Hilfe
abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

PIN-Eingabe bei Telefonsupport

Bond246
Autor ★★
35 Beiträge

Hallöchen,

ich hatte heute mal wieder seit längerem Kontakt mit dem Telefonsupport. Meine Frage wurde schnell geklärt, ich musste nicht lange warten, alles wie üblich und alles zufriedenstellend.

 

Was ich jedoch immer wieder äußerst verwunderlich finde ist, dass ich meinen Login-PIN über die Telefontastatur eingeben muss. Das finde ich schon äußerst gefährlich. Gespräche können heutzutage problemlos mitgehört werden, insbesondere über SIP. Könnte man das nicht anders lösen? Zumal für die meisten Fragen auch nicht der PIN sofort zu Beginn des Gesprächs notwendig ist.

 

Andere Banken haben einen separaten Telefon-PIN. Wenn man den nicht oft braucht, werden den viele vergessen und dann nicht parat haben. Aber immerhin besser als den Onlinebanking-PIN zu verwenden.

Wiederum andere Banken fragen nur 2-3 Stellen des PINs ab, in meinen Augen durchaus eine Lösung.

Ebenfalls sinnvoll finde ich einen Rückruf-Service. Dann logge ich mich gewohnt online ein, habe mich also authentifiziert und von mir aus muss ich für die akustische Authentifizierung dann einen einmaligen PIN im Gespräch nennen, der mir vorher über den Rückruf-Service auf der Website generiert wird.

 

Wäre schön, wenn ihr die Praxis überdenken würdet.

Grüße

70 ANTWORTEN

Zargoras
Mentor ★★
1.528 Beiträge

@Bond246

 

da ich es einfach unfassbar liebe mit einem Telefoncomputer zu sprechen, ignoriere ich ihn einfach, schon wenige sekunden nachdem es ausgesprochen hat, wird dir gesagt, das du keine Eingabe gemacht hast, oder das System deine Eingabe nicht verstanden hat, daraufhin wirst du zum nächsten freien Kundenberater durchgestellt.

 

Ich mache das immer so, allgemeine Fragen kannst du dann einfach so Stellen, für Kontospezifische sachen, musst du dich dann Authentifizieren, also Zugangsnummer, und 5 der sechs Stellen der Pin (z.B. bitte nennen sie Ihre Pin ohne die dritte Stelle).

 

Villeicht ist das eine praktikable Lösung für dich.

 

Was SIP und jegwede Femtozelle angeht, ist halt eher der commen sense, das es für Illegale aktivitäten nicht zur Verfügung sthet, sondern nur von Staatlichen Stellen missbraucht wird.

SMT_Jan-Ove
ehemaliger Mitarbeiter
4.279 Beiträge

Guten Morgen, @Bond246,  

 

danke für deinen Input zu unseren Sicherheitsmaßnahmen.  

 

Wie @Zargoras schon richtig sagte, ist es beim Sprachcomputer auch möglich, einfach keine Eingaben zu tätigen und damit direkt zur Kundenbetreuung durchzukommen. Dies bietet sich zumindest für allgemeine Anfragen ohne spezifischen Kontobezug an.  

 

Sobald es allerdings um kontorelevante Informationen oder um die Entgegennahme von telefonischen Aufträgen geht, ist die PIN-Abfrage auf jeden Fall notwendig.  

 

Derzeit ist nicht geplant, an unserer bisherigen und auch sicheren Praxis etwas zu ändern. Einen Rückrufservice bieten wir sogar bereits an, dieser ist jedoch temporär deaktiviert. Wir haben deinen Vorschlag zur separaten Telefon-PIN aber gerne an unsere Kollegen weitergeleitet!  

 

Beste Grüße

Jan-Ove

ehemaliger Nutzer
ohne Rang
0 Beiträge

Guten Morgen,

 

ich muss sagen, ich war auch schwer verwundert, dass ich am Telefon tatsächlich fünf von sechs Stellen meiner Online-Banking-PIN nennen soll. Das widerspricht doch jeglicher Aufforderung seitens der Banken, dass man niemals am Telefon oder per Mail seine PIN nennen soll, um Phishing-Attacken zu vermeiden. Mehrere Nachteile entstehen daraus:

 

- Die Aufforderung dies auf keinen Fall zu tun, wird damit ziemlich unglaubwürdig. Denn anscheinend gibt es dann ja doch Ausnahmen, wo es angeblich nicht anders geht.

- Der Mitarbeiter weiß jetzt fünf Stellen meiner PIN. Bei drei Login-Versuchen ist das also eine Wahrscheinlichkeit von 3 zu 10, dass er sich in mein Konto einloggen könnte bzw. diese Information von vielen Konten gesammelt verkauft. 30% potentiell hackbare Konten durch auf diese Weise abgegriffene PINs. Nicht schlecht! Diese Daten lassen sich sicher gewinnbringend an Kriminelle verkaufen. Natürlich denke ich nicht, dass der Mitarbeiter das tatsächlich tut, aber das ist auf jeden Fall eine fette (und so offensichtliche) Sicherheitslücke.

- Diese fünf Stellen meiner PIN werden komplett unverschlüsselt per Telefon übertragen. Diese Information ließe sich also sehr leicht von Kriminellen abhören. Da braucht sich nur jemand zwischenschalten und hat bis auf eine einzige Stelle meine kompletten Zugangsdaten.

 

Auf jeden Fall ist das eine sehr schlechte Praxis, die zum einen die Kunden verwirrt und zum anderen einen Angriffspunkt für Kriminelle bietet. Ich bitte euch sehr höflich aber bestimmt, diese Praxis zu überdenken und möglichst schnell zu ändern.

 

Sonntägliche Grüße vom

Weltbuerger

Zargoras
Mentor ★★
1.528 Beiträge

@ehemaliger Nutzer

 

leider ist Sicherheit und Comfort immer ein trade off. Ich denke, das ich mit der derzeitigen Praxis ganz gut leben kann. Das mitschneiden von telefonaten durch nicht staatliche Stellen halte ich für vernachlässigbar. Beim einfachen Mithören, fehlt noch die Variable, welche Zahl weg gelassen wird, und vermutlich auch die adressierte Bank.

 

Eine extra telefon banking Pin wäre zu umständlich (wenn du so auf Sicherheit bedacht bist, könntest du ja auch nach jedem Telefonat deine online Pin ändern).

 

Andererseits stell dir mal die Frage, was jemand mit den Richtigen Login Daten machen könnte, er könnte mal schauen, wofür du dein Geld so ausgiebst, und wie viel du davon hast, überweisen kann er nicht, Einstellungen ändern auch nicht. Wären dir diese Informationen es Wert, dich strafbar zu machen? Schließlich bietet dir die comdirect ja auch die Möglichkeit ein zu sehen, wann sich zuletzt eingeloggt wurde, hier könntest du dann bei einem nicht von dir Autorisiertem Login, deine Bank um Klärung bitten (IP-Adresse etc.) und Anzeige erstatten. Nicht das ich das in Ordnung fänd, aber die notwendige Kriminelle Energie ist erheblich, sodass ich mich dann diesem geschlagen geben würde.

 

Was die Mitarbeiter angeht, die haben quasie bei jeder Bank einsicht in jedes Konto, machen sich aber Strafbar, wenn sie sich ohne driftigen Grund einblick verschaffen. Da wird jeder Datenaufruf geloggt, und im falle der Fälle diese Abfragen nicht legitimiert waren, gibt es ein gewaltiges Problem.

 

Und vergiss nicht, das die commdirect gegen Missbrauch versichert ist.

 

Wenn dir das alles zu unsicher ist, dann äußere eventuell eine Idee die dir gefallen würde, vielleicht hast du ja eine die Sicherer und Komfortabler ist, sodass alle Profitieren können.

 

Was ich aber als ein Plus an Sicherheit verstehen würde, wäre wenn die "Registierten" Geräte einsehbar währen, also HBCI/Fints, die trading App, Mobbox oder die comdirect App. Denn bei diesen kann ich nicht nachvollziehen, welche Kontaktaufnehmen, und jemand der zugriff auf meine Login Daten hatte, könnte immer Unbemerkt mal gucken.

ehemaliger Nutzer
ohne Rang
0 Beiträge

@Zargoras

 

Eine einfache Lösung wäre es, statt nur einer Ziffer mindestens zwei, besser mehr wegzulassen. Bei zwei ausgelassenen Ziffern steigt die Wahrscheinlichkeit auf 3/100, dass jemand diese richtig errät. Bei dreien auf 3/1000 usw. Man könnte also am Telefon den Kunden nach beispielsweise drei zufällig ausgewählten Ziffern der PIN fragen. Zur Bestätigung der Identität sind drei zufällig ausgewählte und richtig genannte Ziffern genug, da die nur mit einer Wahrscheinlichkeit von 1/1000 zu erraten wären. Wenn man es noch sicherer will, könnten auch Buchstaben in der PIN erlaubt sein. Dann gäbe es zusammen mit den Zahlen 36 Möglichkeiten pro Stelle und die entsprechende Zweier- oder Dreierpotenz für mehrere weggelassene Stellen.

 

Zusätzlich sollte dann am Anfang eine automatische Ansage geschaltet werden, die den Kunden schon darauf hinweist, dass dies erforderlich sein kann, sollte es um kontospezifische Dinge gehen. Das Hauptproblem sehe ich nämlich eher in der Verwirrung, die beim Kunden entstehen kann, wenn er/sie nun doch - und entgegen aller Aufrufe seitens Banken und Sicherheitsbehörden - seine PIN laut nennen soll.

 

Es gibt regelmäßig Hinweise seitens vieler Banken (bei der comdirect weiß ich es nicht, da ich das Konto erst vor kurzem eröffnet habe), dass die Mitarbeiter der Bank den Kunden niemals über Telefon/Email/etc. nach der PIN fragen würden. Die comdirect tut dies jedoch. Ich habe in dem Moment jedenfalls gleich sehr gestutzt und verwirrt nachgefragt, ob ich nun wirklich den Großteil meiner PIN nennen soll. Dann habe ich nochmal kurz nachgedacht und gecheckt, ob ich wohl wirklich bei der comdirect-Hotline angerufen habe, was ich bestätigen konnte. Anschließend habe ich gleich eine Google-Suche gestartet und hätte ich keine offizielle Bestätigung dieser Praxis in diesem Forum gefunden, hätte ich auch gleich meine PIN geändert. Das ist für Kunden schwierig zu verarbeiten, wenn einem einerseits seit Jahren eingebläut wird, dass man NIE-NIE-NIEMALS jemanden seinen PIN nennen soll und dann gibt es doch diese Ausnahmen...

 

Ich kann alle Punkte ansonsten natürlich absolut nachvollziehen und sehe auch ein, dass somit die Identität bestätigt werden kann, fände es aber wichtig, diese Praxis zu überdenken. Es gibt sicher Experten, die noch bessere Vorschläge haben als ich 🙂

Goliath74
Mentor ★
1.200 Beiträge

Nur mal kurz drei Dinge die mir dazu einfallen.

In den Schreiben die ich mal zur Kontoeröffnung erhalten habe steht: Geben Sie Ihre Zugangsdaten nicht an dritte weiter.

Heißt für mich: Erste Person ich, zweite die Bank.

Wie soll ich denn Buchstaben über die Telefontastatur eingeben?

Du musst die Daten ja keinem Mitarbeiter geben, Du kannst Sie doch vorher über die Telefontastatur eingeben.

Zargoras
Mentor ★★
1.528 Beiträge

@ehemaliger Nutzer

 

wie gesagt, ich kann deine Einwände durchaus verstehen, aber ich glaube für mich gäbe es keinen Sicherheitsgewinn, wenn wehr als eine Zahl nicht genannt werden müsste, dann müsste ich wohl erst meinen Pin aufschreiben, kann es auch nicht recht erklären, aber bei mir ist die Pin sone Art melodische Abfolge (die fünfte Ziffer kann ich dir nur sagen, wenn ich die vorherigen durchgegangen bin und die fünfte dann nochmal Laut ausspreche).

 

Womit du natürlich recht hast, ist das dies sehr verwirrend wirken kann. Aber wie gesagt, eine wirklich gute Lösung ist wahrlich schwer, auch wenn ich diese in ein Paar Jahren vermutlich in Banking Apps sehe, da gibt es ja jetzt bereits teilweise Chat Funktionen, teils auch telefon/videochat. Diese sind ja durchaus gut verschlüsselbar, und eine Authorisierung kann ja durch das einloggen in die Banking App geschehen. Allerdings müsste die comdirect eine solche Funktion erst einmal unterstützen und dann wäre es fraglich ob der Rechtliche Rahmen dafür gegeben wäre.

Nasowas
Autor ★
6 Beiträge

Ich wurde heute auch nach meiner PIN Nummer gefragt vom Call Agent für eine Nachfrage nach einer MGM Marketingaktion. Das finde ich sehr befremdlich, gerade da mir als Kundin immer suggeriert wird dass dieser PIN nicht nur mit separater Post zugesendet wird und dabei extra blickdicht verschlossen - wenn ich ihn dann wiederum- bis auf eine Stelle - am Telefon ausplaudern soll sóndern dem sicheren Banking dienen soll. 

Dabei hat die PIN offensichtlich eine Doppelfunktion. Sie dient dem persönlichen Banking des Kunden und auch dem Kundenservice in Klarform zur Identifikation. Damit kann kein Missbrauch ausgeschlossen werden eine Ziffernstelle zwichen 0 -9 zu bestimmen ist absurd einfach.

Damit ist klar dass die PIN nur vordergründig ausschließlich dem Nutzer bekannt ist - egal ob sie im System nur abgefragt wird und nicht gespeichert. Andere Geldinstitute sind hier schon sicherer aufegstellt. 

Goliath74
Mentor ★
1.200 Beiträge

Ich denke zu dem Thema wurde bereits alles geschrieben.