Ja, ich bin bekennender Nutzer von Online-Banking. Nein, ich sehe da keinen Widerspruch zum Thema Sicherheit. Das mag mancher für blauäugig halten, jedoch gibt es durchaus einige Schutzmaßnahmen, die zum Thema Sicherheit beitragen:
- Nutzung nur von Endgeräten mit aktuellen Patches, Sicherheitsfixes, Updates und natürlich aktivem und aktuellem Virenscanner
- Nutzung (und Kontrolle bei jeder Nutzung) von verschlüsselten Verbindungen im Browser zum Banking-Portal
- Kein Online Banking über öffentliche Hot Spots
- Trennung von Banking App und TAN Generator auf verschiedenen Endgeräten
- und viele mehr.
Doch was nützt es, wenn diese Maßnahmen durch banale Dinge unterlaufen werden?
Meine Nachricht an die Bank vom 11.08.2016:
“Sehr geehrte Damen und Herren! Es ist sehr unglücklich, dass bei der SMS TAN die TAN direkt zu Beginn der Nachricht steht. Auf einem iPhone wird bei aktivierter SMS Anzeige im Sperrbildschirm somit jedem die TAN angezeigt, der das Gerät in den Händen hält. Das hebelt den eigentlichen Schutz ja wieder aus.”
Ich war etwas überrascht, meine Bank reagierte noch am selben Tag:
“Sehr geehrter Herr Kuhrau,
vielen Dank für Ihre Nachricht.
Sie haben eine Frage zum mTAN-Verfahren, die wir Ihnen gerne beantworten. bei Smartphones mit dem Betriebssystem iOS oder Android haben Sie die Möglichkeit, die Anzeige der Nachrichten im Sperrbildschirm auszublenden. Somit wird Ihnen angezeigt, von wem Sie eine Nachricht erhalten haben allerdings ohne den Inhalt der Nachricht.
Bei weiteren Fragen sind wir gerne Ihr Ansprechpartner. Sie erreichen unsere Kundenbetreuung Montag bis Samstag von 07:00 bis 22:00 Uhr telefonisch unter xxx-xxxxxxxx. Bitte halten Sie für Ihren Anruf Ihre Kundennummer und Ihre Telefon-PIN bereit.
Gerne können Sie uns direkt auf elektronischem Weg auf dieses Schreiben antworten. Wählen Sie hierfür bitte unter dem Menüpunkt »Aktion« das Feld »Antworten«.Mit freundlichen Grüßen
Ihre Bank”
Das hat mich dann nun doch etwas erstaunt. Von einem anderen Kreditinstitut weiß ich, dass diese dort auch aufgetretene “Sicherheitslücke” mit wenigen Klicks seitens der Bank behoben wurde. Diese Bank sieht das etwas anders. “Schalten Sie doch einfach eine Standardfunktion ihres Telefons aus, dann müssen wir uns nicht mit diesem Problem rumschlagen!”, zumindest war das mein Empfinden.
Unbeirrt und zuversichtlich habe ich noch mal freundlich nachgehakt:
“Hallo! Danke für die schnelle Antwort. Ja, die Funktion ist mir bekannt. Stellt sich die Frage, was ist sicherer: darauf zu hoffen, dass Ihre Kunden mit SMS TAN die Benachrichtigung für den Sperrbildschirm ausschalten (womit auch alle anderen Infos und Nachrichten wegfallen, was eine erhebliche Einschränkung der menschlichen Komfortzone bedeutet — in der Praxis wissen wir, wie das ausgeht 🙂 ) oder von Ihrer Seite aus (wie andere Bankinstitute es bereits machen) den Platzhalter für die TAN in der SMS Maske einfach ans Ende in der Textvorlage verschieben?”
Klar, die Benachrichtigungen können im Sperrbildschirm deaktiviert werden. In diesem Fall dann für alle SMS (eine Filtermöglichkeit ist mir nicht bekannt). Für einige Anwender ist SMS eh “old school”, von daher wäre die Deaktivierung für sie zu verschmerzen. Doch gerade die “old school”-Generation abseits von Apps und Whatsapp tut sich damit sicher schwer. Hinzu kommt, dass nicht jeder Nutzer so firm ist, dass er weiß, wo und wie er diese Nachrichten abstellt.
Nun, Antwort bisher keine. Ich halte Sie auf dem Laufenden.
Wie hält es Ihre Bank mit der Sicherheit von SMS TAN?