Hallo,
ich habe eben bei einer Bank folgendes festgestellt: Über die entsprechende internet-Seite (online-Banking) komme ich mit der Kontonummer und der richtigen PIN (5-stellig) auf ein Konto.
So weit so gut.
Ich kann Kontoauszüge einsehen usw. wie üblich. Jetzt bin ich mal auf „TAN-Verwaltung“ gegangen und war entsetzt:
Da ist die komplette TAN-Liste abgebildet. Sowohl die schon benutzten als auch die noch gültigen. Die benutzten sind mit Datum der Transaktion gekennzeichnet.
Also kann jeder, der die Kontonummer und die PIN kennt, über diese Seite Zahlungen vornehmen. Einfach eine noch gültige TAN nehmen und sich die Kohle rüberschieben.
Das kann doch wohl nicht wahr sein.
Es handelt sich (noch) um das auslaufende TAN-Verfahren (nicht iTAN oder mTAN oder whatever…)
In einigen depperten banking-Programmen besteht die Möglichkeit, TANs auf der Platte zu speichern, was ich für völlig absurd halte, wovon auch tunlichst abgeraten wird - und diese Bank stellt die gültigen TANs ins internet !
Andere Bank, direkt nachgesehen: Auf der online-Seite ist die iTAN (jetzt: i!TAN) Liste auch einsehbar, aber nur die bereits verwendeten Nummern. Die freien werden durch Sternchen dargestellt. So ist’s recht, denk’ ich mal.
Bisher war ich der Meinung, dass allein die Kenntnis der PIN keinen großen Schaden anrichten kann. Ok, man kann sehen, wie bescheiden es auf dem Konto aussieht, aber keine Aktionen vornehmen.
Wie auch z.B. bei Verlust von EC-Karte: ohne PIN erst mal nicht ganz so schlimm. Kenntnis der PIN ohne Karte - auch nicht wild…
Bei der oben erwähnten Bank genügen aber Kto-Nr. und PIN zum Vollzugriff.
Ist das normal?
Entsetzte Grüße
Herm
PS. Das Verfahren wird jetzt selbstverständlich umgestellt.