comdirect.de
Hilfe
abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

PIN-Eingabe bei Telefonsupport

Bond246
Autor ★★
35 Beiträge

am ‎15.01.2018 18:04

am ‎15.01.2018 18:04

Hallöchen,

ich hatte heute mal wieder seit längerem Kontakt mit dem Telefonsupport. Meine Frage wurde schnell geklärt, ich musste nicht lange warten, alles wie üblich und alles zufriedenstellend.

 

Was ich jedoch immer wieder äußerst verwunderlich finde ist, dass ich meinen Login-PIN über die Telefontastatur eingeben muss. Das finde ich schon äußerst gefährlich. Gespräche können heutzutage problemlos mitgehört werden, insbesondere über SIP. Könnte man das nicht anders lösen? Zumal für die meisten Fragen auch nicht der PIN sofort zu Beginn des Gesprächs notwendig ist.

 

Andere Banken haben einen separaten Telefon-PIN. Wenn man den nicht oft braucht, werden den viele vergessen und dann nicht parat haben. Aber immerhin besser als den Onlinebanking-PIN zu verwenden.

Wiederum andere Banken fragen nur 2-3 Stellen des PINs ab, in meinen Augen durchaus eine Lösung.

Ebenfalls sinnvoll finde ich einen Rückruf-Service. Dann logge ich mich gewohnt online ein, habe mich also authentifiziert und von mir aus muss ich für die akustische Authentifizierung dann einen einmaligen PIN im Gespräch nennen, der mir vorher über den Rückruf-Service auf der Website generiert wird.

 

Wäre schön, wenn ihr die Praxis überdenken würdet.

Grüße

70 ANTWORTEN

Floppy85
Experte ★★★
645 Beiträge
Als Antwort auf SMT_Erik

am ‎23.03.2022 11:29

am ‎23.03.2022 11:29

Ich glaube für die Meisten wäre es das Sicherste, einfach NICHT anzurufen, sondern in Eigenregie alles selbst zu erledigen. Ich hab mal einen Bericht im Fernsehen gesehen, wo ein älterer Herr zwar vor seinem großen Apple-Computer sitzt, aber dennoch zum Telefon greift und Telefonbanking betreibt - und dann ging es ums Thema Sicherheit und Anrufe vom Gehweg aus abhören etc.

100%ige Sicherheit wird es NIE geben, weil es immer am User selbst liegt. Ich sehe Menschen beim Geld abheben, die sich gemeinsam ihre PIN zeigen ... ! Außerdem muss ja die Bank auch immer gewährleisten, dass niemand unbefugt Transaktionen durchführt, weshalb es mit der Telefon-PIN vermutlich die beste - wenn vielleicht auch nicht sicherste - Variante ist. 

0 Danke

hsvfan09
Experte ★
137 Beiträge

am ‎03.05.2022 09:34

am ‎03.05.2022 09:34

@SMT_Erik 

 

Könnt ihr bitte nochmal auf das Thema eingehen und uns genau erklären warum man bei euch bei der Hotline die sensiblen Daten wie Zugangsnummer und PIN eingegeben werden muss zur Identifizierung und wie sichergestellt wird das dies nicht abgefangen wird. Einige Kunden haben dabei ja jedesmal "Bauchschmerzen" wie man hier und auch in anderen Foren lesen kann. Danke schonmal.

0 Danke

SMT_Erik
ehemaliger Mitarbeiter
5.305 Beiträge
Als Antwort auf hsvfan09

am ‎03.05.2022 10:45

am ‎03.05.2022 10:45

Hallo @hsvfan09,

 

danke für deine Nachfrage. 

 

An unseren grundsätzlichen Aussagen in diesem Thread hat sich in der Zwischenzeit nichts geändert. Wir halten die Methode für sicher genug und orientieren uns an den regulatorischen Vorgaben (PSD2). Gleichzeitig ist das Verfahren bequem und praktikabel. Die Mischung aus Sicherheit und leichter Bedienbarkeit sorgt für Ausgewogenheit und eine hohe Kundenakzeptanz. 

 

Daher ist eine Änderung an dem Verfahren derzeit nicht geplant.

 

Gruß

Erik

 

 

Hilfreiche Links:

Unsere Community-Regeln | Labels in der Community | Tipps & Tricks rund um die Community
3 Zutaten für den perfekten Communitybeitrag | Der Community-Adventskalender!

0 Danke

commicha
Autor ★
8 Beiträge
Als Antwort auf SMT_Erik

am ‎03.05.2022 14:05

am ‎03.05.2022 14:05

Ist comdirect nicht nach §8a (1) BSIG dazu verpflichtet die Vertraulichkeit sicher nach einem Stand der Technik umzusetzen? Eine Orientierung an einem Strand der Technik dürfte da nicht ausreichen... Weiterhin wird Artikel 97 (3) PSD2 nicht genüge getan.

Lasse mich natürlich gerne verbessern 🙂 

0 Danke

ehemaliger Nutzer
ohne Rang
0 Beiträge

am ‎07.08.2023 15:37

am ‎07.08.2023 15:37

Hallo @LOUIS,

 

herzlich willkommen in unserer Community.

 

Einen Rückruf-Service werden wir erst wieder anbieten, wenn die grundsätzliche Erreichbarkeit am Telefon wieder zufriedenstellend ist.

 

Viele Grüße

Mario

Daheim4711
Autor
3 Beiträge

am ‎17.11.2023 16:33

am ‎17.11.2023 16:33

Und es ist jetzt sogar noch schlimmer geworden. Die mobile Tan, die als Sicherheit galt (nach der Anmeldung Login Pin) musste ich eine mobile Tan anfordern die dann sofort auf mein Mobilphone geschickt wurde und wenn ich sie eingab, kam auf mein Konto. Diese Möglichkeit gibt es jetzt auch nicht mehr. Sondern nur noch wenn ich auf meine Post Box möchte. Die Daten sind etwas weniger interessant als der Geldtransfer, der ist ohne mobile Tan möglich. Wer denkt sich so etwas aus und wo bleibt die Sicherheit??

 

0 Danke

Weinlese
Mentor ★
1.385 Beiträge
Als Antwort auf Daheim4711

am ‎19.11.2023 02:49

am ‎19.11.2023 02:49

@Daheim4711  schrieb:

Und es ist jetzt sogar noch schlimmer geworden. Die mobile Tan, die als Sicherheit galt (nach der Anmeldung Login Pin) musste ich eine mobile Tan anfordern die dann sofort auf mein Mobilphone geschickt wurde und wenn ich sie eingab, kam auf mein Konto. Diese Möglichkeit gibt es jetzt auch nicht mehr. Sondern nur noch wenn ich auf meine Post Box möchte. Die Daten sind etwas weniger interessant als der Geldtransfer, der ist ohne mobile Tan möglich. Wer denkt sich so etwas aus und wo bleibt die Sicherheit??

Warum die Eingabe einer TAN bei jedem Aufruf der Postbox notwendig ist, aber zum Beispiel nicht beim Abruf der Kontotransaktionen, bleibt das Geheimnis der Bank. Deine Daten sind dennoch weiterhin sicher. Beim Zugriff mit einem neuen Gerät musst Du den Zugang mit einer TAN bestätigen. Mit demselben Gerät kannst Du dann auf Deinen Online-Banking-Account 90 Tage lang zugreifen, ohne erneut eine TAN eingeben zu müssen (zumindest solange Du die Cookies in Deinem Browser nicht löschst).

 

Zusätzlich brauchst Du für jeden Login Deine Zugangsdaten. Aus technischer Sicht hast Du damit eine Zwei-Faktor-Authentifizierung: einmal durch den Faktor Wissen (Dein Passwort) und einmal durch den Faktor Besitz (Dein Zugangsgerät). Sollte ein Angreifer Dein Passwort stehlen oder erraten, müsste er sich beim Einloggen von einem anderen Gerät trotzdem mit einer TAN authentifizieren.

 

Falls Du die TAN-Abfrage dennoch bei jedem Login haben möchtest, kannst Du nach jeder Banking-Sitzung die Cookies in Deinem Browser löschen oder das Banking in einem privaten Fenster/Inkognitomodus betreiben.

 

Viele Grüße

Weinlese

GetBetter
Legende
7.307 Beiträge
Als Antwort auf Weinlese

‎19.11.2023 09:05 - bearbeitet ‎19.11.2023 09:06

‎19.11.2023 09:05 - bearbeitet ‎19.11.2023 09:06

@Weinlese  schrieb:

Warum die Eingabe einer TAN bei jedem Aufruf der Postbox notwendig ist, aber zum Beispiel nicht beim Abruf der Kontotransaktionen, bleibt das Geheimnis der Bank. 

Der Schlüssel ist die 90-Tage-Frist.

Für den Zugang zu Daten, die älter als 90 Tage sind, ist 2FA vorgeschrieben. Bei Aufruf der Kontotransaktionen ist zunächst eine kürzere Historie zu sehen, wenn man auf mehr als 90 Tage zugreifen will, muss dies aber authentifiziert werden. 

Bei der Postbox gibt's sofort den kompletten Zugriff auf alle Zeiträume und somit auch die sofortige Abfrage.

Weinlese
Mentor ★
1.385 Beiträge
Als Antwort auf GetBetter

am ‎21.11.2023 15:33

am ‎21.11.2023 15:33

@GetBetter  schrieb:

Der Schlüssel ist die 90-Tage-Frist.

Technisch ist das eine Erklärung. Nur die Entscheidung, welche Zeiträume man standardmäßig in der jeweiligen Ansicht freigibt, ist dann doch wieder geschäftspolitischer Natur. Man könnte zum Beispiel in der Postbox ebenso die Nachrichten innerhalb der letzten 90 Tage direkt anzeigen und erst bei älteren Daten eine TAN verlangen.

 

Ich vermute, die meisten schauen ohnehin nur in die Postbox, wenn der grüne Punkt aufleuchtet. Dabei befindet man sich üblicherweise deutlich innerhalb der 90 Tage.

 

Viele Grüße

Weinlese

GetBetter
Legende
7.307 Beiträge
Als Antwort auf Weinlese

am ‎21.11.2023 16:28

am ‎21.11.2023 16:28

@Weinlese  schrieb:

Technisch ist das eine Erklärung. Nur die Entscheidung, welche Zeiträume man standardmäßig in der jeweiligen Ansicht freigibt, ist dann doch wieder geschäftspolitischer Natur. Man könnte zum Beispiel in der Postbox ebenso die Nachrichten innerhalb der letzten 90 Tage direkt anzeigen und erst bei älteren Daten eine TAN verlangen.

Ganz so einfach ist die Sache leider nicht. Auf die eigentlich vorgeschriebene starke Kundenathentifizierung darf nur dann verzichtet werden, wenn man ausschließsslich auf die Umsätze der vergangenen 90 Tage zugreifen kann. Das Einstelldatum des Dokumentes ist dagegen unerheblich.

 

Somit wären also alleine bei Finazreports schon Unterscheidungen bzgl. des in ihnen abgebildeten Zeitraums erforderlich.

Möglicherweise wären darüber hinaus noch andere Dokumente betroffen, da sich bspw. in Verkaufsabrechnungen auch Informationen zu Datum und Summe des ursprünglichen Kaufs finden lassen.

 

Ich fürchte die Sache würde ungeahnt komplex, so dass die strikte Vorgabe "Postbox-Aufruf = TAN-Abfrage" die aus geschäftspolitischer Sicht  einzig handhabbare Variante ist.