am 15.01.2018 18:04
Hallöchen,
ich hatte heute mal wieder seit längerem Kontakt mit dem Telefonsupport. Meine Frage wurde schnell geklärt, ich musste nicht lange warten, alles wie üblich und alles zufriedenstellend.
Was ich jedoch immer wieder äußerst verwunderlich finde ist, dass ich meinen Login-PIN über die Telefontastatur eingeben muss. Das finde ich schon äußerst gefährlich. Gespräche können heutzutage problemlos mitgehört werden, insbesondere über SIP. Könnte man das nicht anders lösen? Zumal für die meisten Fragen auch nicht der PIN sofort zu Beginn des Gesprächs notwendig ist.
Andere Banken haben einen separaten Telefon-PIN. Wenn man den nicht oft braucht, werden den viele vergessen und dann nicht parat haben. Aber immerhin besser als den Onlinebanking-PIN zu verwenden.
Wiederum andere Banken fragen nur 2-3 Stellen des PINs ab, in meinen Augen durchaus eine Lösung.
Ebenfalls sinnvoll finde ich einen Rückruf-Service. Dann logge ich mich gewohnt online ein, habe mich also authentifiziert und von mir aus muss ich für die akustische Authentifizierung dann einen einmaligen PIN im Gespräch nennen, der mir vorher über den Rückruf-Service auf der Website generiert wird.
Wäre schön, wenn ihr die Praxis überdenken würdet.
Grüße
am 23.03.2022 11:29
Ich glaube für die Meisten wäre es das Sicherste, einfach NICHT anzurufen, sondern in Eigenregie alles selbst zu erledigen. Ich hab mal einen Bericht im Fernsehen gesehen, wo ein älterer Herr zwar vor seinem großen Apple-Computer sitzt, aber dennoch zum Telefon greift und Telefonbanking betreibt - und dann ging es ums Thema Sicherheit und Anrufe vom Gehweg aus abhören etc.
100%ige Sicherheit wird es NIE geben, weil es immer am User selbst liegt. Ich sehe Menschen beim Geld abheben, die sich gemeinsam ihre PIN zeigen ... ! Außerdem muss ja die Bank auch immer gewährleisten, dass niemand unbefugt Transaktionen durchführt, weshalb es mit der Telefon-PIN vermutlich die beste - wenn vielleicht auch nicht sicherste - Variante ist.
am 03.05.2022 09:34
Könnt ihr bitte nochmal auf das Thema eingehen und uns genau erklären warum man bei euch bei der Hotline die sensiblen Daten wie Zugangsnummer und PIN eingegeben werden muss zur Identifizierung und wie sichergestellt wird das dies nicht abgefangen wird. Einige Kunden haben dabei ja jedesmal "Bauchschmerzen" wie man hier und auch in anderen Foren lesen kann. Danke schonmal.
am 03.05.2022 10:45
Hallo @hsvfan09,
danke für deine Nachfrage.
An unseren grundsätzlichen Aussagen in diesem Thread hat sich in der Zwischenzeit nichts geändert. Wir halten die Methode für sicher genug und orientieren uns an den regulatorischen Vorgaben (PSD2). Gleichzeitig ist das Verfahren bequem und praktikabel. Die Mischung aus Sicherheit und leichter Bedienbarkeit sorgt für Ausgewogenheit und eine hohe Kundenakzeptanz.
Daher ist eine Änderung an dem Verfahren derzeit nicht geplant.
Gruß
Erik
am 03.05.2022 14:05
Ist comdirect nicht nach §8a (1) BSIG dazu verpflichtet die Vertraulichkeit sicher nach einem Stand der Technik umzusetzen? Eine Orientierung an einem Strand der Technik dürfte da nicht ausreichen... Weiterhin wird Artikel 97 (3) PSD2 nicht genüge getan.
Lasse mich natürlich gerne verbessern 🙂
am 07.08.2023 15:37
am 07.08.2023 15:37
Hallo @LOUIS,
herzlich willkommen in unserer Community.
Einen Rückruf-Service werden wir erst wieder anbieten, wenn die grundsätzliche Erreichbarkeit am Telefon wieder zufriedenstellend ist.
Viele Grüße
Mario
am 17.11.2023 16:33
Und es ist jetzt sogar noch schlimmer geworden. Die mobile Tan, die als Sicherheit galt (nach der Anmeldung Login Pin) musste ich eine mobile Tan anfordern die dann sofort auf mein Mobilphone geschickt wurde und wenn ich sie eingab, kam auf mein Konto. Diese Möglichkeit gibt es jetzt auch nicht mehr. Sondern nur noch wenn ich auf meine Post Box möchte. Die Daten sind etwas weniger interessant als der Geldtransfer, der ist ohne mobile Tan möglich. Wer denkt sich so etwas aus und wo bleibt die Sicherheit??
am 19.11.2023 02:49
@Daheim4711 schrieb:Und es ist jetzt sogar noch schlimmer geworden. Die mobile Tan, die als Sicherheit galt (nach der Anmeldung Login Pin) musste ich eine mobile Tan anfordern die dann sofort auf mein Mobilphone geschickt wurde und wenn ich sie eingab, kam auf mein Konto. Diese Möglichkeit gibt es jetzt auch nicht mehr. Sondern nur noch wenn ich auf meine Post Box möchte. Die Daten sind etwas weniger interessant als der Geldtransfer, der ist ohne mobile Tan möglich. Wer denkt sich so etwas aus und wo bleibt die Sicherheit??
Warum die Eingabe einer TAN bei jedem Aufruf der Postbox notwendig ist, aber zum Beispiel nicht beim Abruf der Kontotransaktionen, bleibt das Geheimnis der Bank. Deine Daten sind dennoch weiterhin sicher. Beim Zugriff mit einem neuen Gerät musst Du den Zugang mit einer TAN bestätigen. Mit demselben Gerät kannst Du dann auf Deinen Online-Banking-Account 90 Tage lang zugreifen, ohne erneut eine TAN eingeben zu müssen (zumindest solange Du die Cookies in Deinem Browser nicht löschst).
Zusätzlich brauchst Du für jeden Login Deine Zugangsdaten. Aus technischer Sicht hast Du damit eine Zwei-Faktor-Authentifizierung: einmal durch den Faktor Wissen (Dein Passwort) und einmal durch den Faktor Besitz (Dein Zugangsgerät). Sollte ein Angreifer Dein Passwort stehlen oder erraten, müsste er sich beim Einloggen von einem anderen Gerät trotzdem mit einer TAN authentifizieren.
Falls Du die TAN-Abfrage dennoch bei jedem Login haben möchtest, kannst Du nach jeder Banking-Sitzung die Cookies in Deinem Browser löschen oder das Banking in einem privaten Fenster/Inkognitomodus betreiben.
Viele Grüße
Weinlese
19.11.2023 09:05 - bearbeitet 19.11.2023 09:06
19.11.2023 09:05 - bearbeitet 19.11.2023 09:06
@Weinlese schrieb:Warum die Eingabe einer TAN bei jedem Aufruf der Postbox notwendig ist, aber zum Beispiel nicht beim Abruf der Kontotransaktionen, bleibt das Geheimnis der Bank.
Der Schlüssel ist die 90-Tage-Frist.
Für den Zugang zu Daten, die älter als 90 Tage sind, ist 2FA vorgeschrieben. Bei Aufruf der Kontotransaktionen ist zunächst eine kürzere Historie zu sehen, wenn man auf mehr als 90 Tage zugreifen will, muss dies aber authentifiziert werden.
Bei der Postbox gibt's sofort den kompletten Zugriff auf alle Zeiträume und somit auch die sofortige Abfrage.
am 21.11.2023 15:33
@GetBetter schrieb:Der Schlüssel ist die 90-Tage-Frist.
Technisch ist das eine Erklärung. Nur die Entscheidung, welche Zeiträume man standardmäßig in der jeweiligen Ansicht freigibt, ist dann doch wieder geschäftspolitischer Natur. Man könnte zum Beispiel in der Postbox ebenso die Nachrichten innerhalb der letzten 90 Tage direkt anzeigen und erst bei älteren Daten eine TAN verlangen.
Ich vermute, die meisten schauen ohnehin nur in die Postbox, wenn der grüne Punkt aufleuchtet. Dabei befindet man sich üblicherweise deutlich innerhalb der 90 Tage.
Viele Grüße
Weinlese
am 21.11.2023 16:28
@Weinlese schrieb:Technisch ist das eine Erklärung. Nur die Entscheidung, welche Zeiträume man standardmäßig in der jeweiligen Ansicht freigibt, ist dann doch wieder geschäftspolitischer Natur. Man könnte zum Beispiel in der Postbox ebenso die Nachrichten innerhalb der letzten 90 Tage direkt anzeigen und erst bei älteren Daten eine TAN verlangen.
Ganz so einfach ist die Sache leider nicht. Auf die eigentlich vorgeschriebene starke Kundenathentifizierung darf nur dann verzichtet werden, wenn man ausschließsslich auf die Umsätze der vergangenen 90 Tage zugreifen kann. Das Einstelldatum des Dokumentes ist dagegen unerheblich.
Somit wären also alleine bei Finazreports schon Unterscheidungen bzgl. des in ihnen abgebildeten Zeitraums erforderlich.
Möglicherweise wären darüber hinaus noch andere Dokumente betroffen, da sich bspw. in Verkaufsabrechnungen auch Informationen zu Datum und Summe des ursprünglichen Kaufs finden lassen.
Ich fürchte die Sache würde ungeahnt komplex, so dass die strikte Vorgabe "Postbox-Aufruf = TAN-Abfrage" die aus geschäftspolitischer Sicht einzig handhabbare Variante ist.