Montag, 23. Mai 2011

Wie die Sparkasse sich ihre Sicherheit von den Kunden bezahlen lässt



Wer dieser Tage an einem Geldautomaten der Stadtsparkasse München (SSKM) Geld abheben will oder die Website der Bank aufruft, der wird mit Aktionismus begrüßt. Die SSKM führt die beiden neuen Sicherungsmechanismen smsTAN und chipTAN ein. Die Kunden werden mit einem Preisausschreiben zum Umstieg ermuntert, zu gewinnen gibt es das obligatorische iPad, was man halt so verlost zu solchen Gelegenheiten. Doch auch wer an dem Preisausschreiben nicht teilnimmt, muss sich bewegen: Anfang 2012 schafft die SSKM das bislang verwendete iTAN-Verfahren ab.

iTan, chipTAN, smsTAN, was sind die Unterschiede?

Ursprünglich setzte die SSKM das PIN-TAN-Verfahren (Persönliche Identifikations-Nummer und Transaktionsnummer) ein, um den unbefugten Online-Zugriff auf die Konten ihrer Kunden zu verhindern. Das Prinzip ist bekannt: Man meldet sich mit seiner Kontonummer und einer Geheimzahl (PIN) an. Für jede Überweisung o.ä. gibt man eine TAN ein, die schreibt man von einer Liste ab, die man von der Bank geschickt bekommen hat. Jede TAN lässt sich nur einmal verwenden, dann verfällt sie. Hat man alle 50 Nummern auf der Liste benutzt, schickt die Bank eine neue Liste. Hört sich sicher an, ist es aber nicht. Durch eine Phishing-Attacke können Angreifer an die PIN und an eine TAN kommen. Damit räumen sie dann das Konto ab, bevor das Opfer überhaupt bemerkt, dass etwas faul ist.

Also führte die SSKM vor ein paar Jahren iTAN ein: Dieselbe PIN, die gleiche TAN-Liste, nur legt hier der Sparkassen-Computer fest, welche der 50 TANs jetzt eingegeben werden muss, um eine Überweisung zu autorisieren. Das machte das herkömmliche Phishing schwieriger, aber nicht unmöglich.

Das neue chipTAN-Verfahren erfordert eine EC-Karte mit Goldchip drauf, außerdem einen speziellen Chipkartenleser. Dieser Leser erzeugt dann auf Knopfdruck eine TAN, die nur einige Minuten gültig ist. Der Kunde gibt die TAN in das Online-Formular auf seiner Banking-Seite ein und gut. Nicht so gut: Der Kartenleser passt in keine Geldbörse, und wenn die Batterie kaputtgeht, dann ist es Essig mit dem Onlinebanking.

Am vernünftigsten hört sich das smsTAN-Verfahren an: Man hinterlegt eine Mobilfunknummer bei der Bank. Wenn man für eine Transaktion eine TAN braucht, dann kommt sie per SMS an dieses Handy. Man tippt sie ein und gut. Das Handy hat man normalerweise ohnehin immer dabei. Und weil die TAN per SMS übertragen wird, kann sie auch nicht im Internet ausgeforscht werden.

Um zwei Dinge mache ich mir allerdings etwas Gedanken.

Erstens ist die Absicherung des Kundenlogins auf der SSKM-Website verhältnismäßig dürftig ausgefallen, außer der Kontonummer (nicht geheim) und einer fünfstelligen PIN braucht man nichts, um auf die Seite zu kommen und gegebenenfalls eine neue Handynummer zu hinterlegen, an die künftig die TANs geschickt werden müssen,. Wie verhindert die Sparkasse einen solchen Angriff?

Und regelrecht dreist finde ich, dass sich die SSKM die Sicherung des Online-Zugriffs auch noch vom Kunden bezahlen lässt. Stolze 9 Cent soll jede TAN-Anforderung kosten. Derzeit beträgt die Kontoführungsgebühr bei einem normalen Privatgirokonto 4,95 Euro pro Monat. Verzichtet man auf die Möglichkeit, für die Regelung seiner Geldgeschäfte die Hilfe eines Angestellten in einer SSKM-Filiale in Anspruch zu nehmen, kostet das Konto nur noch 2,30 Euro. Nun gehen wir mal von zehn Überweisungen aus, das ist ja nicht die Welt. Bislang sind sie kostenlos, ab 2012 will die Stadtsparkasse München dafür neun Cent (für die Übermittlung der TAN), das macht dann 90 Cent oder eine Erhöhung der Grundgebühr um 39 Prozent!

Entschuldigung, aber: Geht's noch?

Wie dreist muss man sein, um zu glauben, dass man die Kunden alle Arbeit selbst machen lassen kann (Online-Banking), ihnen keine Zinsen für ihr Guthaben zu zahlen braucht, für eine Kreditkarte Geld zu verlangen, für das Konto an sich auch - und dann noch für jede Überweisung? Wieso, liebe Stadtsparkasse München, glaubst du eigentlich, dass du damit durchkommst?

Ich bin jetzt seit über 40 Jahren Kunde der Sparkasse. Ich mag es, dass ich an vielen Ecken der Stadt einen Geldautomaten mit dem roten Logo finde, und um die paar Kröten für das Girokonto habe ich mich bislang nicht gekümmert. Doch vielleicht sollte ich - wie viele Kollegen - doch lieber ein Konto bei der DKB-Bank aufmachen: keine Kontoführungsgebühr, 1,6 Prozent aufs Guthaben, die Kreditkarte ist gebührenfrei - und das Abheben damit von weltweit jedem(!) Geldautomaten ebenfalls.

Ich habe der Stadtsparkasse eine Mail geschrieben und sie gefragt, wie sie dazu kommt, mir dafür Gebühren zu berechnen, dass ich ihnen helfe, auf mein Geld aufzupassen.

Mal sehen, was da kommt.

Update (26. Mai 2011, 15.11 Uhr): Nachdem ich diesen Beitrag auch auf Facebook verlinkt hatte, kamen dort einige Kommentare zu dem Inhalt. Unter anderem machte mich ein Leser darauf aufmerksam, dass die Stadtsparkasse Augsburg für die smsTAN-SMS nichts berechnet.

Gestern kam eine E-Mail von Andrea Betz, einer Privatkundenberaterin "meiner" SSKM-Filiale. Ich kenne Frau Betz bereits persönlich, wir hatten in den vergangenen zwei, drei Jahren gelegentlich einmal miteinander zu tun. Frau Betz bat mich um einen Rückruf - mit der durchaus nachvollziehbaren Begründung, viele Fragen ließen sich im persönlichen Gespräch einfacher klären als per E-Mail. Also flugs angerufen.

Es war ein angenehmes Gespräch. Frau Betz ist eine intelligente Person, die einem nicht auf den Nerven herumspringt (ich erwähne das, weil es im Bankgewerbe keineswegs selbstverständlich ist). Das Gespräch erbrachte folgende Ergebnisse:

  • Die Entscheidung, die smsTAN kostenpflichtig zu machen, resultiert aus einem Beschluss des SSKM-Vorstandes zur Kostentransparenz: Gebühren sollen dort berechnet werden, wo sie entstehen. Niemand soll für etwas zahlen, was er gar nicht nutzt. Die SSKM kauft die SMS mit 9 ct. ein und berechnet die Kosten einfach weiter. Ebenso hält sie das zum Beispiel mit Porti für die Zusendung von Bankauszügen.
  • Auch das oben beschriebene chipTAN ist beileibe nicht kostenlos. Im Info-Text der SSKM zum chipTAN hieß es zwar, man könne sich das dazu erforderliche Lesegerät "in der Filiale abholen". Dass jedes Gerät elf Euro kostet, muss ich wohl überlesen haben...
  • Die günstigen Konditionen von reinen Online-Banken sind ihr durchaus bewusst, jedoch habe man dort keinen Zugriff auf gut ausgebildete Kundenberater "wie zum Beispiel mich" (A. Betz). Gut, das ist ein Punkt.
  • Das Classic-Girokonto, das ich im Moment habe, ist für meine Bedürfnisse zu teuer. Frau Betz hat angeregt, dass ich das Online-Konto nutzen solle, bei dem jede Überweisung in der Filiale Geld kostet, dort spare ich dann etwa die halbe Grundgebühr (na ja, immerhin was). Wenn ich auf dem Konto im Schnitt 1.500 Euro Guthaben habe, erlässt mir die Sparkasse sogar die Grundgebühr.
Man sieht: Sie bemühen sich. Ob man damit die Generation Facebook gewinnt? Ich habe da so meine Zweifel.

Update 2 (29. Mai 2011): Seit gestern hatte ich rund 4.600 Besucher auf meinem Blog, das entspricht laut Google Analytics über den Monat betrachtet einer Steigerung von 671%. Der Grund: Rechtsanwalt Udo Vetter fand diesen Beitrag offenbar spannend genug, um in seinem Law Blog darauf zu verlinken. Freut mich, vielen Dank. Noch schöner wäre es, wenn die Stadtsparkasse München zu der ganzen Geschichte Stellung nehmen würde. Sie sind herzlich eingeladen!

Kommentare:

  1. Ach ja, die Sparkasse. Bin da (bei der Berliner Sparkasse) auch seit meinen Studentenjahren Kunde gewesen. Bis ich mich dann vor elf Jahren auch mal nach etwas besseren Konditionen für einen Stammkunden erkundigt habe. Da könne man leider nichts machen - naja, ich konnte und war dann sehr schnell bei der (ING-)DiBa und bin mittlerweile seit 2003 ebenfalls zufriedener DKB-Kunde (die DiBa hatte damals nur verloren, weil sie zu der Zeit in meinem neuen Wohnort keine kostenlosen Geldautomaten hatte). Kundenberater habe ich noch nie vermisst, der einzige Ärger entsteht, wenn man mal in die seltene Verlegenheit kommt, Bargeld einzahlen zu wollen. Und, na gut, das Online-Banking-Interface der DKB sieht eher nach anno 1999 aus...

    AntwortenLöschen
  2. Das Durchreichen des Porto für Kontoauszüge ist übrigens illegal: http://de.reuters.com/article/companiesNews/idDEBEE74N0GH20110524

    AntwortenLöschen
  3. Am Dreistesten an der ganzen Aktion ist doch, immer noch den Blödsinn mit TANs zu betreiben. Wenn man schon mit Chipkarte arbeitet, kann man es auch gleich richtig machen und zertifikatsbasiert arbeiten. Aber das ist ja genau nicht im Sinne der Bank, weil dann Phising gar nicht möglich wäre...

    AntwortenLöschen
  4. Vorsicht bei Onlinebanken: Überall kann man damit mittlerweile nicht mehr Geld abheben. Die Sparkassen bei mir in der Gegend sperren mittlerweile Visa-Karten der ING, DKB, Postbank und einigen anderen Online-Banken. Ich weiß nicht, ob auch andere Banken ihre Geldautomaten sperren. Bei Volksbanken kann ich jedenfalls noch problemlos Geld abheben.

    AntwortenLöschen
  5. Die Postbank hat seit min. 3 Jahren die mobile TAN - kostenlos!

    AntwortenLöschen
  6. Was keiner so ganz begreift, ist dass weder die chipTAN noch die smsTAN das Angriffsszenario einer iTAN löst. Bei diesem wird über eine gefälschte Onlinebanking-Seite oder einen Trojaner der Empfänger und der Zahlungsbetrag im Hintergrund verändert, die PIN und iTAN wird einfach übernommen. Der Kunde bekommt davon nichts mit, weil sowohl die gefälschten Webseiten als auch die Trojaner die Bestätigungsseite der Bank on-the-fly (also live) wieder so verändern, dass die ursprünglich eingegebenen Daten auftauchen. Man merkt den Fehler also erst beim nächsten Kontoauszug.

    Ergo: Solange die i/chip/sms/buzzwordTAN an einer Tastatur eingegeben werden muss, gibt es keinen - und zwar wirklich garkeinen - Sicherheitsgewinn. Die Trojanerhersteller müssen nichtmal ihre Trojaner anpassen. Aber ist natürlich schön, wenn die Bank "was tut" und dabei noch ein wenig Kohle machen kann.

    Sinnvoll hingegen ist eine SMS-Bestätigung oder Mail ans Handy, sobald eine Überweisung eingegangen ist. Dafür gibts zwar auch schon Trojaner, aber zwei Systeme zu infizieren ist deutlich schwieriger, als nur eins infizieren zu müssen.

    AntwortenLöschen
  7. @TinyToon: Ich benutze bei meiner Sparkasse fürs Online-Banking einen TAN-Generator, und kann daher sagen, dass diese Art Angriff eben so nicht mehr funktionieren kann, wenn man aufpasst. Der TAN-Generator zeigt nämlich selbst die Kontonummer und den Betrag an, bevor er die TAN generiert, die auch nur genau für diese Transaktion benutzt werden kann. Wenn die Daten auf der Website verändert wurden und somit verfälschte Daten an den TAN-Generator übergeben werden, zeigt der TAN-Generator also eine andere Kontonummer an als die, auf die man überweisen wollte. Man erkennt eine Manipulation also, bevor die Überweisung getätigt wird.

    AntwortenLöschen
  8. @TheTinyToon: Stimmt so nicht. Der Bankserver müsste schon in einem ersten Schritt die gefälschten Daten erhalten, noch bevor die SMS mit der TAN verschickt wird. In der SMS selbst werden Empfänger und Betrag genannt. Der zweite Transaktionsschritt besteht nur noch in der EIngabe der TAN, der Bankrechner akzeptiert zu diesem Zeitpunkt keine Änderung von Empfänger oder Betrag mehr. Natürlich bedeutet das, das man den Inhalt der SMS auch lesen sollte und nicht nur blind die TAN abtippen darf!

    AntwortenLöschen
  9. Zu dem gleichen Thema habe ich auch geschrieben - ich finde es auch eine Sauerei, auch wenn die Postbank mTAN (die SMS-Geschichte) kostenlos anbietet: http://janschejbal.wordpress.com/2011/01/19/sicheres-onlinebanking-kostet-extra/

    mTAN ist relativ unsicher, weil Handys auch leicht trojanisiert werden können.

    @TheTinyToon: bei der mTAN wird der Zahlbetrag etc. in der SMS angezeigt. Wenn der Trojaner auf dem PC danach irgendwas ändert, passt die TAN nicht zur Transaktion und wird abgelehnt. Bei der ChipTAN muss man die Transaktionsdaten auf dem separaten sicheren Device bestätigen. Auch hier gilt die TAN nur für genau diese Transaktion.

    AntwortenLöschen
  10. Sparkassen...
    20.000 Filialen aber nur die Heimatfilialen kann man nutzen (für mehr als Geldabheben. Also einzahlen, Verträge, Papierüberweisungen, usw). Seitdem bin ich bei der Deutschen Bank!

    AntwortenLöschen
  11. Tja, und dann kauft die Bank die SMS mit 9ct ein? Man bekommt ohne Abnahmemengen problemlos 5ct hin - und wenn man halbwegs Volumen hat (mehr als 10.000) SMS fällt der Preis nochmal massiv...

    AntwortenLöschen
  12. einfach eine andere sparkasse (die keine gebühren nimmt) nutzen. mache ich seit jahren. ich zahle für mein onlinekonto bei der sparkasse nichts und auch für die smstans nichts.

    AntwortenLöschen
  13. Ich bin Kunde sowohl bei der Postbank AG als auch bei der Deutschen Bank PGK AG. Die Postbank smsTAN kostenlos an. Die Deutsche Bank bietet noch immer kein ChipTAN an, aber smsTAN - für 9 Ct pro SMS.

    AntwortenLöschen
  14. ach ja .. die SSKM. Gut, dass ich den Idiotenhaufen endlich vollständig los bin.

    Annodazumal wurde ich durch deren "Arbeiten am Online-Banking-Bereich" mehrfach bis auf die Knochen blamiert. Sprich: Immer wenn am "Online-Banking" was gearbeitet wurde, war Geld abheben am Automaten nicht drin ..

    .. kommt halt ganz besonders bescheiden, wenn man gerade beim örtlichen Lieferdienst ne Pizza bestellt hat.

    UND wenn einem das 3x hintereinander passiert. Rufschädigung - leicht gemacht.

    Von sonstigen (hier u.a. auch genannten) Frechheiten mal ganz abgesehen.

    Wie gesagt, gut, dass ich das Kasperltheater los bin - seit Jahren nur noch VB / RB. Die haben zwar auch ihre Tücken, sind aber m.E.n. wesentlich kommunikativer (und die genannten Infos STIMMEN im Gegensatz zur SSKM auch).

    cu, w0lf.

    AntwortenLöschen
  15. "Die günstigen Konditionen von reinen Online-Banken sind ihr durchaus bewusst, jedoch habe man dort keinen Zugriff auf gut ausgebildete Kundenberater "wie zum Beispiel mich" (A. Betz). Gut, das ist ein Punkt."

    Das ist der Knackpunkt. Dienstleistung kostet Geld, was natürlich der Generation "gratis" erstmal nicht in den Kopf will. Aber spätestens wenn man mal finanziell in der Klemme steckt, einen Haus bauen will, etc. - dann auf einmal merkt man das die Bit&Byte und unmotivierte CallCenter-Mitarbeiter da nicht helfen werden. Und wem das nicht ABSETZBARE 20 Euro im Jahre Werst ist ... nunja. Jedem das seine.

    AntwortenLöschen
  16. Nachtrag:
    Ach und komisch, dass in der Finanzkrise alle ihr Geld wieder zum guten alten Sparkassenkonto transferiert haben, da es dort dank der Trägerhaftung bzw. anderen Risikopolitik deutlich sicherer ist. Ausserdem überlegt mal, wer bei euch in der Stadt das Sportfest, die Theateraufführung, die Museumsausstellung, die Vereine, etc. finanziell unterstützt? Korrekt - deine Sparkasse! Also man kann ja viel meckern und kritsieren, aber solche Dinge sollte man auch bedenken. Vielleicht zahlt man dann auch mal gerne 1-2 Euro mehr im Monat (was man ohne nachzudenken für Kippen und ein Bier ausgibt, oder?!)

    AntwortenLöschen
  17. In einem Vortrag hat ein Beamter des LKA BaWü erzählt, daß das HBCI-Verfahren nicht geknackt sei und auch schwierig zu überwinden sei. Er selbst empfiehlt deshalb den Einsatz einer HBCI-fähigen Software, wie z.B. StarMoney oder Quicken o.ä. . Ist verständlich, ich kann im Moment auch nicht nachvollziehen, wie Betrüger meine StarMoney-Überweisung abfangen sollten...

    AntwortenLöschen
  18. Zum Thema 5-stellige TAN.
    Warum sollte das unsicher sein, wenn der Bankenserver nach 3-maliger Falscheingabe den Online-Zugang automatisch sperrt?

    Mal rechnen:
    Möglich sind Zahlen 0 - 9, alle Kleinbuchstaben, alle Großbuchstaben und die Sonderzeichen ä,ü,ö,Ä,Ü,Ö nd ß (sind alles Angaben, die ich als Kunde sehe, wenn ich meine PIN ändern möchte). Das sind summa sumarum 69 mögliche Zeichen. Bei einer 5-stelligen PIN ergeben sich damit 69 (Zeichenanzahl) hoch 5 (Pin-Stellen) Kombinationsmöglichkeiten, also rechnerisch über 200 Millionen mögliche PIN-Varianten, selbst wenn man identische Kombinationen ausklammert (11111, aaaaa usw.).

    Dafür hast Du 3 Versuche, die richtige zu treffen. Wirklich sehr unsicher, das System :-)

    AntwortenLöschen
  19. Als Kunde der Berliner Sparkasse, der mittlerweile im Rheinland lebt, habe ich bei dem Versuch, zur Kölner Stadsparkasse zu wechseln, ähnliches erlebt. Onlinekonto(!) für 4,- (Berlin 2,-), pro SMS für TAN 0,10 (Berlin 0,00). Ich bin dann doch bei meiner alten Sparkasse geblieben.
    Warum ich wechseln wollte:
    Ein Problem taucht immer dann auf, wenn man größere Geldbeträge bar benötigt.

    AntwortenLöschen
  20. Anzumerken wäre aber noch, dass das chipTan Verfahren sicherer ist, weil das Empfängerkonto bei der Generierung der Tan eine Rolle spielt. Sollte diese Tan abgefangen werden, und für ein geändertes Empfängerkonto benutzt werden, wäre die Tan nicht mehr gültig. Das ist meines Wissens bei der smsTan nicht der Fall. Ich lass mich aber gern eines Besseren belehren.

    AntwortenLöschen
  21. Für HBCI gibt es mit Hibiscus sogar kostenlose Software.

    AntwortenLöschen
  22. smsTan ist wohl doch relativ sicher!

    http://www.youtube.com/watch?v=e9jhTrDVPgU

    AntwortenLöschen
  23. Echt geil wie viele Unwarheiten so verbreitet werden:

    1. Bei mobile/SMS-TAN und Chip/Sm@rt-TAN werden in/auf der/dem SMS/TAN-Generator die Buchungsdaten angezeigt. Die dazugehörige TAN ist NUR für diese Daten gültig. Wird eine veränderte Buchung zur Bank geschickt ist die TAN dafür NICHT gültig.

    2. Natürlich sind die Kosten nicht bei jeder Bank gleich. Ich bekomm einen Laptop/TV/Rasierer/etc. in einem Onlineshop auch billiger als bei meinem örtlichen Elektromarkt. Der hat aber den Vorteil dass ich mir das Ding vorher erklären lassen kann und ich es sofort mitnehmen kann. Bei der Bank heisst das: Kostenlose Beratung. Kostenlose telefonische Hilfe bei Problemen. etc.
    Wenn das jemand nicht braucht, kann er gerne zu einer Direktbank gehen. Jeder kann die Bank wählen die er will.
    Es gibt ja auch Menschen die einen Handyvertrag machen und dort z.B. eine kostenlose Hotline in Anspruch nehmen können. Andere haben eine Prepaid-Karte und telefonieren damit günstiger, bezahlen für die Hotline aber 1-2 Euro pro Minute,etc.

    3. Die PIN für die Anmeldung beim Onlinebanking muss MINDESTENS fünf Stellen haben. Zumindest bei den Volks-/Raiffeisenbanken kann die PIN bis zu 25! Stellen haben. Und wenn du die dann in drei Versuchen errätst, dann füll mir doch bitte nen Lottoschein aus, weil dann bist du nämlich Hellseher. :-)

    4. Wenn jemandem eines der TAN-Verfahren zu unsicher/kompliziert erscheint, dann gibts von fast allen Banken auch HBCI mit Chipkarte bzw. Sicherheitsdatei. Dazu ist aber eine aktuelle HBCI-Software nötig.
    Gerade kostenlose Programme wie das erwähnte Hibiscus sind da leider oft mit den Updates hinten dran, so dass es dort öfter mal zu Problemen kommt, wenn Banken Sicherheitsverfahren ändern. In der Regel ist es immer am besten das von der Bank angebotene Programm zu verwenden, da dann auch in der Regel Support von der Bank angeboten wird.

    Mein Fazit: Es gibt viele verschiedene Banken mit unterschiedlicher Service-/Preis-/Kunden-Politik. Da sollte sich einfacher jeder die aussuchen die für ihn passend ist.
    Es kann so einfach sein.

    AntwortenLöschen
  24. Ich bin seit 6 Monaten Kunde der ING DiBa, vormals Kunde bei der Sparkasse Vorderpfalz.

    Pro Monat Kosten von 5,9€ waren mir zu heftig, vor allem da ich mittlerweile in Frankfurt wohne und in den Frankfuter Sparkassenfilialen mir kein Dienstleistungen erbracht werden können. Ausserdem haben die kein akzeptables Tagesgeldangebot.

    Achja, und bei der ING DiBa habe ich dann noch einen Autokredit zusammen mit meiner Freundin abgeschlossen, dass ging schnell und problemlos. Die Call-Center Mitarbeiter waren immer sehr freundlich und hilfreich, und das Abends um 20 Uhr! Schliesslich muss ich Tagsüber arbeiten und kann nicht meine Zeit in Filialen verschwenden.

    Die Mitarbeiter meine Sparkassen-Filiale waren unfreundlich und ich hatte damals als Schüler/Student und auch danach immer das Gefühl, dass ich auf einem Amt bin und Sozialhilfe beantrage, egal was ich gemacht habe (Geld abheben, einzahlen, Überweisungen machen). Im Nachhinein empfang ich meine Behandlung als demütigend. Ich brauche keine "gut ausgebildeten" Berater, die mir sowieso nur das Verkaufen, was sie sollen (Stichwort Provision).

    AntwortenLöschen
  25. fwolf:
    Das eine Verfügung am Geldautomaten nicht geht oder eine Zahlung mit der Karte nicht klappt hat rein gar nichts mit dem Online-Banking zu tuen.
    Das sind 2 komplett unterschiedliche Dinge.
    Das wird dann wohl eher an der Karte, der PIN oder dem nicht vorhandenen Guthaben gelegen haben ;)
    Aber Schuld haben sowieso immer die Anderen vor allem die Banken - sind ja eh alle "böse" - ist zu Zeiten der Finanzkrise beliebt und "in".

    wolfgang:
    Das ist bei dem sms-Verfahren auch so, die TAN ist an Betarg und Kontonummer (Empfänger) gebunden.

    Zum Thema:
    Online-Banking mit ChipTAN und smsTAN ist sicher, wenn man die Daten liest, versteht und wirklich prüft.
    Die Verfahren schützen nicht vor einer Infektion mit Trojanischen Pferden am eigenen PC, aber sie machen es möglich zu bemerken, wenn etwas nicht stimmt.
    Zusatz zum smsVerfahren:
    Nie etwas auf dem hinterlegten Handy installieren für´s Online-Banking - dies kann, war und wird nie nötig sein (ganz normale sms), Alles andere könnte ein Versuch sein, das Handy auch zu infizieren.

    Die Kosten verursachen streng genommen die Provider (diese verschicken die sms nicht umsonst) und stellen es der Sparkasse/Rechenzentrum in Rechnung, die Sparkasse wiederrum dem Kunden, der eine sms "brauchte". Viele Sparkassen/Banken bieten Freiposten (pro Monat) - generell würde ich immer zu einem Gespräch mit meinem Berater raten, wenn ich unzufrieden bin.

    AntwortenLöschen
  26. Ixh bin bei der Frankfurter SParkasse und ich denke was Du schreibst.
    Solange iTAN funktoniert, werde ich das nutzen, wenn sie mich da ausschließen (Auf anfrage hieß es, dass es keinen Stichtag gibt, ab dem keine iTANbögen mehr versendet werden und das es pöapö ginge).
    Es ist doch das gleiche wie mit dem dummen EPerso. Unsichere Lesegeräte kriegt man nachgeworfen und irgendwann, in paar Jahren hat ihn eh jeder.

    Das Argument mit den lächerlichen 5stellen im Passwort und den noch lachhafteren 4 stellen PIN bei der EC-Karte wollte man nicht hören. Da wären andere für zuständig... Der Kunde trägt das Risiko.


    Ich werde um drumherum zu kommen Telefonbanking machen (Ortstarif + freundliche Ladies) und sie gern mit Aufträgen zuspammen.

    AntwortenLöschen
  27. Habe gerade mit der zentralen Hotline telefoniert, und da kam die Auskunft "man habe sich am Markt umgehört und die machen das alle zu so einem Preis", gleichzeitig blieb bei mir die Info hängen dass die anderen es auch erst einführen. Was denn nun von beidem? Oder hat man sich vorab mit anderen Insituten abgesprochen? Die Deutsche Bank wurde zB erwähnt. Finde das im nachhinein nur etwas kurios.

    Einen Einkaufspreis von 9ct pro SMS bekommt man wirklich nur hin, wenn die Münchner Sparkasse alleine einkauft (und auch nur dann ganz teuer)... aber wenn sämtliche Sparkassen gemeinsam Geräte + Infrastruktur beschaffen (wovon auszugehen ist) sind die Preise imho schon etwas merkwürdig. Selbst das TAN-Teil kostet wohl kaum 11 EUR wenn man davon hunderttausende beschafft – das nehm ich der Sparkasse nicht ab.

    Wenn das so kommt gehe ich auf jeden Fall wieder für jeden Pups in die Filiale, und werde ganz viele Menschen anstiften, es einen Monat lang auch so zu handhaben. Wir bringen dann Bier mit, damit es in der langen Schlange nicht so langweilig wird.

    AntwortenLöschen
  28. Ich bin traditionell Kunde im genossenschaftlichen Sektor und wundere mich, wie stark die Konditionen zwischen verschiedenen Anbietern differieren. Ein normales Girokonto kostet mal 10 Euro, woanders nur 3 Euro und z.B. bei den Sparda-Banken ist es kostenlos.
    Eine Filiale vor Ort finde ich sinnvoll. Beratung gibt es meiner Meinung nach aber bei keiner Bank, es geht primär ums Verkaufen. Der Vorteil der Bank steht grundsätzlich im Mittelpunkt. Für mich heißt das: Selbst informieren, ggf. bei unabhängigen Dritten. Und vor allem bei jedem Produkt nach einem alternativen Anbieter suchen, sonst hat man bei seiner Hausbank ein Tagesgeldkonto zu 0,5 % p.a. nominal.

    AntwortenLöschen
  29. Die Sparkasse Dachau ist noch frecher. Die haben mich ausgesperrt wenn ich das Ding nicht kaufe. Da kannst Du dich ohne das Ding nicht mal mehr einloggen. Die Verlangen, dass König Kunde mit dem Laserschwert vor dem Display rumhüpft und sich zum Affen macht. Ist ja schön wenn sie alles Risiko an den Kunden auslagern, weil wenn was schiefgeht bist Du ja schuld weil du ja nicht aufgepasst hast was dein Ding angezeigt hat. Ich denke da hilft nur Bank wechseln auch wenn es Arbeit macht. Vielleicht geht es ja wie bei den Krankenkassen mit Zusatzbeitrag, die machen jetzt auch eine nach der anderen Pleite. Oder hat einer von euch eine alternative von der Sparkasse gesagt bekommen? Ich jedenfalls nicht - bin halt auch nur Privatkunde mit normalem Einkommen.

    AntwortenLöschen
  30. Nicht nur die SSKM sondern auch die Postbank oder die KSK Reutlingen stellen das iTAN ein. Weil das chip oder smsTAN dagegen sicher sei. Und außerdem ist die Erde eine Scheibe. Immerhin gibt es bei beiden einen chipTAN Generator für umsonst, wenn man stark genug auf den Putz haut. Schlimmer noch sind aber AGBs, weil die Banken für das Risiko für ihre lausige online Software komplett auf die Kunden abwälzen wollen. Einen reellen Gegenwert für die Gebühren, kann ich da nicht erkennen. Immerhin hält die vielgescholtene DeuBa nichts von der Ablösung des iTAN durch chipTAN.

    AntwortenLöschen
  31. Bin ich beruhigt, dass es mehr Leute gibt die das stoert. Ich finde im WEB nur Diskussionen wie umstaendlich das alles ist aber kein Forum wo man generell die Methode in Frage stellt. Man kann doch nicht ernsthaft von mir verlangen den Rest meines Lebens so ein Geraet durch die Welt zu tragen.
    Aber 99% Der Leute scheint das nicht zu stoeren. Wisst ihr nen Blog wo man das mal an die grosse Glocke haengen kann?

    AntwortenLöschen
  32. Ich selbst arbeite in einer Bank und verkaufe Online Banking Lösungen. Wir müssen ebenfalls auf chipTAN (bzw. sm@rtTAN) und mobileTAN umstellen.

    smsTAN bzw. mobileTAN kostet ca. 8-10 ct/SMS
    chipTAN bzw. sm@rtTAN kostet einmalig ca 8-12 € (Gerät kann für alle Banken verwendet werden)
    Rückruf Überweisung durch Phishing kostet 30 - 50 €
    Zu spätes bemerken von Phishing durch Urlaub/Krankheit kostet 3000 - 5000 €
    Sicherheit kostet nun mal Geld!

    Btw: für chipTAN (HHD 1.3.2) und mobileTAN gibt es bereits Trojaner, allerdings muss der Benutzer hierbei sehr leichtgläubig sein.

    Sicherer ist: HBCI-Benutzerkennung auf USB-Stick oder Diskette (kostet zwischen 0 - 10 €)
    Oder HBCI-Chipkarte (20-40 €) + Chipkartenlesegerät (40-80€)

    Ach ja für alle die chipTAN so umständlich finden, in Luxemburg wird (soweit ich gehört habe) schon lange das chipTAN Verfahren genutzt und das schon beim Login!

    Würden Banken alles vereinfachen und die TAN ganz weglassen, würde alle schreien wo die Sicherheit bleibt.

    AntwortenLöschen
  33. Ich glaube die meisten wissen nicht, wie unsicher die SMS selbst ist, mit der man die TAN erhält. Eine SMS kann ohne größere Probleme mitgelesen werden (von JEDEM halbwegs technisch Interessierten)
    Dazu: http://chaosradio.ccc.de/cre179.html
    Wenn ich die Login-Daten habe oder durch einen Man-In-The-Middle-Angriff brauch ich nicht mal die Tel.Nr. ändern und das Opfer bekommt nichts mit.

    Und was ist mit dem Punkt Mobile-Banking? Das Transaktions-Gerät und der TAN-Empfänger dürfen nicht das selbe Gerät sein. (Laut deutschem Recht) Damit entfällt die mTAN für online Banking von Handys und SmartPhones.

    AntwortenLöschen
  34. Nun ich sehe schon, dass ihr die eigentliche Frage noch gar nicht gestellt habt. Es geht doch nicht um die 10 Euro hin oder her. Es geht darum, dass früher die Bank das Risiko getragen hat und jetzt der Kunde das Risiko trägt. Das ist eben so wie der Daniel das sagt. Aber was tut denn dann die Bank? Und warum nimmt sie für jede Überweisung Geld? Wenn ich einen Überweisungsträger in den Briefkasten schmeiße ist es doch auch nicht mein Problem wenn einer die Post fälscht.
    Die 10 Euro sind dann nur der Punkt an dem sich jeder verarscht vorkommen sollte. Aber unser Wohlstand ist offensichtlich schon soweit fortgeschritten, dass es keinen mehr juckt wer ihn gerade bescheißt.

    AntwortenLöschen
  35. Ah ich sehe einen echten Experte.
    hast du schon ein Forum gefunden wo das mit etwas mehr Engagement diskutiert wird. muss doch möglich sein die Leute im WEB wach zu rütteln.

    AntwortenLöschen
  36. Es geht nicht darum, dem Kunden das Risiko aufzubürden, sondern ihn endlich mit in die Verantwortung zu nehmen. Ich arbeite selbst bei einer Sparkasse und habe miterlebt, wie Kunden, die 20 TANs aus ihrer Liste eingegeben haben, von unserem Haftungsfonds alles erstattet bekommen haben. In einem Fall waren es 9.000 EUR. Die Leute sollen endlich mal begreifen, dass sie sich um die Sicherheit ihrer Rechner und ihres Verhaltens im Internet bewusst werden sollen. Vielleicht würden wir iTAN gar nicht erst ablösen müssen, wenn jeder die automatischen Updates aktiviert, einen ordentlichen Virenscanner sowie eine Firewall einsetzen würde. Es geht ja nicht darum, 100%-ige Sicherheit zu bieten, sondern die Schäden unter einem gewissen Niveau zu halten. Dann zahlen wir auch weiterhin gerne im Ernstfall.

    AntwortenLöschen
  37. Zum Kommentar vom 30. Mai 09:34: Lieber "Anonym", Sie scheinen für eine Bank, evtl. sogar für die Stadtsparkasse München zu arbeiten. Vielleicht prüfen Sie, ob es Ihnen nicht möglich wäre, Ihre Kommentare unter einem Klarnamen abzugeben. Das würde gegebenenfalls ein bisschen zur Transparenz der Debatte beitragen.

    In meiner Wahrnehmung dient das ganze Online-Banking ja nicht nur (ich würde sagen: noch nicht einmal hauptsächlich) dem Komfort oder der Arbeitserleichterung des Kunden, sondern vor allen Dingen der Kostensenkung und Gewinnmaximierung der Bank. In den 90ern geisterte die Zahl durch die Medien, dass eine Überweisung, am Schalter abgegeben, der Bank im Schnitt Kosten von 2,50 Euro verursacht, eine Überweisung per Internet dagegen nur 2 Pfennig. Ich habe mich damals schon gewundert, warum die Stadtsparkasse mir nicht schlicht und einfach das Equipment schenkt, um Onlinebanking zu machen - die Ersparnis hätte die Investitionen nach wenigen Monaten wett gemacht. Und auch heute: Ein Klasse-III-Lesegerät für HBCI-Chipkarten kostet, in genügenden Stückzahlen eingekauft, vielleicht noch 40 Euro. So what? Warum kriege ich das als jemand, der jedes Jahr 60 Euro Grundgebühr da lässt, nicht einfach geschenkt? Warum muss ich als Bankkunde am Geldautomaten meine Geheimnummer mit der Had abdecken, nur weil die Bank es nicht schafft, ihre Automaten manipulationssicher zu machen? Wir bezahlen die Bank dafür, dass sie unser Geld sicher aufbewahrt und es uns auf Verlangen wieder rausgibt. Warum tut sie dann nicht ihren Job?

    AntwortenLöschen
  38. Ich verstehe schon, dass sich da keiner outen will. Vermutlich dürfen sich die unteren Chargen einer Bank zu diesen Dingen gar nicht öffentlich äußern. Ich habe mich mit vielen Leuten unterhalten und ich muss mich wirklich wundern, dass niemand das als Gängelung empfindet. Aber die Mehrheit der Leute scheint mit zunehmender Begeisterung auf ihren Smartphones herumzudrücken und froh zu sein sich die Dienstleistung selbst erbringen zu dürfen. Und kein Mensch denkt darüber nach, dass das Prinzip falsch ist.Die Bank und damit auch ihre Angestellten verlieren ihre Existenzberechtigung wenn sie nur noch als Vertrieb für Versicherungen arbeiten aber nicht dem Kunden die Arbeit abnehmen. Wenn ich heute ein online Kto. eröffne schaue ich ja bereits nicht mehr wo ich das größte vertrauen haben kann, sondern eher welche Bank mich mit welchem Trick gerade bescheißen will.

    AntwortenLöschen
  39. Außerdem finde ich zur Sicherung die Methode dieser Seite genauso wirkungsvoll wir die chiptan. Die Bank könnte ja zur Bestätigung gerade mal so ein "gif Bild" mit dem Vorgang und einer iBEN also einer zweite Nummer die auf meiner TanListe steht schicken die auch ein "man in the middle" nicht so einfach erzeugen kann. Dann brauche ich keine doofen Kästchen mit mir rumtragen. Aber die Telefongesellschaften wollen ja auch etwas verdienen.

    AntwortenLöschen
  40. 9 cent für eine TAN-SMS ist eine frechheit. das argument mit "entstehenden kosten" ist doch an den haaren herbeigezogen, denn wenn man SMS gleich im tausenderpack kauft sollten die kosten für eine einzelne SMS gegen null tendieren (stichwort SMS flatrate). ich muss ja auch nicht für online-banking bezahlen bei jedem login. vielleicht ist das eine gute Idee für die banken: jede online überweisun kostet 9 cent für server-kosten (strom, hardware, internetanbindung).

    AntwortenLöschen
  41. Hallo Gemeinde,
    glücklicherweise bekam ich deise Website als Suchergebnis, da ich nach Mitteilung der Kreisparkesse München kurz vor dem explodieren stand. DER KUNDE MUSS DEN CHIPTAN_GENERATOR SELBST ZAHLEN!!. Die Bank stellt um und ich soll bezahlen? Wo samma denn? Dann erinnerte ich mich i Update vom 26.5.11 gelesen zu haben was Frau Betz zu dem Problem Kosten ausführt: Laut Vorstandsbeschluss(!) der KSK sollen zum Beispiel die Kosten dort berechnet werden wo sie entstehen. Also selten so viel gelacht. Die Bank macht eine Sicherheitsumstellung, die Kosten dei dadurch entstehen muss sie (laut Vorstandsinterpretation) selber zahlen und nicht die Gerätekosten dem Kunden (König?) aufhalsen.
    Was meint man zu dieser Betrachtujngsweise?
    einen schönen Tag noch.

    AntwortenLöschen
  42. Wir warten ja alle, dass einmal das Telefon klingelt. Die 9 Cent für die SMS ist das eine, aber die Zeit bis das Ding ankommt, und ich das bestätige, kann ich ja brav vor meiner Kiste sitzen und waren bis ich die nächste Überweisung machen darf. Welchen Stundenlohn darf ich denn da ansetzen. Sicher doch 50ct die Minute, da ich ja dann der Bänker bin.

    AntwortenLöschen
  43. Hier noch einmal der anonyme Sparkassenmitarbeiter. Ich möchte aus verständlichen Gründen meinen Namen und den Namen meines Arbeitgebers nicht nennen, nur soviel: Ich arbeite für eine Sparkasse aus NRW.

    Das Online-Banking der Sparkassen und vermutlich der meisten deutschen Kreditinstitute ist sicher, z. B. durch die 128-Bit-SSL-Verschlüsselung. Der unsichere Faktor ist der PC des Kunden und leider auch der Kunde selbst. Mit der Einführung der neuen TAN-Verfahren sorgen wir dafür, dass der Kunde mit einer Einmal-Investition von z. B. 10 EUR weiterhin darauf verzichten kann, seinen Rechner ordentlich abzusichern, z. B. durch eine Security Suite, die jährlich 25 EUR kostet (Beispiel Norton Internet Security, Testsieger bei chip.de). Klar gibt es User, die kostenlos und wirksam ihren PC selbst absichern, aber die sind nicht der Grund für die steigenden Schadenszahlen. Wir reden hier über den DAU. Der braucht den TAN-Generator, um auf seinem verseuchten Rechner auf sichere Weise Online-Banking betreiben zu können. Da sind 10 EUR bei einer geschätzten Lebensdauer des Gerätes von 5 Jahren nicht zu viel.

    Zur Dauer des SMS-Versands: Unser Provider garantiert uns einen Versand innerhalb von 10 Sekunden. Den genauen Einkaufspreis für eine SMS kenne ich, darf ihn aber hier nicht nennen. Nur soviel: 9 Cent sind nicht weit weg davon, obwohl wir über große Stückzahlen sprechen. Ist leider so. Ich würde die SMS auch lieber als Flat einkaufen und auch als solche weitergeben.

    Zu dem Vorschlag mit den Klasse-3-Lesern: Etwa 5% unserer Online-Kunden nutzen HBCI. Der Anteil der HBCI-User wäre bei kostenloser Software und Kartenleser vermutlich um ein Vielfaches höher. Allerdings wären dann auch all die dabei, die das Online-Banking nur sporadisch nutzen und auch sonst wenig mit ihrem PC zu schaffen haben. Wenn ich mir die Telefonate mit den Fragen zur Hard- und Software vorstelle und die Diskussionen zur Bepreisung von Ersatzkarten wegen vergessener HBCI-PIN, wäre es für die Sparkasse nicht mehr günstiger sondern teurer als das "Offline-Banking".

    AntwortenLöschen
  44. An die Geiz ist Geil - Community hier:

    ...und ich beschwer mich bei meinem autohersteller dass ich teures benzin, ABS und den ganzen schnickschnack kaufen muss damit sein fabrikat sicher fährt, dass soll er gefälligst selber zahlen und beim alten kaufpreis bleiben...

    AntwortenLöschen
  45. Auch die VR-Bank Nürnberg schaltet das iTAN-Verfahren am 15. November 2011 ab und berechnet beim mobileTAN für jede SMS nicht "nur" 9 Cent, sondern stolze 15 Cent. Auf meinen Einwand in Facebook, dass eine SMS bei Massenabnahme doch für max. 5 Cent zu haben sei, kam auch hier die Begründung, dass dies Premium-SMS wären die sofort dem Empfänger zugestellt würden.
    Aber warum kann die Sparkasse diese Premium-SMS dann für 9 Cent anbieten?!?

    Allerdings bietet die Bank (im Gegensatz zur Sparkasse Nürnberg) in manchen Filialen Überweisungsterminals an. Dann werde ich doch lieber diese Möglichkeit nutzen!

    AntwortenLöschen
  46. INFO:
    Hallo zusammen,
    ich benutze Postbank SMS-Tan kostenlos.
    SMS ist innerhalb von 15 sek. da.
    Kontonummer und Betrag vergleichen und eingeben.
    Ich finde es IDEAL.

    Gruß

    AntwortenLöschen
  47. Ja, auch die Saalesparkasse in Halle/Saale zwingt ihre Kunden auf SMS-Tan oder Chip-Generator umzustellen. Ersteres ist z.Zt. noch (wird auch in der Werbung ausdrücklich betont)kostenfrei und der Generator kostet ca. 12,- EUR. Auf dreimalige Nachfrage, wieso die Sicherheitskosten einfach auf den Kunden abgewälzt werden, erfolgte bis auf die Zusendung eines Werbeflyers keine Reaktion. Über eine so nette Beraterin wie o.g. Frau Betz verfügt meine Sparkasse leider nicht.

    Die Argumentation mit den DAU kann ich nachvollziehen. Ich finde hierzu, man sollte es den Kunden -meinetwegen nach schriftlich bestätigter Belehrung über die bestehenden Sicherheitsrisiken- allein überlassen, ob er an den bisherigen iTAN-Listen festhalten möchte und ihm diese auch zukünftig zur Verfügung stellen, wenn es sein ausdrücklicher Wille ist.

    AntwortenLöschen
  48. Für mich bzw. meine Frau gibt es Gründe, beide Verfahren nutzen zu wollen, erstens weil meine Frau und ich auch aus dem außereuropäischen Ausland das Online-Banking nutzen und weil ich manchmal für meine Frau das Online-Banking durchführe, aber dann ihre Karte nicht zur Hand habe.

    Hat jemand einen Schimmer, ob man für ein Konto beide Verfahren nebeneinander nutzen kann?

    AntwortenLöschen
  49. Hallo zusammen,
    also ich hab kürzlich mein Konto bei der Stadtsparkasse München nach ca. 20 Jahren als treuer Kunde gekündigt. Die 9 Cent zusätzlich zu den Kontoführungsgebühren (2,30 EUR) haben für mich nun das Fass zum Überlaufen gebracht.
    Mein Konto wurde kommentarlos gekündigt, es gab auch keinerlei Rückfragen nach dem Grund. Schätze mal, die waren sogar froh mich als Kunden los zu sein. Wahrscheinlich weil ich bisher recht beratungsresistent aufgetreten bin.
    Auf alle Fälle hab ichs bisher keineswegs bereut, kann nun überall Bargeld abheben und Kontoführungsgebähren sind auch passe.

    AntwortenLöschen
  50. Hallo nun auch noch von mir,

    Ich fand es auch nicht ok, dass ich für 15,- den Tan Generator kaufen sollte, um überhaupt weiter online Überweisungen tätigen zu können. Habe eine mail an die Sparkasse geschickt, mit der Bitte, mir das Gerät kostenlos zur Verfügung zu stellen, und der Ankündigung, ich würde sonst die Bank wechseln.
    Einen Tag später bekam ich eine freundliche mail, ob ich das Ding abholen möchte oder ob sie es zuschicken sollen - kostenlos!!! Hab es heute abgeholt und denke, man muss nur seine Wünsche klar an die richtige Adresse richten anstatt sich ewig zu beklagen.
    Übrigens bin ich KEIN Millionär, also nicht besonders attraktiver Kunde.
    Es heißt aber schließlich SPARkasse und nicht Bezahlkasse, oder?

    AntwortenLöschen
  51. Hallo zusammen,
    Finde die Geschichte auch äußerst fragwürdig. Die Sicherheit wird durch das neue Verfahrenen nicht gelöst. Das größte Risiko sitzt sowieso vor dem Bildschirm.
    Ein Kartenleser, der im Einkauf bestimmt nicht mehr als 40 cent kostet für 11 Euro an seinen KUNDEN!!! weiterzureichen ist dreist.
    Das Ding sollte es eigentlich umsonst geben.
    Servicewüste Deutschland.
    Meine Famile und ich sind (waren) von Anfang an Kunsden der SSKM. Ich alleine 35 Jahre. Habe aufgrund dieser Geschichte nun gewechselt.
    Mein Vater und Schwiegervaer übrigens auch.
    Meine Frau ist gerade dabei, und meine Mutter,
    die immerhin fast 50 Jahre lang Kunde ist, wird dann ab Februar 2012 ihre Überweisungen wieder per Schein zur Bank bringen und einwerfen. So viele sind dies in Ihrem Fall schließlich nicht.
    Finde ich im Grunde eine gute Alternativ-Lösung zum Wechsel. Sollen die SSKM Angestellten doch die Dinger wieder ausführen.
    Ich war immer sehr zufrieden mit der SSKM. Habe vor allem die vielen Automaten geschätzt.
    Dies war nun aber auch keine große Hürde mehr, da meine neue comdirect (nun komplett kostenlos) bei Cash Group ist und ich damit nun auch fast genauso viele kostenlose Automaten habe wie zuvor.
    Sehr schade das ganze...

    AntwortenLöschen
  52. Hallo, bei mir handelt es sich zwar nicht um die Münchener SK, das Problem ist aber dasselbe.
    Ich finde, es ist eine Frechheit, dass man als Kunde der einen Sparkasse für die SMS zahlen muss, während mTAN bei anderen Sparkassen kostenlos ist.
    Da man bekanntermaßen nichts einfach so geschenkt bekommt, kann es mit den Kosten für die SMS ja nicht wirklich so schlimm sein, wenn manche Sparkassen und Banken nichts dafür verlangen.

    Bei mir ist es so, dass ich mich hauptsächlich um die Online-Banking-Angelegenheiten meiner Mutter kümmere.
    Da ich aber nicht im selben Haus wohne, ist das chipTAN-Verfahren unpraktikabel, da sie dann extra dafür für mich eine zweite EC-Karte beantragen müsste, damit ich von meinem Zuhause aus den chipTAN-Generator einsetzen kann.
    Das heißt, zusätzlich zu den Kosten für den chipTAN-Generator würden noch Kosten für die neue Karte anfallen.

    Deshalb bietet sich hier das mTAN-Verfahren an, was aber die UNNÖTIGEN 9ct/sms kostet. :( :(

    Am liebsten würde ich, alleine schon aus Prinzip, ihr Konto zu einer Bank wechseln, welches seine Kunden nicht so verarscht.

    AntwortenLöschen
  53. Seit über 20 Jahren bin ich Kunde der Stadtsparkasse München. Anfangs habe ich noch alle Bankgeschäfte dort abgewickelt. Mit den Jahren ließ die Qualität deutlich nach, was mich dazu bewog, auch andere Bankinstitute zu nutzen.

    In den letzten Jahren habe ich nur noch ein Girokonto bei der SSKM unterhalten. Mit Umstellung auf neue Sicherheitsverfahren und den damit auferlegten Kosten, wechsle ich 2012 zur Kreissparkasse Augsburg. Dort ist das SMS-TAN-Verfahren KOSTENLOS. Eindeutige Aussage der Kundenberatung: Bei der KSK Augsburg werden die Kosten für Überweisungen mit SMS-TAN von der Kreissparkasse Augsburg getragen und nicht auf Kunden umgelegt.

    Nur gemeinsam können Kunden etwas bewegen. Wer den Aufwand zum Wechsel nicht scheut, sollte der Stadtsparkasse München und auch anderen Instituten, die sich mit überteuerten SMS bereichern wollen, die Stirn bieten.

    Hallo, wir bewegen uns im Sparkassen-Verbund. Viele nutzen Onlinebanking, daher mal zwei Denkansätze:

    1. Es gibt keinen Grund Preiserhöhungen von ca. 40% zu akzeptieren.

    2. Mit einem Wechsel werden preisgünstige und qualitativ gleichwertige Sparkassen unterstützt.

    AntwortenLöschen
  54. Bin bei einer anderen Bayerischen Sparkasse. Bin zur Zeit in München geschäftlich tätig und benötigte einen ChipTan Generator. Bin also zu einer Filiale der Stadtsparkasse München um mir so ein Teil zu kaufen.
    Erstmal 10 Minuten gewartet, bis die Dame kapiert hat, dass das Konto einer anderen Sparkasse ist. Dann hat Sie allen möglichen Papierkram ausgefüllt für den Erwerb dieses Geräts (ich will doch nur das gerät kaufen?!)
    Dann hat sie mir extra handschriflich nen Kaufbeleg ausgestellt und jetzt kommts:
    musste nochmal 5 Minuten warten bis die Kollegin in einem Kundengespräch nebenan fertig war, anscheinend hatte nur diese die Berechtigung, den Schrank für die Geräte zu öffnen.
    Dann tuscheln die beiden hin und her, verstehe fetzenweise "ist nicht kunde bei uns"..."geht leider nicht"...
    Dann kommt Sie wieder her und sagt sie können mir leider keines verkaufen weil ich nicht kunde bin. Ich Solle mich doch bitte an die Hauptgeschäftsstelle wenden...
    Diese Idioten haben mir 15 Minuten meines Lebens geraubt für nichts und wiedernichts.

    AntwortenLöschen
  55. Ich bin bei der KrSpk. Augsburg und war bis heute auch eigentlich ganz zufrieden.
    Habe dort ein Girokonto-Online, was mich pro Monat 2,50 € kostet bzw. wenn die Guthabengrenze erreicht ist, dann gar nichts.
    Heute mache ich den Briefkasten auf und habe ein Schreiben der Bank in den Händen, dass zukünftig der Ausdruck der Kontoauszüge am dafür vorhandenen Kontoauszugsdrucker in der Bank mit 0,20 € pro Stück!! berechnet werden müsste.
    Haben andere auch diesen netten Brief erhalten? Was sagt ihr dazu?

    AntwortenLöschen
  56. Bei meiner Sparkasse hier in der Oberpfalz genauso, ich finde es einfach nur eine verdammte Frechheit das man nur die Wahl zwischen einem Kartenleser hat der wie lange hält (vielleicht fällt ihnen jährlich was neues ein und dann braucht man einen neuen Kartenscanner) oder der SMSTan was ich für die absolute Frechheit halte das man für jede SMS noch Geld verlangen muss. Also wenn die nicht einlenken wechsle ich zu einer Bank die das kostenlos zur Verfügung stellt!

    AntwortenLöschen
  57. dass itan unsicher ist, ist schlicht falsch. das problem sitzt hier zwischen stuhl und tastatur. menschen, die zu dumm sind in der adresszeile ihres browsers kurz die url zu überprüfen bevor sie ihre daten eintippen.

    AntwortenLöschen
  58. Guten Tag,

    meine iTan wird zum 30.04.2012 deaktiviert und als ich gerade auf meinem Onlinekonto schauen wollte, da ich vor hatte etwas online zu bestellen ging nichts mehr. Die Sparkasse will mich zwingen, dass ich mich für ein Verfahren entscheide. Ansonsten kein Onlinebanking mehr möglich, obwohl die iTan noch bis 30.04.2012 nutzbar sind.... mir fehlen dazu die Worte.

    AntwortenLöschen
  59. Als Beschäftigter im EDV-Bereich möchte ich mich auch äußern, da ich häufiger mit entsprechenden Kundensystemen zu tuen habe (wir sollen sie bereinigen oder Beweise sichern) und auch Kontakt zu "Opfern" habe.
    Schön ist das einige qualifizierte und sachliche Aussagen getroffen wurden, leider beschäftigt sich der Grossteil nur oberflächlich mit dem Thema und lässt nur Dampf ab, wegen einem notwendigen Übel.
    Auf den ersten Blick kann ich den Unmut noch verstehen, dass die Banken (fast alle Bankengruppen) neue Ersatzverfahren für die TAN-Liste und indizierte TAN-Liste verpflichtend machen und der Kunde dadurch "gezwungen" ist ein Gerät zu erwerben oder aber sms zu zahlen.
    Falsch ist allerdings die Begründung, dass die Banken und Sparkassen das für ihre Sicherheit tuen. Das Problem ist NIE das Banksystem selbst, sondern immer der heimische PC oder die fehlerhafte Bedienung bzw. das Verhalten des Nutzers, der davor sitzt. Somit dient es der Sicherheit des Kunden, der vorher "Opfer" einer Manipulation wurde.
    Gepaart mit den immer professionelleren Angriffen durch Trojanische Pferde und deren Verbreitung bietet die alte TAN-Liste defacto keine ausreichende Sicherheit mehr.
    Eine Infizierung mit einem solchen Schadprogramm liegt nicht im Einflußbereich der Sparkasse/Bank, kann von dieser werder überprüft noch verhindert werden.
    Hochentwickelte Trojaner greifen in die Browserprozesse eines infizierten Rechners ein und können diverse Manipulationen vornehmen, die definitiv zum Teil nicht zu erkennen sind bei Verwendung von TAN-Listen.
    1. Aufforderung eine best. TAN nach dem Login einzugeben, angeblich zur Sicherheitsüberprüfung, zur Freischaltung des "neuen" Bankings, zur Entsperrung oder div. andere Begründungen. Im Hintergrund wird vom Trojaner eine komplette Überweisung abgesendet, das Banksystem fordert für die Zahlung eine TAN an, diese wird vom Trojaner mit der o.g. Begründung abgefragt. bei Eingabe wird die Überweisung ausgeführt.
    2. Der Trojaner manipuliert eine tatsächlich erfasste Zahlung, ändert Betrag, Konto-Nr., BLZ und eventuell auch den Verwendungszweck in Echtzeit ab und sendet die so manipulierte Zahlung zur Bank. Der Bankrechner bekommt den geänderten Auftrag, fordert eine (best.) TAN aus der Liste an und nicht die ürsprünglich gewünschte Überweisung, sondern die Manipulierte wird gebucht.
    3. Der Trojaner fordert nach dem Login mit div. Begründungen die Eingabe von 10-100 TANs an, je mehr TANs er erbeutet um so höher ist die Wahrscheinlichkeit, dass der Betrüger anschliessend die gewünschte Transaktion ausführen kann. Per Internetverbindung bekommt er Anmeldename/Kontonummer + PIN(Mitschneiden des Logins) + die 10-100 TANs (wenn welche eingegeben werden) vom Trojaner übermittelt.
    4. Sie werden aufgefordert eine "Testüberweisung" zu machen, die der Sicherheit dient und natürlich nicht wirklich gebucht wird ;) Hierfür wird wieder eine TAN angefordert. (Diese Masche gibt es auch bei chipTAn und smsTAN)


    Bei sms und Generator kann ich als Kunde zumindest diese Manipulationen bemerken, da ich immer zur Kontrolle Betrag und Kontonummer des Empfängers prüfen muss. Zeigt die sms oder der Generator "BETRAG" und "Kontonummer" geändert an - ist ein Trojaner am Werk! Schreibt der Generator "Betrag" u. "Kontonummer", so ist dies auch eine tatsächliche Übertragung in dieser Höhe und keine vermeindliche Testüberweisung.

    Schlussfolgerung:
    Das Abschalten der TAN-Liste ist aus Sicherheitsgründen nur die logische Konsequenz. Ich gehe sogar soweit, dass das Festhalten an dem Verfahren fahrlässig wäre, bzw. ist bei den Banken, die nicht handeln.

    AntwortenLöschen
  60. Teil 2:
    Kosten:
    I. d. R. entscheidet jede Bank, jede Volksbank, jede Sparkasse für sich, welche Kosten an den Kunden weitergegeben werden - Fakt ist, dass Kosten entstehen.

    Im Falle eines Schadens sind die Reaktionen der Banken nach meinen Erfahrungen sehr unterschiedlich. Bei Einigen gibt es eine Art Versicherung, die Schäden fast immer übernimmt, obwohl das Problem beim Kunden lag (PC oder Verhalten).
    Hier kenne ich konkrete Fälle von Sparkassen und Volksbanken.

    Einige Banken weisen die Ansprüche aber auch zurück, da die Bank nichts für die Unsicherheit "zu Hause" beim Kunden oder sein fahrlässiges, vielleicht schon "dummes" Verhalten kann (z.B. 100 TAN-Nummern einzutippen).

    Ein Generator kostet bei meiner Sparkasse 10 Euro (soll für ca. 5000 TANs halten), smsTAN hat 5 Frei-sms pro Monat, danach 0,10 €. Defekte Geräte werden kulant ausgetauscht, Batterien kann man bei den meisten Herstellern selbst wechseln.
    Im Einkauf werden sicherlich günstigere Preise erzielt, sodass Frei-Posten und Ersatzgeräte mitfinanziert sind, wahrscheinlich auch etwas an Überschuß bleibt - nur Vermutung.
    Meinen "Kunden" wurde bisher bei der Sparkasse immer sehr professionell und schnell geholfen, selbst bei Eigenverschulden wurde alles getan, um das Geld noch zurückzuerlangen oder es wurde im schlimmsten Fall von der Versicherung der Bank erstattet. Über die VB höre ich fast immer ähnliche Rückmeldungen, bis auf einen konkreten Fall.

    Wichtigste Verhaltensweise aus meiner Sicht - die angezeigten Werte (Konto-Nr. + Betrag) auch wirklich L E S E N und P R Ü F E N!

    AntwortenLöschen
  61. @foobarbazi
    "dass itan unsicher ist, ist schlicht falsch."

    Diese Aussage ist leider in der Tat schlicht falsch von Ihnen!

    Ihre Hinweis auf die korrekte Url verhindert Manipulationen durch Trojanische Pferde keineswegs, auch wenn Sie sich auf der 100%ig richtigen Adresse der Bank befinden, greift ein solcher Schädling auf Ihrem PC unter Umständen in die Überweisungsprozesse ein. Eine falsche url würde nur auf eine betrügerische, nachgemachte Bankseite hinweisen, was aktuell kaum noch vorkommt, Trojaner erweisen sich offensichtlich als effektiver ;)

    AntwortenLöschen
  62. *Achtung Ironie;) *
    Ich lass mir in mein Auto zusätzliche Air-Bags Einbauen, der Hersteller meines Wagens soll natürlich bezahlen.

    Ich bau mir in meinen Wagen (uralt) aus Sicherheitsgründen nachträglich Sicherheitsgurte ein, weil dies inzwischen auch Pflicht ist. So eine Frechheit vom Staat, dass er mich dazu verpflichtet und ich das auch noch bezahlen soll!
    *Ende Ironie*

    Erkundigt euch doch bitte richtig, was sämtliche Experten zur Sicherheit der TAN-Liste sagen - die Sicherheit ist leider nicht mehr gegeben.
    Dies haben sich nicht die Banken ausgedacht, um Geld zu scheffeln, sondern ist nur eine Reaktion auf die notwendigen erhöhten Sicherheitsmaßnahmen. Bedanken können wir uns höchstens bei den Kriminellen, die solche Trojaner usw. entwickelt haben.
    Die Schwachstelle liegt nicht in oder an der Bank, sondern euer Rechner bzw. der User ist das Problem, Banken die nichts machen sind viel schlimmer.
    Die Nutzer sind für die Sicherheit Ihres PC´s zuständig, nicht die Bank - wessen Geld ist es denn, was im Ernstfall weg ist? Ob die Bank zusätzlich Gewinn damit machen muss, dass steht auf einem anderen Blatt...

    AntwortenLöschen
    Antworten
    1. Hallo KopfTischKopf, ich muss Ihnen in Ihrer Argumentation widersprechen. Ich bezahle meine Bank (konkret: Die Stadtsparkasse München) zweifach dafür, dass sie mein Geld sicher aufbewahrt und es mir jederzeit auf Wunsch wieder aushändigt, nämlich erstens über eine Kontoführungsgebühr und zweitens über den Verzicht auf Zinseinnahmen (Die Bank kann mit meinem Geld Zinsen erzielen, die sie mir aber nicht weitergibt. Wenn sie mir Geld leiht, verlangt sie von mir höhere Zinsen als sie selbst bezahlt). Ich erwarte von meiner Bank für das Geld, das ich ihr bezahle, dass sie einerseits mein Geld vor unbefugtem Zugriff schützt und andererseits für den Schaden haftet, wenn es dennoch passiert. Es war nicht meine Idee, das PIN-TAN-Verfahren durch eine andere Technik zu ersetzen, offenbar will die Bank ihr Risiko dadurch minimieren - merke: Ihr Risiko, nicht mein Risiko. Das ist für mich okay, so lange es für mich nicht entweder mit unzumutbaren Einschränkungen verbunden ist (Retina-Scan vor jedem Überweisungsauftrag, nicht mehr als 15 Euro pro Tag online überweisen) oder mich mehr Geld kostet. Die Stadtsparkasse ist ohnehin im Konkurrenzumfeld schon recht teuer. Sie sollte nicht noch teurer werden.

      Löschen
    2. Ok - dann überlegen wir mal weiter:

      Wo besteht das Sicherheitsproblem? Bank <-oder-> Kunde? Wer ist für diese Sicherheit zuständig - wer KANN überhaupt etwas daran ändern?

      Ich bezahle eine Hausratversicherung, also bin ich versichert - mir kann nichts passieren und wenn, dann ist die Versicherung schuld und soll zahlen.
      Lasse ich die Türen und Fenster offen, lege den Schlüssel vor die Tür oder schreibe in grossen blinkenden Buchstaben, dass ich gerade nicht zu hause bin und es kommt, wie es kommen muss - Geld und Fernseher sind weg...
      Wer zahlt wohl den Schaden und müsste ihn nach "normalem" Menschenverstand tragen?
      Hier sind die mangelnden Sicherheitsvorkehrungen/Probleme auf dem eigenen PC - im übertragenen Sinn gemeint.
      Habe ich aber ein vernünftiges Schloss und nicht fahrlässig gehandelt, wird die Versicherung zahlen.
      Das Schloss musste ICH dennoch kaufen...

      Mit den aktuellen Verfahren werden die Banken im schlimmsten Fall zahlen, ließe man mir die Wahl und ich entscheide mich wirklich dafür bei der TAN-Liste zu bleiben, habe ich damit wohl auch die Haftung übernommen.

      Es war auch nicht die Idee der Banken das TAN-Listen-Verfahren mit Trojanern, Phishing und Malware zu durchlöchern und damit zu unsicher werden zu lassen.

      Löschen
  63. Danke für´s nicht veröffentlichen der Antwort :/
    Entsprach wohl nicht der erhofften und offenbar hier nur gewünschten Richtung, ich mecker lieber über die blöden Banken und wenn jemand was anderes sagt und das auch noch vernünftig begründen kann, dann lässt man es besser unter den Tisch fallen.
    Keine Reaktion auf die Argumente, dass die TAN-Liste nun mal "tot" ist weil unsicher - und kein Verständnis dafür, dass das Riskio bei uns Kunden entsteht und im Grunde damit auch liegt - bislang zahlen die Banken auch bei grober Dummheit fast Alles, um keinen Imageschaden zu bekommen und nicht weil sie es müssten.
    Viel Spass noch bei der einseitigen Betrachtung und dem reinen Jammerblog - schade hab gehofft hier gibt es eine vernünftige Argumentation zu dem Thema.

    AntwortenLöschen
    Antworten
    1. Deine Antwort wurde doch veröffentlicht (inkl. Gegenantwort zu deiner Antwort). Wo ist also das Problem?

      Löschen
  64. Ein Wort zu der Kommentarfunktion: Solange niemand einen Kommentar schreibt, der die Grenzen der freien Meinungsäußerung, Sitte & Anstand etc. verletzt, sehe ich keinen Grund, von einer Veröffentlichung dieses Kommentars abzusehen. Bislang hat dieser Artikel 66 Kommentare (ein absolutes Novum in diesem Blog) - und ich habe jeden veröffentlicht, der reingekommen ist. Allerdings gibt es ein technisches Detail zu beachten: Die Software hinter diesem Blog ist so eingestellt, dass sie 14 Tage nach Erstellung eines Artikels jeden Kommentar automatisch veröffentlicht, danach muss der Blog-Betreiber (also ich) jeden weiteren Kommentar manuell freischalten. Den Artikel über die Probleme mit SMS- und CHIP-TAN habe ich vor zehn Monaten geschrieben, und immer wieder kommt ein Kommentar, manchmal drei Wochen nicht, dann drei an einem Tag. Da ich außer der Moderation meines Blogs auch noch andere Sachen mache, bitte ich um Verständnis dafür, dass es manchmal zu Verzögerungen bei der Veröffentlichung von Kommentaren kommt. Obwohl ich über das rege Interesse an dem Thema sehr erfreut bin, hatte ich mit einer solch langanhaltenden Resonanz nicht gerechnet. Wenn es einmal eine Zeit dauert, bis ich einen Kommentar veröffentliche, dann steckt kein böser Wille dahinter.

    AntwortenLöschen
  65. Zunächst meine ehrlich gemeinte Entschuldigung, dass ich doch zu voreilig war, nachdem der Kommentar 2 Tage lang noch nicht zu lesen war, dachte ich wohl: "Wieder ein Blog wo es einseitg zugeht und Gegenmeinungen unterschlagen werden" - Sorry dafür.
    Zuvor ging dass mit den Kommentaren sehr flott, da hab ich die falsche Schlußfolgerung gezogen :(

    AntwortenLöschen
  66. An der ganzen Situation hat sich ja mittlerweile auch einiges geändert. Besser spät, als nie.

    AntwortenLöschen