Online-Banking – aber sicher!

Grafik: Perspecsys Photos, thx! (CC BY 2.0)

Online-Banking ist nie ungefährlich. Bild: Perspecsys Photos, thx! (CC BY-SA 2.0)

Die Sicherheit beim Online-Banking ist wahrscheinlich eine der wichtigsten Maßnahmen im Internet überhaupt. Eigentlich müsste für alle Banken die Sicherheit ihrer Kunden die höchste Priorität haben. Tja, eigentlich. Wir haben einmal beim Deutschen Sparkassen- und Giroverband e.V. in Berlin nachgefragt, wie es bei maximal fünf Zeichen für die PIN um die Sicherheit ihrer Kunden steht. Ein Gastbeitrag von Marcel aka Leibi133.

Wer mittels der PIN einmal Zugang zum Account hat, kann mindestens alle Umsätze einsehen, ein Profil der Person erstellen und ganz genau wissen, wann sie wie liquide ist. Kriminelle könnten darüber hinaus erfahren ob und wann es sich lohnt, eine Person zu überfallen oder sich das Geld anzueignen. Wer den Zugang zum Online-Banking knacken konnte, weiß, wo die entsprechende Person gerne einkauft, wofür sie sich interessiert und den Staat oder Ehepartner betrügt. Aus diesem Grund hat der Schutz dieser Daten höchste Priorität. Die Umsetzung der Sicherheitsmaßnahmen ist für die Banken genauso wichtig. Wird bei Kunden in ihr Benutzerkonto eingebrochen und entsteht dadurch sogar Schaden, wirft das ein schlechtes Licht auf die Organisation – das Vertrauen ist zerstört. Darum versuchen die Banken diese Gefahr so gut wie möglich zu verbannen. Was mich bei meinen Recherchen stutzig machte: Bei meinem Geldinstitut, der Sparkasse, kann man nur ein Passwort bestehend aus maximal fünf Zeichen verwenden (Stand August 2015).


Laut dem Pressesprecher des Deutschen Sparkassen- und Giroverbandes e.V. in Berlin, Alexander von Schmettow, wurden diverse Sicherheitsmaßnahmen implementiert, die solch ein kurzes Passwort angeblich als „ausreichend sicher“ einstufen. Seine Antwort auf unsere Anfrage im O.-Ton:

Die Internet Filiale der Sparkassen-Finanzgruppe stellt aktuell einen Zeichenvorrat  von 62 alphanumerischen und 7 Sonderzeichen zur Verfügung. Legt man die aktuelle Passwortlänge von 5 Zeichen zugrunde, so sind mit diesem Zeichenvorrat rund 1,56 Mrd. Kombinationen an Passwörtern möglich.

Neben dem großem Zeichenvorrat werden weitere Sicherheitsmaßnahmen implementiert, beispielsweise

– wird bei dreimaliger Fehleingabe der Zugriff auf das Konto gesperrt
– werden einfach zu erratende Passwörter (wie beispielsweise 11111, 12345, abcde etc.) systemseitig nicht zugelassen
– werden Anwendern Tipps zur Erstellung eines Passwortes gegeben (Kombination aus Groß- und Kleinbuchstaben, Kombination aus Buchstaben und Ziffern etc.).

Damit ist die Wahrscheinlichkeit, einen „6-er im Lotto“ zu haben über 100-mal größer als mittels Brute-Force-Angriff (systematisches Passwort erraten) ein Passwort im Online-Banking zu erraten. Unter Risikogesichtspunkten, insbesondere aber unter wirtschaftlichen Gesichtspunkten wird daher das 5-stellige Passwort aktuell als ausreichend sicher eingestuft und von den meisten Kreditinstituten in Deutschland angewandt.“

Online-Banking. Foto: Michael Losch/KOMU News, thx! (CC BY 2.0)

Foto: Michael Losch/KOMUnews, thx! (CC BY 2.0)

Somit wäre eine Brute-Force- und eine Wörterbuch-Attacke ziemlich nutzlos. Die Wahrscheinlichkeit, das richtige Passwort zu treffen, wäre viel zu gering und das Konto wäre nach dem dritten Versuch sowieso gesperrt. Mir als Informatiker mit über zwölfjähriger Erfahrung zum Thema IT-Sicherheit und großen Interesse an Usable Security sträuben sich trotzdem die Haare, da das Erraten von Passwörtern nicht die einzige Angriffsmöglichkeit im Internet ist – es gibt etliche mehr. Kommen wir später darauf zurück und belichten erst einmal die E-Mail.

Die „Tipps zur Erstellung eines Passwortes“ befinden sich direkt auf der Seite zum Ändern desselben. Trotz der Hinweise ist ein rein numerisches oder alphabetisches Passwort unter Ausschluss von bestimmten Zahlen-/Buchstabenfolgen (12345, abcde, 11111) möglich. Die Passwörter „ijklm“, „bcdef“, „123ab“ und „12321“ werden erfolgreich übernommen, „23456“, „98765“ und „56789“ nicht.

Das lässt darauf schließen, dass es sich bei dem Ausschluss gewisser Folgen nur um eine geringe Anzahl vordefinierter Phrasen und einen kleinen Code für Zahlen handelt, nicht jedoch um einen Algorithmus zum Errechnen dieser „offensichtlichen alphabetischen Passwörter“ („bcdef“, „cdefg“). Einen Brute-Force-Angriff rechtfertigt diese Tatsache nicht, jedoch hilft jede kleine Information beim Shoulder Surfing oder anderen Methoden: „Es sah aus, als würde er die Zahlen 1 bis 5 eintippen, aber das kann nicht sein. Demnach ist vielleicht eine Zahl anders.“.

Sechser im Lotto wahrscheinlicher als ein Brute-Force-Angriff?

Die „wirtschaftlichen Gesichtspunkte“ seien dabei laut einem Mitarbeiter der Sicherheitsabteilung des Sparkassenverlages vor allem die Usability (Bedienbarkeit) für die Anwender, die scheinbar zu großen Teilen aus Senioren bestehen. Nachvollziehbar ist es, jedoch sind Brute-Force- und Wörterbuch-Attacken nicht die einzigen Angriffsszenarien für das Erlangen eines Passwortes. Weitere Möglichkeiten sind:

  • Shoulder Surfing
  • Phishing
  • Sniffing (SSL interception & decryption)
  • Tastatur-Monitoring (physikalische Keylogger)
  • Social Engineering („Ich wette mit dir, dein Passwort besteht nur aus Zahlen! Ist bestimmt voll einfach zu erraten, hab ich Recht?“)

Wäre das Passwort länger, würde „Shoulder Surfing“ unwahrscheinlicher werden. Alle anderen Vektoren hielten stand.

Um diesen Angriffen wirklich entgegenzuwirken, bedarf es mehr als nur jener Sicherheitsmaßnahmen, die getroffen wurden. Eine Zwei-Faktor-Authentifizierung wäre das Mindeste. Für die Änderung der Online-PIN, der Anschrift oder eine Überweisung wird bei der Sparkasse bereits das pushTAN-, smsTAN- oder chipTAN-Verfahren verwendet. Gälte dies für das Login und die damit bereits benutzbaren Funktionen, gäbe es nicht nur zwei Geräte, die begutachtet werden müssten, sondern gleich drei. Einem Angreifer kann es sicher nicht unmöglich gemacht werden, aber man könnte die Kunden der Banken so weit absichern, dass es Kriminellen weitaus schwerer gelingen würde an die Daten zu kommen. Der aktuelle Standard mag für viele Anwender ausreichen. Ich bin mir jedoch sicher, dass es sich bei einigen dieser Personen lohnen würde einen Kontoauszug anzuschauen, entweder aus wirtschaftlichen oder persönlichen Gründen.

Darüber hinaus steht fest, dass die Kunden dieses sowie anderer Geldinstitute kein Problem damit hätten, wenn sie nicht nur ein einziges Passwort eingeben müssten. Geldangelegenheiten sind jedem wichtig und jeder ist sich dessen bewusst, dass das Geschäft abgesichert sein sollte.

Wenn es aus technischen Gründen nicht möglich wäre, dann sollte Online-Banking von Grund auf neu entwickelt werden. Die Möglichkeit einer Zwei-Faktor-Authentifizierung ist definitiv technisch umsetzbar, selbst Social Media-Netzwerke bieten die Technologie seit ein paar Jahren an. Warum nicht auch die Bank, der Ort, an dem unser Geld liegt und somit gezwungenermaßen ein Ort unseres Vertrauens ist? Sicherheit und Bedienbarkeit sind freilich zwei Themen, die sehr schwer vereinbar sind. Im Falle Online-Banking sollte man jedoch besser von der Bequemlichkeit absehen und mich als Kunde umständlicher einloggen als bisher. Psychologisch gesehen würden sich die Anwender zudem sicherer fühlen.

Foto: William Iven, thx!

Foto: William Iven, CC0, thx!

Online-Banking: Kunden müssen zu mehr Sicherheit erzogen werden

IT Security Awareness ist auch ein wichtiger Punkt, der bereits ansatzweise umgesetzt wird. Auf dem Usable Security Day am Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt war dort von einer Expertin zu hören, dass das reine Hinweisen auf sicherheitsrelevante Informationen in den seltensten Fällen zum Erfolg verhilft – vielmehr müssen Anwender dazu erzogen werden und Schritt für Schritt mit etlichen Wiederholungen lernen, worauf sie achten müssen. Die aktuelle Situation sieht hingegen nicht einmal vor, das Wissen des Nutzers über vermeintliche Sicherheit beim Online-Banking zu prüfen – wer hat da gepatzt?

Am Ende der Recherche bleiben einige Fragen unbeantwortet:

Wäre eine Zwei-Faktor-Authentifizierung wirklich nicht umsetzbar, oder fehlt dafür einfach die Notwendigkeit einer Absicherung durch einen Präzedenzfall?

Sollte einem Senioren, der gerade mal Solitär spielen kann, wirklich die Möglichkeit des Online-Bankings gegeben werden?

Sind den Geldinstituten, die nicht die Möglichkeit eines langen Passworts bieten, bereits Schäden dadurch entstanden, die uns unbekannt sind man darüber lieber nicht spricht? Wenn es schon zu Schäden kam, in welcher Höhe?

 

Ein Gastbeitrag von Marcel, bei Twitter bekannt als Leibi133, danke!

Vielleicht gefällt dir auch

17 Kommentare

  1. Sparkassenkunde sagt:

    Jeder kann bei der Sparkasse (oder fast jeder anderen Bank) Chipkartenleser bekommen.
    Der billige für 25 € wird vor denn Monitor gehalten und generiert einen Einmalcode welcher dann eingegeben werden muß (geht auch mit Maus um Keylockern vorzubeugen). Vorher ist eine Anmeldung mit dem Password (welches wirklich nicht der Renner ist) erforderlich. Es ist aber möglich dieses Password regelmäßig zu ändern. Bei den Besseren (ab 90 €) erledigt das Kartenlesegerät ab einschieben der Karte und OK drücken alles selber. Die Eingabe des Passwords erfolgt mit der Tastatur des Kartenlesers und aus dieser Eingabe und dem Chip der Karte wird ein Wert erzeugt welcher dann über die Bankingsoftware an das Kreditinstitut übertragen wird. Das Password ist also zu keinem Zeitpunkt für Dritte verfügbar (so zumindest die Theorie) und könnte rein theoretisch auch 123456 (sehr dumm) sein. Diese Geräte sind versiegelt (ist zumindest bei mir so) um Manipulationen vorzubeugen.
    Es gibt also eine allgemeinverfügbare Zweifaktorautentifizierung.
    Das ganze mit einer Bankingsoftware kombiniert (noch mal Extrapassword diesmal beliebig lang und mit Sonderzeichen wählbar) bietet ein recht hohes Maß an Sicherheit, insofern man bei der Bank schriftlich fixiert hat das Onlinebanking per Browser nicht zulässig ist. Zusätzlich werden die Daten verschlüsselt übertragen und sollte die Bankingsoftware keine Verbindung zu den Servern der Institute bekommen (Phishing) wird die Verbindung abgebrochen. Ich vermute mal das es da spezielle Zertifikationsserver gibt.
    Es ist unabhängig von dem oben geschriebenen IMMER sinnvoll aller paar Tage auf seinen Kontostand zu schauen. Zusätzlich kann man Limits einrichten wie viel abgebucht werden darf. Hat man sehr große Summen ist es auf jeden Fall sinnvoll speziell reglementierte Konten zu nutzen. So ist es kein Problem bei der Sparkasse, wie bei jeder anderen Bank auch, festzulegen das zum Beispiel nur auf ein spezielles anderes Konto überwiesen werden kann. Aktuell geht der Trend eher dahin, das die mit Geld, 500 € und 1000 Frankenscheine zu Hause horten. Das birgt wieder ganz andere Risiken.
    Per Mobiltelefon ist eine Überweisung nicht zu empfehlen. Ich sage nur die aktuellen Lücken bei Android und die Tests der letzten Zeit, das ALLE BankingApps unsicher sind und dies unabhängig vom gewählten Betriebssystem.
    Interessierte Stellen können immer Zugriff auf die Kontodaten bekommen. Im Regelfall unterschreibt man in DE bei Kontoeröffnung das man einverstanden ist das man überwacht wird (Schufa und Co). Staatliche Stellen können immer auf alle verfügbaren Daten zugreifen (Steuer).
    Absolute Sicherheit gibt es nicht.

    • Nora sagt:

      Zitat: Jeder kann bei der Sparkasse (oder fast jeder anderen Bank) Chipkartenleser bekommen. […] Es gibt also eine allgemeinverfügbare Zweifaktorautentifizierung.

      Das ist richtig. Benutze ich auch. Diese 2FA dient aber leider nicht zum Login an sich, sondern – wie Du bereits geschrieben hast – für den Überweisungsprozess.

      Die Möglichkeit ein sicheres Passwort zu wählen und 2FA auch für den Login, sollte bei Onlinebanking Standard sein – seit Jahren.

  2. deucoba sagt:

    Der Artikel stellt die Problematik aus dem Blickwinkel der IT-Sicherheit da. Aus dieser Perspektive machen die vorgebrachten Argumente durchaus Sinn. Diese Sicht ist aber für die Finanzdienstleister vollkommen irrelevant. Dort wird das Thema nämlich aus der des Risikos betrachtet. Hier wird abgewägt wie hoch die Kosten sein dürfen, um bei entsprechender Eintrittswahrscheinlichkeit Schaden von der Bank bzw. Gesellschaft abzuwenden. Ergo wird mit großen Haubitzen auf die „russische einfachen“ 70% geschossen, weitere 10% durch Versicherung abgedeckt und gut ist.

    Abgesehen davon läßt sich mit PBC ohnehin kaum Geld im Sinne der Jahresbilanz erzielen. Ein guter Tag im FX Transaction Banking macht bei beiden deutschen Großbanken den Jahresgewinn ihrer Privatkundensparte aus. Nur damit mal die Relationen klar sind, denn natürlich gibt weitere Punkte die für PBC sprechen und sei es nur die Komplementärfunktion.

    Nächster Punkt ist, daß alle Player am Markt derzeit voll und ganz damit beschäftigt sind, die Umwälzungen der letzten Jahre in ihren IT Organisationen umzusetzen. Die Regulatoren haben aber aus gutem Grund nicht die Endkunden im Blick, sondern versuchen ihre jeweiligen politisch geprägten Programme durchzusetzen. Daneben sind alle Großen dabei eine gewisse Neuausrichtung zu fahren.

    Im Endeffekt liegt die Schwachstelle und damit das Risiko ohnehin beim Kunden. Wer nicht auf seine Daten achtgibt ist zunächst einmal selbst verantwortlich. Damit rollt der Ball in Richtung Verbraucher und Verbraucherschutz. Der guten Ilsee Aigner lag bereits 2010 ein recht ausführliches Dokument zu diesem Themenkomplex vor – es wurde einkassiert und seitdem ist das Thema auch nicht mehr auf der Tagesordnung erschienen.

    Natürlich hat das Verständnis und die Vertrautheit der Mehrheit der Kunden mit IT an sich und IT Sicherheit und Schutz eigener Daten einen entscheidenden Einfluß auf die Gesamtlage. Leider gilt da: Lummerland ist abgebrannt. Daran würden 20stellige Passwörter auch nicht viel ändern.

    Bleiben noch die lustigen IT Dienstleister, die gerade für die angesprochenen Sparkassen, bei den Raffeisenbanken sieht es ähnlich, seit Jahren aus diversen Gründen hauptsächlich Pfusch erzeugen. Die verdienen sich auch ohne das Passwortgeblöcke eine goldene Nase und ich zweifle ernsthaft daran, daß die Jungs es mit ihrem beschränkten Horizont überhaupt überreissen.

    Jetzt noch eine Frage: Was soll denn die Phishing Lösung sein? Hat jemand etwas wirklich Gutes erfunden und ich habe es nicht mitbekommen oder handelt es sich nur ein Annäherung oder Nachbearbeitung?

    Achja, mit Wegschnappen der Kunden ist das so eine Sache, denn auch die reinen Onlineanbieter müssen für das Transaction-Handling bezahlen und das ist zum Großteil in der Hand von ein bis drei Global Playern. Da reicht es vollkommen aus an der vierten oder fünften Stelle hinter dem Komma zu justieren.

    Last but not least: Wer einmal richtig gute Sicherheit sehen will, der sollte sich die Zürcher Kantonalbank anschauen. Dort läuft alles über Karten. Wenn der Millionär aus Meerbusch etwas braucht ruft er seinen Kundenberater 24/7 an oder falls er diesen außer vor lassen will erhält per Express (max. 6 Std.) Kurier Einmal-Chipkarte mit Einmal-Lesegerät. Das wird eigentlich nur noch durch die AWM Dienstleister in Monte Carlo überboten, da kann man dann auch Steuern vermeiden, denn es gibt keine elektronische Spur.

    • Wuffel Knurr Wau Wau Lach sagt:

      Das wird eigentlich nur noch durch die AWM Dienstleister in Monte Carlo überboten, da kann man dann auch Steuern vermeiden, denn es gibt keine elektronische Spur.

      Böser deucoba, Aufruf zum Rechtsbruch und das von Dir?
      Ist aber vermutlich nur halb so schlimm eine halbe Million am Fiskus vorbei zu verschieben als sich ein Bild aus dem Internet zu ziehen und dieses im nächsten Copyshop ausdrucken zu lassen.
      Letzteres stärkt, wenn auch unwesentlich, sogar noch die lokale Wirtschaft.

      Nein immer diese Doppelmoral. Ich werde für dein Seelenheil beten.

      • Wuffel Knurr Wau Wau Lach sagt:

        Für meins natürlich auch ):-D.

        • deucoba sagt:

          Ich danke. Ansonsten: touché.

          Ich ging allerdings davon aus, daß hier niemand mitliest der sich exklusives Banking leisten kann. Ich verstecke mich also hinter der Verhältnis der Umsetzungswahrscheinlichkeit beider Anleitungen. Da fällt mir auf, daß ich ja gar nicht geschildert habe wie das tatsächlich funktioniert, sondern nur darauf hingewiesen, daß es ohne elektronische Spur sehr schwer bis unmöglich für den Fiskus wird.

  3. deucoba sagt:

    Der Artikel stellt die Problematik aus dem Blickwinkel der IT-Sicherheit da. Aus dieser Perspektive machen die vorgebrachten Argumente durchaus Sinn. Diese Sicht ist aber für die Finanzdienstleister vollkommen irrelevant. Dort wird das Thema nämlich des Risikos betrachtet. Hier wird abegewägt wie hoch die Kosten sein dürfen, um bei entsprechender Eintrittswahrscheinlichkeit Schaden von der Bank bzw. Gesellschaft abzuwenden. Ergo wird mit großen Haubitze auf die „russische einfachen“ 70% geschossen, weitere 10% durch Versicherung abgedeckt und gut ist.

    Abgesehen davon läßt sich mit PBC ohnehin kaum Geld im Sinne der Jahresbilanz erzielen. Ein guter Tag im FX Transaction Banking macht bei beiden deutschen Großbanken den Jahresgewinn ihrer Privatkundensparte aus. Nur damit mal die Relationen klar sind, denn natürlich gibt weitere Punkte die für PBC sprechen und sei es nur die Komplementärfunktion.

    Nächster Punkt ist, daß alle Player am Markt derzeit voll und ganz damit beschäftigt sind, die Umwälzungen der letzten Jahre in ihren IT Organisationen umzusetzen. Die Regulatoren haben aber aus gutem Grund nicht die Endkunden im Blick sondern versuchen ihre jeweiligen politisch geprögten Programme durchzusetzen. Daneben sind alle Großen dabei eine gewisse Neuausrichtung zu fahren.

    Im Endeffekt liegt die Schwachstelle und damit das Risiko ohnehin bei Kunden, wer nicht auf seine Daten achtgibt ist zunächst einmal selbst verantwortlich. Damit rollt der Ball in Richtung Verbraucher und Verbraucherschutz. Der guten Isle Aigner lag 2010 ein recht ausführliches Dokument zu diesem Themenkomplex vor – es wurde einkassiert und seit dem ist das Thema auch nicht mehr auf der Tagesordnung erschienen.

    Natürlich hat das Verständnis und die Vertrautheit der Mehrheit der Kunden mit IT an sich und IT Sicherheit und Schutz eigener Daten einen entscheidenden Einfluß auf die Gesamtlage. Leider gilt da: Lummerland ist abgebrannt. Daran würden 20stellige Passwörter auch nicht viel ändern.

    Bleiben noch die lustigen IT Dienstleister die gerade für die angesprochenen Sparkassen, bei den Raffeisenbanken sieht es ähnlich, seit Jahren aus diversen Gründen hauptsächlich Pfusch erzeugen. Die verdienen sich auch ohne das Passwortgeblöcke eine goldene Nase und ich zweifle ernsthaft daran, daß die Jungs es mit ihrem beschränkten Horizont überhaupt überreissen.

    Jetzt noch eine Frage: Was soll denn die Phishing Lösung sein? Hat jemand etwas wirklich Gutes erfunden und ich habe es nicht mitbekommen oder handelt es sich nur ein Annäherung oder Nachbearbeitung?

    Achja, mit Wegschnappen der Kunden ist das so eine Sache, denn auch die reinen Onlineanbieter müssen für das Transaction-Handling bezahlen und das ist zum Großteil in der Hand von ein bis drei Global Playern. Da reicht es vollkommen aus an der vierten oder fünften Stelle hinter dem Komma zu justieren.

  4. Hartmut sagt:

    Also bei der SANTANDER sind es 11 Zeichen fürs PIN/TAN-Online-Banking. Allerdings auch nur Zahlen und Buchstaben.
    Man kann ja auch Chipkarten-Banking nutzen oder Telefon-Banking.
    Wer PIN/TAN nutzt sollte halt eben darauf achten, ab und an auch sein PW zu ändern.
    Bei der Santander beschreibt man meines Erachtens nach recht übersichtlich, welche Möglichkeiten man hat, auf welche Dinge zu achten ist und was man im „Notfall“ zu machen hat.

    Die Fehlerquelle ist nicht immer die Technik sondern schlicht und ergreifend der Mensch. Und da es recht faule und bequeme gibt, müssen diese auch in Kauf nehmen, ggf. aus ihrer Komfortzone gejagt zu werden und dafür zu bezahlen. (Zumindest ordentlich ins Laufen zu kommen) :-)
    Ich kenne Leute, die bei irgendeinem 0815-Forum häufiger ihr PW ändern, als ihre Unterwäsche. Gehts aber um Konten bei Handelplattformen, Mailadresse oder auch Banking, werden diese einmalig erstellt und nie wieder geändert.(kopfschüttel)

  5. michel sagt:

    Wer online banking übern browser, am besten noch dazu unter windoof betreibt, handelt eh fahrlässig und muss entweder keinen Plan und/oder grenzdebil sein.
    Dazu am besten noch vom smartphone/tablet aus…….

    Wieso die Banken das machen?
    Um eine bessere Verteidigung in Missbrauchsfällen gestalten zu können natürlich. der Kunde ist halt erstmal schuld und muss seine Unschuld beweisen.

    Banken sind die größten und kriminellsten Verbrecher auf Erden, neben den Politkhuren die das Ganze erst ermöglichen!!!

  6. Maximilian Golla sagt:

    Passwortwiederherstellung ist viel zu teuer. Die Bank handelt ausschließlich aus monetären Beweggründen, gäb es genügend Missbrauch (den Ihre Versicherung nicht abdeckt) würden die Banken ihr Verhalten ändern.

    Schalter sind viel zu teuer, daher müssen auch Senioren Onlinebanking nutzen ob Sie nun wollen oder nicht.

    Überlegt euch bitte mal wie man Onlinebanking auch für das weniger technischversierte Volk sicher nutzbar machen kann!
    Denn ein Sicherheitsproblem gibt es derzeit nicht und wenn dann wird es organisatorisch gelöst (Versicherung). Ein Benutzungsproblem für nicht Nerds gibt es jedoch, gerade Phishing betreffend (da gabs ja schon eine Loesung von euch).

    Wer rastet der rostet, das werden die altbackenen Banken auch irgendwann merken, wenn moderne (nur) Online Banken ihnen den kleinen Mann wegschnappen, weil sie Pushnotifications, 2Factor und ne geile iPhone App haben.

  7. Haar sagt:

    Ich bin ebenfalls Kunde bei der Sparkasse. Wegen dem Zwang ein Paßwort zu wählen das fünf Zeichen nicht überschreitet und wegen der nicht vorhandenen Zwei-Faktor-Authentifizierung habe ich die Sparkasse in den letzten zwei Jahren mehrmals kontaktiert. Die Antworten waren immer dieselben: „Wir leiten ihr Anliegen an die entsprechende Abteilung weiter…“ An der Hotline wurde ich zur Technik und an die IT-„Spezialisten“ weitergeleitet. Dort wurde mir versichert, daß ein fünfstelliges Paßwort, bestehend aus Buchstaben und Zahlen sicher ist – insofern ich Groß- und Kleinbuchstaben verwende. Bei anderen Instituten sieht es ähnlich düster aus.

    Wenn jemand ein schwaches Paßwort verwenden möchte, ok. Aber man sollte den Kunden die Möglichkeit lassen, ein zwanzigstelliges Paßwort, bestehend aus Buchstaben, Zahlen UND Sonderzeichen zu wählen. Ebenso sollte auf Wunsch eine Zwei-Faktor-Authentifizierung genutzt werden können. Die Option seinen PGP-Schlüssel zu hinterlegen, um E-Mails der Bank verschlüsselt zu empfangen, wäre ein netter Bonus. Wer das alles nicht möchte, der wählt die entsprechenden Optionen einfach nicht aus. Aber von Seiten der Bank ein unsicheres Konto zu erzwingen ist bitter.

    Die Institute sollten sich vllt. mal ein Besispiel an der Bitcoin.de Börse nehmen. Dort läuft es absolut vorbildlich. Sichere Paßwörter, diverse Möglichkeiten zur Zwei-Faktor-Authentifizierung, E-Mail Verkehr auf Wunsch per PGP.

    • Marcel sagt:

      Da bin ich ganz deiner Meinung! Bitcoin geht mit gutem Vorbild voran und zeigt, wie Online Banking sicher gestaltet werden kann. Leider bezweifle ich jedoch, dass die großen Kreditinstitute das umsetzen können – die Bitcoin-Menschen kommen aus der IT-Welt, die Bankmitarbeiter aus der Finanz- und Bürokratiewelt. Das Passwort sollte so groß wie nur möglich sein – welche Sicherheit man dann wählt, ist einem selbst überlassen. Jedoch sollte eine Mindestlänge von acht Zeichen Voraussetzung sein, verbunden mit Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen.

  8. Hardy sagt:

    Nein, ein Senior sollte natürlich kein Online Banking machen dürfen. Ein Universitätsabschluß mit Prädikat und ein Alter zwischen 25 und 55 sind absolute Grundvoraussetzungen, um Online Banking machen zu dürfen. Wer älter als 55 ist, leidet mit hoher Wahrscheinlichkeit an Alzheimer und sollte eh ins Altenheim abgeschoben werden. Natürlich ohne Internet Zugang.

    • Lars Sobiraj sagt:

      Es gibt auch viele Silver Surfer, die mehr Ahnung haben als die heutige Jugend. Es ist schon richtig, dass man das nicht so pauschal sagen darf. Dafür ist das Institut ja da. Damit man keine Ahnung haben muss und ist trotzdem gut vor möglichem Misbrauch geschützt.

    • wenn ich den Text richtig verstanden habe, war die Vermutung auf den

      »Anwender[n], die scheinbar zu großen Teilen aus Senioren bestehen«

      , aber die Unterstellung auf

      »[…] der gerade mal Solitaire spielen kann […]«

      und im Vergleiche dazu wäre vielleicht der Ausländer, der mithilfe des Wörterbuches seine ersten grammatikfreien Sätze zusammenstoppelt (oder, wenn Sie auf das Alter abstellen wollen, der muttersprachliche Erstkläßler, der seine ersten Leseübungen anstellt) mit Goethe, Walser, Handtke schlicht überfordert.
      Auch der Alte kann lernen, sicherheitsbewußt mit Onlinebanking umzugehen, oder aber, ebenso sicherheitsbewußt, darauf in Weisheit zu verzichten. Das Problem sitzt hier nicht die berühmten sechzig Zentimeter vor dem Bildschirm, sondern mitten in der (bespielhaft genannten) Spaßkasse – es ist gewissermaßen systemimmanent; die Facebookisierung der Junioren trägt übrigens viel mehr zur Aufweichung des Sicherheitsbewußtseins bei, als es die primitive »Wer nichts zu verbergen hat…«–Propaganda unserer Vorratsdatenspeicherer jemals könnte…

  9. Cheesy sagt:

    Tach Post.
    Genau die gleiche Frage (Passwort 6 Buchstaben) habe ich meiner Bank auch gestellt bzw. es mal weitergegeben das man hier doch etwas „anpassen“ könnte. Bisher null erfolg! :(
    Die fühlen sich alle sooooo sicher….. ^^

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.