: PIN-Eingabe bei Telefonsupport

scion — Tue, 26 Feb 2019 12:56:20 GMT

Ich sehe das zu 100% genauso und werde daher mein Konto bei der comdirect wieder schließen.

Betreff: PIN-Eingabe bei Telefonsupport

CR001 — Sun, 05 May 2019 07:12:11 GMT

Grundregel:

Keinefalls nach der PIN fragen!!!

Nicht umsonst wird seit Jahren von etlichen Banken gepredigt, die PIN niemals telefonisch preiszugeben und dass Mitarbeiter der Banken üblicherweise nicht danach fragen.

Andere Banken fragen überlicherweise nach anderen persönlichen Daten wie Geburtsdatum, Geburtsort, Adresse, letzte Kontoumsätze.

Und um ganz sicher zu gehen könnte man auch noch nach der Steueridentifikationsnummer fragen.

Betreff: PIN-Eingabe bei Telefonsupport

chi — Sun, 05 May 2019 07:45:12 GMT

@CR001 schrieb:
Andere Banken fragen überlicherweise nach anderen persönlichen Daten wie Geburtsdatum, Geburtsort, Adresse, letzte Kontoumsätze.
Und um ganz sicher zu gehen könnte man auch noch nach der Steueridentifikationsnummer fragen.

Wie gut, daß diese persönlichen Daten keiner außer mir kennt …

Re: Betreff: PIN-Eingabe bei Telefonsupport

SMT_Philipp — Mon, 06 May 2019 08:52:20 GMT

Hallo @CR001,

herzlich willkommen in der Community!

Die Zugangsdaten sind dazu da, dich gegenüber der Bank als Kontoinhaber oder als Bevollmächtigter zu identifizieren, online wie auch am Telefon. Ohne diese Identifikation dürfen wir dir (oder irgendjemand anderem) weder Auskünfte über dein Konto geben noch Aufträge entgegennehmen.

Daten wie dein Geburtsdatum oder die Steueridentifikationsnummer sind nicht allein dir und der Bank bekannt und reichen somit für eine eindeutige Identifizierung nicht aus.

Viele Grüße

Philipp

Re: Betreff: PIN-Eingabe bei Telefonsupport

ehemaliger Nutzer — Mon, 01 Jul 2019 11:07:09 GMT

Eine absolut unzureichende Antwort auf die eigentliche Frage bzw. den Hinweis, dass eine Abfrage von 5 der 6 PIN-Ziffern mehr als ungewöhnlich und unter Sicherheitsaspekten absolut untauglich ist.

Ich hatte genau diesen Fall auch gerade am Telefon, und ich wollte tatsächlich nur eine konkrete Auskunft mein Depot betreffend – keine Abfrage, keine Aktion, nichts dergleichen. Dafür am Telefon quasi nach meiner persönlichen PIN zu fragen, die ich dann also im Zweifel für Dritte hörbar fernmündlich durchgebe (nachdem ich zuvor meine Kennung angegeben habe), ist ein absolutes no-go. Wirklich erschreckend und ein klares Symptom für ein nicht vorhandenes Problembewusstsein.

Ich werde daher jetzt unmittelbar meine PIN ändern, möchte dies aber zukünftig nicht jedes Mal auf's Neue machen, weder sind PINs dafür gedacht, noch ist das eine adäquate Abwicklung.

Darüber hinaus erwarte ich hierzu eine angemessene und sachbezogene Positionierung der Bank.

Re: Betreff: PIN-Eingabe bei Telefonsupport

ehemaliger Nutzer — Mon, 01 Jul 2019 11:28:20 GMT

Hallo @ehemaliger Nutzer,

hierzu haben wir bereits alles gesagt.

Die Abfrage wird durchgeführt, um dich als Kontoinhaber zu identifizieren. Du kannst deine Zugangsdaten auch im Sprachcomputer eingeben und musst sie dann nicht dem Kollegen mitteilen.

Viele Grüße

Mario

Re: Betreff: PIN-Eingabe bei Telefonsupport

ehemaliger Nutzer — Mon, 01 Jul 2019 11:55:27 GMT

Eine etwas abgehobene und zudem recht exklusive Meinung, "hierzu haben wir bereits alles gesagt".

Offensichtlich befremdet dieses Vorgehen ja nach wie vor einige Kunden, wenn man davon ausgeht, dass nur ein supergeringer Anteil davon sich überhaupt hier dazu äußert. Nur immer wieder gebetsmühlenartig zu wiederholen, dass man als Bank (oder Social-Media-Team) der Meinung ist, alles ist super, so wie es ist, ist gelinde gesagt ignorant.

In meinem konkreten Fall gerade eben war dies auch das erste mal, dass ich danach gefragt wurde, und inhaltlich ist dies hier eben nicht zu rechtfertigen gewesen, weil ich keinerlei sensible Vorgänge initiieren wollte, sondern eine ganz allgemeine Frage hatte, zu der die Mitarbeiterin in meine Daten schauen wollte/musste und eben hierfür nach der PIN gefragt hat.

Dass die Bank das – in diesem Fall gerechtfertigte – mangelnde Sicherheitsgefühl mit einem Achselzucken wegwischt, ist eine stolze Leistung.

Im Übrigen: Ich kenne den Sprachcomputer nicht und bin auf diese Möglichkeit weder von der Mitarbeiterin noch der Ansage zu Beginn hingewiesen worden.

Re: Betreff: PIN-Eingabe bei Telefonsupport

SMT_Philipp — Mon, 01 Jul 2019 12:29:13 GMT

Hallo @ehemaliger Nutzer,

bitte entschuldige, wir wollten nicht arrogant rüberkommen.

Wenn du nur eine allgemeine Frage hast, braucht unsere Kundenbetreuung natürlich nicht deine Zugangsdaten abfragen. Da die Kollegen das aber zu Beginn des Gesprächs nicht unbedingt wissen können. Sofern du deine Daten nicht nennen möchtest, sag den Kollegen gleich am Anfang, dass du keine Frage speziell zu deinem Konto hast.

Den Servicecomputer werden wir bald so einrichten, dass Kunden gleich zu Beginn des Anrufs ihre Daten eingeben können (aber selbstverständlich nicht müssen).

Viele Grüße

Philipp