Dienstag, 31. Mai 2011

Nicht nur online kann man betrügen

Spricht man mit - zumeist älteren - Mitmenschen über das Internet, dann schlägt einem bisweilen blanke Paranoia entgegen: Das Netz sei doch voller Gefahren, Abzocke an allen Ecken! Nun, man braucht keinen Internet-Anschluss, um andere Leute in großem Stil um ihr Geld zu bringen. Die Deutsche Post als Erfüllungsgehilfe tut's auch.

Nehmen wir zum Beispiel Sebastian Cyperski, Geschäftsführer der GWE-Wirtschaftsinformations GmbH. Ihm gehört auch die Domain www.gewerbeauskunft-zentrale.de. Gestern fand ich einen grauen Briefumschlag von der Gewerbeauskunft-Zentrale in meinem Briefkasten, darin ein amtlich aufgemachtes Schreiben, in dem ich aufgefordert wurde, meinen Adresseintrag zu aktualisieren und das Formular unterschrieben zurückzusenden. Adressiert war das Schreiben an eine Firma, die es nicht gibt, nämlich die Firma "Frank Kemper Journalist". Die Masche als solche ist uralt: Windige Geschäftemacher belästigen kleine und mittlere Gewerbetreibende mit Pseudo-Gebührenrechnungen, die in Wirklichkeit nichts anderes sind als getarnte Auftragsformulare für einen Eintrag in ein völlig überflüssiges Adressverzeichnis. Wer den Wisch des Herrn Cyperski unterschreibt, ist mit 39,85 Euro dabei - pro Monat. Da der mit der Unterschrift abgeschlossen Vertrag über zwei Jahre läuft, ergeben sich 956,40 Euro. Oops!

Da stellt sich doch die Frage: Darf der Herr Cyperski als amtliche Schreiben getarnte Verkaufsofferten an Unternehmen schicken, mit denen er keine Geschäftsbeziehungen unterhält? Das Landgericht Düsseldorf sagt: Nein. Es verurteilte Cyperskis Unternehmen im April 2011 auf Unterlassung, das Urteil ist allerdings noch nicht rechtskräftig.

Was Herr Cyperski vermutlich noch weniger darf: Er darf Verbraucher nicht mit solchen Angeboten belästigen. Und das hat er in meinem Fall getan. ich bin zwar Journalist, aber ich bin keine Firma. Ich bin Arbeitnehmer, wie andere Leute auch. Ich lasse das gerade bei einem Anwalt prüfen.

Montag, 30. Mai 2011

Achtung: Terror!

Mein geschätzter Kollege Richard Gutjahr hat einen Beitrag über die Aushöhlung der Bürgerrechte unter dem Deckmantel des Kampfes "gegen den Terror" und "gegen Kinderpornographie" geschrieben.

Meine Meinung: Jeder aufgeklärte Demokrat und Staatsbürger sollte diesen Beitrag lesen.

Und vielleicht erklären sich einmal die Grünen und die SPD in dieser Sache. Es gibt nämlich wahrlich noch andere wichtiger Themen auf der politischen Agenda als Fukushima.

Montag, 23. Mai 2011

Wie die Sparkasse sich ihre Sicherheit von den Kunden bezahlen lässt



Wer dieser Tage an einem Geldautomaten der Stadtsparkasse München (SSKM) Geld abheben will oder die Website der Bank aufruft, der wird mit Aktionismus begrüßt. Die SSKM führt die beiden neuen Sicherungsmechanismen smsTAN und chipTAN ein. Die Kunden werden mit einem Preisausschreiben zum Umstieg ermuntert, zu gewinnen gibt es das obligatorische iPad, was man halt so verlost zu solchen Gelegenheiten. Doch auch wer an dem Preisausschreiben nicht teilnimmt, muss sich bewegen: Anfang 2012 schafft die SSKM das bislang verwendete iTAN-Verfahren ab.

iTan, chipTAN, smsTAN, was sind die Unterschiede?

Ursprünglich setzte die SSKM das PIN-TAN-Verfahren (Persönliche Identifikations-Nummer und Transaktionsnummer) ein, um den unbefugten Online-Zugriff auf die Konten ihrer Kunden zu verhindern. Das Prinzip ist bekannt: Man meldet sich mit seiner Kontonummer und einer Geheimzahl (PIN) an. Für jede Überweisung o.ä. gibt man eine TAN ein, die schreibt man von einer Liste ab, die man von der Bank geschickt bekommen hat. Jede TAN lässt sich nur einmal verwenden, dann verfällt sie. Hat man alle 50 Nummern auf der Liste benutzt, schickt die Bank eine neue Liste. Hört sich sicher an, ist es aber nicht. Durch eine Phishing-Attacke können Angreifer an die PIN und an eine TAN kommen. Damit räumen sie dann das Konto ab, bevor das Opfer überhaupt bemerkt, dass etwas faul ist.

Also führte die SSKM vor ein paar Jahren iTAN ein: Dieselbe PIN, die gleiche TAN-Liste, nur legt hier der Sparkassen-Computer fest, welche der 50 TANs jetzt eingegeben werden muss, um eine Überweisung zu autorisieren. Das machte das herkömmliche Phishing schwieriger, aber nicht unmöglich.

Das neue chipTAN-Verfahren erfordert eine EC-Karte mit Goldchip drauf, außerdem einen speziellen Chipkartenleser. Dieser Leser erzeugt dann auf Knopfdruck eine TAN, die nur einige Minuten gültig ist. Der Kunde gibt die TAN in das Online-Formular auf seiner Banking-Seite ein und gut. Nicht so gut: Der Kartenleser passt in keine Geldbörse, und wenn die Batterie kaputtgeht, dann ist es Essig mit dem Onlinebanking.

Am vernünftigsten hört sich das smsTAN-Verfahren an: Man hinterlegt eine Mobilfunknummer bei der Bank. Wenn man für eine Transaktion eine TAN braucht, dann kommt sie per SMS an dieses Handy. Man tippt sie ein und gut. Das Handy hat man normalerweise ohnehin immer dabei. Und weil die TAN per SMS übertragen wird, kann sie auch nicht im Internet ausgeforscht werden.

Um zwei Dinge mache ich mir allerdings etwas Gedanken.

Erstens ist die Absicherung des Kundenlogins auf der SSKM-Website verhältnismäßig dürftig ausgefallen, außer der Kontonummer (nicht geheim) und einer fünfstelligen PIN braucht man nichts, um auf die Seite zu kommen und gegebenenfalls eine neue Handynummer zu hinterlegen, an die künftig die TANs geschickt werden müssen,. Wie verhindert die Sparkasse einen solchen Angriff?

Und regelrecht dreist finde ich, dass sich die SSKM die Sicherung des Online-Zugriffs auch noch vom Kunden bezahlen lässt. Stolze 9 Cent soll jede TAN-Anforderung kosten. Derzeit beträgt die Kontoführungsgebühr bei einem normalen Privatgirokonto 4,95 Euro pro Monat. Verzichtet man auf die Möglichkeit, für die Regelung seiner Geldgeschäfte die Hilfe eines Angestellten in einer SSKM-Filiale in Anspruch zu nehmen, kostet das Konto nur noch 2,30 Euro. Nun gehen wir mal von zehn Überweisungen aus, das ist ja nicht die Welt. Bislang sind sie kostenlos, ab 2012 will die Stadtsparkasse München dafür neun Cent (für die Übermittlung der TAN), das macht dann 90 Cent oder eine Erhöhung der Grundgebühr um 39 Prozent!

Entschuldigung, aber: Geht's noch?

Wie dreist muss man sein, um zu glauben, dass man die Kunden alle Arbeit selbst machen lassen kann (Online-Banking), ihnen keine Zinsen für ihr Guthaben zu zahlen braucht, für eine Kreditkarte Geld zu verlangen, für das Konto an sich auch - und dann noch für jede Überweisung? Wieso, liebe Stadtsparkasse München, glaubst du eigentlich, dass du damit durchkommst?

Ich bin jetzt seit über 40 Jahren Kunde der Sparkasse. Ich mag es, dass ich an vielen Ecken der Stadt einen Geldautomaten mit dem roten Logo finde, und um die paar Kröten für das Girokonto habe ich mich bislang nicht gekümmert. Doch vielleicht sollte ich - wie viele Kollegen - doch lieber ein Konto bei der DKB-Bank aufmachen: keine Kontoführungsgebühr, 1,6 Prozent aufs Guthaben, die Kreditkarte ist gebührenfrei - und das Abheben damit von weltweit jedem(!) Geldautomaten ebenfalls.

Ich habe der Stadtsparkasse eine Mail geschrieben und sie gefragt, wie sie dazu kommt, mir dafür Gebühren zu berechnen, dass ich ihnen helfe, auf mein Geld aufzupassen.

Mal sehen, was da kommt.

Update (26. Mai 2011, 15.11 Uhr): Nachdem ich diesen Beitrag auch auf Facebook verlinkt hatte, kamen dort einige Kommentare zu dem Inhalt. Unter anderem machte mich ein Leser darauf aufmerksam, dass die Stadtsparkasse Augsburg für die smsTAN-SMS nichts berechnet.

Gestern kam eine E-Mail von Andrea Betz, einer Privatkundenberaterin "meiner" SSKM-Filiale. Ich kenne Frau Betz bereits persönlich, wir hatten in den vergangenen zwei, drei Jahren gelegentlich einmal miteinander zu tun. Frau Betz bat mich um einen Rückruf - mit der durchaus nachvollziehbaren Begründung, viele Fragen ließen sich im persönlichen Gespräch einfacher klären als per E-Mail. Also flugs angerufen.

Es war ein angenehmes Gespräch. Frau Betz ist eine intelligente Person, die einem nicht auf den Nerven herumspringt (ich erwähne das, weil es im Bankgewerbe keineswegs selbstverständlich ist). Das Gespräch erbrachte folgende Ergebnisse:

  • Die Entscheidung, die smsTAN kostenpflichtig zu machen, resultiert aus einem Beschluss des SSKM-Vorstandes zur Kostentransparenz: Gebühren sollen dort berechnet werden, wo sie entstehen. Niemand soll für etwas zahlen, was er gar nicht nutzt. Die SSKM kauft die SMS mit 9 ct. ein und berechnet die Kosten einfach weiter. Ebenso hält sie das zum Beispiel mit Porti für die Zusendung von Bankauszügen.
  • Auch das oben beschriebene chipTAN ist beileibe nicht kostenlos. Im Info-Text der SSKM zum chipTAN hieß es zwar, man könne sich das dazu erforderliche Lesegerät "in der Filiale abholen". Dass jedes Gerät elf Euro kostet, muss ich wohl überlesen haben...
  • Die günstigen Konditionen von reinen Online-Banken sind ihr durchaus bewusst, jedoch habe man dort keinen Zugriff auf gut ausgebildete Kundenberater "wie zum Beispiel mich" (A. Betz). Gut, das ist ein Punkt.
  • Das Classic-Girokonto, das ich im Moment habe, ist für meine Bedürfnisse zu teuer. Frau Betz hat angeregt, dass ich das Online-Konto nutzen solle, bei dem jede Überweisung in der Filiale Geld kostet, dort spare ich dann etwa die halbe Grundgebühr (na ja, immerhin was). Wenn ich auf dem Konto im Schnitt 1.500 Euro Guthaben habe, erlässt mir die Sparkasse sogar die Grundgebühr.
Man sieht: Sie bemühen sich. Ob man damit die Generation Facebook gewinnt? Ich habe da so meine Zweifel.

Update 2 (29. Mai 2011): Seit gestern hatte ich rund 4.600 Besucher auf meinem Blog, das entspricht laut Google Analytics über den Monat betrachtet einer Steigerung von 671%. Der Grund: Rechtsanwalt Udo Vetter fand diesen Beitrag offenbar spannend genug, um in seinem Law Blog darauf zu verlinken. Freut mich, vielen Dank. Noch schöner wäre es, wenn die Stadtsparkasse München zu der ganzen Geschichte Stellung nehmen würde. Sie sind herzlich eingeladen!