comdirect

Nikoneer · ‎23.10.2018

Diese Diskussion über Sicherheit basiert hier hauptsächlich auf Vermutungen. Wie wäre es denn stattdessen mal mit ein paar nachvollziehbaren Fakten?

Wenn man sich mal die Mühe macht, auszuprobieren, wie das System von comdirect reagiert, wenn man die PIN in eine einfache Kombination wie 123456 oder das eigene Geburtsdatum ändern möchte, erhält man diesen Hinweis:

Eine zu einfache PIN ist also nicht möglich. Steht auch so im Hinweistext:

PIN

PIN ändern
Um Ihre PIN zu ändern, geben Sie bitte zuerst Ihre alte PIN ein und anschließend zweimal die neue PIN. Leicht nachvollziehbare Geheimzahlen wie z.B. 901234 oder 222222 oder Ihr Geburtsdatum sind aus Sicherheitsgründen nicht zulässig. Um Ihre PIN ändern zu können, müssen Sie zur Bestätigung im Feld "TAN" eine unverbrauchte TAN eingeben. Jeder Kontoinhaber und Bevollmächtigte benötigt eine eigene PIN. Über die Änderungsfunktion dürfen diese PINs nicht gleichgestellt werden.

Ziemlich versteckt, aber dennoch auf comdirect.de zu finden ist der Hinweis zur Sperre des Kontozugangs. Der wird nach der dritten Falscheingabe der PIN gesperrt. Eine Entsperrung ist nur schriftlich möglich.

Eine Brut-Force-Attacke endet also schon nach drei Versuchen pro Konto.

Soweit mal die Fakten. Ist aber sowieso egal, was ich hier schreibe, lesen die Elite-Hacker hier im Board ja ohnehin nicht. 😉

jms · ‎26.10.2018

Der Punkt ist ein anderer: da TANs auch eine Art Password sind, habe ich und wohl viele andere keinen so großen Wert auf die Sicherheits der Zugangs-PIN gelegt.

Ich habe z.B. mal "Sofortüberweisung" benutzt, dabei gibt man seine PIN diesem System. Klar ist das eigentlich blöd, aber wenn man seine TANs gut verwahrt, sind die TANs eben noch mal ein 2. Password. Wenn man keine TANs mehr braucht, kann man "Sofortüberweisung" nicht mehr nutzen. Ich kann auch die PIN nicht mehr meiner Sekretärin geben, um meine Kontoauszüge vom Firmenkonto runterzuladen.

Findbhair · ‎26.10.2018

@jms Sofortüberweisung ist schon immer **piep** gewesen wegen genau dieser Sache mit dem Zugang. Keine Ahnung warum jemand so doof ist, das überhaupt zu benutzen - sorry. Benutze einfach Paypal stattdessen und gut ist.

Und wenn Du Deine Sekretärin ordentlich(!!!) genug bezahlst, und ich meine wirklich unverschämt ordentlich, dann kannst Du ihr selbstverständlich auch die Zugangsdaten zum Firmenkonto geben und alles andere auch. Wem denn sonst, wenn nicht der eigenen Sekretärin?! o.O

Fraenky · ‎27.10.2018

@jms schrieb:
... Wenn man keine TANs mehr braucht, kann man "Sofortüberweisung" nicht mehr nutzen. Ich kann auch die PIN nicht mehr meiner Sekretärin geben, um meine Kontoauszüge vom Firmenkonto runterzuladen.

Glaubst Du wirklich, dass Klarna (die Firma hinter Sofortüberweisung) so dumm wäre, durch derartige Aktionen ihr Geschäft zu zerstören? Das Zielkonto hat doch (in D) einen Empfänger und über den wäre der Betrug leicht nachvollziehbar.

@jms schrieb:
... Ich kann auch die PIN nicht mehr meiner Sekretärin geben, um meine Kontoauszüge vom Firmenkonto runterzuladen.

Wenn die Sekretätrin eine unberechtigte Überweisung durchführen wollte, dann hätte sie auch einfach eine Papierüberweisung nehmen können, da bei derart kleinen Beträgen die Unterschrift nicht so genau geprüft wird.

Außerdem war das Überweisen kleiner Beträge OHNE Tan meines Wissens schon länger möglich - einfach die Mobox App installieren. Als Sektretärin hätte sie sicherlich unauffälligere Möglichkeiten, sich betrügerisch finanzielle Vorteile zu beschaffen.

Das ist doch alles konstruiert und wird in der Realität fast nie passieren. Und wenn, dann wird das Sicherheitsversprechen der comdirect greifen.

Elbblick · ‎27.10.2018

@jms schrieb:
Ich kann auch die PIN nicht mehr meiner Sekretärin geben, um meine Kontoauszüge vom Firmenkonto runterzuladen.

Du darfst DEINE PIN sowieso nicht weitergeben. Wenn Deine Sekretärin Deine Kontoauszüge vom Firmenkonto herunterladen soll, dann braucht sie einen eigenen Zugang. Alles andere verstößt vermutlich gegen die AGB. Das Sicherheitsversprechen der comdirect dürfte auch nicht mehr gelten, wenn herauskommt dass Du die PIN weitergegeben hast.

Client597 · ‎27.10.2018

Ein Sicherheitsversprechen klingt zwar ganz nett, aber die Beweispflicht liegt dann bei mir. Wie sieht es dann bei Diensten, wie beispielsweise Sofort- / Direktüberweisung, aus?

Hier habe ich keine Probleme damit, meine Zugangsdaten einzugeben, da ich auf dieser Ebene erst einmal nur riskierte, dass jemand vielleicht meine Konto- oder Adressdaten einsehen kann. Bei der folgenden Verwendung von mTAN bekomme ich wenige Sekunden später eine Info, welcher Betrag für welches Konto abgerufen wurde und habe somit wenigstens die Möglichkeit, innerhalb einer Minute von einem Eingriff durch Dritte Kenntnis zu erhalten und eine Sperrung zu beauftragen.

Nun kann es natürlich sein, dass ein im schlimmsten Fall denkbarer Verlust von 5 x 30 Euro für viele Kunden verschmerzbar wäre und sicherlich existieren Mittel, um den Überweisungen nachzugehen und potentiellen Tätern auf die Spur zu kommen, dennoch sollten sich solche Änderungen rein rechtlich in der AGB widerspiegeln. Letztere wird dann mit entsprechender Vorlaufzeit bekannt gegeben und erlaubt jedem Kunden, in Ruhe zu überlegen, ob ihn diese Anpassung stört und er somit ggf. die Bank wechselt oder er sich mit dem neuen System einverstanden erklärt.

Ungeachtet dessen, ob die aktuellen Anpassungen hinsichtlich des Überweisungsverfahrens rechtlich gegen die entsprechende AGB verstoßen oder nicht, finde ich es ein schlechtes Geschäftsgebaren, solche Änderungen erst nach der Umstellung des Systems mitzuteilen, sorgt die Online-Banking-Welt im Bereich der Authentifizierung in der letzten Zeit per se immer wieder für Schlagzeilen. Letztere werden sicherlich durch die Medien häufig auch zu dramatisch dargestellt, sieht man dann aber, wie jede Bank versucht, durch verschiedenste TAN-Mechanismen ihr Online-Banking sicherer zu gestalten, generiert dies wiederum das Bild, die Banken müssten dauernd auf neue Sicherheitsrisiken reagieren, anstatt planerisch zu agieren.

Insofern kann ich als (kleiner) Kunde der comdirect nur daran appelieren, Kunden frühzeit über jegliche Änderung am System zu informieren und anstelle dessen lieber einmal auf die ein oder anderen Werbe-Nachricht zu verzichten.

Herzliche Grüße

Martin

Gustav · ‎30.10.2018

Hallo

Ich sehe das ebenso wie viele hier. Überweisungen ohne TAN kann machen wer will, aber zwingen lasse ich mich nicht!

In eurer Mail schreibt Ihr mir das ich den Schaden erstattet bekomme wenn ich nicht "grob Fahrlässig oder Vorsätzlich" handele. Meine Frage dazu: " Und wie beweise ich das?"

1. Maßnahme: Überweisungslimit auf Null Euro! Bedeutet zwar das ich erst das Limit ändern muß um etwas zu Überweisen, aber kommt meinem Sicherheitsgedanken näher.

2. Maßnahme: Neue Bank suchen die unter Sicherheit das macht, was ich darunter verstehe!

Fazit: Liebe Comdirect Mitarbeiter macht die TAN Frei Überweisung optional!

Ihr habt 14 tage Zeit das Umzusetzen - Ansonsten bin ich weg und Ihr habt einen (Zwei, Drei ...) Kunden weniger.

TeePee · ‎30.10.2018

@Gustav schrieb:

Ihr habt 14 tage Zeit das Umzusetzen - Ansonsten bin ich weg und Ihr habt einen (Zwei, Drei ...) Kunden weniger.

Pyrokar · ‎30.10.2018

Können denn pro Tag unbegrenz viele geringfügige Überweisungen bis 30€ getätigt werden oder geht das ganze nur wenige mal und dann wird trotzdem nach einer Tan gefragt?

TeePee · ‎30.10.2018

@Pyrokar schrieb:
Können denn pro Tag unbegrenz viele geringfügige Überweisungen bis 30€ getätigt werden oder geht das ganze nur wenige mal und dann wird trotzdem nach einer Tan gefragt?

Es können (maximal) 5 Überweisungen bis zu 30 € durchgeführt werden, danach ist in jedem Fall eine TAN nötig.

comdirect

Überweisung unter 30 Euro ohne TAN