comdirect

Nicht nur das!

Wenn man dort anruft und irgendwann mal mit diesem bescheuerten Sprachcomputer fertig ist, dann wird man gefragt: "Spreche ich mit hjs?"

Welcher Betrüger kann denn da noch 'nein' sagen.

MfG

hjs

Hallo 👋

Anregungen wurden hier ja eigentlich schon genug gegeben. Die Abfrage der PIN ist jedenfalls eine worst practice im Bankwesen, vor allem im Zeitalter des Phishings, und für mich und sicher auch viele andere ein guter Grund, sofort aufzulegen.

Ich habe hier von comdirect ehrlich gesagt dann doch wenigstens eine halbwegs zeitgemäße Lösung erwartet. Rückrufservice ist leider auch nicht immer ideal, da anfällig für SIM-swapping-Attacken, aber eine separate Kundenservice-PIN wäre eine gute Lösung. Alternativ Rückrufservice mit vorheriger TAN-Eingabe (aber auch anfällig, falls SMS-TAN genutzt wird).

Für mich und, wie man an der Länge dieser Diskussion sieht, auch für andere ist die PIN-Eingabe per Telefon jedenfalls keine akzeptable Option. So würde ich mich bei euch nur authentifizieren, wenn mein Konto bereits von einem Hacker leergeräumt wurde.

Ohne jetzt hochnäsig klingen zu wollen, aber: Habt ihr denn keine security researcher im Haus, die mit euch zu diesen Themen ein threat modelling machen? 😬

Positiv ist aber natürlich, dass ihr die Authentifizierung nur noch über den Sprachcomputer machen lasst.

Hallo @Jon123 , danke für Deinen Beitrag.

Die Länge dieses Threads ist leider keine Aussage für Dringlichkeit, Wichtigkeit oder irgendein anderes Merkmal, welches die comdirect verstärkt zum Handeln bewegen würde. Vermutlich die Hälfte der Menschen in diesem Threat verstehen nicht, wieso "die PIN nicht an einen Dritten weitergeben" und "die PIN im Sprachcomputer der Telefonhotline eingeben" sich nicht wiederspricht.

Die Bank macht natürlich Threat Assessment. Konkret geht es dabei aber nicht um das extremst mögliche Beispiel, sondern nur um die diesen Aspekt konkret betreffenden Risiken: Wie groß ist die Gefahr, dass explizit durch die Abfrage der Zugangsdaten an der Telefonhotline ein Kontozugang von einem Dritten kompromittiert werden kann, oder zumindest einmalig Daten oder Werte unauthorisiert gelesen oder verändert werden.

Dabei werden natürlich Zusatzannahmen getroffen, die ich aber nicht kenne. Ich vermute zumindest sowas wie "deutsches Telefonnetz", "Kunde wird bei der Eingabe der PIN nicht gefilmt und spricht nicht auf einer Bühne mit hunderten Leuten was er grade macht". Also eben ein normales Szenario, in welchem man seine Bank anruft.

Der Unterschied zum Banking über den Browser ist sofort offensichtlich: Die Verbindung am Telefon ist nicht Ende-zu-Ende verschlüsselt. Die Bank verlässt sich also an dieser Stelle, gestützt von den Annahmen, darauf, dass das Mithören/Abhören/Mitschneiden eines solchen Telefonates dennoch zu schwierig ist.

Falls Du Informationen hast, die dieses Ergebnis nachhaltig infrage stellen können, würde das zumindest mich, aber vermutlich auch die Bank selbst und einige andere hier im Forum, sehr interessieren.

Zur Sicherheit wiederhole ich: Ja, ich finde eine eigene Telefon-PIN auch besser. Die unterliegt dann aber natürlich dem gleichen Risiko wie die eigentliche PIN. Es bleibt lediglich der Vorteil, dass man diese PIN dann z.B. nicht für den Browser-Banking-Zugang verwenden kann und umgekehrt.

Haha was das social media team immer noch nicht gecheckt hat, ist dass es in diesem Thread darum geht, dass Mitarbeiter die PIN am Telefon wollen und nicht der Sprachcomputer

Hallo @Ihr Nickname, ich stimme zu, dass die aktuellen Sicherheitsmaßnahmen dem Sicherheitsbedürfnis der meisten Nutzer gerecht werden. Allerdings sehe ich gerade hier auch Banken in der Verantwortung, noch einen Schritt weiter zu gehen oder zumindest regelmäßig zu reevaluieren, ob die Maßnahmen noch ausreichen oder angepasst werden müssen. Sicherlich wird das auch getan und ich gehe natürlich auch davon aus, dass das ein zentrales Thema ist. Gerade im Zuge der PSD2 wurde hier ja auch erst "kürzlich" nachgebessert.

Dennoch nimmt die Zahl der Fälle von Internetbetrug stetig zu (schneller als neue Richtlinien geschrieben werden können!) und durch die Verknüpfung von erbeuteten Informationen einzelner leaks bzw. breaches werden mitunter auch "normale" Bankkunden zu high profile targets, besonders seit dem Aufkommen von Kryptowährungen usw., die ja durch ihre Popularität auch technisch unversiertere Käufer anlocken. Bestes Beispiel wäre der Sicherheitsvorfall des Krypto-Hardwareherstellers Ledger im Juli 2020, wo sensible Daten von 272.000 Kunden erbeutet wurden.

Ich sehe ein, dass es unmöglich oder unverhältnismäßig schwierig wäre, jeden Angriffsvektor abzudecken und das erwarten Bankkunden i.d.R. auch nicht. Das Sicherheitsbedürfnis wächst aber natürlich auch mit der Höhe der Einlagen und der technischen Versiertheit. Da mit der Zeit immer mehr Nutzer internet- und sicherheitsaffin werden kann man hier vielleicht noch etwas über den grundlegenden Sicherheitsrahmen hinausgehen, um auch diese Zielgruppe zu berücksichtigen, vor allem als Online-Bank.

Die Einführung einer Telefon-PIN wäre da natürlich nicht das Allheilmittel, aber auf jeden Fall eine Verbesserung. Andere Ideen gab es hier ja auch schon wie das Erstellen einer temporären PIN mittels TAN vor jedem Telefonat. Natürlich muss man hier immer eine Balance zwischen Nutzerfreundlichkeit und Sicherheit finden, aber ich denke, das würde auch gut passen.

Zitat SMT_Jan-Ove

"Derzeit ist nicht geplant, an unserer bisherigen und auch sicheren Praxis etwas zu ändern."

Wie kann eine unverschlüsselte Übertragung von Zugangsdaten über das Telefonnetz sicher sein?

Liebes Social-Media-Team,

es geht hier nicht um Social oder Media, es geht um die Sicherheit Ihrer Kunden. Und die personalisierte PIN eines Kunden, über ein Klartextmedium (Telefon) anzufordern, ist gerade nicht "sichere Praxis" wie Sei ausführen, sondern dilettantische Pfuscherei.

Hallo @cmdscks,

vielen Dank für Ihr Feedback, das wir gerne weiterleiten.

Gruß

Erik