Hallo, eine alte Tante gab Telefonbetrügern ihre Bankdaten, und die Betrüger räumten eine gewaltige Summe von ihrem Girokonto ab. Weil die Tante mit der Behandlung durch die Bank auch unzufrieden war, wechselt sie jetzt zu einer anderen örtlichen Bank; die Tante hat dort bald einen Kontoeröffnungstermin. Sie weiß schon, dass per „Umzugsservice“ alle Lastschriften und Daueraufträge auf ihr neues Konto übertragen werden.
Soll die Tante der neuen Bank sagen, dass ihr altes Bankkonto von Betrügern leergeräumt wurde? Sie will es nicht, weil sie sich schämt. Aber brächte eine Offenlegung nicht diverse Vorteile? Vermutlich bekommt sie Zwei-Faktor-Authentifizierung mit Fingerabdruck am Handy (so habe ich das verstanden, aber sie gebrauchte auch das Wort „PushTAN“).
Danke für Eure Meinung!
Hintergründe:
Das Geld, das vom alten Konto gestohlen wurde, ist jetzt offenbar irgendwo eingefroren, aber nicht erreichbar, weder für eine Bank noch für Polizei oder Rechtsanwalt (alle sind eingeschaltet).
Die alte Bank war die örtl. Filiale der Commerzbank. Die hat sich teils ungut verhalten, hatte vor Ort keinen Handlungsspielraum – alles läuft letztlich über Frankfurt – und die Zentrale in Frankfurt hat Wichtiges wochenlang nicht bearbeitet: wichtige Einschreiben nach Frankfurt erschienen im PC vor Ort noch nach Wochen als „unerledigt“. Die Commerzbank hat teilweise nach dem Betrug „aus Sicherheitsgründen“ allerlei Überweisungen nicht ausgeführt, ohne dies zu kommunizieren, auch Überweisungen ans Finanzamt und Klein-Transaktionen wurden stillschweigend nicht ausgeführt.
Die neue Bank ist eine Stadtsparkasse, da hat man laut Tante seinen persönlichen festen Wunschberater und eine viel bessere persönliche Ansprache (und viel höhere Gebühren).
Die Tante (85) kann an sich mit Homebanking, PC und Handy umgehen, zumindest in den letzten 20 Jahren hat es immer geklappt.
Die Sparkasse bietet eine Dienstleistung an. Nämlich das Halten eines Bankkontos und das Ausführen von finanziellen Transaktionen. Die Tante hat den dafür vereinbarten Preis zu entrichten und sich an die Vereinbarungen zu halten, nämlich das Konto nicht weiter als zum vereinbarten Rahmen zu überziehen und die Zugangsdaten vertraulich zu behandeln.
Was sollte es die neue Bank interessieren, was in der alten Bank war?
In meinen Augen ist die Push-TAN das Einfallstor für Onlinebanking-Betrug, weil man so aus der Ferne Transaktionen auslösen kann in Kenntnis von NetKey und PIN. Wenn dann auch noch beide Anwendungen auf dem gleichen Smartphone laufen, würde ich keinesfalls mehr von 2FA (Zwei Faktor Authentifizierung) reden…
Und dennoch ist genau das die Definition: unterschieden wird zwischen wissen, haben und sein. In dem von Dir beschriebenen Fall ist das Wissen über Benutzername und Passwort erforderlich sowie zusätzlich das „Haben“ - nämlich der Besitz des Mobiltelefons. Im günstigsten Fall kommt hier mit Fingerabdruck oder Gesichts zum Entsperren des Mobiltelefons sogar noch der dritte Faktor hinzu.
Die sogenannte Starke Kundenauthentifizierung (=2FA) ist im elektronischen Zahlungsverkehr aufgrund der Payment Service Directive 2 seit 2019 Pflicht.
In der Praxis kann man das homebanking aber auch aus dem firefox auf dem Handy erledigen. Das ist ja damit gemeint. Heutzutage haben die meisten Banken ohnehin Apps, mit denen man die Bankgeschäfte erledigen kann und da findet auch in der Regel keine weitere Authentifiziereung über das Handy hinaus statt.
Was halt schon die Kundenauthentifizierung (=2 Faktorauthentifizierung) darstellt. Insofern nichts neues. Damit beziehe ich mich auf
Im Übrigen ist es auch nicht so, dass man zwingend den Fingerabdruck braucht/verwenden muss. Es besteht immer die Möglichkeit, Handy und APP mit Passwort/PIN zu entsperren/öffnen. Wie das geschieht, stellt der Handybesitzer/Kunde ein.
Für den Fall, dass es noch nicht deutlich rübergekommen ist: das, was da früher mal vorgefallen ist, geht das neue Kreditinstitut nichts an und dort kann mit dieser Information auch niemand etwas anfangen. Allenfalls könnte es sein, dass die neue Bankverbindung nicht zustande kommt, wenn „die Sparkasse“ davon erfährt bzw. davon, wie die potentielle Neukundin das Verhalten der bisherigen Bank in dem Kontext bewertet.
Bei der Push-TAN muss man wie gesagt sehr genau hinsehen, was genau man gerade für einen Auftrag frei gibt. Insbesondere, wenn man mit einem „Mitarbeiter“ der Hausbank telefoniert.
Mich interessiert, was Du unter „Konto abräumen“ verstehst.
War das per Überweisung?
Ich frage deshalb, weil bei meinem Girokonto zu einer Ü. immer auch eine TAN gehört. Selbst wenn Betrüger Netkey + PIN hätten, sind ohne TAN nur Kleinbeträge (bis 50 € ?) per Überweisung möglich.
Des weiteren kann man eine TAN nur für die aktuelle Überweisung generieren - nicht im voraus.
Bei meinem Konto kann ich auch einen Maximalbetrag pro Tag
für Überweisungen einstellen (der sich jederzeit per TAN ändern läßt, falls ich mal einen höheren Betrag überweisen möchte).
Ich bin allerdings technisch hinterm Mond und benutze Photo-TAN. Ich muß aber auch nicht überall und jederzeit Überweisungen schreiben.
Jetzt frage ich mich, wie ist es möglich, daß Betrüger ein Konto ohne TAN „abräumen“ können.
Push-TAN ist das Verfahren, welches die Sparkasse verwendet: wenn man sich mit NetKey und PIN angemeldet hat, wird über die Push-TAN App eine Freigabe erbeten. Hierzu bedarf es keines physischen Zugangs zum Smartphone oder Rechner des Angegriffenen. Man meldet sich aus der Ferne mit NetKey und PIN an und muss den Bankkunden nur irgendwie um seine Einwilligung in die Freigabe der auf dem Smartphone angefragten Push-TAN bitten. In der Regel geschieht das bei einem Anruf, wo man vorgibt, Mitarbeiter der Bank zu sein.
Auf diese Art und Weise lässt sich übrigens auch das Überweisungslimit erhöhen (evtl. wird dabei zusätzlich noch die EC-Kartennummer abgefragt).
Photo-TAN halte ich demgegenüber für wesentlich sicherer, weil man hier mit seinem Lesegerät vor dem Computer sitzt, der nach der Transaktion fragt und „sieht“ worum es geht. Ich nutze das selbst auch bei der ING. Kritisch finde ich da bloß, dass in meiner Software „Star Money“ zweimal die TAN abgefragt wird beim Kontenrundruf: einmal für das Wertpapierverrechnungskonto und bei zweiten Mal zum Zugriff auf das Wertpapierdepot. Theoretisch könnte sich hier ein Hacker in die Kommunikation einhacken (sog. Man in the Middle) und mit der zweiten TAN eine Freigabe für eine betrügerische Transaktion erwirken. Hierzu wird auf dem Display des Lesegeräts allerdings auch angezeigt, zu was die Transaktion gerade dient…
Die Apotheker- und Ärztebank (Apobank) hatte ursprünglich auch das Photo-TAN Verfahren verwendet und dann ihre App stillschweigend auf Push-TAN umgestellt. Ich halte das für einen fatalen Fehler: auf der Website gibt es mittlerweile eindringliche Warnungen vor Betrugsversuchen. Offiziell wollen sie sich dazu nicht äußern.
Und Du meinst, dass eine Person, die eine TAN, die auf ihrem Handy erscheint, an eine Person am Telefon weitergibt, nicht auch den Auftrag am eigenen Handy bestätigen würde, wenn sie von einer vermeintlich vertrauenswürdigen Person am Telefon dazu aufgefordert wird? Der Gegenstand der Transaktion (also Betrag, Zielkonto etc.) wird ja bei beiden Verfahren auf dem Handy angezeigt.
Ich kenne nicht alle Einzelheiten. Es gab einen Telefonkontakt und das Vortäuschen eines bevorstehenden Konto-Hacks, sofern nicht… was genau, weiß ich nicht, und dann war das Geld weg.
Ich habe noch gelernt, dass zum Melden dieser Straftat die Banken routiniert Vordrucke aus Schublade 31c fischen und die Polizei spezialisierte (aber scheint’s machtlose) Sonderabteilungen hat.
Aber darum ging es bei meiner Frage nicht. Die Frage war, ob man der neuen Bank (SSK) wohl erzählen sollte, dass man bei der alten Bank (Commerzbank) einem Telefonbetrüger aufgesessen und mit der weiteren Handhabung der Straftat durch die alte Bank sehr unzufrieden war.
Ich glaube nicht, dass die Erzählung von dem Betrug das neue Konto sicherer macht. Ist ja nicht so, dass der Bankmitarbeiter sagt: Ok, dann sorge ich dafür, dass Sie bei uns doppelt geheime Passwörter kriegen…
Den Tipp von Gudrun mit dem Tageslimit bei Überweisungen halte ich für gut. Auch wenn Betrüger auch das wieder umgehen können, ist es wieder ein Schritt mehr. Und führt auch dazu, dass eine Überweisung mit einer vertippten Null zu viel (z. B. 2000 statt 200) nicht ausgeführt wird
Ansonsten helfen nur Tipps wie „Bei Anrufen von angeblicher Polizei oder Mitarbeitern niemals sofort Geld überweisen, Ruhe bewahren, die Sache immer erst mit einer Vertrauensperson besprechen“.
Wenns passiert ist, können ja offenbar weder Bank noch Polizei das Geld wiederholen. Vor ca. einem Jahr habe ich ja bedauert, dass man Überweisungen, die z. Teil eh erst am nächsten Tag ausgeführt werden, nicht innerhalb von z. B. 15 min rückgängig machen kann.
Der Normalfall ist nicht nur, dass elektronisch erfasste Überweisungen praktisch sofort ausgeführt werden, sondern innerhalb von Minuten auf dem Konto des Empfängers sind. Spätestens ab dem 9. Oktober wird sich dieser Zeitraum auf Sekunden verkürzen und zwar unabhängig von Uhrzeit und Wochentag.
Mir ist nicht klar, was das bringen soll. Der alten Dame wird nach 3, 5 oder 8 Minuten nicht klarer gewesen sein, dass sie auf Betrüger reingefallen ist und genauso sollte man halt nicht erst nach dem Absenden einer Überweisung anfangen, Empfänger, Betrag und Verwendungszweck zu kontrollieren.
Kommt darauf an, was man normal findet. Abends und am Wochenende passiert eben Stunden oder gar Tage erst mal nix, und genau das sind z. B. bei mir die Zeiten, an denen ich Zeit habe zu überweisen. (aha, das wird sich also in ein paar Monaten ändern)
Also kundenfreundlich wäre es, wenn man einstellen könnte zwischen „Sofort überweisen“ und bestimmten Wartezeiten. Wenn man die auf drei Stunden einstellen könnte, könnte so eine Dame ihre Nichte anrufen, und die könnte dann sagen: Liebe Tante, stornier das sofort, dass ist zu 99 Prozent eine Falle!
Ob die Überweisung für den neuen Stützstrumpf von Tante Emma um 11.03 Uhr oder um 14.03 Uhr rausgeht, ist nämlich völlig egal.
Und wenn sie um 20.07 Uhr überweist, dann gibt es noch nicht einmal irgend eine Verzögerung.
Der Empfängername ist ja vollkommen egal, das Banksystem geht nur nach IBAN. Wenn also Tante Emma richtig „Stützstrumpf GmBH“ geschrieben hat, dann aber leider die IBAN vom ihrem bösartigen Schwiegersohn, geht das Geld da trotzdem problemlos an den Schwiegersohn.
Ja, das wäre wohl das Optimum, um jedem Interesse gerecht zu werden (wenn man von den organisatorischen bzw. finanziellen Interessen der Zahlungsdienstanbieter).
Wobei sich dann wieder die Frage stellt, warum die Dame nicht direkt die Nichte anruft bzw. warum die Leute ihre Eingaben nicht direkt kontrollieren, anstatt später zu bemerken, dass sie sich vertippt haben.
Das ist letztlich das Grundproblem: man erwartet, dass die Kreditwirtschaft Probleme löst, die ohne unvorsichtige bzw. nachlässige Kunden nie entstehen würden.
Vor knapp 30 Jahren war ich fest davon überzeugt, dass online-Banking wegen der Sicherheitsbedenken der Kunden niemals ein Massenphänomen werden würde. Heute nutzen die Leute nicht nur massenweise online-Banking, sondern sie sind selber das größte Sicherheitsrisiko, denn Tatsache ist auch, dass praktisch alle Betrugsversuche zum Scheitern verurteilt wären, wenn sich die Menschen an die einfachsten Regeln halten würden.
Nebenbei: Paypal erfreut sich größter Beliebtheit, obwohl da das Risiko viel größer ist als bei jeder bankbasierten Zahlung. Allein schon, weil ein simpler Schreibfehler oder ein Irrtum bei der TLD dafür sorgt, dass die Kohle weg ist. Ohne jede Sicherheitsabfrage, ohne jede Prüfziffer, ohne irgendeine Möglichkeit, das Geld zurückzuholen.
Ich sehe da keinen substantiellen Unterschied. Wie gesagt: wer eine eintreffende TAN einer fremden Person am Telefon nennt, der lässt sich auch davon überzeugen, das Photo-TAN durchzuführen. Ich persönlich wäre allerdings sowieso lieber bei den TAN-Listen geblieben. Mir ist kein Fall bekannt, in dem sich ein Täter Benutzername und Passwort verschafft hätte und dann gezielt in eine Wohnung/ein Haus eingebrochen wäre, um sich auch noch die TAN-Liste anzueignen.
Du tust ja gerade so, als ob sich sämtliche Sparkassen und die Apo-Bank für ein unsicheres TAN-Verfahren entschieden hätten.
Danke für die Aufklärung.
Bei @Fips liest sich das so, als ob man bei push-TAN nur bestätigen müßte, ohne zu wissen, was und wofür.
Wenn ich das richtig verstanden habe, dann wird bei push-TAN von der Spk-Software die TAN automatisch im Hintergrund generiert, wohingegen ich bei photo-TAN fünf(!) Handgriffe selber machen muß: Lesegerät in die Hand nehmen, Karte einstecken, Taste drücken, „Foto machen“, Taste drücken.
Ich kann mit photo-TAN auch aus der Ferne Überweisungen veranlassen. Das Lesegerät ist so klein wie eine Zigarettenschachtel, halb so dick, und paßt in jedes Handtäschchen.
Das hat doch jede Bank auf ihrer Website. Und jede Bank hat auf ihrer Website Sicherheitshinweise, z.B. daß die Bank niemals Kunden anruft, um Daten oder TANs(!) zu erfragen.
Bei so einem Anruf aus heiterem Himmel - ohne daß Du grad selber eine Ü. veranlassen wolltest - wirst Du nicht stutzig?
und benutze Photo-TAN. Ich muß aber auch nicht überall und jederzeit Überweisungen schreiben.