TAN-Liste ohne Sichtschutz

Hallo Leute!

Ich habe gestern eine neue TAN-Liste von meiner Bank zugeschickt bekommen.
Negativ erstaut war ich allerdings, daß es diesmal nur ein einfaches Blatt in einem einfachen Umschlag war?!?!? Vor die Lampe gehalten konnte ich TANs durchlesen.
Bisher kamen die TAN-Listen immer in einem sichtgeschützten Umschag und das, Blatt auf dem sie standen, war nochmal mit einem Sichtschutz perforiert.

Gibt es dahingehend irgendwelche Vorschriften, an die die Bank sich halten muß? Kann ich auf einem sichereren Sichtschutz bestehen?

Oder hab ich nur die Wahl zwischen hinnehmen, auf Online-Banking verzichten oder Wechseln der Bank?

In der Hoffnung auf Eure Tips

Gruß
Hans

Hallo,
ich bin kein Bankfachmann, aber eine TAN-Liste habe ich noch nie anders als im innern eines geschwärzten, unsichtbar bedruckten Spezialumschlages bekommen. Nicht mal die Bankangestellten könnten das lesen, ohne den Umschlag zu öffnen (was nicht ohne offensichtliche Spuren geht).
Wenn Du da eine offen Liste auf Normalpapier bekommen hast: ist das evt. nur das innere des Umschlags und jemand hat ihn geöffnet? Da würde ich doch mal VOR AKTIVIERUNG bei der Bank nachfragen. Und wenn die sagen, daß das normal ist, sofort kündigen. Wobei man da auch zusätzlich mal einem Reporter von erzählen könnte.
Gruß
Axel

Hi,

normal ist das tatsächlich nicht und an deiner Stelle würde ich auch die Bank wechseln, nicht ohne den Hinweis warum du das tust.

Die deutschen Banken haben sich eigentlich verpflichtet diese TAN-Listen entsprechend sicher, und damit meinen die eben einen Umschlag an dem man von aussen nichts erkennen kann und an dem man erkennen könnte wenn daran manipuliert wurde, zu verschicken.

Grüße
Michael

Hi

Oder hab ich nur die Wahl zwischen hinnehmen, auf
Online-Banking verzichten oder Wechseln der Bank?

Hast Du bei Deiner Bank nachgefragt oder willst Du gleich eventuell mit Kanonen auf Spatzen schießen?

In der Hoffnung auf Eure Tips

Anruf bei der Bank mit der Bitte um Klärung.

Nachdrücklich kannst Du dann notfalls immer noch werden, wenn das bei Deiner Bank in Zukunft der Normalfall sein sollte, daß die TAN-Liste ohne geeigneten Sichtschutz verschickt wird.

Gruß
Edith

Danke für Eure Antworten.

Ich will natürlich nicht mit Kanonen auf Spatzen schießen.
Aber bevor ich eine Institution direkt kontaktiere, um meine Interessen zu
vertreten, informiere ich mich lieber erstmal ein wenig über die jeweilige
Problematik.
Sonst können sie mich ja mit sonstwas abspeisen (oft genug erlebt).
Ein paar stichhaltige Argumente bei einer Diskussion sind nicht zu verachten.

Ich hätte halt gern gewußt, ob ich sagen kann: „Das dürft Ihr laut xyz
gar nicht so machen.“ oder lediglich: „Ich will nicht, daß Ihr das so macht.“

Gruß
Hans

Unglaublich,
schau doch mal auf dein Konto, ob noch alles so ist wie erwartet.
Und lass uns doch mal wissen wie die Sache ausgeht.

Hallo,

ich kann leider nichts zur Lösung beitragen, aber wenn ich mich recht erinnere, verschickt die Bank, bei der wir unser Haushaltskonto haben (Stadtsparkasse Köln-Bonn) die TANs seit neuestem ebenfalls so.

Gruß,

Myriam

Rückfrage
Hallo Myriam,

ich kann leider nichts zur Lösung beitragen, aber wenn ich
mich recht erinnere, verschickt die Bank, bei der wir unser
Haushaltskonto haben (Stadtsparkasse Köln-Bonn) die TANs seit
neuestem ebenfalls so.

und das ist Dir egal?
Gruß
Axel

Hallo,

Ein paar stichhaltige Argumente bei einer Diskussion sind
nicht zu verachten.

‚das ist völlig unsicher und deshalb inakzeptabel‘ reicht nicht? Kommt dann demnächst die Pin für die EC-Karte per Telefonansage?
Gruß
Axel

und das ist Dir egal?

Ehrlich gesagt ist mir nocht aufgefallen, dass die TANs von außen sichtbar waren. Es ist die Frage, was risikoreicher ist:

A. ein absolut blickdichter, aber vom geübten Auge als TAN-Listensendung zu erkennender Brief
B. ein normaler Brief, der aussieht wie jede andere (Werbe)Sendung dieser Bank, bei dem unter Umständen durch Gegen-das-Licht-Halten die eine oder andere TAN zu erahnen ist

Was soll denn jemand mit den TANs machen? Wer eine ungebrauchte TAN-Liste missbrauchen will, braucht ja folgendes:

  • Dein Login zum Internetbanking (Benutzername neuerdings nicht mehr die Kontonummer) mit der PIN
  • eine TAN der alten Liste, um die neue Liste zu aktivieren

Da muss also schon ein bißchen mehr schiefgehen als der durchsichtige Umschlag.

Gestern war irgendwo im Fernsehen ein Bericht über neue Sicherheitsmaßnahmen beim Onlinebanking (ich glaube im Zusammenhang mit den allgegenwärtigen Phishing-Mails). Da wurde von einigen neuen Konzepten berichtet, die die Sache sicherer machen sollen. Unter anderem sollen die Benutzer Zeiten festlegen können, zu denen Zugriff möglich ist. Weiterhin gibt es ein System, welches jedem Vorgang eine bestimmte TAN zuordnet (die TANs sind dann durchnummeriert). Da wird dann für eine Überweisung z.B. TAN #25 verlangt, und es geht dann auch nur mit der, nicht mit irgendeiner.

Gruß,

Myriam

Ergebnis
Hallo Leute!

Nachdem ich gestern ausführlich mit meiner Bank telefoniert hatte, haben sie die TAN-Liste gesperrt und schicken mir eine neue zu - mit einem undurchsichtigen Einleger im Umschlag.
Sie sind gerade noch in der Einführungsphase des iTAN-Verfahrens und die genrelle Umstellung auf komplett schichtgeschützte Umschläge wäre systembedingt nicht ohne weiteres möglich.
Wer sich was dabei gedacht hat (oder eben nicht) wollte man mir natürlich nicht beantworten, doch das neue Verfahren brächte ein solches Plus an Sicherheit, daß niemand etwas allein mit ein paar TANs anfangen könne.
Aber das Problem sei bekannt und bereits in Arbeit.

Naja, bis meine nächte Liste fällig wird, haben sie’s dann wohl gelöst.

Gruß
Hans

Hallo,

A. ein absolut blickdichter, aber vom geübten Auge als
TAN-Listensendung zu erkennender Brief
B. ein normaler Brief, der aussieht wie jede andere
(Werbe)Sendung dieser Bank, bei dem unter Umständen durch
Gegen-das-Licht-Halten die eine oder andere TAN zu erahnen ist

wenn eine tanliste verloren geht, bestellt man eben eine neue. Wenn man erkennt, daß sie jemand anders geöffnet hat, auch. Wenn man das gar nicht erkennen kann, benutzt man sie. Und wenn jemand z.B. per Phishing oder Mitlauschen der Verbindung die übrigen Anmeldedaten bekommen hat, macht er mal eine kleine Überweisung.
Das notwendige Aktivieren der Liste ist nur dann ein Schutz, wenn die Liste geklaut wurde oder man das Mitlesen erkennen kann, sonst kann man sich das sparen.

Was soll denn jemand mit den TANs machen? Wer eine
ungebrauchte TAN-Liste missbrauchen will, braucht ja
folgendes:

Was soll denn jemand mit einer EC-Karte anfangen, ere braucht ja noch die Geheimnummer. Wozu bruacht man überhaupt Tans, wenn man doch ohne Zugangsdaten gar nichts damit machen kann?
Klar ist das Gürtel und Hosenträger gleichzeitig. Aber die Praxis zeigt eben, daß es sich hier lohnt.

Da wurde von einigen neuen Konzepten berichtet, die die Sache
sicherer machen sollen.
Unter anderem sollen die Benutzer
Zeiten festlegen können, zu denen Zugriff möglich ist.

Toll. Und was ist dadurch sicherer? Haben Hacker tagsüber keine Zeit für sowas?

Weiterhin gibt es ein System, welches jedem Vorgang eine
bestimmte TAN zuordnet (die TANs sind dann durchnummeriert).
Da wird dann für eine Überweisung z.B. TAN #25 verlangt, und
es geht dann auch nur mit der, nicht mit irgendeiner.

Was auch nur bedeutet, daß man bei drei bekannten Tans einer Hunderterliste im Durchschnitt 33 Versuche benötigt, wo vorher einer reichte. Ist aber nur eine kleine Schwelle.

Btw., bei einer lesbaren Liste kann man die Vornummer der Tan auch lesen.

Btw., eine Vergrößerung der Tans auf acht Stellen wäre die Sicherheit genauso gewachsen.

Btw., mit einer Karte und entsprechendem Lesegerät wären all diese Klimmzüge gar nicht notwendig. Solange dann nicht die Karte geklaut wird, auf der sich wer die Zugangsdaten notiert hat…

Gruß
Axel

Du täuscht dich gewaltig!

Die Tan Liste ist auch so aktiv. D.h. selbst wenn das System es noch nicht aktiv hat,kannst du die Hotline anrufen und mit der gültigen Tan tun wonach dir ist!
Damit wären wir schon beim Punkt… Du kannst damit auch die PIN zum einloggen ändern!
Und wenns mal eng werden sollte, muss man eben mit den neuen Tans warten bis der ehrliche Kunde die Liste eben aktiviert hat. Dauert ja nicht lang, sonst hätte er keine Liste angefordert.

Spielen wir gerade mit dem Feuer oder was ist mit euch los?

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]