Froschs Blog

Computer und was das Leben sonst noch so zu bieten hat

Zur Website | Impressum

Sparkasse: Sicherheit kostet extra

23. Mai 2011 um 18:10 Uhr von Atari-Frosch

Schon seit Monaten drängt die Sparkasse mich beim Online-Banking darauf, vom bisherigen TAN-Verfahren auf ein neues Verfahren zu wechseln, das viel sicherer sein soll. Dafür werden zwei Methoden angeboten: Man bekommt für jede Überweisung eine TAN per SMS aufs Handy geschickt, oder man kauft sich ein kleines Gerät namens TAN-Generator und erzeugt sich die benötigten TANs jedesmal selbst. Das alte TAN-Verfahren soll dann bald abgeschaltet werden.

Um den Kunden den Umstieg schmackhafter zu machen, wird man jedesmal beim Ausloggen mit einem Preisausschreiben gelockt:

ipad 2 gewinnen: Stellen Sie jetzt um und nehmen Sie bis zum 12. Juni 2011 jede Woche an einer ipad 2-Verlosung teil

Heute war ich nun in einer Sparkassen-Filiale, um mal nachzufragen. Dabei erfuhr ich: Egal welche der beiden Methoden ich wähle, ich soll auf jeden Fall extra dafür bezahlen. Wenn ich das SMS-Verfahren nehme, werden mir für jede SMS, die ich erhalte, 9 Cent vom Konto abgezogen. Der TAN-Generator wiederum schlägt einmalig mit 11,20 € zu Buche.

Ich fragte, warum das extra kosten soll, wenn es doch notwendig ist und ich keine Wahl habe. Der Angestellte antwortete, die Kontoführungsgebühren seien ja mit 5,20 € sowieso schon so niedrig, davon müßten ja Angestellte, Filialen und Technik bezahlt werden. Äh ... daß ich nicht lache. Ich gehe davon aus, daß diese Kosten viel stärker durch Zinsgewinne gedeckt werden als durch die läppischen Kontoführungsgebühren. Die dürften dagegen eher nur ein kleines Zubrot sein.

Dann meldete ich Zweifel an. Wie soll das mit der SMS-TAN gehen, wenn ich an einem Ort bin, an dem ich (mit T-D1) keinen Handy-Empfang habe? Der Angestellte meinte, dann hätte ich ja auch kein Internet. m( — Ja nee is klar. Ich kann mich sicher nirgends bei Bekannten an den Router klemmen, um eine Kabel- oder DSL-Leitung mitzunutzen. Internetcafés hat auch noch keiner erfunden. Und wenn mein UMTS-Stick (E-Plus) Empfang hat, ist noch lange nicht garantiert, daß ich auch T-D1 empfangen kann. Hier mitten in Düsseldorf ist das natürlich kein Thema, aber für unterwegs wäre ich mir da nicht so sicher, ob ich die SMS auch wirklich immer bekomme.

Dazu kommt noch etwas anderes, das hatte ich dort gar nicht angesprochen: Auch wenn es meistens funktioniert, muß doch klar sein, daß SMS kein Echtzeitmedium ist. Wenn in dem Bereich, in dem ich mich gerade aufhalte oder irgendwo unterwegs von der Absendestation zu mir aus irgendwelchen Gründen das Netz überlastet oder gar völlig ausgefallen ist, kann es Stunden dauern, bis die SMS ankommt. Und wenn sie in ein Timeout läuft, also zu alt ist (üblicherweise nach 48 Stunden), wird sie nicht mehr weiter gespeichert, sondern ganz verworfen. Ob die 9 Cent in diesem Fall auch vom Konto abgezogen werden, ist völlig unklar.

So ganz nebenbei: Daß SMS-Kurznachrichten nicht verschlüsselt sind, stört mich bei der Sache auch, obwohl der Angestellte meinte, die übermittelte TAN werde aus der eigenen Kontonummer, der des Empfängers und noch ein paar anderen Daten berechnet. Zwar kann man die in den meisten Fällen nicht nachvollziehen, weil das Online-Banking über https läuft, aber wohl ist mir bei dieser unverschlüsselten Übertragung trotzdem nicht.

Für unterwegs kommt also vermutlich nur der TAN-Generator in Frage, auch wenn er im Vergleich mit den SMS-TANs auch auf längere Sicht für mich teurer ist. Ich überweise händisch derzeit normalerweise nur die Miete, weil ich bei einem Dauerauftrag nie sicher sein kann, ob das Geld vom Amt (egal welchem jetzt) pünktlich ist; setze ich den Dauerauftrag beispielsweise auf die zweite Woche des Monats, mögen das verständlicherweise die Vermieter nicht so gerne. Ansonsten kommen noch gelegentlich einzelne Überweisungen dazu, wenn ich irgendwo was online kaufe.

Wenigstens über die Ansteuerung des TAN-Generators muß ich mir wohl keine Gedanken machen. Der soll funktionieren, indem man ihn vor den Bildschirm hält, wo er die Daten direkt ausliest, aus welchen er die TAN bilden soll. Ich hoffe, man hat das auch mit älteren Notebooks getestet, sodaß es wegen der Auflösung keine Probleme gibt.

Die größte Frage ist für mich jedoch, wie kann es sein, daß ich als Kunde für eine notwendige Sicherheit, für die die Bank meiner Ansicht nach von selbst zu sorgen hat, extra bezahlen muß, und dann auch noch abseits der Kontoführungsgebühren? Ist nicht die Bank dafür zuständig, dafür zu sorgen, daß die Sicherheit ihrer Transaktionen möglichst hoch ist? Denn ihr Ruf leidet, wenn auffliegt, daß Überweisungen manipuliert werden können, nicht die der Kunden. Verbraucherfreundlich ist diese Wahl zwischen „bezahlen oder bezahlen” jedenfalls nicht.

[Update 2011-05-28 11:23] Im Zonenblog gibt es hierzu auch einen sehr ausführlichen Artikel mit interessanten Kommentaren: Wie die Sparkasse sich ihre Sicherheit von den Kunden bezahlen lässt. [/Update]

9 Kommentare zu “Sparkasse: Sicherheit kostet extra”

  1. mxey quakte:

    Wenn die Sparkasse in Düsseldorf die gleichen TAN-Generatoren wie in Mönchengladbach benutzt, dann kann man auch ein paar Zahlen eintippen anstatt das Gerät vor den Bildschirm zu halten.

    Zu niedrigen Auflösungen kann ich nichts sagen, aber manchmal dauert es mir einfach zu lange, so dass ich inzwischen die manuelle Methode bevorzuge.


  2. Lars quakte:

    Deprimierend finde ich dabei, daß wir, die wir unser Online-Banking durch unser Wissen auch mit normalen TANs sicher durchführen können, für »verbesserte Sicherheit« (und IMHO umständlichere und weniger datensparsame Methoden) der anderen bezahlen müssen.

    Wobei den Allesanklickern und Alleseintippern mit diesen neuen Methoden nur Sicherheit vorgespielt wird. Denn die Trojanerautoren haben ihre Schädlinge natürlich schon schlau auf Chip-TAN vorbereitet.

    Und bei SMS in GSM-Netzen sollte einem spätestens nach Chaosradio Express 179 unwohl sein.

    Bei dem vielen Geld, das die Banken durch diverse Betrügereien verlieren (und durch hohe Gebühren einnehmen), sollte es eigentlich mit drin sein, die Kurzmitteilungen und/oder den TAN-Generator kostenlos anzubieten.

    Aber am besten wäre es natürlich, den informierten Nutzer einfach das von ihm bevorzugte Verfahren selbst wählen zu lassen statt einer Zwangsumstellung.


  3. reisub quakte:

    Seltsam mit den hohen Gebühren für die SMS. Ich bin ebenfalls bei der Sparkasse, aber habe einige SMS pro Monat frei (kA wieviele, aber mindestens 5, hab das noch nie ausgereizt).

    Und wegen der Sicherheit von SMS-TAN musst du dir keine Gedanken machen. Die TAN ist soweit ich weiß ein Hash aus einigen Überweisungsspezifischen Daten. Außerdem ist jede TAN nur ein paar Minuten gültig. D.h. die TAN, die dir geschickt wird, ist nur ein paar Minuten nur für diese eine Überweisung, für die du sie angefordert hast gültig.

    MfG reisub


  4. frosch quakte:

    @Lars: War das Problem mit den TAN-Listen (auch denen, bei denen mir die Nummer der einzugebenden TAN erst während der Transaktion vorgegeben wird) nicht, daß die TAN berechenbar ist? Ich bin nicht 100%ig auf dem Laufenden, muß ich zugeben.

    Über Twitter wurde mir mittlerweile die angeblich völlig kostenlose Comdirekt-Bank empfohlen. Ich werde die jedenfalls mal ein bißchen abklopfen.


  5. frosch quakte:

    @reisub: Das heißt dann aber auch: Kommt die SMS nicht rechtzeitig an, was ja durchaus mal passieren kann, dann gibt’s unter Umständen Streß, ja? Von Frei-SMS hat mir der Angestellte jedenfalls nichts gesagt. Über fünf manuelle Überweisungen pro Monat komme ich nur äußerst selten, die regelmäßigen Sachen außer Miete laufen über Daueraufträge bzw. Lastschrift-Einzug.


  6. DerMaex quakte:

    Das mit der SMS ist ja wirlich eine überschlaue Idee….. ich bin sehr viel im Ausland, und führe auch Überweisungen durch, wenn ich im Ausland bin. Da ständig irgendwelche Roaming-Gebühren für Überweisungs-TANs zu bezahlen finde ich nicht witzig. Und irgendso einen TAN-Generator ständig mitzuschleppen ist auch mehr als lästig.

    Da lob ich mir doch unsere guten, alten, spanischen Banken, wo das noch alles schön altmodisch funktioniert….

    Ich würde das auch dann als lästig empfinden, wenn der Generator von der Bank gratis zur Verfügung gestellt werden würde, oder die SMS gratis verschickt werden würde, aber dafür noch extra zu bezahlen würde mich schon alleine aus Prinzip ob der Frechheit mir nicht die Wahl zu lassen die Kündigung des Kontos einleiten lassen. – Ich gebe aber zu bei solchen Sachen manchmal auch ein wenig kleinlich zu sein. ;))


  7. Andre quakte:

    Bei uns gibt es die TAN-Generatoren kostenlos für unsere Kunden, da diese ja quasi gezwungen sind dies zu nutzen.

    Alle Sparkassen sind davon im übrigen auch nicht begeistert, aber die Vorgabe macht die Finanz Informatik, die das alte Verfahren abgekündigt hat.

    Wobei alle Filialen da i.d.R. Spielraum haben mit den Gebühren, sicher auch in anderen Instituten 😉


  8. Petek quakte:

    Hallo Frosch,
    das SMS-Verfahren nutze ich schon länger bei einer anderen Bank. Für die SMS muss ich dort allerdings nicht bezahlen. Die SMS ist zwar unverschlüsselt. Da die TAN nur für die von mir eingegebene Transaktion gültig ist (BLZ, Konto und Betrag stehen zur Kontrolle ebenfalls in der SMS), sehe ich da kein Risiko für mein Konto, allenfalls das Problem, dass die Information wem ich überweise keinen etwas angeht…
    Gut wäre es, wenn die Banken endlich die richtigen HBCI-Chipkarten mit sicherem Kartenleser fürs Onlinebanking ohne Zusatzkosten herausgeben würden, statt weiter am PIN/TAN-Verfahren herumzubasteln. Nachteil für den Anwender: Man muss fürs Onlinebanking immer Karte und Kartenleser zur Hand haben. Das würde ich der Sicherheit wegen vorziehen.
    Gruß Petek


  9. Wolfgang quakte:

    Als Bankangestellter kann ich nur sagen, dass die Gebühren für die SMS für uns eine willkommene zusätzliche Einahmequelle zur Deckung von Fixkosten ist. Natürlich haben wir mit unseren Providern SMS-Flatrates, sodass unsere Kosten gleich Null sind.
    Leider scheinen einige Probleme zu machen. Kündigngsandrohungen hat es auch schon gegeben.
    Wir werden den Kunden, die Einspruch einlegen, wohl entgegenkommen.


Kommentieren

Bitte beachte die Kommentarregeln!

XHTML: Du kannst diese Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>