spackblog

Ich nutze nun seit über zehn Jahren Online-Banking und bin bei meiner 11. TAN-Liste angekommen. Nun bekomme ich bei StarMoney bei jeder Überweisung die Meldung, dass ich auf smsTAN umstellen kann. Die Website meiner Sparkasse verrät, dass das 9ct/smsTAN kostet mit einer Ausnahme bei Premium-Konten. Trotz der zweistelligen Kontoführungsgebühren, die ich monatlich für meine verschiedenen Geschäfts- und Privatkonten, sowie meine Kreditkarte entrichte, gilt das auch für mich. Wieder einmal bleibe ich also beim klassischen (i)TAN-Verfahren, das weiterhin das bequemste bleibt.

Zu WG-Zeiten hatten wir ein gemeinsames WG-Konto für Miete und Nebenkosten bei der 1822direkt in Frankfurt, wofür ich extra einen Klasse-3-Kartenleser und eine HBCI-Karte angeschafft habe. Dieses Verfahren klang sicher und bequem, war es aber nicht. Also sicher schon, aber bequem keineswegs: Bei jedem Start von StarMoney mache ich einen automatischen Kontenrundruf und aktualisiere alle meine Konten. Leider muss man bei HBCI auch für das Abholen der Umsätze immer die PIN eingeben; bei allen TAN-Verfahren lässt sich die PIN hinterlegen, was in Kombination mit Programmpasswort und TAN-Liste ausreichend sicher ist. Das treibt einen in den Wahnsinn und so habe ich das WG-Konto nur alle paar Wochen aktualisiert. Das reicht aber noch nicht an Unbequemlichkeit: Hätte ich meine Konten bei der Düsseldorfer Stadtsparkasse ebenfalls auf HBCI mit Karte umgestellt, hätte ich bei jedem Kontorundruf zwei Karten und zwei PINs eingeben müssen. Es gibt bei HBCI mit Karte zwei inkompatible Kartensysteme und meine beiden Banken (obwohl beides Sparkassen) benutzten unterschiedliche Systeme, also nichts mit nur einer Karte. Diskettenwechsel sind seit dem Aufkommen von Festplatten reichlich out und ich werde mich garantiert nicht als Kartenjockey verdingen.

Mein Vater hat inzwischen einige TAN-Verfahren bei seiner (Genossenschafts-)Bank durch, aktuell hat er ein unfassbar kompliziertes chipTAN-Verfahren am Start: Man bekommt vom Bankprogramm zwei Codes angezeigt, die man in einen Kartenleser eintippt, in den man seine Kontokarte steckt. Dann kann man sich eine TAN generieren lassen, die man wiederum vom Winzdisplay des Kartenlesers ablesen und in den Computer eintippen muss. Wow, das bekommt den Preis für das lästigste TAN-Verfahren. Nur meine Mutter treibt mehr Aufwand für Überweisungen, indem sie Überweisungsträger ausfüllt und per Post (und jeweils frankiert) an ihre Bank sendet.

Meine Sparkasse bietet neben dem smsTAN-Verfahren, das sich wohl von selbst erklärt, auch ein chipTAN genanntes Verfahren an. Hierbei kauft man einen Kartenleser für einen geringen zweistelligen Betrag (Ausnahme Premium-Konten, die bekommen das Ding geschenkt), in den man immerhin keine zwei Codes eintippen muss, sondern das Gerät vor ein flackerndes Muster auf dem Bildschirm hält. Bei gesteckter Kontokarte erzeugt das Ding dann eine TAN, die man abtippen muss. Immer noch kompliziert, aber nicht so irre, wie zwei Codes abtippen zu müssen. Trotzdem viel komplizierter als einfach eine TAN von einer Liste abzutippen und durchzustreichen.

Es gibt noch etliche weitere mehr oder weniger komplizierte Verfahren für Menschen, die unachtsam genug sind, ihre TANs auf jeder dahergelaufenen Phishingseite einzugeben. Mein Tipp gegen die Angst vorm Phishing oder sonstigen Angriffen: Einfach kein Webbanking machen, StarMoney kostet zwar immer mal wieder Geld und nervt auch ziemlich, aber wer kein Webbanking macht, braucht sich nicht vor dessen Gefahren zu fürchten. HBCI mit PIN/TAN ist nachwievor das bequemste Online-Banking und wer einmal in StarMoney einen bestimmten Umsatz von vor vier Jahren gesucht und auf Anhieb gefunden oder alle Umsätze eines bestimmten Absenders heraus gefiltert hat, wird schon aus Bequemlichkeit kein Webbanking mehr machen wollen.

P.S. Ich tue deswegen so, als gäbe es neben StarMoney keine anderen Bankprogramme, weil ich mir die kostenlosen davon irgendwann einmal angesehen habe: Gruselig bis sehr gruselig. Und die anderen kommerziellen wirkten bei kurzer Betrachtung auch nicht weniger nervig als StarMoney und waren allesamt teurer. Also benutze ich seit Version 3.0 StarMoney und ärgere mich noch immer über die selben Kleinigkeiten. Beispiel: Auf meinem 24" Bildschirm ist massig Platz für die Umsatzliste, aber die beiden letzten Spalten (Buchungsbetrag und Saldo) stellen sich immer wieder auf eine zu schmale Breite zurück, bei der schon die dritte Stelle vor dem Komma nicht mehr ganz zu sehen ist. Anderes Beispiel: Wenn ich bei den Kreditkartenumsätzen eine Kategorie vergeben will, treffe ich häufiger das Feld dafür nicht genau, was die Liste dazu veranlasst, ganz an den Anfang zu springen. Und die Liste ist lang. Anderes Beispiel: In verschiedenen Listen (u.a. der Kategorienliste) kann man nicht mit dem Mausrad scrollen. Anderes Beispiel: Füllt man bei einer Überweisung nicht zuerst das Nanensfeld aus, werden alle anderen Felder beim ersten Buchstaben, den man in das Namensfeld eintippt automatisch mit den letzten Daten für den betreffenden Namen gefüllt. Man muss also immer zuerst den Namen ausfüllen oder man füllt mehrmals aus. Besonders lästig ist das in Kombination mit der bequemen Übernahmefunktion aus der Zwischenablage, wenn dort kein Name enthalten ist. Letztes Beispiel: Wenn man eine Kontonummer oder Bankleitzahl einfügen möchte, die Leerzeichen enthält, lehnt StarMoney das rundweg ab, statt einfach die Leerzeichen zu entfernen. Ich könnte noch ein paar Absätze lang so weiter machen.

Momentan räume ich meine Bankenlandschaft auf und komme mal wieder in den Genuss, mich mich allen möglichen Bankenkram zu beschäftigen.

2006 habe ich mal einiges zu HBCI und Geldkarte geschrieben. Gerade lese ich bei heise.de über eine neue Sicherheitsspezifikation für Chipkartenleser mit dem komischen Namen Secoder. Ich habe keine Ahnung, was an der bisherigen Klasse 3 für Chipkartenleser nicht reicht, aber es wird einen Grund für den neuen Namen geben. Mal schauen. Schöner Nebeneffekt der ganzen Kiste ist, dass die Preise für Kartenleser fallen, Kobil hat mit dem KAAN TriB@nk einen Kartenleser für 40€ am Start, das ist ja langsam mal bezahlbar und schick ist er auch noch.

Allerdings krankt HBCI-Chipkartenbanking auch weiterhin an zwei maßgeblichen Komforteinbußen ggü. PIN/TAN:

• Umsatzabfragen sehe ich nicht als so kritisch an, müsste aber bei jedem Start von Starmoney nicht nur das Programmkennwort eingeben, sondern auch die Karten-PIN am Kartenleser. Ziemlich unpraktisch. Man müsste zur Behebung dieser Lästigkeit den lesenden Zugriff aufs Konto via (speicherbarer) PIN erlauben und Schreibzugriffe auf die Chipkarte beschränken. Geht das? Müsste eigentlich.
• Es gibt zwei Kartenstandards, wie ich irgendwann herausgefunden habe. Die 1822direkt benutzt dabei einen anderen Standard als die SSK Düsseldorf, so dass ich nicht beide Banken auf einer Karte unterbringen kann. Ein Kontorundruf beim Programmstart würde also in fröhlichem Kartenwechselspiel enden. Erinnert mich an damals, als man Atari-ST-Spiele wie Indiana Jones auf mehreren Disketten hatte und alle Nase lang wechseln musste. Im täglichen Umgang mit Bankgeschäften ist es schlicht nicht praktikabel mehrere Karten mit verschiedenen PINs wechseln zu müssen, vom unnötigen Zeitaufwand gar nicht gesprochen.

Ich bleibe also beim PIN/iTAN-System, das beim generellen Verzicht auf Webbanking gar nicht so unsicher ist. Phishing ist für mich kein Thema, zumindest im Banking. Und ob ich eine (generierte oder von einer Liste abgelesene) TAN ins Bankprogramm eingebe oder die PIN am Kartenleser ist für mich kein wirklicher Unterschied.

Hinweis: Ja, ich speichere meine PIN im Bankprogramm und opfere dabei große Sicherheit dem Komfort. Aber was kann man mit der PIN alleine schon ausrichten? Richtig: Umsätze abrufen. Und was muss man tun, um die PIN aus StarMoney heraus zu bekommen? Richtig: Meine Kontendatei in die Finger kriegen und knacken oder dass Passwort wissen. Und was bekommt man dabei ganz nebenbei auch noch? Richtig: Alle meine Umsätze der letzten Jahre frei haus. Es gibt also keinen triftigen Grund für mich, die PIN nicht im Programm zu hinterlegen.

Hinweis2: Apropos Sicherheit! Da haben so viele Leute fast schon panische Angst vor Missbrauch ihres Online-Bankings und trauen der Sicherheit nicht über den Weg (Phishing im Web-Bankunk-Umfeld ist wirklich ein massives Problem), vergessen aber offensichtlich eine Kleinigkeit: Banking per Überweisungsträger ist lediglich durch eine unglaublich leicht zu fälschende Unterschrift gesichert. Bei meinen Eltern hatte das neulich jemand versucht und ist nur an der für ein Girokonto unüblich hohen Summe gescheitert. Zur Strafe hat die Sparkasse meinen Eltern jetzt das Online-Banking für ein paar Monate gesperrt. Sinn? Erschließt sich mir jedenfalls nicht sofort. Vielleicht ist mir die Story ja auch falsch erzählt worden, wer weiß.

Hinweis3: Ich habe oben einen Wikipedia-Artikel verlinkt, der noch nicht existiert. Da stellt jemand wie der Zentrale Kreditausschuss eine nicht unwichtige Internet-Technologie vor und vergisst, wenigstens einen kurzen Eintrag in der Wikipedia dazu zu schreiben. Das wundert mich jetzt aber wirklich.

Warum mag eigentlich kaum jemand die Geldkarte? Also schon klar, weil man sie für quasi nichts gebrauchen kann. Aber die Abneigung sitzt irgendwie tiefer, egal mit wem ich darüber rede. Was ist das Problem? Mir konnte niemand genaue Gründe dafür nennen. Nur ein diffuses "Geldkarte ist doch scheiße shize" (sorry, das musste mal sein) bekomme ich immer wieder zu hören. Aber warum? Man kann doch so viele tolle Sachen damit machen.

Man kann zum Beispiel mit einem Kartenterminal am PC (theoretisch) im Internet anonym bezahlen, man kann (seit neuerem) sein Alter anonym nachweisen, sowohl am Zigarettenautomaten (ab 2007 wohl obligatorisch) als auch im Internet. Für den Zahlungsempfänger ist das Verfahren (nach meiner oberflächlichen Betrachtung) im Micropayment-Bereich vergleichsweise spottbillig. Die Altersverifikation kann mit jedem Bankkunden mit Geldkarte und Kartenleser anonym abgewickelt werden, ohne, dass dieser sich bei fraglichen Services für teure Jahres- oder gar Monatsbeiträge anmelden muss.

Also Meiner Meinung nach tragen die Banken und Sparkassen erheblich zu dem schlechten Image bei. Das Festhalten am unsicheren PIN/TAN-Verfahren in allen seinen immer komplizierter werdenden Varianten ist Schuld. Ganz klar! Oder nicht?

Also unrepräsentative Marktanalyse von mir: Bankkunden wollen ihr Online-Banking simpel haben, haben aber gleichzeitig die große Angst vor Betrug. Beides passt nicht zusammen, also muss irgendwie ein Kompromiss gefunden werden. Warum also nicht einmal die (zugegeben) immensen Kosten für die HBCI- und Geldkarte plus Klasse-3 Kartenleser mit dem Kunden teilen und ihm dieses wirklich sichere Online-Banking Verfahren zusammen mit anderen Mehrwerten schmackhaft machen. Damit eine kritische Masse erreichen und die Händler werden nach und nach die Zahlungsvarianten Geldkarte und EC-Karte mit PIN-Authentifizierung einführen.

Was braucht es also für die Umsetzung dieses Weltherrschaftsplans Plans?

• Günstige Klasse-3 Leser. Durch höhere Stückzahlen sicher unter 50€ oder gar 40€ drückbar (für USB-Leser).
• Im Internet aufladbare Geldkarte: Das verfahren wird seit Ewigkeiten angekündigt. Ohne läuft gar nichts, also her damit!
• Suventionen durch die Banken und Sparkassen: Sicheres Online-Banking mit gut kommuniziertem Mehrwert ist sicher einer Menge Kunden einmalig 20€ wert. Besser wäre natürlich der Umstieg für lau. Das ist aber das Problem der Banken.
• Einheitliche Schnittstelle, so dass die Kartenleser auch für Web-Banking taugen. Viele Kunden wollen Web-Banking.
• EC-Kartenzahlungen mit PIN müssen auch über Browser möglich sein. Ein super Zahlungsmittel mit schlagartig hoher Verbreitung und Bekanntheit bei den Nutzern: EC-Karte in den Kartenleser, Betrag bestätigen, PIN eingeben, fertig. Yeah, so muss das ablaufen.
• Geldkarten-Akzeptanz (und auch EC-Karten-Akzeptanz) muss für die Händler leicht in die Shop-Systeme eingebunden werden können, Vorbild: PayPal. Das gleiche gilt für die Altersverifikation.
• Das ganze darf nicht nur unter Windows/IE funktionieren!
• Kommunikation der Banken: Geldkartenfunktion muss als Mehrwert herausgestrichen werden, phishing-sicheres Online-Banking ebenfalls.
• Zigarettenautomaten als Zugpferd einsetzen, weitere POS-Händler als Partner gewinnen.
• McDonalds hat den Geldkarten-Versuch schon vor Jahren abgebrochen. Warum? Weil die Terminals nie funktionierten? Das hat wirklich genervt. Solche Probleme nachhaltig lösen!

So, wer also gute Gründe hat, warum die Geldkarte einfach "scheiße" ist, soll sich hier melden. Mangelnde Akzeptanz gilt nicht, da ist noch mehr.

Nachtrag: Heute, ein paar tage später lese ich im SPON: Studie: Schlechte Sicherheitsstandards bei Online-Banking.

So langsam nervt mich Online-Banking wirklich an.

Chipkartenquerelen

Angefangen damit, dass ich hier für eins meiner Konten einen sündhaft teuren Klasse 3 Kartenleser stehen habe, nur um zwei mal im Monat damit Umsätze abzuholen. Das wär nicht weiter schlimm, aber die Leute von der Sparkasse weigern sich, mein Online-Banking-Zugang bei denen auf die gleiche Karte mit der gleichen PIN wie die Zugangsschlüssel zu meinem 1822-direkt Konto zu spielen. Keine Ahnung warum, im HBCI-Standard ist das ausdrücklich so vorgesehen, wenn ich nicht grundlegend etwas falsch verstanden habe. Die verlangen also im ernst von mir, dass ich bei jedem Start meines Online-Banking Programmes mit mehreren Chipkarten und PINS hantiere und dafür auch noch einen Aufpreis bezahle. Eine Unverschämtheit. Also weiterhin PIN/TAN.

PIN/TAN-Wahn

Die PSD-Bank hingegen schickt mir wie wild neue TAN-Listen zu. Nicht ganz, aber ich habe völlig verfrüht eine neue bekommen, mit iTAN. Wow. Ein gegen Phishing ausnehmend anfälliges System etwas aufgebohrt, aber noch immer nicht wirklich sicher. Naja, jedenfalls habe ich gerade drei TANs der alten Liste versucht und jetzt ist mein Online-Banking erst mal gesperrt. Vielen Dank. Vielleicht könnte ich mich ja ins Webbanking einloggen und dort mit einer richtigen TAN mein Konto wieder frei schalten. Aber Pustekuchen:Mit den beim letzten Versuch vor einem Jahr probierten Zugangsdaten und nach Eingabe eines wirklich schlecht (in Opera gar nicht) lesbaren Captchas wird mir der Zugang verweigert: Entweder Benutzername, PIN oder Zugangscode stimmen nicht. Wieder so ein völlig überflüssiger angeblicher Sicherheitsgewinn aus Kosten des Komforts aber ohne wirklichen Sicherheitsgewinn. Mit HBCI mit Chipkarte stünde ja eine Lösung parat...

Geldkarte im Internet

Auch die Geldkarte kommt nicht in die Pötte. Also im Alltag gibt es ja kaum Akzeptanzstellen, wenn man mal von Fahrkartenautomaten absieht. Schlimm genug. Aber im Internet würde sich das Baby wirklich anbieten. Echt kostengünstiges Micro- und Mediumpayment mit Zahlungsgarantie sollte für Händler eigentlich attraktiv sein. Einzig, es scheitert an der Verbreitung der sauteuren Klasse 3 Kartenleser und einer seit Jahren versprochenen Online-Auflademöglichkeit. Schade. Denn auch die Jugendschutzfunktion der Geldkarte wäre Ideal für das Internet. Dann laufe ich eben weiterhin mit meinen 10€ auf der Geldkarte rum, ohne sie je ausgeben zu können.

Online Banking ist gut, nur die Richtung stimmt nicht

Ja, vielen Dank. Irgendwann wird Online-Banking wirklich unattraktiv. Lösungsvorschläge:

Kartenleser subventionieren

Wenn man den Kunden für wenig Asche einen sicheren Kartenleser an den Rechner stellt, würde der ein oder andere endlich auf Chipkartensysteme umstellen. Schon allein aus Sicherheitsgründen, ist doch dies die einzig wirklich konsequente Lösung.

Geldkarte attraktiver machen

Das Aufladen der Geldkarte via Internet muss einfach her. Wenn schon der Klasse 3 Leser auf dem Schreibtisch steht, ist der Einsatz der Geldkarte in gar nicht mehr so weiter Ferne. Auch als Jugendschutz. Erotikdienste unkompliziert und anonym mit der Geldkarte sind für viele Nutzer sicher sehr attraktiv. Oder auch Konzertkarten oder Kaufmusik oder was auch immer. Ach ja, meine 1822-direkt HBCI-Karte hat schon einen Geldkartenchip mit Altersverifikationsmerkmal…

Weg von dem Inseldenken

Wenn alle Banken immer nur an sich denken und nicht bereit sind, den HBCI-Zugang auf bestehende Karten zu speichern, geht es nicht weiter und das Phishing wird sich weiterhin lohnen. Ich möchte ja wirklich gerne alle meine drei banken mit einer Chipkarte abgrasen, aber so bleibt es bei einer Bank und ich hab Ärger mit den drecks TANs.

So, Genug, ich geh ins Bett und lass meine Wut im Traum aus. Meine dringende Überweisung werde ich irgendwann anders tätigen. Schöne neue Online-Welt.