Grafik Blue Coat Photos, thx! (CC BY 2.0)
Kommentare zu folgendem Beitrag: Online-Banking - aber sicher! Was muss man beachten?
Online-Banking: Eigentlich müsste für alle Banken die Sicherheit ihrer Kunden am wichtigsten sein. Geht das mit einer PIN mit fünf Zeichen?
Kommentar von Cheesy am 20.08.2015 18:43:
Tach Post.
Genau die gleiche Frage (Passwort 6 Buchstaben) habe ich meiner Bank auch gestellt bzw. es mal weitergegeben das man hier doch etwas „anpassen“ könnte. Bisher null erfolg! 
Die fühlen sich alle sooooo sicher… ^^
Kommentar von Hardy am 20.08.2015 19:23:
Nein, ein Senior sollte natürlich kein Online Banking machen dürfen. Ein Universitätsabschluß mit Prädikat und ein Alter zwischen 25 und 55 sind absolute Grundvoraussetzungen, um Online Banking machen zu dürfen. Wer älter als 55 ist, leidet mit hoher Wahrscheinlichkeit an Alzheimer und sollte eh ins Altenheim abgeschoben werden. Natürlich ohne Internet Zugang.
Kommentar von Haar am 20.08.2015 19:31:
Ich bin ebenfalls Kunde bei der Sparkasse. Wegen dem Zwang ein Paßwort zu wählen das fünf Zeichen nicht überschreitet und wegen der nicht vorhandenen Zwei-Faktor-Authentifizierung habe ich die Sparkasse in den letzten zwei Jahren mehrmals kontaktiert. Die Antworten waren immer dieselben: „Wir leiten ihr Anliegen an die entsprechende Abteilung weiter…“ An der Hotline wurde ich zur Technik und an die IT-„Spezialisten“ weitergeleitet. Dort wurde mir versichert, daß ein fünfstelliges Paßwort, bestehend aus Buchstaben und Zahlen sicher ist - insofern ich Groß- und Kleinbuchstaben verwende. Bei anderen Instituten sieht es ähnlich düster aus.
Wenn jemand ein schwaches Paßwort verwenden möchte, ok. Aber man sollte den Kunden die Möglichkeit lassen, ein zwanzigstelliges Paßwort, bestehend aus Buchstaben, Zahlen UND Sonderzeichen zu wählen. Ebenso sollte auf Wunsch eine Zwei-Faktor-Authentifizierung genutzt werden können. Die Option seinen PGP-Schlüssel zu hinterlegen, um E-Mails der Bank verschlüsselt zu empfangen, wäre ein netter Bonus. Wer das alles nicht möchte, der wählt die entsprechenden Optionen einfach nicht aus. Aber von Seiten der Bank ein unsicheres Konto zu erzwingen ist bitter.
Die Institute sollten sich vllt. mal ein Besispiel an der Bitcoin.de Börse nehmen. Dort läuft es absolut vorbildlich. Sichere Paßwörter, diverse Möglichkeiten zur Zwei-Faktor-Authentifizierung, E-Mail Verkehr auf Wunsch per PGP.
Kommentar von Lars Sobiraj am 21.08.2015 05:47:
Es gibt auch viele Silver Surfer, die mehr Ahnung haben als die heutige Jugend. Es ist schon richtig, dass man das nicht so pauschal sagen darf. Dafür ist das Institut ja da. Damit man keine Ahnung haben muss und ist trotzdem gut vor möglichem Misbrauch geschützt.
Kommentar von Marcel am 21.08.2015 06:43:
Da bin ich ganz deiner Meinung! Bitcoin geht mit gutem Vorbild voran und zeigt, wie Online Banking sicher gestaltet werden kann. Leider bezweifle ich jedoch, dass die großen Kreditinstitute das umsetzen können - die Bitcoin-Menschen kommen aus der IT-Welt, die Bankmitarbeiter aus der Finanz- und Bürokratiewelt. Das Passwort sollte so groß wie nur möglich sein - welche Sicherheit man dann wählt, ist einem selbst überlassen. Jedoch sollte eine Mindestlänge von acht Zeichen Voraussetzung sein, verbunden mit Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen.
Kommentar von Heinz-Ruediger.Kowaltkowski@web.de am 21.08.2015 09:07:
wenn ich den Text richtig verstanden habe, war die Vermutung auf den
»Anwender[n], die scheinbar zu großen Teilen aus Senioren bestehen«, aber die Unterstellung auf
»[…] der gerade mal Solitaire spielen kann […]«und im Vergleiche dazu wäre vielleicht der Ausländer, der mithilfe des Wörterbuches seine ersten grammatikfreien Sätze zusammenstoppelt (oder, wenn Sie auf das Alter abstellen wollen, der muttersprachliche Erstkläßler, der seine ersten Leseübungen anstellt) mit Goethe, Walser, Handtke schlicht überfordert.
Kommentar von Maximilian Golla am 21.08.2015 10:33:
Passwortwiederherstellung ist viel zu teuer. Die Bank handelt ausschließlich aus monetären Beweggründen, gäb es genügend Missbrauch (den Ihre Versicherung nicht abdeckt) würden die Banken ihr Verhalten ändern.
Schalter sind viel zu teuer, daher müssen auch Senioren Onlinebanking nutzen ob Sie nun wollen oder nicht.
Überlegt euch bitte mal wie man Onlinebanking auch für das weniger technischversierte Volk sicher nutzbar machen kann!
Denn ein Sicherheitsproblem gibt es derzeit nicht und wenn dann wird es organisatorisch gelöst (Versicherung). Ein Benutzungsproblem für nicht Nerds gibt es jedoch, gerade Phishing betreffend (da gabs ja schon eine Loesung von euch).
Wer rastet der rostet, das werden die altbackenen Banken auch irgendwann merken, wenn moderne (nur) Online Banken ihnen den kleinen Mann wegschnappen, weil sie Pushnotifications, 2Factor und ne geile iPhone App haben.
Kommentar von michel am 21.08.2015 23:01:
Wer online banking übern browser, am besten noch dazu unter windoof betreibt, handelt eh fahrlässig und muss entweder keinen Plan und/oder grenzdebil sein.
Dazu am besten noch vom smartphone/tablet aus…
Wieso die Banken das machen?
Um eine bessere Verteidigung in Missbrauchsfällen gestalten zu können natürlich. der Kunde ist halt erstmal schuld und muss seine Unschuld beweisen.
Banken sind die größten und kriminellsten Verbrecher auf Erden, neben den Politkhuren die das Ganze erst ermöglichen!!!
Kommentar von Hartmut am 22.08.2015 09:35:
Also bei der SANTANDER sind es 11 Zeichen fürs PIN/TAN-Online-Banking. Allerdings auch nur Zahlen und Buchstaben.
Man kann ja auch Chipkarten-Banking nutzen oder Telefon-Banking.
Wer PIN/TAN nutzt sollte halt eben darauf achten, ab und an auch sein PW zu ändern.
Bei der Santander beschreibt man meines Erachtens nach recht übersichtlich, welche Möglichkeiten man hat, auf welche Dinge zu achten ist und was man im „Notfall“ zu machen hat.
Die Fehlerquelle ist nicht immer die Technik sondern schlicht und ergreifend der Mensch. Und da es recht faule und bequeme gibt, müssen diese auch in Kauf nehmen, ggf. aus ihrer Komfortzone gejagt zu werden und dafür zu bezahlen. (Zumindest ordentlich ins Laufen zu kommen) 
Ich kenne Leute, die bei irgendeinem 0815-Forum häufiger ihr PW ändern, als ihre Unterwäsche. Gehts aber um Konten bei Handelplattformen, Mailadresse oder auch Banking, werden diese einmalig erstellt und nie wieder geändert.(kopfschüttel)
Kommentar von deucoba am 22.08.2015 19:13:
Der Artikel stellt die Problematik aus dem Blickwinkel der IT-Sicherheit da. Aus dieser Perspektive machen die vorgebrachten Argumente durchaus Sinn. Diese Sicht ist aber für die Finanzdienstleister vollkommen irrelevant. Dort wird das Thema nämlich des Risikos betrachtet. Hier wird abegewägt wie hoch die Kosten sein dürfen, um bei entsprechender Eintrittswahrscheinlichkeit Schaden von der Bank bzw. Gesellschaft abzuwenden. Ergo wird mit großen Haubitze auf die „russische einfachen“ 70% geschossen, weitere 10% durch Versicherung abgedeckt und gut ist.
Abgesehen davon läßt sich mit PBC ohnehin kaum Geld im Sinne der Jahresbilanz erzielen. Ein guter Tag im FX Transaction Banking macht bei beiden deutschen Großbanken den Jahresgewinn ihrer Privatkundensparte aus. Nur damit mal die Relationen klar sind, denn natürlich gibt weitere Punkte die für PBC sprechen und sei es nur die Komplementärfunktion.
Nächster Punkt ist, daß alle Player am Markt derzeit voll und ganz damit beschäftigt sind, die Umwälzungen der letzten Jahre in ihren IT Organisationen umzusetzen. Die Regulatoren haben aber aus gutem Grund nicht die Endkunden im Blick sondern versuchen ihre jeweiligen politisch geprögten Programme durchzusetzen. Daneben sind alle Großen dabei eine gewisse Neuausrichtung zu fahren.
Im Endeffekt liegt die Schwachstelle und damit das Risiko ohnehin bei Kunden, wer nicht auf seine Daten achtgibt ist zunächst einmal selbst verantwortlich. Damit rollt der Ball in Richtung Verbraucher und Verbraucherschutz. Der guten Isle Aigner lag 2010 ein recht ausführliches Dokument zu diesem Themenkomplex vor - es wurde einkassiert und seit dem ist das Thema auch nicht mehr auf der Tagesordnung erschienen.
Natürlich hat das Verständnis und die Vertrautheit der Mehrheit der Kunden mit IT an sich und IT Sicherheit und Schutz eigener Daten einen entscheidenden Einfluß auf die Gesamtlage. Leider gilt da: Lummerland ist abgebrannt. Daran würden 20stellige Passwörter auch nicht viel ändern.
Bleiben noch die lustigen IT Dienstleister die gerade für die angesprochenen Sparkassen, bei den Raffeisenbanken sieht es ähnlich, seit Jahren aus diversen Gründen hauptsächlich Pfusch erzeugen. Die verdienen sich auch ohne das Passwortgeblöcke eine goldene Nase und ich zweifle ernsthaft daran, daß die Jungs es mit ihrem beschränkten Horizont überhaupt überreissen.
Jetzt noch eine Frage: Was soll denn die Phishing Lösung sein? Hat jemand etwas wirklich Gutes erfunden und ich habe es nicht mitbekommen oder handelt es sich nur ein Annäherung oder Nachbearbeitung?
Achja, mit Wegschnappen der Kunden ist das so eine Sache, denn auch die reinen Onlineanbieter müssen für das Transaction-Handling bezahlen und das ist zum Großteil in der Hand von ein bis drei Global Playern. Da reicht es vollkommen aus an der vierten oder fünften Stelle hinter dem Komma zu justieren.
Kommentar von deucoba am 22.08.2015 19:23:
Der Artikel stellt die Problematik aus dem Blickwinkel der IT-Sicherheit da. Aus dieser Perspektive machen die vorgebrachten Argumente durchaus Sinn. Diese Sicht ist aber für die Finanzdienstleister vollkommen irrelevant. Dort wird das Thema nämlich aus der des Risikos betrachtet. Hier wird abgewägt wie hoch die Kosten sein dürfen, um bei entsprechender Eintrittswahrscheinlichkeit Schaden von der Bank bzw. Gesellschaft abzuwenden. Ergo wird mit großen Haubitzen auf die „russische einfachen“ 70% geschossen, weitere 10% durch Versicherung abgedeckt und gut ist.
Abgesehen davon läßt sich mit PBC ohnehin kaum Geld im Sinne der Jahresbilanz erzielen. Ein guter Tag im FX Transaction Banking macht bei beiden deutschen Großbanken den Jahresgewinn ihrer Privatkundensparte aus. Nur damit mal die Relationen klar sind, denn natürlich gibt weitere Punkte die für PBC sprechen und sei es nur die Komplementärfunktion.
Nächster Punkt ist, daß alle Player am Markt derzeit voll und ganz damit beschäftigt sind, die Umwälzungen der letzten Jahre in ihren IT Organisationen umzusetzen. Die Regulatoren haben aber aus gutem Grund nicht die Endkunden im Blick, sondern versuchen ihre jeweiligen politisch geprägten Programme durchzusetzen. Daneben sind alle Großen dabei eine gewisse Neuausrichtung zu fahren.
Im Endeffekt liegt die Schwachstelle und damit das Risiko ohnehin beim Kunden. Wer nicht auf seine Daten achtgibt ist zunächst einmal selbst verantwortlich. Damit rollt der Ball in Richtung Verbraucher und Verbraucherschutz. Der guten Ilsee Aigner lag bereits 2010 ein recht ausführliches Dokument zu diesem Themenkomplex vor - es wurde einkassiert und seitdem ist das Thema auch nicht mehr auf der Tagesordnung erschienen.
Natürlich hat das Verständnis und die Vertrautheit der Mehrheit der Kunden mit IT an sich und IT Sicherheit und Schutz eigener Daten einen entscheidenden Einfluß auf die Gesamtlage. Leider gilt da: Lummerland ist abgebrannt. Daran würden 20stellige Passwörter auch nicht viel ändern.
Bleiben noch die lustigen IT Dienstleister, die gerade für die angesprochenen Sparkassen, bei den Raffeisenbanken sieht es ähnlich, seit Jahren aus diversen Gründen hauptsächlich Pfusch erzeugen. Die verdienen sich auch ohne das Passwortgeblöcke eine goldene Nase und ich zweifle ernsthaft daran, daß die Jungs es mit ihrem beschränkten Horizont überhaupt überreissen.
Jetzt noch eine Frage: Was soll denn die Phishing Lösung sein? Hat jemand etwas wirklich Gutes erfunden und ich habe es nicht mitbekommen oder handelt es sich nur ein Annäherung oder Nachbearbeitung?
Achja, mit Wegschnappen der Kunden ist das so eine Sache, denn auch die reinen Onlineanbieter müssen für das Transaction-Handling bezahlen und das ist zum Großteil in der Hand von ein bis drei Global Playern. Da reicht es vollkommen aus an der vierten oder fünften Stelle hinter dem Komma zu justieren.
Last but not least: Wer einmal richtig gute Sicherheit sehen will, der sollte sich die Zürcher Kantonalbank anschauen. Dort läuft alles über Karten. Wenn der Millionär aus Meerbusch etwas braucht ruft er seinen Kundenberater 24/7 an oder falls er diesen außer vor lassen will erhält per Express (max. 6 Std.) Kurier Einmal-Chipkarte mit Einmal-Lesegerät. Das wird eigentlich nur noch durch die AWM Dienstleister in Monte Carlo überboten, da kann man dann auch Steuern vermeiden, denn es gibt keine elektronische Spur.
Kommentar von Wuffel Knurr Wau Wau Lach am 23.08.2015 10:21:
Das wird eigentlich nur noch durch die AWM Dienstleister in Monte Carlo überboten, da kann man dann auch Steuern vermeiden, denn es gibt keine elektronische Spur.
Böser deucoba, Aufruf zum Rechtsbruch und das von Dir?
Ist aber vermutlich nur halb so schlimm eine halbe Million am Fiskus vorbei zu verschieben als sich ein Bild aus dem Internet zu ziehen und dieses im nächsten Copyshop ausdrucken zu lassen.
Letzteres stärkt, wenn auch unwesentlich, sogar noch die lokale Wirtschaft.
Nein immer diese Doppelmoral. Ich werde für dein Seelenheil beten.
Kommentar von Wuffel Knurr Wau Wau Lach am 23.08.2015 10:23:
Für meins natürlich auch ):-D.
Kommentar von Sparkassenkunde am 23.08.2015 13:03:
Jeder kann bei der Sparkasse (oder fast jeder anderen Bank) Chipkartenleser bekommen.
Der billige für 25 € wird vor denn Monitor gehalten und generiert einen Einmalcode welcher dann eingegeben werden muß (geht auch mit Maus um Keylockern vorzubeugen). Vorher ist eine Anmeldung mit dem Password (welches wirklich nicht der Renner ist) erforderlich. Es ist aber möglich dieses Password regelmäßig zu ändern. Bei den Besseren (ab 90 €) erledigt das Kartenlesegerät ab einschieben der Karte und OK drücken alles selber. Die Eingabe des Passwords erfolgt mit der Tastatur des Kartenlesers und aus dieser Eingabe und dem Chip der Karte wird ein Wert erzeugt welcher dann über die Bankingsoftware an das Kreditinstitut übertragen wird. Das Password ist also zu keinem Zeitpunkt für Dritte verfügbar (so zumindest die Theorie) und könnte rein theoretisch auch 123456 (sehr dumm) sein. Diese Geräte sind versiegelt (ist zumindest bei mir so) um Manipulationen vorzubeugen.
Es gibt also eine allgemeinverfügbare Zweifaktorautentifizierung.
Das ganze mit einer Bankingsoftware kombiniert (noch mal Extrapassword diesmal beliebig lang und mit Sonderzeichen wählbar) bietet ein recht hohes Maß an Sicherheit, insofern man bei der Bank schriftlich fixiert hat das Onlinebanking per Browser nicht zulässig ist. Zusätzlich werden die Daten verschlüsselt übertragen und sollte die Bankingsoftware keine Verbindung zu den Servern der Institute bekommen (Phishing) wird die Verbindung abgebrochen. Ich vermute mal das es da spezielle Zertifikationsserver gibt.
Es ist unabhängig von dem oben geschriebenen IMMER sinnvoll aller paar Tage auf seinen Kontostand zu schauen. Zusätzlich kann man Limits einrichten wie viel abgebucht werden darf. Hat man sehr große Summen ist es auf jeden Fall sinnvoll speziell reglementierte Konten zu nutzen. So ist es kein Problem bei der Sparkasse, wie bei jeder anderen Bank auch, festzulegen das zum Beispiel nur auf ein spezielles anderes Konto überwiesen werden kann. Aktuell geht der Trend eher dahin, das die mit Geld, 500 € und 1000 Frankenscheine zu Hause horten. Das birgt wieder ganz andere Risiken.
Per Mobiltelefon ist eine Überweisung nicht zu empfehlen. Ich sage nur die aktuellen Lücken bei Android und die Tests der letzten Zeit, das ALLE BankingApps unsicher sind und dies unabhängig vom gewählten Betriebssystem.
Interessierte Stellen können immer Zugriff auf die Kontodaten bekommen. Im Regelfall unterschreibt man in DE bei Kontoeröffnung das man einverstanden ist das man überwacht wird (Schufa und Co). Staatliche Stellen können immer auf alle verfügbaren Daten zugreifen (Steuer).
Absolute Sicherheit gibt es nicht.
Kommentar von Nora am 23.08.2015 20:33:
Zitat: Jeder kann bei der Sparkasse (oder fast jeder anderen Bank) Chipkartenleser bekommen. […] Es gibt also eine allgemeinverfügbare Zweifaktorautentifizierung.
Das ist richtig. Benutze ich auch. Diese 2FA dient aber leider nicht zum Login an sich, sondern - wie Du bereits geschrieben hast - für den Überweisungsprozess.
Die Möglichkeit ein sicheres Passwort zu wählen und 2FA auch für den Login, sollte bei Onlinebanking Standard sein - seit Jahren.
Kommentar von deucoba am 23.08.2015 22:17:
Ich danke. Ansonsten: touché.
Ich ging allerdings davon aus, daß hier niemand mitliest der sich exklusives Banking leisten kann. Ich verstecke mich also hinter der Verhältnis der Umsetzungswahrscheinlichkeit beider Anleitungen. Da fällt mir auf, daß ich ja gar nicht geschildert habe wie das tatsächlich funktioniert, sondern nur darauf hingewiesen, daß es ohne elektronische Spur sehr schwer bis unmöglich für den Fiskus wird.
Kommentar von Wuffel Knurr Wau Wau Lach am 24.08.2015 09:30:
Coole Reaktion :-).
In dem Sinne eine schöne Woche.
