Aktuell stellen viele Banken ja die Authentifizierung von Transaktionen beim Online-Banking von SMS-TAN oder vom sogenannten chipTAN-Verfahren mit Flicker-Code auf andere Verfahren um. In Teil 1 bis Teil 3 hatte ich einen Blick auf die neuen Authentifizierungsverfahren für Transaktionen beim Online-Banking für Kunden der Postbank, der Volks-/Raiffeisenbanken und der Sparkassen geworfen. In den nächsten Teilen möchte ich auch noch einige Blicke auf das Thema Apps für Online-Banking und die Sicherheit werfen. In Teil 4 geht es um die Frage, was eigentlich die Bankkunden wünschen.
Anzeige
Was Bankkunden wünschen
Im Juni 2022 ist mir eine Studie von VMware zu den Wünschen von Bankkunden in die Finger gefallen. Dies wurden in einer von VMware bei YouGov in Auftrag gegebenen Online-Umfrage (31. Januar bis 22. März 2022) unter 6.214 Verbrauchern in 5 Ländern – Großbritannien (2.060), Frankreich (1.124), Deutschland (1.030), Italien (1.020) und Spanien (1.021) befragt. Die Ergebnisse sind vom Studiendesign repräsentativ für Bankkunden ab 18 Jahren. Dabei kamen für mich interessante Ergebnisse heraus:
- 71% der deutschen Bankkunden möchten mit einer realen Person statt mit Chatbots sprechen
- Dennoch: 28% der Sparer informieren sich regelmäßig, wie Technologie ihnen helfen kann, ihr Geld für sich arbeiten zu lassen.
- 39% der Anleger erwarten von ihrem Finanzdienstleister, Technologien wie Künstliche Intelligenz und Maschinelles Lernen einzusetzen.
Also das reine Fintech-Gedrösel, alles per App zu erledigen, steht nicht so sehr breit im Vordergrund. Es scheint, als ob wir immer noch Menschen
brauchen, um das Potenzial digitaler Finanzdienstleistungen ausschöpfen zu können. Interessant für mich: In obiger Studie wurden ja nicht nur deutsche Bankkunden befragt. Die deutschen Sparer zeigen sich allerdings recht ambivalent in ihren Vorstellungen und Wünschen:
- Einerseits sind ihnen schnelle, digitale 24-Stunden-Services extrem wichtig.
- Immerhin 39 % erwarten von ihren Finanzdienstleistern, dass diese Technologien wie Künstliche Intelligenz und Maschinelles Lernen zum Schutz ihrer Finanzen und persönlichen Daten einsetzen.
- Andererseits misstrauen 42% Apps zur Vermögensverwaltung.
- Und 60% wünschen sich nach wie vor einen langfristigen persönlichen Kontakt mit ihrem Finanzdienstleister.
- 53% der befragten Deutschen glauben zwar, dass Technologie zum digitalen Fortschritt in ihrem Land beitragen kann,
- und 63% wünschen sich Investitionen in technologische Innovationen.
- Doch zugleich empfindet ein Drittel der Befragten neue Technologien als unangenehm oder sogar beängstigend.
Diese Kluft zwischen dem digitalen Interesse der Verbraucher und ihrem Misstrauen in die Verwendung ihrer Daten kann das Potenzial von Technologien für mögliche Verbesserung untergraben, so die Studienautoren. Finanzangelegenheiten sind Vertrauenssache, was sich auch in folgenden Ergebnissen spiegelt:
- Knapp ein Drittel (31 %) würde einer App die Verwaltung ihrer Finanzen anvertrauen, wenn sie dadurch jeden Monat höhere Erträge erzielen.
- 42% lehnen die Verwaltung ihrer Finanzen per App aber kategorisch ab.
Der erste Punkt ist Gaga, denn Erträge werden i.d.R. nicht in einer App oder per KI erzielt, sondern hängen vom Lauf der Börsen ab. Weder KI noch irgendwelche Gurus konnten in der Vergangenheit zuverlässig Börsenindizes schlagen. Der zweite Punkt ist interessanter: Wenn 42 % die Verwendung einer App zur Geldverwaltung ablehnen, haben Banken, aber auch Fintechs ein Problem. Beim Thema Geld wünschen sich die allermeisten Bankkunden einen menschlichen Ansprechpartner. So blieben sogar 43% der Bankkunden auch dann ihrer Bank treu, wenn sie regelmäßig in eine Filiale müssten. Lediglich für 28% wäre das ein Wechselgrund.
Anzeige
Das wird sich zwar durch die nachwachsende Generation etwas ändern, Jüngere gehen da eher unkritischer an solche Sachen heran. Spannend bleibt aber, wie sich deren Erfahrung mit der Zeit bezüglich der Einstellung in Sachen Banking-Apps wandelt. Hier bin ich mir unsicher, wie die Geschichte ausgeht.
Artikelreihe
Postbank: App und/oder SealOne statt chipTAN – Teil 1
Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2
Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens – Teil 3
Online-Banking und Apps: Was die Kunden wünschen – Teil 4
Online-Banking und die Sicherheit von Banking-Apps – Teil 5
Online-Banking und Absicherung per chipTAN USB – Teil 6
Ähnliche Artikel
Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?
Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse
Der Edge Effizienzmodus verursacht Probleme beim Flicker-Code beim Onlinebanking mit TAN-Generator
Festes SA SQL-Passwort bei windata 9-Banking-Software
DKB: Online-Banking im Firefox und Opera blockiert?
Banking Startup Dave gehackt, Daten in Hackerforen
Nächste Runde: FluBot-Banking-Malware (Mai 2022)
Online-Banking: mTAN und Banking-Apps unsicher
Anzeige
Ich bin seit über 20 Jahren bei der selben Bank, die hier übrigens noch nicht behandelt wurde. Das Konto war damals eines der "fortschrittlichen" mit Onlinemöglichkeit, die Software dazu war aber grottig, hab das Thema dann erstmal schleifen lassen und die Zugangsdaten (TAN-Liste, so ein Quatsch!) sorgsam vernichtet und bin wieder an Bankautomaten und Schalter gegangen, wenn selten mal was war. Diesen Sommer war ich allerdings gezwungen, auf komplett Online umzustellen, weil die örtliche Filiale, fast zeitgleich mit zwei anderen Filialen anderer Banken, geschlossen wurde. Die Filialnummer an der Kontonummer ist immer noch die selbe, aber ich müsste jetzt rund 15 km fahren, um tatsächlich mal Menschen zu sehen. Zum Glück gibts am alten Standort aber noch einen Geldautomaten. Also, Umstellung erfolgte, den einzigen Unterschied, den ich kurzfristig erkennen konnte, war das am Standort der alten Filiale (und auch sonst nirgends) noch der Kontoauszugsdrucker funktionierte. Online ging aber auch nicht, Webseite, Apps usw. verlangten einen "Pin" zur Anmeldung. Die Bank kam aber auch nicht auf die Idee, automatisch bei der Zustellung einen Pin zu übermitteln, weder per Post noch Telefonnummer (SMS). An der Servicehotline ging auch nicht, weil ich keinen Pin nennen konnte… Blieb also nur der Weg über die Filiale und 15 km Entfernung. Ich habe jetzt einen Pin und kann rein. Aber irgendwie falle ich vom Glauben ab, das ist im Web sowas von primitiv, nichtmal ein Listenexport der Kontobewegungen geht da, Keine Ahnung wie man auf Unterkontos umschaltet, usw. Werde mir wohl noch eine Software holen müssen… Zur Authentifizierung kann ich noch eine App aufs Handy machen, dazu muss ich aber erst noch frei geschaltet werden, damit der Pin zum Pin nicht mehr per SMS kommt, warum ich nicht einfach eine der Authenticator-Apps von MS oder Google nehmen kann, verstehe ich auch nicht…
warum ich nicht einfach eine der Authenticator-Apps von MS oder Google nehmen kann, verstehe ich auch nicht…
Weil es böse Menschen gibt die Deinen PC oder Smartphone übernommen haben.
Du Tipps "1000 Euro für Paul" ein, es steht auf Deinem Bildschirm. Der Böse hat aber im Hintergrund, für Dich unsichtbar "1000 Euro für Vladimir" eingetippt.
Früher hast Du Deine iTAN Liste genommen und Deine Überweisung, die Du auf dem Bildschirm siehst bestätigt. Die Bank hat aber das Geld an Vladimir überwiesen.
Wird das Problem klar. Auch warum normale Atentisatoren nicht geeignet sind?
Die mTAN war da schon weit besser :
Bei der TAN die Du als SMS bekommen hast, hat die Bank auch den Empfänger mitgeteilt. Vladimir. Das hättest Du ja gelesen und abgebrochen.
Aber eines Tages waren die Kriminellen so weit, auch Dein Handy mit einer neuen Software zu versehen, die Dir auch da "Paul" anzeigte.
Ein Handy ist nunmal kein Sicherhritsgerät.
Bei den Aktuellen TAN Generatoren schickt Dir due Bank alle Infos der Überweisung mit, wie einst bei der mTAN SMS. Nur ist das Teil nur sehr einseitig begabt, nicht Update bar und somit vertrauens würding..
HTH
Vielleicht erklärt Günter das mal in einem Artikel.
Das scheint manchem ein riesen Problem zu sein.
Aber wenn man das nicht verstanden hat, kann man auch nicht erkennen was für ein Unsinn es ist, das mit einem Handy zu machen.
Scheinbar kennst du die Authentikator-Apps von MS und Google nicht.
Die haben jetzt eine eigene Tastatur und einen eigenen Bildschirm?.
Das ist mir wirklich neu.
Ja die gute alte TAN Liste mit streichen, das waren noch Zeiten. Ging man mit der richtig um, war alles kein Problem.
Als Banking Software kann ich Banking4 von Subsembly empfehlen. Preis sehr attraktiv und leistungsfähig. Für PC und MAC!
Das mit der "Hotline" verstehe wer will. Ich habe mich letztens bei einloggen ins Konto selber gesperrt – das Passwort war richtig, man kann sich ja nicht 3mal vertippen – und ich war halt auch stur. Ich hab nur keine Ahnung wie da plötzlich, nachdem das System meinte ich sei gesperrt und ein entsperren mit (der richtigen) PIN auch nicht ging, die CAPS Taste reingekommen ist. Also musste ich auch unseren Kundenservice anrufen, ja alles kein Problem – wenn man einen Menschen an der Leitung hat (!) und keinen Automaten. Gut das entsperren musste dann der Kundendienstmensch machen, aber kein Problem. Die Mitarbeiterin kannte mich auch nicht und nachdem wir den Ausweis abgeglichen (der gespeicherte war abgelaufen lol) konnte wir uns aber über bestimmte Merkmale auf der EC Karte korrekt Identifizieren.
Sprich – wir brauchen (für das Geld das wir zahlen) Menschen im Service!
Viele Leute glauben, das Fehleingaben gelöscht werden, wenn man einmal die richtige Pin eingibt.
Das war früher so. Heute müssen die Fehleingaben explizit gelöscht werden.
Warum?
Nunja, stelle Dir jmd vor der Zugang zu der Karte hat. Sooft der Besitzer die Karte benutzt, hätte ein Dritter einen Falschversuch frei, quasi unendlich viele…
Zu der Fraktion mit dem Rücksetzglauben gehörte ich bis gerade auch.
Ich habe aber -mit langen zeitlichen Unterbrechungen und zwischenzeitlicher korrekter Eingabe- im Gültigkeitszeitraum meiner Karte schon mehr als dreimal die PIN falsch eingegeben und sie wurde bislang nicht gesperrt.
Ich habe aber auch nirgendwo einen Zähler zurückgesetzt, oder das beauftragt.
Ist die Zahl der Fehlversuche erhöht worden, oder ist es wie in Flensburg, dass die Fehlversuche nicht nach einer richtigen Eingabe automatisch gelöscht werden, sondern erst wenn in einem gewissen Zeitraum keine neuen Fehler hinzukommen, oder …?
Also ich benutze für Online-Banking keine app sondern einfach die Bank Webseite, und als Sicherheitssystem ein Hardware-Token, momentan nutze ich Chip-TAN.
Apps sind mist vor allen wen sie anfangen dem benutzer vorschreiben zu wollen was für software er auf seinem system zu instalieren oder nicht zu installieren hat.
Mein handy ist gerootet und mein PC läuft in test-signing mode, weil auf meinen geräten immer noch ich Got bin und nicht irgend eine hersteller.
Was ich mir wünschen würde wäre das die Banken endlich mal bestehende Sicherheitsstandards unterstützen.
ChipTAN ist toll (ich habe die Variante mit QRCode) und die bislang sicherste Variante, aber letztendlich auch nur ein OTP: Im Wesentlichen ein Pseudo-Zufallszahlengenerator, dessen Startwert beide Seiten kennen und der deshalb vorhersagbar ist.
Dafür muss die Bank aber die Infrastruktur vorhalten, und EC-Karten werden ja zunehmend durch Debitkarten ersetzt, die das gar nicht mehr können (DKB z.B.)…
Für einen 2. Faktor – nichts anderes stellt die TAN ja dar – gibt es HOTP und TOTP Standards, die von diversen Apps generiert werden können. Das ist einfach und auch nicht unsicherer, und hätte auch den Vorteil, das es endlich keine Mitwisser mehr bei den TANs gäbe (bei den (i)TAN listen und mTAN wussten ja theoretisch ein paar Hundert Leute über meine TAN Bescheid).
Statt dessen frickelt jede Bank Ihre eigene kaputte App mit tausend Trackern, die nur auf bestimmten Endgeräten (freie/offene Betriebssysteme sind meist raus) laufen und Millionen Euro der Sparer verschlingen. Und die zugehörigen Webseiten für das Onlinebanking können meist noch nicht mal beliebig komplexe Passworte…
Gerade im Bankenwesen würde ich FIDO2 und eine TOTP/HOTP-App (oder FIDO U2F) und gut ist. Keine Nebenkosten, sicher, basta. Der FIDO2 Standard wurde genau für solche Anwendungen geschaffen, und wird in Bereichen eingesetzt, die wesentlich Sicherheitskritischer sind als Banking – trotzdem muss jede Bank das Rad neu erfinden.
Wer sich informieren will, wo man mit FIDO2 agieren kann: https://www.dongleauth.com
"ChipTAN ist toll (ich habe die Variante mit QRCode) und die bislang sicherste Variante, aber letztendlich auch nur ein OTP: Im Wesentlichen ein Pseudo-Zufallszahlengenerator, dessen Startwert beide Seiten kennen und der deshalb vorhersagbar ist."
Es ist ebend nicht und schon gar nicht im Wesentlichen nur ein OTP Generator.
Es ist auch ein sicheres Display und
eine sichere Tastatur.
DAS ist der Trick.
Und genau darum ist es Schwachsinn, diese Funktion auf einem hochkomplexen Gerät mitausführen zu lassen.
Warum ist das so schwer zu verstehen?
Schreiben hier nur Bank-Marketingler die die Apps als sicher verkaufen wollen?
Wenn ich meine TAN am Smartphone generiere, habe ich einen weitestgehend sicheren 2. Faktor – so lange ich nicht auf die strunzdumme Idee komme, mit dem Gerät auch noch Banktransaktionen machen zu wollen.
Bei HOTP/TOTP gibt es diverse offline-Generatoren mit Display und Tastatur zu kaufen. Für FIDO2 dito.
Wo ist das Problem?
Fido2 war mal eine tolle Idee.
Leider waren die genialen Erfinder völlig weltfremd und haben das Problem "Backup" völlig ignoriert.
Jetzt haben ein paar Pfuscher da Backup und Kopier Möglichkeiten angebastelt. Und die Daten liegen jetzt doch wieder bei Google auf dem Server… und nicht mehr nur auf dem Stick beim User.
Ausserdem gibt es wohl keine Sticks mit Display und Tastatur. Also ist das wirklich geniale Verfahren nur zum Anmelden aber nicht für TAN Erzeugung geeignet.
Wie geschrieben: Auf dem kompromitierten PC oder Handy Bildschirm steht etwas anderes als fer Bank über mittelt wurde. Und quasi ohne zu wissen wofür, soll man eine TAN erzeugen…
Warum sieht niemand das Problem und glaubt, das der Banken-TAN-Generator nur eine elektronische TAN-Liste mit OTPs ist?
Paul, das Problem sieht jeder, der sich ein bisschen mit der Materie beschäftigt und ist z.B. für mich der Grund, keine elektronische Unterschrift zu verwenden. Weil ich auch da nicht sicher sein kann, dass das Dokument, das ich angezeigt bekomme, wirklich das ist, das ich unterschreibe. Nebenbei bemerkt soll es allerdings auch schon vorgekommen sein, dass analoge Unterschriften gefälscht wurden.
Das von Dir erwähnte Problem ist auch genau der Grund, warum sich, wie von mir bereits im anderen Thread erwähnt, die IT-Security-Abteilungen der mir bekannten Banken sehr intensiv, teilweise seit Jahren, mit dieser Thematik beschäftigen, und warum die App-Geschichte, wiederum in den mir bekannten Fällen, durch zusätzliche Maßnahmen im Backend begleitet wird. Ich nehme an, Du verstehst, dass ich hier nicht auf Details eingehen werde.
Ja ja klar.Darum sschkagen hier ja immer wieder Leute vor, einen simplen OyTP zu nutzen.
Anscheinend hast auch Du das Problem nicht durchblickt, wenn Du da etwas von geheimen Verfahren auf den Servern seierst.
e ich erinnere gerne d0an den Murks den die Banken bei der Pin Erzeugung gemacht haben.
Security by obscurity.
Es ist einfach lächerlich und zeugt von Inkompetenz..
Und persönliche Anmacherei disqualifiziert Dich sowieso.
"Warum sieht niemand das Problem und glaubt, das der Banken-TAN-Generator nur eine elektronische TAN-Liste mit OTPs ist?"
Weil der TAN-Generatorteil der Chipkarte nun mal genau das ist. Ein PRNG mit beiden Seiten bekanntem Seed und ein bisschen Voodo drum rum.
Etwas anderes zu behaupten macht es auch nicht wahrer.
Das Einzige, was die Sache sicherer macht, ist das es sich um getrennte Geräte handelt. Sprich, wenn ich jemanden bestehlen will, brauche ich seine Chipkarte. Die Karte selbst ist nicht mal besonders sicher, und das TAN-Gerät schon gar nicht (Kobil kann man auf machen, reparieren, zusammenbauen – schon gemacht).
Und was das Backup angeht:
Das gibt es bei keinem der genannten TAN-Verfahren, warum sollte das bei Banking-Anwendungen mit OTP / FIDO2 / U2F auf einmal ein Problem sein?
Generell reden wir hier immer noch "nur" von 2. Faktor. Der soll die Sicherheit _erhöhen_ – ist die vom Start weg nicht vorhanden (Bankseiten mit Kontonummer als Login-Name und 8-stelligen Passworten ohne Sonderzeichen sind immer noch marktgängig!), hilft der auch nicht: 0*1000 bleibt 0.
die IT-Security-Abteilungen der mir bekannten Banken sehr intensiv, teilweise seit Jahren, mit dieser Thematik beschäftigen,
Jupp. ROTFL Bemühte sich stets den Anforderungen gerecht zu werden.
Wenn die Typen da so genial sind, warum haben die jemals TAN Listen zugelassen?
Du sollstet ins Marketing oder die Politik gehen.
Ich kapiere nicht, wieso sich manche Manager einfach nicht ins Hirn prügeln lassen, dass ein nennenswerter Anteil der Kunden nach wie vor gar kein Smartphone nutzt oder für sicherheitsrelevante Dinge eben nicht verwenden will. Habe diesbezüglich Gespräche mit Kundenhotlines gehabt, die einräumen mussten, dass ich keineswegs der einzige mit entsprechendem Anliegen bin, „aber die Geschäftsleitung besteht darauf". Arroganz der Mächtigen.
Wer unbedingt meint, sein gesamtes Leben verApp'eln zu müssen und bedenkenlos vor Google/Apple die Hosen runterlässt, kann das ja gern machen – aber ich bestehe darauf, dass den Kunden immer auch noch ein alternatives Verfahren angeboten wird, für das sie kein Smartphone brauchen! Und in 5, 10 Jahren sollte man mal auswerten, in welcher Gruppe die Schäden durch Betrug höher ausgefallen sind. Das könnte dann vielleicht bestimmte Leute in Erklärungsnot bringen.
Es wird nicht zu bekannten Schäden kommen.
Der Betrug mit EC Karten wurde auch jahrelang unter dem Tisch gehalten. Wenn der Kunde einräumte, das die PIN ausgespät worden sein konnte zahlte die Versicherung.
Nur ergab es sich das ein Kunde nicht lügen wollte, weil seine PIN im wohlverschlossenen Umschlag verborgen war. Der NDR berichtete damals.
Auch stellte sich später heraus das bei gewissen Kontonummer nur 33 PINs möglich waren. (das Verfahren war ja total geheim, ausser den Kriminellen)
Ich vermute mal, dass das hier genauso läuft.
Was ich immer spannend finde, ist welche Preislisten seitens der Banken dahinter stehen. Viele Volksbanken lassen sich schon immer TANs aus der SecureGo-App mit 10ct bezahlen, obwohl ja anders als bei SMS keine Entgelte für den Versand mehr anfallen. ChipTAN ist (war?) dagegen kostenlos.
Meine Bank hat den TAN-Technik-Wechsel zum Anlass genommen, ein neues Kontomodell für das Onlinekonto durchzusetzen, bei dem die Grundgebühr erhöht wurde und passive Buchungen (also z.B. Lastschriften oder Gutschriften) jetzt jeweils 3ct kosten.
Klar, die müssen auch Geld verdienen, aber aktive Buchungen (z.B. Überweisungen und Daueraufträge) bleiben kostenlos. Die Logik verstehe ich nicht.
Die wollen Dich zur Kreditkarte treiben.
Da zahlen die Händler ja die Entgelte(die sie aufgeschlagen haben)
Geldautomaten sind auch stark abgebaut worden und bei 5 Euro pro Auszahlung sind 10ct pro POS Buchung doch günstig..
Die Banken haben Dein Geld und Du machst deren Arbeit.
Kleine Korrektur: eine per SecureGo-App empfangene TAN zu Freigeben von Zahlungsvorgängen im Onlinebanking kostet 10ct.
Passive Buchungen kosten 3ct.
Nur würde die Kreditkartenabrechnung am Ende des Monats doch auch per Lastschrift abgebucht, Lohngutschrift, Versicherungsbeiträge, Abogebühren, … kann ich auch nicht mit Kreditkarte abwickeln, und Überweisungen, wo die Kreditkarte ein Ersatz sein könnte, sind weiter kostenlos.
Irgendwie habe ich da noch immer einen Gedanken-Knick, außer, dass es teurere wird.
Zusammengefasst: Es wird Alles immer komplizierter. Man kann als älterer Mensch nur froh sein, wenn man noch alle Tassen im Schrank hat. Wenn da die eine oder andere Tasse im Lauf der Jahre kaputt gegangen ist, sieht es schlecht aus. Man ist dann zwingend auf Hilfe angewiesen und muss sich mit dem Betreuenden, Pflegenden oder gar Bevollmächtigten für einfachste Sachen gut stellen. Da geht im Namen des technischen Fortschritts viel Selbstständigkeit und Selbstbestimmtheit verloren.
Freundliche Grüße