spackblog

Momentan räume ich meine Bankenlandschaft auf und komme mal wieder in den Genuss, mich mich allen möglichen Bankenkram zu beschäftigen.

2006 habe ich mal einiges zu HBCI und Geldkarte geschrieben. Gerade lese ich bei heise.de über eine neue Sicherheitsspezifikation für Chipkartenleser mit dem komischen Namen Secoder. Ich habe keine Ahnung, was an der bisherigen Klasse 3 für Chipkartenleser nicht reicht, aber es wird einen Grund für den neuen Namen geben. Mal schauen. Schöner Nebeneffekt der ganzen Kiste ist, dass die Preise für Kartenleser fallen, Kobil hat mit dem KAAN TriB@nk einen Kartenleser für 40€ am Start, das ist ja langsam mal bezahlbar und schick ist er auch noch.

Allerdings krankt HBCI-Chipkartenbanking auch weiterhin an zwei maßgeblichen Komforteinbußen ggü. PIN/TAN:

• Umsatzabfragen sehe ich nicht als so kritisch an, müsste aber bei jedem Start von Starmoney nicht nur das Programmkennwort eingeben, sondern auch die Karten-PIN am Kartenleser. Ziemlich unpraktisch. Man müsste zur Behebung dieser Lästigkeit den lesenden Zugriff aufs Konto via (speicherbarer) PIN erlauben und Schreibzugriffe auf die Chipkarte beschränken. Geht das? Müsste eigentlich.
• Es gibt zwei Kartenstandards, wie ich irgendwann herausgefunden habe. Die 1822direkt benutzt dabei einen anderen Standard als die SSK Düsseldorf, so dass ich nicht beide Banken auf einer Karte unterbringen kann. Ein Kontorundruf beim Programmstart würde also in fröhlichem Kartenwechselspiel enden. Erinnert mich an damals, als man Atari-ST-Spiele wie Indiana Jones auf mehreren Disketten hatte und alle Nase lang wechseln musste. Im täglichen Umgang mit Bankgeschäften ist es schlicht nicht praktikabel mehrere Karten mit verschiedenen PINs wechseln zu müssen, vom unnötigen Zeitaufwand gar nicht gesprochen.

Ich bleibe also beim PIN/iTAN-System, das beim generellen Verzicht auf Webbanking gar nicht so unsicher ist. Phishing ist für mich kein Thema, zumindest im Banking. Und ob ich eine (generierte oder von einer Liste abgelesene) TAN ins Bankprogramm eingebe oder die PIN am Kartenleser ist für mich kein wirklicher Unterschied.

Hinweis: Ja, ich speichere meine PIN im Bankprogramm und opfere dabei große Sicherheit dem Komfort. Aber was kann man mit der PIN alleine schon ausrichten? Richtig: Umsätze abrufen. Und was muss man tun, um die PIN aus StarMoney heraus zu bekommen? Richtig: Meine Kontendatei in die Finger kriegen und knacken oder dass Passwort wissen. Und was bekommt man dabei ganz nebenbei auch noch? Richtig: Alle meine Umsätze der letzten Jahre frei haus. Es gibt also keinen triftigen Grund für mich, die PIN nicht im Programm zu hinterlegen.

Hinweis2: Apropos Sicherheit! Da haben so viele Leute fast schon panische Angst vor Missbrauch ihres Online-Bankings und trauen der Sicherheit nicht über den Weg (Phishing im Web-Bankunk-Umfeld ist wirklich ein massives Problem), vergessen aber offensichtlich eine Kleinigkeit: Banking per Überweisungsträger ist lediglich durch eine unglaublich leicht zu fälschende Unterschrift gesichert. Bei meinen Eltern hatte das neulich jemand versucht und ist nur an der für ein Girokonto unüblich hohen Summe gescheitert. Zur Strafe hat die Sparkasse meinen Eltern jetzt das Online-Banking für ein paar Monate gesperrt. Sinn? Erschließt sich mir jedenfalls nicht sofort. Vielleicht ist mir die Story ja auch falsch erzählt worden, wer weiß.

Hinweis3: Ich habe oben einen Wikipedia-Artikel verlinkt, der noch nicht existiert. Da stellt jemand wie der Zentrale Kreditausschuss eine nicht unwichtige Internet-Technologie vor und vergisst, wenigstens einen kurzen Eintrag in der Wikipedia dazu zu schreiben. Das wundert mich jetzt aber wirklich.

Warum mag eigentlich kaum jemand die Geldkarte? Also schon klar, weil man sie für quasi nichts gebrauchen kann. Aber die Abneigung sitzt irgendwie tiefer, egal mit wem ich darüber rede. Was ist das Problem? Mir konnte niemand genaue Gründe dafür nennen. Nur ein diffuses "Geldkarte ist doch scheiße shize" (sorry, das musste mal sein) bekomme ich immer wieder zu hören. Aber warum? Man kann doch so viele tolle Sachen damit machen.

Man kann zum Beispiel mit einem Kartenterminal am PC (theoretisch) im Internet anonym bezahlen, man kann (seit neuerem) sein Alter anonym nachweisen, sowohl am Zigarettenautomaten (ab 2007 wohl obligatorisch) als auch im Internet. Für den Zahlungsempfänger ist das Verfahren (nach meiner oberflächlichen Betrachtung) im Micropayment-Bereich vergleichsweise spottbillig. Die Altersverifikation kann mit jedem Bankkunden mit Geldkarte und Kartenleser anonym abgewickelt werden, ohne, dass dieser sich bei fraglichen Services für teure Jahres- oder gar Monatsbeiträge anmelden muss.

Also Meiner Meinung nach tragen die Banken und Sparkassen erheblich zu dem schlechten Image bei. Das Festhalten am unsicheren PIN/TAN-Verfahren in allen seinen immer komplizierter werdenden Varianten ist Schuld. Ganz klar! Oder nicht?

Also unrepräsentative Marktanalyse von mir: Bankkunden wollen ihr Online-Banking simpel haben, haben aber gleichzeitig die große Angst vor Betrug. Beides passt nicht zusammen, also muss irgendwie ein Kompromiss gefunden werden. Warum also nicht einmal die (zugegeben) immensen Kosten für die HBCI- und Geldkarte plus Klasse-3 Kartenleser mit dem Kunden teilen und ihm dieses wirklich sichere Online-Banking Verfahren zusammen mit anderen Mehrwerten schmackhaft machen. Damit eine kritische Masse erreichen und die Händler werden nach und nach die Zahlungsvarianten Geldkarte und EC-Karte mit PIN-Authentifizierung einführen.

Was braucht es also für die Umsetzung dieses Weltherrschaftsplans Plans?

• Günstige Klasse-3 Leser. Durch höhere Stückzahlen sicher unter 50€ oder gar 40€ drückbar (für USB-Leser).
• Im Internet aufladbare Geldkarte: Das verfahren wird seit Ewigkeiten angekündigt. Ohne läuft gar nichts, also her damit!
• Suventionen durch die Banken und Sparkassen: Sicheres Online-Banking mit gut kommuniziertem Mehrwert ist sicher einer Menge Kunden einmalig 20€ wert. Besser wäre natürlich der Umstieg für lau. Das ist aber das Problem der Banken.
• Einheitliche Schnittstelle, so dass die Kartenleser auch für Web-Banking taugen. Viele Kunden wollen Web-Banking.
• EC-Kartenzahlungen mit PIN müssen auch über Browser möglich sein. Ein super Zahlungsmittel mit schlagartig hoher Verbreitung und Bekanntheit bei den Nutzern: EC-Karte in den Kartenleser, Betrag bestätigen, PIN eingeben, fertig. Yeah, so muss das ablaufen.
• Geldkarten-Akzeptanz (und auch EC-Karten-Akzeptanz) muss für die Händler leicht in die Shop-Systeme eingebunden werden können, Vorbild: PayPal. Das gleiche gilt für die Altersverifikation.
• Das ganze darf nicht nur unter Windows/IE funktionieren!
• Kommunikation der Banken: Geldkartenfunktion muss als Mehrwert herausgestrichen werden, phishing-sicheres Online-Banking ebenfalls.
• Zigarettenautomaten als Zugpferd einsetzen, weitere POS-Händler als Partner gewinnen.
• McDonalds hat den Geldkarten-Versuch schon vor Jahren abgebrochen. Warum? Weil die Terminals nie funktionierten? Das hat wirklich genervt. Solche Probleme nachhaltig lösen!

So, wer also gute Gründe hat, warum die Geldkarte einfach "scheiße" ist, soll sich hier melden. Mangelnde Akzeptanz gilt nicht, da ist noch mehr.

Nachtrag: Heute, ein paar tage später lese ich im SPON: Studie: Schlechte Sicherheitsstandards bei Online-Banking.

So langsam nervt mich Online-Banking wirklich an.

Chipkartenquerelen

Angefangen damit, dass ich hier für eins meiner Konten einen sündhaft teuren Klasse 3 Kartenleser stehen habe, nur um zwei mal im Monat damit Umsätze abzuholen. Das wär nicht weiter schlimm, aber die Leute von der Sparkasse weigern sich, mein Online-Banking-Zugang bei denen auf die gleiche Karte mit der gleichen PIN wie die Zugangsschlüssel zu meinem 1822-direkt Konto zu spielen. Keine Ahnung warum, im HBCI-Standard ist das ausdrücklich so vorgesehen, wenn ich nicht grundlegend etwas falsch verstanden habe. Die verlangen also im ernst von mir, dass ich bei jedem Start meines Online-Banking Programmes mit mehreren Chipkarten und PINS hantiere und dafür auch noch einen Aufpreis bezahle. Eine Unverschämtheit. Also weiterhin PIN/TAN.

PIN/TAN-Wahn

Die PSD-Bank hingegen schickt mir wie wild neue TAN-Listen zu. Nicht ganz, aber ich habe völlig verfrüht eine neue bekommen, mit iTAN. Wow. Ein gegen Phishing ausnehmend anfälliges System etwas aufgebohrt, aber noch immer nicht wirklich sicher. Naja, jedenfalls habe ich gerade drei TANs der alten Liste versucht und jetzt ist mein Online-Banking erst mal gesperrt. Vielen Dank. Vielleicht könnte ich mich ja ins Webbanking einloggen und dort mit einer richtigen TAN mein Konto wieder frei schalten. Aber Pustekuchen:Mit den beim letzten Versuch vor einem Jahr probierten Zugangsdaten und nach Eingabe eines wirklich schlecht (in Opera gar nicht) lesbaren Captchas wird mir der Zugang verweigert: Entweder Benutzername, PIN oder Zugangscode stimmen nicht. Wieder so ein völlig überflüssiger angeblicher Sicherheitsgewinn aus Kosten des Komforts aber ohne wirklichen Sicherheitsgewinn. Mit HBCI mit Chipkarte stünde ja eine Lösung parat...

Geldkarte im Internet

Auch die Geldkarte kommt nicht in die Pötte. Also im Alltag gibt es ja kaum Akzeptanzstellen, wenn man mal von Fahrkartenautomaten absieht. Schlimm genug. Aber im Internet würde sich das Baby wirklich anbieten. Echt kostengünstiges Micro- und Mediumpayment mit Zahlungsgarantie sollte für Händler eigentlich attraktiv sein. Einzig, es scheitert an der Verbreitung der sauteuren Klasse 3 Kartenleser und einer seit Jahren versprochenen Online-Auflademöglichkeit. Schade. Denn auch die Jugendschutzfunktion der Geldkarte wäre Ideal für das Internet. Dann laufe ich eben weiterhin mit meinen 10€ auf der Geldkarte rum, ohne sie je ausgeben zu können.

Online Banking ist gut, nur die Richtung stimmt nicht

Ja, vielen Dank. Irgendwann wird Online-Banking wirklich unattraktiv. Lösungsvorschläge:

Kartenleser subventionieren

Wenn man den Kunden für wenig Asche einen sicheren Kartenleser an den Rechner stellt, würde der ein oder andere endlich auf Chipkartensysteme umstellen. Schon allein aus Sicherheitsgründen, ist doch dies die einzig wirklich konsequente Lösung.

Geldkarte attraktiver machen

Das Aufladen der Geldkarte via Internet muss einfach her. Wenn schon der Klasse 3 Leser auf dem Schreibtisch steht, ist der Einsatz der Geldkarte in gar nicht mehr so weiter Ferne. Auch als Jugendschutz. Erotikdienste unkompliziert und anonym mit der Geldkarte sind für viele Nutzer sicher sehr attraktiv. Oder auch Konzertkarten oder Kaufmusik oder was auch immer. Ach ja, meine 1822-direkt HBCI-Karte hat schon einen Geldkartenchip mit Altersverifikationsmerkmal…

Weg von dem Inseldenken

Wenn alle Banken immer nur an sich denken und nicht bereit sind, den HBCI-Zugang auf bestehende Karten zu speichern, geht es nicht weiter und das Phishing wird sich weiterhin lohnen. Ich möchte ja wirklich gerne alle meine drei banken mit einer Chipkarte abgrasen, aber so bleibt es bei einer Bank und ich hab Ärger mit den drecks TANs.

So, Genug, ich geh ins Bett und lass meine Wut im Traum aus. Meine dringende Überweisung werde ich irgendwann anders tätigen. Schöne neue Online-Welt.