Freitag, 7. Juni 2013

Umfrage: Was wäre Dir die mTAN bei DKB wert?



Update: DKB hat geantwortet. Siehe unten.

Update 2 (Nov 2014): Die DKB hat die Einführung der mobilen Verfahren pushTAN und chipTAN angekündigt (Danke an Peter für die Info in den Kommentaren). Später, aber immerhin.

Update 3 (Jan 2015): Ich habe die neuen Verfahren ausprobiert und dazu einen Blogpost verfasst.

Original-Beitrag:


Ich bin zufriedener Kunde der Deutschen Kreditbank AG, DKB. Auch bei anderen wurde die Bank in Tests gut bewertet.


Sie bietet mit dem kostenlosen Abheben von Bargeld an allen Geldautomaten weltweit einen großartigen Service. Im Urlaub kann ich einfach an jeden Automaten und sorgenfrei auch Kleinstmengen von Geld abheben. So schleppe ich nie unnötig große Geldbeträge mit mir herum. Das Girokonto mit Internetbanking und die VISA-Karte dabei sind dazu auch noch kostenlos.

Für das Internetbanking vermisse ich jedoch echt das Zahlungsverfahren mit mobiler Transaktionsnummer (mTAN). Hier muss man die Transaktionsnummer nicht mehr per Zettel herumschleppen, sondern bekommt sie per SMS auf ein vorher bestimmtes Handy.

Ich habe heute wieder diesbezüglich beim Support angefragt.
 Der Kundenservice ist super. Die Antwort kam schon nach 7 Minuten. Das Produktmanagement ist aber sowas von Prä-2010 . Die Antwort am 07.06.2013 lautete nämlich

Eine Umstellung auf das mTAN-Verfahren ist in den nächsten Monaten nicht geplant.

Kostenlos ist natürlich immer toll. Aber Service kostet im Zweifelsfall auch Geld. Daher kommt hier meine Umfrage:


Update 31.09.2013:
Da schaut man eine Weile nicht rein und schon sind wir bei 233 Stimmen. Vielen Dank an alle, die sich hier an dem Meinungsbild beteiligt haben. 

Von den sich hier äußernden DKB-Kunden würden aktuell 14,59% bis zu 10 € im Jahr zahlen. Noch mehr, nämlich 16,74% würden sich die mTAN im Einzelfall 0,09 € kosten lassen. Der Großteil von 68,67% sieht die mTAN jedoch als Selbstverständlichkeit für modernes Banking an. Immerhin setzen bedeutende Wettbewerber der DKB das Verfahren schon lange erfolgreich ein. Das Zwischenergebnis wird jetzt an die DKB weitergeleitet.

Die Zahl ist insofern bedeutend, da ich ja keine große Werbung für die Abstimmung gemacht habe und auch mein kleines Blog keine große Stammleserschaft hat. Die Abstimmenden sind also über eine Google-Suche nach mTAN und DKB hier gelandet. Wer die 90-10-1 Regel kennt, weiss dass im Internet von 100 Besuchern maximal 10% in Interaktion treten. So kann das Interesse an dem Thema noch weiter hochrechnen. Viele DKB-Kunden finden also, dass moderne Internetbanken sollten auch moderne Sicherheitsverfahren für eBusiness unterstützen sollten.

Hoffentlich nimmt sich das die DKB-Geschäftsführung zu Herzen. Kostenfreier Bargeldzugang über VISA ist lange kein Alleinstellungsmerkmal mehr. Wie sich das innovationsarme Ausruhen auf früher erworbenen Lorbeeren auswirken kann, haben Nokia, Blackberry oder - ganz tagesaktuell - LOEWE ja deutlich gezeigt.


Update 11.10.2013:

Die DKB hat auf die Ergebnisse dieser Umfrage auf ihrer Facebook-Seite reagiert:


vielen Dank für Ihre Nachricht. Ihr Engagement ist bemerkenswert. Die Zufriedenheit unserer Kunden steht für uns an erster Stelle - ebenso wie das Thema Sicherheit. 
Im Sinne unserer Kunden prüfen und beobachten wir die aktuellen Sicherheitsstandards und Sicherheitsverfahren sehr genau. Das Ergebnis Ihrer Umfrage werden wir in etwaige Überlegungen für mögliche TAN-Verfahren einbeziehen.
Viele Grüße,Ihre DKB

Ich finde es sehr gut, dass die Bank hier reagiert hat. In komplexen Banksystemen baut man nicht eben mal so ein mTAN-Verfahren ein. Insofern wird das sicher nicht von heute auf morgen da sein. Aber vielleicht konnten wir dazu beitragen, dass die Priorität dieses Themas höher eingestuft wird als interne Verbesserungen ohne direkte Auswirkungen auf die Kundenzufriedenheit.


Update 10.07.2014:
Dieser Blog-Beitrag wird recht weit oben angezeigt, wenn man bei Google nach "DKB mTAN" sucht und ca. 1.200 Leute haben am Voting teilgenommen. Da scheint es echt eine Nachfrage zu geben.


13 Kommentare:

Attila Radnai hat gesagt…

75 Stimmen am 8.8.2013 . Ab 100 Votes leite ich die Abstimmung an das DKB-Produktmanagement weiter. Also liebe Leser und Deutsche Kreditbanker - fleißig abstimmen!

dipl.-inform uni hat gesagt…

Abstimmen und GEGEN die mTAN voten!!! Machen sich sich bitte technisch schlau, bevor sie Marketingaussage einfach nachplaudern, denn die mTAN ist alles andere als ein Sicherheitsgewinn! Das GSM Netz ist (sehr) unsicher! SMS heißt "Klartext" in einem extrem unsicheren Netz. Es werden verstärkt mTANs abgefischt - dies geht z.B. mit einer zweiten-SIM Karte! Ich kann nur empfehlen de Füße ruhig zu halten, wenn Technik nicht verstanden wird... ;-)

Attila Radnai hat gesagt…

Danke für den Hinweis zur mTAN-Sicherheit. Allerdings ist der Hinweis auf die Gefährdungslage zu undifferenziert. Ich habe selber auf der SigInt 2012 gesehen, wie leicht das Hacken von GSM und Abfischen von SMS geht: http://www.heise.de/security/meldung/SIGINT-Kaum-Fortschritte-bei-der-GSM-Sicherheit-1579566.html .


Aber das ist in den Phishing-Fällen gar nicht passiert. Vielmehr hatte Telekom als Mobilfunknetzbetreiber einen unsicheren Prozess, der Identitätsdiebstahl erlaubte. SIM steht nämlich für "Subscriber Identification Module". Wenn man aber beim Versand einer zweiten SIM den Vertragsinhaber nicht per SMS auf die 1. SIM oder per Mail informiert, dann ist der Besitzer dieser Karte gar nicht identifiziert.


Das hat Telekom ja nun wohl nachgebessert ( http://www.zeit.de/digital/datenschutz/2013-10/online-banking-mtan-unsicher ). Aber am Ende lag es ja gar nicht ursächlich an der Telekom, sondern an der Unsicherheit des Rechners, der ein Absaugen aller relevanten Daten zum Identitätsdiebstahl erlaubte. Das ist noch nicht einmal ein Vorwurf. Bei jedem System mit Schnittstellen nach außen stellen diese Schnittstellen auch Risiken dar.


Die Frage ist doch nur, wie hoch die Eintrittswahrscheinlichkeit des Schadensfalls ist. Ich habe hier noch nichts gehört, dass die Diebstähle über mTAN in der Kriminalitätsstatistik extrem hoch seien. Warum nicht? Vermutlich, weil die Quote der Diebstähle per geklauter TAN/iTAN-Liste durch Taschendiebstahl oder Einbruch viel, viel höher ist. Vermutlich weil es viel, viel häufiger vorkommt, dass Geld direkt mit vorgehaltener Waffe geraubt wird als per mTAN-Phishing. Ist viel einfacher und hinterlässt noch weniger Datenspuren (habe ja kein Zielkonto für die abgehende Überweisung). Gute Banken spüren den Betrugsversuch auch proaktiv auf Basis von Kontrollen auf, wenn die Überweisung einem bekannten Muster entspricht.



Ich stimme also zu, dass auch mTAN keine 100% Sicherheit erlaubt. Aber es verbindet hohe Sicherheit UND Mobilität. Die mTAN Befürworter sind also nicht ignorant, sondern nehmen für die Vorteile das Restrisiko gerne in Kauf (bei mir persönlich ist es noch geringer als im Schnitt, weil ich schon die maximale Zahl an Multi-SIMs im Einsatz habe).

arctros hat gesagt…

"Machen sie sich bitte technisch schlau - die mTAN ist alles andere als ein Sicherheitsgewinn!"

Doch, das ist sie.

Das von der DKB zur Zeit verwendete veraltete iTAN-Verfahren ist nämlich umgekehrt noch unsicherer als mTAN, da man bei mTAN sowohl den PC des Opfers infizieren muss, um an die Zugangsdaten für das Online-Banking und a) die Handynummer für eine Zweit-SIM zu kommen oder b) zusätzlich noch das SmartPhone infizieren muss, während bei iTAN hingegen das alleinige infizieren des PCs mit einem Trojaner ausreicht, um das Verfahren auszuhebeln, indem der Trojaner einfach im Hintergrund Ihre Überweisungsdaten gegen die der Angreifer ersetzt, die Sie dann unbemerkt mit ihrer iTAN-Eingabe bestätigen.

http://www.zdnet.de/41539982/polizei-schnappt-internationale-bande-von-online-konto-hackern/

Deshalb hat die European Network and Information Security Agency auch schon bereits vor einiger Zeit allen Banken empfohlen auf Verfahren wie zumindest mTAN oder noch besser ChipTAN umzusteigen, bei denen der Nutzer über einen unabhängigen Kanal (mTAN-SMS oder Dispaly des TAN-Generators) noch einmal die tatsächlichen Überweisungsdaten kontrollieren kann. Ein Ratschlag, der an der DKB anscheinend vorüber gegangen ist.

http://www.heise.de/security/meldung/ENISA-raet-Betrachten-Sie-alle-PCs-als-infiziert-1634105.html

Wegen der bereits genannten Schwächen von mTAN sind aber eben Verfahren mit dedizierten Signaturgeräten mit eigenem Display zur Kontrolle der Überweisungsdaten wie eben ChipTAN, HBCI mit Secoder (HBCI unterstützt die DKB zwar, allerdings aber eben nicht die Secoder-Erweiterung, die das Verfahren erst auf das Sicherheitsniveau von ChipTAN hebt), PhotoTAN/CrontoSign (inzwischen bei der Commerzbank im Einsatz) oder BestSign (Postbank) zu empfehlen. Ein Fortschritt gegenüber iTAN war mTAN aber trotzdem.

arctros hat gesagt…

mTAN wäre zwar schon mal besser als iTAN, aber immer noch nicht das gelbe vom Ei.

Im Gegensatz zu iTAN, wo bereits ein Trojaner auf dem PC, der unbemerkt beim Online-Banking die eigenen Überweisungsdaten im Hintergrund gegen die der Angreifer ersetzt, ausreicht um das Verfahren auszuhebeln, muss man bei mTAN zwar sowohl den PC als auch das Handy/SmartPhone übernehmen, was aber auch schon mit entsprechenden Trojanern oder der Bestellung einer Zweit-SIM erreicht wurde.

Am besten sind daher Verfahren mit dedizierten Signaturgeräten mit eigenem Display zur Kontrolle der Überweisungsdaten wie ChipTAN (VR-Banken, Sparkassen, Postbank, Netbank), HBCI mit Secoder (HBCI unterstützt die DKB zwar, allerdings aber eben nicht die Secoder-Erweiterung, die das Verfahren erst auf das Sicherheitsniveau von ChipTAN hebt), PhotoTAN/CrontoSign (inzwischen bei der Commerzbank und der Comdirect im Einsatz) oder BestSign (Postbank).

Von daher würde ich zwar auch nicht für mTAN stimmen, mir dafür aber einen Punkt "ChipTAN/PhotoTAN" wünschen. Die Geräte (ChipTAN-Generator bzw. PhotoTAN-Lesegerät) kosten einmalig (also keine jährlichen Kosten) ca. 10 (ChipTAN) bzw. 15 (PhotoTAN) Euro.

Zum Thema "in Tests gut bewertet" sei übrigens angemerkt, dass die DKB beim letzten Test der CHIP zum Thema Online-Banking in der Kategorie "Sicherheit" mal glatt den letzten Platz belegt hat. http://www.chip.de/artikel/Online-Banking-Test-6_63472608.html

Wie es aussieht leider völlig zu Recht!

Attila Radnai hat gesagt…

Danke für diesen von Sachverstand geprägten Beitrag. Er ist einer weiteren Einordnung sehr dienlich.

Tatsächlich ist die mTAN nicht das sicherste Verfahren zur Absicherung von Online-Transaktionen, aber derzeit offenbar sehr nachgefragt. Laut Blog-Statistik ist der Suchbegriff "dkb mtan" der mit Abstand häufigste, der Leser zu meinem Blog bringt. Wahrscheinlich kommt die Beliebtheit ja daher, dass sie aus Kundensicht einfach einen guten Kompromiss aus Sicherheit und Alltagstauglichkeit (Handy ist sowieso immer dabei) darstellt.

Attila Radnai hat gesagt…

Nicht nur die Zahl der Votes ist bemerkenswert (Danke an alle, die teilgenommen haben oder es noch werden!). Spannend ist auch, dass schon seit Monaten die Suchbegriffe "dkb mtan" und "dkb mobiletan" die Hitliste von Google-Anfragen anführen, die Surfer zu meinem Blog bringen. Das zeigt deutlich das Interesse an diesem Thema.
Habe das auf DreamFlashers Anregung auch nochmal auf der DKB-Facebookseite gepostet: https://www.facebook.com/Deutsche.Kreditbank/posts/631718893534461?comment_id=6888204&reply_comment_id=6911544&offset=0&total_comments=4&notif_t=share_reply

ToastMX hat gesagt…

an alle Zweifler!
Es geht doch nicht darum ob mTan nun das sicherste Verfahren ist oder nicht!
mTan ist einfach wahnsinnig praktisch. Wenn ich durch die Welt reise habe ich keine Lust meine Tanliste mit zu nehmen oder an einen TanGenerator zu denken. Das Handy habe ich aber immer dabei und immer zur Hand.
Das ist der große Vorteil von mTan.

Schön zu hören, dass sie ab Dezember diese Tan App anbieten, dass werde ich wohl machen, leider ist man da an ein Smartphone gebunden.

arctros hat gesagt…

Das sind ja mal gute Nachrichten! PushTAN ist übrigens eine Art "mTAN per WhatsApp" (ChipTAN habe ich bereits in den anderen Kommentaren erklärt).

Dominik hat gesagt…

Endlich ;)

DreamFlasher hat gesagt…

Wir wurden übrigens erhört: https://www.dkb.de/info/tan-verfahren/ - bald gibts pushTAN bei der DKB.

Heißduscher hat gesagt…

Habe gerade ein Konto eröffnet. Naiver Weise bin ich davon ausgegangen, dass ich mTans bekommen kann, wenn ich möchte. Außerdem würde ich min. 20 mTans im Monat 4free erwarten.
Jetzt überlege ich ernsthaft das Konto direkt wieder zu kündigen.

Als Programmierer will ich nicht jedes Mal mein Hand un-rooten oder das Framework modifizieren, nur um eine pushTan zu bekommen.

Warumduscher hat gesagt…

Das ist natürlich ärgerlich.

Die DKB bietet Dir ja mit HBCI, pushTAN und chipTAN mittlerweile drei papierlose Verfahren für das Banking an. Dass Du Dein gerootetes Smartphone nicht nutzen kannst, ist natürlich etwas schade, aber gerade als Programmierer wirst Du den Sicherheitsgedanken dahinter sicher verstehen.

Solche Einschränkungen aus Sicherheitsgründen waren übrigens mit der Anlass, weshalb ich irgendwann das jailbreaken meines iPhones gelassen habe. Die kleinen Helferlein im erweiterten Lockscreen waren zwar ganz praktisch, aber auf Dauer tauchten mir zu viele DriveBy-Exploits für iOS auf. Ich wollte denen nicht noch selber fahrlässig von innen die Tür geöffnet haben.

Da die DiBa ( ... klingt wie vergessener Liedtext...DaDiDiBa) mittlerweile auch kostenfreies Abheben per VISA-Karte ermöglicht und neben einer TAN-App auch noch die mTAN im Programm hat, kannst Du notfalls dahin wechseln: http://goo.gl/e7E61j . Aktuell versüßen sie es sogar mit 75 Euro Gutschrift bei Gehaltskonten.

Aber vielleicht versuchst Du es ja doch erstmal mit der chipTAN. Die Möglichkeit, den Hashwert der Transaktionsdaten von einem externen Gerät gegenchecken zu lassen, ist nicht das schlechteste. Und die Geräte sind ja nun wirklich für kleines Geld zu haben: http://goo.gl/7V6LYt . Wenn Du nicht gerade nur mit Jeans und Jacke unterwegs bist, findet sich für den TAN-Generator immer eine kleine Ecke im Rucksack oder so.

Kommentar veröffentlichen