Discussion:
Abnahme von TAN, Kreditkarte durch Polizei
(zu alt für eine Antwort)
Bernhard Kuemel
2007-09-20 11:17:21 UTC
Permalink
Hallo agr!

Verstoesst man gegen die Sorgfaltspflichten, wenn einem z.B. bei
einer Festnahme die Polizei TAN und Kreditkarte wegnimmt? Bekommt
man die Kosten fuer eine Neuausstellung der Kreditkarte, oder haftet
"die Polizei", wenn nachher die KK missbraucht wird?

Danke, Bernhard
--
Please encrypt all emails
GPG Key (ID F732FBF3 E4219D48) available on public key servers
Fingerprint E18F BF4D 0EE2 6522 E950 A06A F732 FBF3 E421 9D48
Hans Huber
2007-09-20 17:46:14 UTC
Permalink
"Bernhard Kuemel" schrieb
Post by Bernhard Kuemel
Verstoesst man gegen die Sorgfaltspflichten, wenn einem z.B. bei
einer Festnahme die Polizei TAN und Kreditkarte wegnimmt?
wenn Du mit "TAN" Deine Transaktionscodes fürs Banking meinst: Warum führst
Du Diese eigentlich mit?
Vermutlich genügt ein Anruf bei der Bank, und die ausgestellten TANs sind
ungültig erklärt und das neue Kuvert liegt 1 Tag später in der Post.
Außerdem empfehle ich dringend auf eine Lösung mit Signaturkarte
umzusteigen.

was die Kreditkarte betrifft: Vertraust Du der Polizei weniger als einem
zwielichtigen Kellner aus einem Beisl ums Eck? Zweiterem gibst Du ja auch
Deine Karte zur Zahlung und er rauscht damit erstmal für 10min ins
Hinterzimmer ab um sie in die Ritsche-Ratsche einzulegen.
Bernhard Kuemel
2007-09-20 18:17:42 UTC
Permalink
Post by Hans Huber
Post by Bernhard Kuemel
Verstoesst man gegen die Sorgfaltspflichten, wenn einem z.B. bei
einer Festnahme die Polizei TAN und Kreditkarte wegnimmt?
wenn Du mit "TAN" Deine Transaktionscodes fürs Banking meinst: Warum führst
Du Diese eigentlich mit?
Na zum Banken.
Post by Hans Huber
was die Kreditkarte betrifft: Vertraust Du der Polizei weniger als einem
zwielichtigen Kellner aus einem Beisl ums Eck?
Nicht mehr, und nicht weniger.
Post by Hans Huber
Zweiterem gibst Du ja auch
Deine Karte zur Zahlung und er rauscht damit erstmal für 10min ins
Hinterzimmer ab um sie in die Ritsche-Ratsche einzulegen.
Tu ich eher nicht. Und wenn, dann wuerde ich es freiwillig tun. Ein
Kellner wuerde (hoffentlich) auffallen, weil es einen statistischen
Zusammenhang zwischen Gebrauch von KK bei ihm und den Missbraeuchen
gibt. Bei Polizisten weniger.

lg, Bernhard
--
Please encrypt all emails
GPG Key (ID F732FBF3 E4219D48) available on public key servers
Fingerprint E18F BF4D 0EE2 6522 E950 A06A F732 FBF3 E421 9D48
Hans Huber
2007-09-20 18:47:25 UTC
Permalink
"Bernhard Kuemel" schrieb
Ein Kellner wuerde (hoffentlich) auffallen, weil es einen statistischen
Zusammenhang zwischen Gebrauch von KK bei ihm und den Missbraeuchen
gibt. Bei Polizisten weniger.
Eine Zahlung die nicht von Dir getätigt wurde musst Du bei unseren
KK-Gesellschaften auch nicht bezahlen. Ob der Händler dann um sein Geld
umfällt (Auszahlung wird verweigert) oder eine Versicherung einspringt kann
Dir egal sein. Wenn die KK-Gesellschaft entscheidet, dass Sie Dir eine neue
Karte ausstellen, weil die Daten der alten Karte offenbar nun von
kriminellen verwendet werden kostet Dich das soweit ich weiß ebenfalls
nichts. Insofern weiß ich nicht, worin Dein Problem liegt, vor allem in
Anbetracht der Tatsache, dass ein Polizist wohl (wenn er kriminell ist) ganz
andere und weniger auffällige/verfolgbare Möglichkeiten hat sich zu
bereichern (z.b. in Bar zu kassieren und nicht alles abzuliefern, ...).

Welches "Angriffszenario" hast Du denn vor Augen? Polizist verwendet die
Karte während Du in Gewahsam bist? Der Zeitpunkt der Kartenverwendung ist
bei elektronischen Terminals ja sehr exakt. Und Du hast ja ein Alibi zu dem
Zeitpunkt nicht einkaufen gewesen zu sein, ja mehr noch, Du hast sogar ein
Protokoll über die Dir abgenommenen Gegenstände erhalten.

Und bei Verwendung der "abgeschriebenen" Daten für einen Online-Einkauf zu
einem späteren Zeitpunkt muss er sich die Ware in der Regel irgend wo hin
liefern lassen, also kommt man dem Täter in der Regel auch irgendwie auf die
Spur. Und nur immaterielle Leistungen (welche nicht geliefert werden müssen)
zu beziehen, bereichert wohl nicht ausreichend um deswegen kriminell zu
werden :-)
Johann Mayerwieser *usenet* im Betreff einfügen
2007-09-20 19:22:33 UTC
Permalink
Post by Hans Huber
Außerdem empfehle ich dringend auf eine Lösung mit Signaturkarte
umzusteigen.
Mobile-TAN (wie z.B. bei Raiffeisenbank) scheint mir am sichersten.
Nach Anforderung vor dem Zeichnen kommt auf das (bei der Bank
bekanntgegebene) Handy eine SMS mit einer TAN, die 5 Minuten gültig
ist.

Liebe Grüße
Hannes
Hans Huber
2007-09-20 19:38:03 UTC
Permalink
"Johann Mayerwieser schrieb
Post by Johann Mayerwieser *usenet* im Betreff einfügen
Mobile-TAN (wie z.B. bei Raiffeisenbank) scheint mir am sichersten.
Nach Anforderung vor dem Zeichnen kommt auf das (bei der Bank
bekanntgegebene) Handy eine SMS mit einer TAN, die 5 Minuten gültig
ist.
und was ändert dies z.b. an der Phishing-Problematik? Nichts - auch
kriminelle brauchen keine 5min um die TAN zu verwenden. Außerdem: Wie
schützt Du nun das Handy (das aufgrund dieses wunderprächtigen Verfahrens
zur TAN-Maschine mutiert ist) vor Zugriff/Diebstahl/Missbrauch? Hast einen
Screensaver mit 1min Timeout und PIN-Schutz aktiviert?
Johann Mayerwieser *usenet* im Betreff einfügen
2007-09-20 21:21:52 UTC
Permalink
Post by Hans Huber
"Johann Mayerwieser schrieb
Post by Johann Mayerwieser *usenet* im Betreff einfügen
Mobile-TAN (wie z.B. bei Raiffeisenbank) scheint mir am sichersten.
Nach Anforderung vor dem Zeichnen kommt auf das (bei der Bank
bekanntgegebene) Handy eine SMS mit einer TAN, die 5 Minuten gültig
ist.
und was ändert dies z.b. an der Phishing-Problematik? Nichts - auch
kriminelle brauchen keine 5min um die TAN zu verwenden. Außerdem: Wie
schützt Du nun das Handy (das aufgrund dieses wunderprächtigen Verfahrens
zur TAN-Maschine mutiert ist) vor Zugriff/Diebstahl/Missbrauch? Hast einen
Screensaver mit 1min Timeout und PIN-Schutz aktiviert?
Im Gegensatz zur Sig-Karte rennt nicht alles auf einer Schiene
(Internet), sondern ein Teil über eine 2. Schiene.

Liebe Grüße
Hannes
Hans Huber
2007-09-20 22:48:16 UTC
Permalink
"Johann Mayerwieser

[TAN per Handy, offenbar TAC genannt]
Post by Johann Mayerwieser *usenet* im Betreff einfügen
Im Gegensatz zur Sig-Karte rennt nicht alles auf einer Schiene
(Internet), sondern ein Teil über eine 2. Schiene.
die TAN-Liste auf Papier kommt auch über die 2te Schiene.
Meine TAN-Liste verwahre ich sehr gut, mein Handy hingegen ist immer dabei,
kann also sehr leicht abhanden kommen.
und nochmals: ob nun TAN oder TAC - im Falle von Phishing spielt das keine
Rolle ob nun ein TAN oder der TAC abgefisht wird, und es spielt auch keine
Rolle ob dieser nur 5min gültig ist oder 3 Wochen.

Fazit: nur die Signaturkarte schützt vor Phishing
Wennst Dir außerdem einen Kartenleser mit eigenem Pinpad zulegst sind
Keylogger wirkungslos, ... es bleibt lediglich noch der eigene PC bzw. die
verwendete Secure-Viewer-Applikation der eben vertraut werden muss.
christian mock
2007-09-21 05:48:42 UTC
Permalink
Post by Hans Huber
und nochmals: ob nun TAN oder TAC - im Falle von Phishing spielt das keine
Rolle ob nun ein TAN oder der TAC abgefisht wird, und es spielt auch keine
Rolle ob dieser nur 5min gültig ist oder 3 Wochen.
Fazit: nur die Signaturkarte schützt vor Phishing
ist zwar offtopic, aber umgekehrt wird ein schuh daraus.

bei der signaturkarte passiert die anzeige der transaktion, die du
bestätigst, nach wie vor am PC und ist damit manipulierbar.

bei der TAC wird der einzugebende code zusammen mit der dazugehörigen
transaktion auf einem anderen weg an ein anderes gerät geschickt --
auch wenn am PC ein trojaner eine andere kontonummer oder einen
anderen betrag untergejubelt hätte, würdest du es dadurch merken. der
TAC gilt nur für die transaktion, zu der er gehört, der phisher kann
also auch beim eingeben des TAC nicht "noch schnell" das
empfängerkonto ändern.

cm.
--
** christian mock in vienna, austria -- http://www.tahina.priv.at/
** http://www.vibe.at/ ** http://quintessenz.org/ ** ***@foo.woas.net
If you really want a tape-based backup solution, use lots of duct tape
to package up IDE hard-drives to keep them safe offsite. -- AdB
Hans Huber
2007-09-21 08:25:28 UTC
Permalink
"christian mock" schrieb
Post by christian mock
bei der signaturkarte passiert die anzeige der transaktion, die du
bestätigst, nach wie vor am PC und ist damit manipulierbar.
korrekt - daher mein Hinweis auf das Vertrauen in den Secure-Viewer
Post by christian mock
TAC gilt nur für die transaktion, zu der er gehört, der phisher kann
also auch beim eingeben des TAC nicht "noch schnell" das
empfängerkonto ändern.
ich muss zugeben ich kenne den Inhalt der SMS nicht. Enthält die SMS allso
nochmals GENÜGEND Informationen (Zielkonto, Betrag, ...) um am Handy zu
verifizieren, dass keine man-in-the-middle-attack vorliegt? Denn ein reines
"hier Ihr Code für die Bestätigung der soeben in Auftrag gegebenen
Transaktion: 123456" wäre gegen das typische Phishing-Angriffszenario ja
nutzlos.
Bernd Petrovitsch
2007-09-21 09:21:00 UTC
Permalink
Post by Hans Huber
"christian mock" schrieb
Post by christian mock
bei der signaturkarte passiert die anzeige der transaktion, die du
bestätigst, nach wie vor am PC und ist damit manipulierbar.
korrekt - daher mein Hinweis auf das Vertrauen in den Secure-Viewer
Damit schließt Du fast alle Windows-Installationen aus - entweder
inhärent buggy oder schlecht administriert (oder beides)[0].
ad "Signieren mit Karte": Geht das inzwischen mit Firefox (o.ä.)?
Vor 1.5 Jahren (wie ioch's zuletzt probiert hab) war da noch tote Hose.
Post by Hans Huber
Post by christian mock
TAC gilt nur für die transaktion, zu der er gehört, der phisher kann
also auch beim eingeben des TAC nicht "noch schnell" das empfängerkonto
ändern.
ich muss zugeben ich kenne den Inhalt der SMS nicht. Enthält die SMS
Tja.
Post by Hans Huber
allso nochmals GENÜGEND Informationen (Zielkonto, Betrag, ...) um am
Handy zu verifizieren, dass keine man-in-the-middle-attack vorliegt?
Wenn $BANK es gescheit macht, ja.
Post by Hans Huber
Denn ein reines "hier Ihr Code für die Bestätigung der soeben in Auftrag
gegebenen Transaktion: 123456" wäre gegen das typische
Phishing-Angriffszenario ja nutzlos.
Man möchte es vielleicht nicht glauben, aber nicht überall sitzen
Security-Ignoranten rum.

Bernd

[0]: Und nein, eine "Personal Firewall" mag vieles sein, aber keine
Security-relevante Software (allenfalls Insecurity_relevant).
--
"What happens when you read some doc and either it doesn't answer your
question or is demonstrably wrong? In Linux, you say "Linux sucks" and
go read the code. In Windows/Oracle/etc you say "Windows sucks" and
start banging your head against the wall." - Denis Vlasenko on lkml
Hans Huber
2007-09-21 10:13:25 UTC
Permalink
"Bernd Petrovitsch" schrieb
Post by Bernd Petrovitsch
Damit schließt Du fast alle Windows-Installationen aus
das Betriebsystem sehe ich hier nicht wirklich als maßgeblichen
Einflussfaktor. Die Frage ist ob man der Viewer-Software vertraut.
Post by Bernd Petrovitsch
ad "Signieren mit Karte": Geht das inzwischen mit Firefox (o.ä.)?
was hat der Browser damit zu tun? Für die PSK-Lösung wird Java benötigt, für
die Raika (ELBA) Lösung wird BDC:HotSign oder Trustdesk Basik empfohlen.
Speziell auf einen bestimmten Browser oder ein Betriebsystem ist man damit
jedoch nicht eingeschränkt.
Post by Bernd Petrovitsch
Vor 1.5 Jahren (wie ioch's zuletzt probiert hab) war da noch tote Hose.
wüsste nicht warum das so gewesen sein sollte. An der Technik hat sich
nichts geändert, und ich nutze meine Signaturkarte schon länger als 2 Jahre.
christian mock
2007-09-21 10:43:19 UTC
Permalink
Post by Hans Huber
Post by Bernd Petrovitsch
Damit schließt Du fast alle Windows-Installationen aus
das Betriebsystem sehe ich hier nicht wirklich als maßgeblichen
Einflussfaktor. Die Frage ist ob man der Viewer-Software vertraut.
das betriebssystem sitzt aber zwischen kartenleser und secure viewer,
dh wenn du diese kommunikation verändern kannst, kannst du, während im
viewer A angezeigt wird, B zum kartenleser schicken und signieren
lassen. abgesehen davon, daß windows es jedem prozeß erlaubt, an die
fenster anderer prozesse nachrichten zu schicken und diese damit zu
manipulieren.
Post by Hans Huber
die Raika (ELBA) Lösung wird BDC:HotSign oder Trustdesk Basik empfohlen.
Speziell auf einen bestimmten Browser oder ein Betriebsystem ist man damit
jedoch nicht eingeschränkt.
ich sehe, du hast noch nicht versucht, trustdesk unter linux zum
laufen zu bringen... (oder geht das inzwischen? vor einem jahr war's
eine vollkommene katastrophe).

cm.
--
** christian mock in vienna, austria -- http://www.tahina.priv.at/
Rechtlich gesehen, besteht kein Anspruch auf Weiterleitung von
Artikeln, die Bilder von Führerscheinumschlägen enthalten.
ghw in at.usenet
Walter Dvorak
2007-09-21 12:24:51 UTC
Permalink
Post by Hans Huber
Für die PSK-Lösung wird Java benötigt,
Fuer das (idente) telebanking bei bawag, psk und auch easybank,
welche bis auf hintergrund-farben und einige kleinere dinge so gut wie
ident sind, wird kein java mehr benoetigt.

Die psk setzte frueher, imho war das noch vor der bawag-psk
fusion, auf eine eigene java-loesung. Welche es aber schon laenger
nicht mehr gibt.

WD
--
Bernd Petrovitsch
2007-09-21 15:56:28 UTC
Permalink
Post by Walter Dvorak
Post by Hans Huber
Für die PSK-Lösung wird Java benötigt,
Fuer das (idente) telebanking bei bawag, psk und auch easybank,
welche bis auf hintergrund-farben und einige kleinere dinge so gut wie
ident sind, wird kein java mehr benoetigt.
Geht es deswegen jetzt besser?

Bernd
--
"What happens when you read some doc and either it doesn't answer your
question or is demonstrably wrong? In Linux, you say "Linux sucks" and
go read the code. In Windows/Oracle/etc you say "Windows sucks" and
start banging your head against the wall." - Denis Vlasenko on lkml
Walter Dvorak
2007-09-21 18:38:55 UTC
Permalink
Post by Bernd Petrovitsch
Post by Walter Dvorak
Fuer das (idente) telebanking bei bawag, psk und auch easybank,
welche bis auf hintergrund-farben und einige kleinere dinge so gut wie
ident sind, wird kein java mehr benoetigt.
Geht es deswegen jetzt besser?
Na ja, ich schreibs mal so: Mit einem etwas aeltern
opera unter win32 und auch mit konqueror funkt es ansich
problemlos. Zumindest fuer das was kleinkunde so benoetigt...

WD
--
Hans Huber
2007-09-21 19:10:19 UTC
Permalink
"Walter Dvorak" schrieb
Post by Walter Dvorak
Post by Hans Huber
Für die PSK-Lösung wird Java benötigt,
Fuer das (idente) telebanking bei bawag, psk und auch easybank,
welche bis auf hintergrund-farben und einige kleinere dinge so gut wie
ident sind, wird kein java mehr benoetigt.
Doch, Du benötigst Java für das Login mit der Signaturkarte und zum
Signieren der Transaktionen. Nur wenn Du das Sofabanking mit PIN+TAN
verwendest brauchst Du gar kein Java.
Post by Walter Dvorak
Die psk setzte frueher, imho war das noch vor der bawag-psk
fusion, auf eine eigene java-loesung. Welche es aber schon laenger
nicht mehr gibt.
korrekt, das ist schon lange, lange her.
Walter Dvorak
2007-09-22 07:55:04 UTC
Permalink
Post by Hans Huber
Doch, Du benötigst Java für das Login mit der Signaturkarte und zum
Signieren der Transaktionen. Nur wenn Du das Sofabanking mit PIN+TAN
verwendest brauchst Du gar kein Java.
Aha, da wusste ich nicht. Ein guter grund mehr die
signaturkarte nicht anzuschaffen bzw. zu verwenden und bei dem
TAN-verfahren zu bleiben.

WD
--
Hans Huber
2007-09-22 08:20:16 UTC
Permalink
"Walter Dvorak" schrieb

[PSK Sofabanking mit Signaturkarte benötigt Java]
Post by Walter Dvorak
Aha, da wusste ich nicht. Ein guter grund mehr die
signaturkarte nicht anzuschaffen bzw. zu verwenden und bei dem
TAN-verfahren zu bleiben.
diese Schlussfolgerung ist für mich nicht ganz nachvollziehbar.
Wie sonst dachtest Du denn kommuniziert Dein OnlineBanking mit dem
Kartenleser, wenn nicht mittels Java oder sonstiger zu installierender
Software (HotSign, TrustDesk)? PSK hat eben die Java-Variante gewählt, was
den Vorteil hat, dass eben keine installierte Software nötig ist. Ein
Browser mit Java-Unterstützung + Kartenleser mit PC/SC Treiber genügt.

Außerdem erschließt sich mir nicht ganz, warum Java offenbar böse sein soll,
hingegen kein Mensch was dabei findet, dass Shockwave, Flash, ActiveX,
Silverlight, ... in den gängigen Browsern integriert und aktiviert sind.
Entweder man stuft all das als böse ein, oder man lebt mit den Risiken.
Walter Dvorak
2007-09-22 17:37:32 UTC
Permalink
Post by Hans Huber
Außerdem erschließt sich mir nicht ganz, warum Java offenbar böse sein soll,
Nicht java oder sonst was ist in diesem kontext boese. Es ist
schlicht ueberfluessig. Da durch das TAN-verfahren ein aus meiner sicht
ausreichend sicheres, einfaches, und kostenoptimales verfahren
verfuegbar ist. Was weder java noch irgendwelche zusaetzliche
treiber-sw benoetigt.

Wozu etwas, was vom verfahren durchaus gut funktioniert,
durch etwas was umstaendlicherer und teurer ohne sonstigen mehrwert
ist, ersetzen?

WD
--
Hans Huber
2007-09-22 17:52:42 UTC
Permalink
"Walter Dvorak" schrieb

[Signaturkarte ist unnötig da TAN-Verfahren ausreichend]
Post by Walter Dvorak
Wozu etwas, was vom verfahren durchaus gut funktioniert,
durch etwas was umstaendlicherer und teurer ohne sonstigen mehrwert
ist, ersetzen?
Du musst es ja nicht - soweit ich mitbekommen habe bieten alle Banken auch
Online-Banking ohne Signaturkarte an. Und was daran aus Anwendersicht so
kompliziert sein soll weiß ich nicht. Ich gebe zu, die Ausstellung der Karte
war vor 2 Jahren noch ein schlechter Scherz (Bankangestellt, die keinen
blassen Dunst hatten mühten sich 30min und mehr ab um ein dummes Zertifikat
auf meine Bankomatkarte zu bringen). Aber heutzutage ist das soweit mir
erzählt wurde in wenigen Minuten beim Blöd- oder Geizmarkt zu erledigen.
Auch die Banken dürften in der Zwischenzeit ein How-To für Ihre Mitarbeiter
verteilt haben.

Und die Installation zuhause klappt nicht mehr oder weniger kompliziert als
die Inbetriebnahme eines neuen Druckers/Scanners/Webcam oder sonstiger
Peripherie.

Der Mehrwert für mich ist:
1. Ich kann rechtsverbindliche emails verschicken und erspare mir somit hin
und wieder den Weg zur Post (zwecks Aufgabe eines Briefes)
2. Ich brauche nicht mit Logins und TAN-Codes für meine
Online-Banking-Zugänge (zumindest für diese drei Banken: PSK, Raika,
Direktbank - Bundesschatz und DiBa bieten leider keine
Signaturkartenunterstützung) hantieren, sondern stecke für alle 3 einfach
die gleiche Karte in den Leser und gebe nur den für mich einfach zu
merkenden PIN-Code am Kartenleser ein.
Wolfgang Decker
2007-09-22 18:34:47 UTC
Permalink
Post by Hans Huber
kompliziert sein soll weiß ich nicht. Ich gebe zu, die Ausstellung der Karte
war vor 2 Jahren noch ein schlechter Scherz (Bankangestellt, die keinen
blassen Dunst hatten mühten sich 30min und mehr ab um ein dummes Zertifikat
auf meine Bankomatkarte zu bringen).
Ha, ein Mitleidender!
Es war einfach unmöglich, kein normal denkender Mensch hätte unter
diesen Bedingungen auch nur erwägt, sich eine Signatur auf seine
Bankomatkarte spielen zu lassen. Alleine, dass mir der Bankangestellte
auf meine Frage nach der Signaturkarte erzählt, ich müsste mir einen
Termin ausmachen und der nächste Termin wäre in sechs Wochen (IIRC)...
Normalerweise hätt ich gesagt "Aha, na gut. Dann stecken Sie sich die
Signatur bitte an den Hut".
Post by Hans Huber
Aber heutzutage ist das soweit mir
erzählt wurde in wenigen Minuten beim Blöd- oder Geizmarkt zu erledigen.
Tatsächlich? Auf die Bankomatkarte auch?
Post by Hans Huber
Und die Installation zuhause klappt nicht mehr oder weniger kompliziert als
die Inbetriebnahme eines neuen Druckers/Scanners/Webcam oder sonstiger
Peripherie.
Das war auch noch komplexer damals...
Post by Hans Huber
1. Ich kann rechtsverbindliche emails verschicken und erspare mir somit hin
und wieder den Weg zur Post (zwecks Aufgabe eines Briefes)
Welche sind das, die du ohne nicht verschicken könntest?

lg
Wolfgang
--
"Dogs come when they're called; cats take a message and get back to
you later." - Mary Bly
Neu: http://www.traumrouten.com/Content.Node/motorraeder/honda/hornet-600.php
David Seppi
2007-09-23 10:01:45 UTC
Permalink
Post by Hans Huber
1. Ich kann rechtsverbindliche emails verschicken und erspare mir somit hin
und wieder den Weg zur Post (zwecks Aufgabe eines Briefes)
Das geht doch auch ohne Signaturkarte. Immerhin kann man Verträge auch
rechtsverbindlich übers Telefon abschließen.
Natürlich kann man unsignierte Mails fälschen, aber das trifft auf
Briefe genauso zu. Oder versendest Du öfter vom Notar bestätigte
Schriftstücke?
--
Impressum: http://unet.univie.ac.at/~a0425013/Impressum.html
Michael Suda
2007-09-23 11:25:58 UTC
Permalink
Post by David Seppi
Post by Hans Huber
1. Ich kann rechtsverbindliche emails verschicken und erspare mir
somit hin und wieder den Weg zur Post (zwecks Aufgabe eines
Briefes)
Das geht doch auch ohne Signaturkarte. Immerhin kann man Verträge auch
rechtsverbindlich übers Telefon abschließen.
Natürlich kann man unsignierte Mails fälschen, aber das trifft auf
Briefe genauso zu. Oder versendest Du öfter vom Notar bestätigte
Schriftstücke?
Also rein optisch fälsche ich dir so einen Notariatsakt oder eine
notarielle Beglaubigung im Handumdrehen. ;-) Die sind ja nicht auf
Banknotenpapier mit dutzenden Sicherheitsmerkmalen gedruckt oder
geschrieben. Ihr wesentliches "Sicherheitsmerkmal" ist die
Möglichkeit, die Echtheit durch Anfrage beim Notar und Vergleich mit
den vom Notar aufbewahrten Unterlagen bestätigen zu lassen. Und das
Wort des Notars gilt von Gesetzes wegen etwas mehr als das Wort eines
x-beliebigen "Ausstellers" einer E-Mail.
--
Michael Suda
A-1040 Wien
Oesterreich/Austria/Autriche
Hans Huber
2007-09-23 17:43:44 UTC
Permalink
"David Seppi" schrieb
Post by David Seppi
Das geht doch auch ohne Signaturkarte. Immerhin kann man Verträge auch
rechtsverbindlich übers Telefon abschließen.
ja, kann man freilich. Aber nicht immer akzeptiert Dein Vertragspartner eine
formlose email sondern besteht auf die Schriftform "wegen der Unterschrift
drauf". Ich fackel da nicht lange rum, sondern sende einfach gleich eine
signierte email. Im Body weise ich meist noch sicherheitshalber mit einem
schmalen einzeiler darauf hin, dass diese email digital signiert und somit
einem eigenhändig unterschriebenen Schriftstück gleichzusetzen ist. Hatte
bisher keine Akzeptanzprobleme.
Bernd Petrovitsch
2007-09-21 15:55:34 UTC
Permalink
Post by Hans Huber
"Bernd Petrovitsch" schrieb
Post by Bernd Petrovitsch
Damit schließt Du fast alle Windows-Installationen aus
das Betriebsystem sehe ich hier nicht wirklich als maßgeblichen
Einflussfaktor. Die Frage ist ob man der Viewer-Software vertraut.
Dann übersiehst die Unmengen Bugs in den diversen Windows-Versionen sowie
die latente Ignoranz und Unwilligkeit, sein OS+Umgebung aktuell zu halten
und v.a. die Unsitte, grundsätzlich mit Administratorrechten eingeloggt
zu sein (und genau deshalb ist eine Personal Firewall meist frü den User
ein größerers Hindernis als für Viren und andere Malware).
Regelmäßig Updaten (mit allen isken und ANchteilen) mag nicht 100% sein,
aber immer noch besser als mit der Initialinstallation.
Post by Hans Huber
Post by Bernd Petrovitsch
ad "Signieren mit Karte": Geht das inzwischen mit Firefox (o.ä.)?
was hat der Browser damit zu tun? Für die PSK-Lösung wird Java benötigt,
Weil der Browser bei der Easybank ein Java-Applet bekommt und von dort
Zugriff auf den Daemon(Programm) bekommen muß, der mit dem Cardreader
sprechen kann.
Post by Hans Huber
für die Raika (ELBA) Lösung wird BDC:HotSign oder Trustdesk Basik
empfohlen. Speziell auf einen bestimmten Browser oder ein Betriebsystem
ist man damit jedoch nicht eingeschränkt.
Schön.
Post by Hans Huber
Post by Bernd Petrovitsch
Vor 1.5 Jahren (wie ioch's zuletzt probiert hab) war da noch tote Hose.
wüsste nicht warum das so gewesen sein sollte. An der Technik hat sich
nichts geändert, und ich nutze meine Signaturkarte schon länger als 2 Jahre.
Easybank ist damals mit IE gegangen. Mit Firefox nicht (auch auf Windows
nicht).
Tja, und damit unbrauchbar.

Bernd
--
"What happens when you read some doc and either it doesn't answer your
question or is demonstrably wrong? In Linux, you say "Linux sucks" and
go read the code. In Windows/Oracle/etc you say "Windows sucks" and
start banging your head against the wall." - Denis Vlasenko on lkml
Hans Huber
2007-09-21 19:12:59 UTC
Permalink
"Bernd Petrovitsch" schrieb
Post by Bernd Petrovitsch
Post by Hans Huber
was hat der Browser damit zu tun? Für die PSK-Lösung wird Java benötigt,
Weil der Browser bei der Easybank ein Java-Applet bekommt und von dort
Zugriff auf den Daemon(Programm) bekommen muß, der mit dem Cardreader
sprechen kann.
meiner Meinung nach funktioniert das trotzdem mit jedem Browser der Applets
einbinden und z.b. mit Sun's JavaVM ausführen kann.
Post by Bernd Petrovitsch
Easybank ist damals mit IE gegangen. Mit Firefox nicht (auch auf Windows
nicht).
was ist jetzt konkret nicht gegangen? Die Signaturkarte oder das
Onlinebanking generell?
Ich kann jedenfalls keine Einschränkung beim Onlinebanking mit Firefox und
PSK erkennen.
Bernd Petrovitsch
2007-09-24 08:39:34 UTC
Permalink
Post by Hans Huber
"Bernd Petrovitsch" schrieb
Post by Bernd Petrovitsch
Post by Hans Huber
was hat der Browser damit zu tun? Für die PSK-Lösung wird Java benötigt,
Weil der Browser bei der Easybank ein Java-Applet bekommt und von dort
Zugriff auf den Daemon(Programm) bekommen muß, der mit dem Cardreader
sprechen kann.
meiner Meinung nach funktioniert das trotzdem mit jedem Browser der
Applets einbinden und z.b. mit Sun's JavaVM ausführen kann.
Post by Bernd Petrovitsch
Easybank ist damals mit IE gegangen. Mit Firefox nicht (auch auf
Windows nicht).
was ist jetzt konkret nicht gegangen? Die Signaturkarte oder das
Onlinebanking generell?
Signaturkarte + Reiner-SCT-Kartenleser.
Post by Hans Huber
Ich kann jedenfalls keine Einschränkung beim Onlinebanking mit Firefox
und PSK erkennen.
Ich auch nicht (mal abgesehen davon, daß sich immer was findet, was man
besser machen könnte).

Bernd
--
"What happens when you read some doc and either it doesn't answer your
question or is demonstrably wrong? In Linux, you say "Linux sucks" and
go read the code. In Windows/Oracle/etc you say "Windows sucks" and
start banging your head against the wall." - Denis Vlasenko on lkml
Wolfgang Decker
2007-09-21 19:15:04 UTC
Permalink
Post by Bernd Petrovitsch
Easybank ist damals mit IE gegangen. Mit Firefox nicht (auch auf Windows
nicht).
Also ich verwende das Online-Konto der Easybank schon seit Jahren mit
Firefox.

lg
Wolfgang
--
"Dogs come when they're called; cats take a message and get back to
you later." - Mary Bly
Neu: http://www.traumrouten.com/Content.Node/motorraeder/honda/hornet-600.php
Johann Mayerwieser *usenet* im Betreff einfügen
2007-09-21 09:25:54 UTC
Permalink
Post by Hans Huber
ich muss zugeben ich kenne den Inhalt der SMS nicht. Enthält die SMS allso
nochmals GENÜGEND Informationen (Zielkonto, Betrag, ...) um am Handy zu
verifizieren, dass keine man-in-the-middle-attack vorliegt? Denn ein reines
"hier Ihr Code für die Bestätigung der soeben in Auftrag gegebenen
Transaktion: 123456" wäre gegen das typische Phishing-Angriffszenario ja
nutzlos.
"Ihre mobile TAN lautet SD3DE53. Überweisung von 400 Euro an Kto.
60000/1234567. Diese mobile TAN ist für 5 Minuten gültig.

Diese SMS habe ich noch am Handy gefunden. Wie der Text ist, wenn man
mehrere Überweisungen macht weiß ich jetzt nicht und das ist ein
Zeichen, dass ich bislang nicht all zu sehr auf diesen Text geachtet
habe, was sich ab nun ändern wird.
Bei mir ging es eigentlich nur darum, die TAN-Liste nicht zu brauchen
und damit Überweisungen von wo immer aus (über meinen Laptop) machen
zu können.

Liebe Grüße
Hannes
Hans Huber
2007-09-21 10:16:10 UTC
Permalink
"Johann Mayerwieser schrieb
Post by Johann Mayerwieser *usenet* im Betreff einfügen
Diese SMS habe ich noch am Handy gefunden. Wie der Text ist, wenn man
mehrere Überweisungen macht weiß ich jetzt nicht und das ist ein
Zeichen, dass ich bislang nicht all zu sehr auf diesen Text geachtet
habe, was sich ab nun ändern wird.
Du hast grade eben sehr treffend erkannt, warum die Lösung zwar prinzipell
geeignet ist um Man-in-the-Middle Attacken zu erkennen bzw. abzuwehen, es in
der Praxis aber nicht funktioniert: Der Mensch reduziert die Möglichkeiten
des Systems auf "warten bis das Handy piepst, Nummer ablesen und
eintippen.". Beim Zahlschein ist das anders, da käme niemand auf die Idee
seine Kraxn drunter zu setzen ohne die Felder zu kontrollieren.
Bernd Petrovitsch
2007-09-21 15:58:21 UTC
Permalink
On Fri, 21 Sep 2007 12:16:10 +0200, Hans Huber wrote:
[...]
Post by Hans Huber
Du hast grade eben sehr treffend erkannt, warum die Lösung zwar
prinzipell geeignet ist um Man-in-the-Middle Attacken zu erkennen bzw.
abzuwehen, es in der Praxis aber nicht funktioniert: Der Mensch
reduziert die Möglichkeiten des Systems auf "warten bis das Handy
piepst, Nummer ablesen und eintippen.". Beim Zahlschein ist das anders,
Mit dem Argument ("$MENSCH verhält sich falsch.") ist jede Security
wirkungslos (und die Diskussion damit am Ende).

Bernd
--
"What happens when you read some doc and either it doesn't answer your
question or is demonstrably wrong? In Linux, you say "Linux sucks" and
go read the code. In Windows/Oracle/etc you say "Windows sucks" and
start banging your head against the wall." - Denis Vlasenko on lkml
Hans Huber
2007-09-21 19:15:07 UTC
Permalink
"Bernd Petrovitsch" schrieb
Post by Bernd Petrovitsch
Mit dem Argument ("$MENSCH verhält sich falsch.") ist jede Security
wirkungslos (und die Diskussion damit am Ende).
"Security" hat immer etwas mit Vertrauen zu tun.
Und Vertrauen hat was mit gesundem Misstrauen zu tun.

Es ist auch Aufgabe einer Securitylösung dieses Vertrauen/Misstrauen des
Anwenders dahingehend zu schärfen, dass er auf die richtigen Dinge achtet.
Bernd Petrovitsch
2007-09-24 08:36:44 UTC
Permalink
Post by Hans Huber
"Bernd Petrovitsch" schrieb
Post by Bernd Petrovitsch
Mit dem Argument ("$MENSCH verhält sich falsch.") ist jede Security
wirkungslos (und die Diskussion damit am Ende).
"Security" hat immer etwas mit Vertrauen zu tun. Und Vertrauen hat was
mit gesundem Misstrauen zu tun.
So ist es. Und der (eigenen) Betreitschaft, sich soweit mit dem Security-
System auseinanderzusetzen, daß man es nicht falsch bedient.

Selbst bei der normalen Haustür (so mit Schloß und Schlüssel und so) muß
man das (nur da fällt es niemandem auf, weil man es schon als kleines
Kind drauf konditioniert wurde) - auch da kann man viel falsch machen.
Ich kann ja z.B. schlecht die Schuld auf den Schloßhersteller schieben,
wenn ich die Tür offen laß.
Post by Hans Huber
Es ist auch Aufgabe einer Securitylösung dieses Vertrauen/Misstrauen des
Anwenders dahingehend zu schärfen, dass er auf die richtigen Dinge achtet.
So ist es.
Das geht aber idR nur, indem $MENSCH weiß, was er nicht machen darf, weil
jedes Security-System hat "Schlupflöcher", z.B. die, die $MENSCH bei der
Benützung derselben ausnützt (und hoffentlich keine anderen).

Bernd
--
"What happens when you read some doc and either it doesn't answer your
question or is demonstrably wrong? In Linux, you say "Linux sucks" and
go read the code. In Windows/Oracle/etc you say "Windows sucks" and
start banging your head against the wall." - Denis Vlasenko on lkml
christian mock
2007-09-21 20:37:42 UTC
Permalink
Post by Bernd Petrovitsch
Mit dem Argument ("$MENSCH verhält sich falsch.") ist jede Security
wirkungslos (und die Diskussion damit am Ende).
IBTD. security-systeme, die endanwender (mit ihren bekannten
schwächen) schützen sollen und dabei diese bekannten schwächen
ignorieren, sind fürn hugo.

cm.
--
** christian mock in vienna, austria -- http://www.tahina.priv.at/
** http://www.vibe.at/ ** http://quintessenz.org/ ** ***@foo.woas.net
Besides, vi uses Nethack-style keybindings, and emacs doesn't.
-- Adam Thornton
Walter Dvorak
2007-09-21 08:56:39 UTC
Permalink
Post by christian mock
bei der TAC wird der einzugebende code zusammen mit der dazugehörigen
transaktion auf einem anderen weg an ein anderes gerät geschickt --
... und zugleich steigt die wahrscheinlichkeit der nicht
verfuegbarkeit bzw. eines ausfalls in der gesamtstrecke. Dann muss
nicht nur das PC-werkl, geschickterweise eine vm-kiste die nur fuer
telebanking verwendet wird, samt IP-zugang funktionsfaehig sein.

Sondern auch das mobiltelefon muss funktionieren, die SIM
nicht gerade einen "wackelkontakt" haben, der akku aufgeladen sein
und der GSM-netzbetreiber sollte wegen starkregen keinen ausfall
auf den mitunter mit geringer reserve dimensionierten
richtfunktstrecken haben.

Vergleicht man es mit der sicherheit die simple
unterschriften mit kugelschreiber am papier darstellen (fast gar
keine) in kombination mit diesen offensichtlich noch immer sehr
beliebten boxen zum einwerfen der ueberweisungsscheine, wo auch
so manches herausgephischt werden kann, erscheinen mir diese
elektronischen sicherheitsmethoden und verfahren sehr
uebertrieben. Und die angst um phishing steht meiner meinung
in deutlich verzerrter relation zur realen bedrohung.

aber vielleicht irre ich bei dieser einschaetzung auch
und bin in diesem bereich nur nicht oft genug auf die nase
gefallen...

WD
--
Hans Huber
2007-09-21 09:11:13 UTC
Permalink
"Walter Dvorak" schrieb
Post by Walter Dvorak
Vergleicht man es mit der sicherheit die simple
unterschriften mit kugelschreiber am papier darstellen (fast gar
keine)
und nur weil man beim "klassischen" Verfahren (Unterschrift auf Papier)
keine praktikablen zusätzlichen Sicherheitsmaßnahmen einführen kann/will
(verpflichtende Ausweisleistung, Identitätsüberprüfung mit Biometrie, ...)
darum soll man die einfach zu bewerkstelligenden technischen Möglichkeiten
beim elektronischen Zahlungsverkehr nicht nutzen?

Das Argument "das schwächste Glied bestimmt die Stärke der Kette" mag zwar
zutreffen, allerdings skalieren "klassische" Betrügereien
(Unterschriftsfälschungen, gefälschte Ausweise, ...) nicht so gut.
Phishingversuche lassen sich jedoch nahezu beliebig ausweiten, und ein
geringer Prozentsatz fällt immer drauf rein.
Wolfgang Decker
2007-09-21 09:33:18 UTC
Permalink
Post by Hans Huber
"Walter Dvorak" schrieb
Post by Walter Dvorak
Vergleicht man es mit der sicherheit die simple
unterschriften mit kugelschreiber am papier darstellen (fast gar
keine)
und nur weil man beim "klassischen" Verfahren (Unterschrift auf Papier)
keine praktikablen zusätzlichen Sicherheitsmaßnahmen einführen kann/will
(verpflichtende Ausweisleistung, Identitätsüberprüfung mit Biometrie, ...)
darum soll man die einfach zu bewerkstelligenden technischen Möglichkeiten
beim elektronischen Zahlungsverkehr nicht nutzen?
Also die PIN/TAN Kombination funktioniert IMHO ausreichend sicher, um
mittlerweile seit über 10 Jahren nicht ein einziges Problem damit gehabt
zu haben. Und ja, ich hab das mit der Signaturkarte probiert.
War einer derjenigen "Early-Birds", die auf die Werbung der Banken
angesprungen sind, die Installationskosten und die Kosten im ersten Jahr
zu übernehmen. Alleine das Warten auf einen Termin zur Inbetriebnahme
hat rund 6 Wochen gedauert! Die Prozedur selbst dann immer noch 45
Minuten...

Fazit: Zu kompliziert, nicht überall (Büro, Zuhause) verfügbar.
Post by Hans Huber
Das Argument "das schwächste Glied bestimmt die Stärke der Kette" mag zwar
zutreffen, allerdings skalieren "klassische" Betrügereien
(Unterschriftsfälschungen, gefälschte Ausweise, ...) nicht so gut.
Ach, das geht sogar sehr gut. Man muss nur wissen wie.
Und es von den Banken so gut es geht totgeschwiegen.

Zwei Beispiele:
Die Bank Austria zog vor einiger Zeit sämtliche Selbstüberweisungsboxen
aus dem Verkehr, weil die systematisch nächtens geplündert wurden und am
Tag darauf Überweisungen mit gefälschten Unterschriften getätigt wurden.
Selbstredend war das Empfängerkonto mit gefälschten Daten eröffnet und
wurde bereits am Tag danach geleert.

Offenbar wurde nach rund einem halben Jahr eine Lösung gefunden, jetzt
gibt es sie wieder.

Mir persönlich wurde ein Kurier-Abo (fast) zum Verhängnis.
Die auf dem Abo-Antrag befindliche Unterschrift in Kombination mit den
Bankdaten genügte einem Ganoven, der offenbar Zugang zu tausenden
derartiger Anträge hatte, um ein halbes Jahr später von dem - jedoch
mittlerweile aufgelösten Konto - eine Überweisung in Höhe einer
vierstelligen Schillingsumme tätigen zu wollen.

Nur durch den Anruf der Angestellten in der Filiale, die mich fragte,
warum ich von meinem nicht mehr existierenden Konto etwas überweisen
wollte, brachte die Sache schnell ans Tageslicht.

Meldung an die interne Revision der BA-CA wurde erstattet, von dort kam
der etwas verklausulierte Hinweis/Frage, ob ich im letzten Jahr
vielleicht irgendwelche Dinge bestellt hätte. Durch die etwas andere
Unterschrift auf dem ABO-Antrag kam ich dann drauf, dass dieser
verwendet wurde.

Ich wäre aber bei weitem nicht der Einzige, soviel konnte mir den Herr
aus der Innenrevision sagen. Und klarerweise waren auch diese
Empfängerkonten mit gefälschten Ausweisen eröffnet worden.

Öffentlichkeit? In beiden Fällen 0,0.
Post by Hans Huber
Phishingversuche lassen sich jedoch nahezu beliebig ausweiten, und ein
geringer Prozentsatz fällt immer drauf rein.
Sorry, aber wer heutzutage noch auf Phishing hereinfällt, dem ist
ebensowenig zu helfen, wie den Opfern der Nigeria-Connection.

lg
Wolfgang
--
»Du kennst mich doch, ich hab' nichts gegen Fremde.
Einige meiner besten Freunde sind Fremde.
Aber diese Fremden da sind nicht von hier!« (Methusalix)
Neu: http://www.traumrouten.com/Content.Node/motorraeder/honda/hornet-600.php
Walter Dvorak
2007-09-21 09:44:32 UTC
Permalink
Post by Hans Huber
darum soll man die einfach zu bewerkstelligenden technischen Möglichkeiten
beim elektronischen Zahlungsverkehr nicht nutzen?
Nein. Die frage ist zunaechst, wieviele betrugsfaelle und welche
schaeden in dem einfachsten verfahren bei haendischen unterschriften
und "papier und bleistift" tatsaechlich in bestimmten zeitfenster
passiert sind. quasi als referenzwert.
Post by Hans Huber
Phishingversuche lassen sich jedoch nahezu beliebig ausweiten, und ein
geringer Prozentsatz fällt immer drauf rein.
Und eine folgefrage ist dann in relation, was fuer ein
schaden entsteht bei elektronischen verfahren bzw. entstand bereits.
Gibt es da erhobene daten welches schadensvolumen durch phishing in
bestimmten zeitraeumen angerichtet wurden oder ist dies grossteils
nur vermutung und bestenfalls sehr grobe schaetzungen?

Ich orakle auch mal, und bitte um korrektur wenns nichts
passt, das durch phishing wie bei klassischen TAN-verfahren nur
ein vergleichweise geringer (prozentueller) schaden entsteht.

WD
--
Matthias Feichtinger
2007-09-21 12:26:32 UTC
Permalink
Post by Walter Dvorak
Ich orakle auch mal, und bitte um korrektur wenns nichts
passt, das durch phishing wie bei klassischen TAN-verfahren nur
ein vergleichweise geringer (prozentueller) schaden entsteht.
Wie man hinter vorgehaltener Hand aus dem Rechenzentrum unter dem
absoluten Siegel der Verschwiegenheit erfahren kann, gibt es erhebliche
Sicherheitsmängel. Die sind alle durch Versicherungen gedeckt (Wobei die
Versicherungen oft im Besitz der gschädigten Banken sind, wodurch man
natürlich auch von den Versicherungen nichts erfährt), es werden halt
diskret die Versicherungsbeiträge erhöht. Die werden durch
steuergeminderte Erträge und Gebühren von den Kunden locker weggesteckt.
Wo soll da also ein Schaden sein, welchen Schaden könnte man also
zugeben? Ja und wenn also kein Schaden ...
Aber es geht ja eigentlich und in Wahrheit um den von der Polizei um
KK und TAN beraubten Kümel, der sich vor langer Zeit auf ein Gesims
in der Kärntnerstraße in 4m Höhe ... jetzt sitzen dort nur mehr Krähen
oder Tauben und die Polizei tut wieder einmal nichts! ;-)
--
Für die p.t.Leser: Die nächste Zeile enthält alle Informationen. LG Matthias:-)
.--. -.-- .-. --.. .-. .- ..-. ..- -. .... -.-. --. .--- ...- .-. .- ...- .- .-
.-. . .-. ..-. --. -. --.- --. .... .- --.- .-.. -.- .--. .. --- .-. ...- ..
...- .-. .- .- -. --.- -... --. -. --.
christian mock
2007-09-21 14:45:17 UTC
Permalink
Post by Matthias Feichtinger
Post by Walter Dvorak
Ich orakle auch mal, und bitte um korrektur wenns nichts
passt, das durch phishing wie bei klassischen TAN-verfahren nur
ein vergleichweise geringer (prozentueller) schaden entsteht.
Wie man hinter vorgehaltener Hand aus dem Rechenzentrum unter dem
absoluten Siegel der Verschwiegenheit erfahren kann, gibt es erhebliche
Sicherheitsmängel. Die sind alle durch Versicherungen gedeckt (Wobei die
meine bank-quellen sagen, daß der schaden durch phishing relativ
gering[0] ist. das problem ist wohl eher der image-schaden...

cm.
--
Actually, I found New Zealanders to be the most akin to Canadians.
They also feel the looming presense of a next door neighbour country
full of loud, excessively happy and somewhat simple people, and are a
little intimidated by it. -- Paul Tomblin
Heinrich Moser
2007-09-21 12:14:52 UTC
Permalink
Post by Walter Dvorak
Vergleicht man es mit der sicherheit die simple
unterschriften mit kugelschreiber am papier darstellen (fast gar
keine) in kombination mit diesen offensichtlich noch immer sehr
beliebten boxen zum einwerfen der ueberweisungsscheine, wo auch
so manches herausgephischt werden kann, erscheinen mir diese
elektronischen sicherheitsmethoden und verfahren sehr
uebertrieben. Und die angst um phishing steht meiner meinung
in deutlich verzerrter relation zur realen bedrohung.
Beim Kastl in der Bank beschränkt sich das Missbrauchspotential
zumindest auf in Österreich in deiner Gegend befindliche
Personen. Deine Online-Überweisungen sind ein Ziel für sämtliche
entsprechend befähigten Kriminellen in aller Welt, die sich, wenn sie
in einem Land mit entsprechend ineffizienter Gesetzgebung sitzen,
nicht einmal einer persönlichen Gefahr aussetzen müssen.

Ich glaube, das ist der große Unterschied.
Post by Walter Dvorak
aber vielleicht irre ich bei dieser einschaetzung auch
und bin in diesem bereich nur nicht oft genug auf die nase
gefallen...
Ich bin gerade zu faul zum Googeln, aber der Schaden durch Phishing
ist schon öfters durch Studien beziffert worden.

LG,
Heinzi
Wolfgang Decker
2007-09-21 13:53:50 UTC
Permalink
Post by Heinrich Moser
Beim Kastl in der Bank beschränkt sich das Missbrauchspotential
zumindest auf in Österreich in deiner Gegend befindliche
Personen.
Na, ja.
Nicht nur die Kastln in der Bank sondern sämtliche Einziehungsaufträge,
Daueraufträge, etc, die du jemals unterschrieben hast, sind irgendwo in
einer Datenbank gescannt und verfügbar. Telekoms, Internetprovider,
EVUs, Genossenschaften, Gemeinden, etc. Ob dort überall der Zugriff auf
diese eingescannten Daten derart rigoros ist, wie man sich das
eigentlich wünschen müsste, wage ich zu bezweifeln.
Post by Heinrich Moser
Deine Online-Überweisungen sind ein Ziel für sämtliche
entsprechend befähigten Kriminellen in aller Welt, die sich, wenn sie
in einem Land mit entsprechend ineffizienter Gesetzgebung sitzen,
nicht einmal einer persönlichen Gefahr aussetzen müssen.
Ich glaube, das ist der große Unterschied.
Wobei sich auch da der Kreis potentiellen Opfer potenziert, für den
einzelnen daher die Gefahr geringer wird. In Summe wird's ziemlich
gleich und klein bleiben.
Post by Heinrich Moser
Ich bin gerade zu faul zum Googeln, aber der Schaden durch Phishing
ist schon öfters durch Studien beziffert worden.
Warum bloß wird nie über den Schaden durch Papier-Überweisungen
geschrieben?

Da wird's jetzt ein wenig OT, zeigt aber deutlich, wie seltsam die
gesamte Sicherheitsdebatte wird, sobald ein Computer ins Spiel kommt:

Große Gemeindetagung zum Thema Internet, Behörden, Dienst am Bürger,
Formulare, etc, pipapo.
Ich komme ins Gespräch mit dem Bürgermeister und dem EDV-Leiter einer
großen österreichischen Stadt zum Thema "Online-Behördenwege" und
Sicherheit. Da ist natürlich alles gefragt, was gut und teuer ist.
Qualifizierte Signaturkarte, elektronische Unterschrift, verschlüsselte
Dokumente und Formulare, anders könnte zum Beispiel eine
Online-Bestellung einer Biotonne nicht durchgeführt werden.
Weil Missbrauch, man könnte ja für wen anderen bestellen, etc.

Ich hör mir das ein wenig an und streue dann beiläufig die Frage in die
Runde, wie sie denn derzeit, also ohne Online-Bestellung derartige Dinge
abwickeln. Und dann kommt raus, dass sie telefonische Bestellungen von
Biotonnen genauso akzeptieren, wie Postkarten und Briefe.

Und - mein Einwand - was, wenn da jemand seinen Nachbarn ärgern und auf
seinen Namen Biotonnen bestellt? Tja, dann stornieren wir das natürlich
und nehmen sie wieder mit. Ich hinterlies nachdenkliche Gesichter.

Kurze Zeit später wurde bereits überlegt, welche Anforderungen derzeit
formlos entgegengenommen werden und daher auch im Internet mittels
einfachem Formular, ohne Signaturkarte, ohne elektronische Unterschrift,
etc. abgeschickt werden könnten...

lg
Wolfgang
--
»Du kennst mich doch, ich hab' nichts gegen Fremde.
Einige meiner besten Freunde sind Fremde.
Aber diese Fremden da sind nicht von hier!« (Methusalix)
Neu: http://www.traumrouten.com/Content.Node/motorraeder/honda/hornet-600.php
christian mock
2007-09-21 14:54:34 UTC
Permalink
Post by Wolfgang Decker
Nicht nur die Kastln in der Bank sondern sämtliche Einziehungsaufträge,
Daueraufträge, etc, die du jemals unterschrieben hast, sind irgendwo in
einer Datenbank gescannt und verfügbar. Telekoms, Internetprovider,
EVUs, Genossenschaften, Gemeinden, etc. Ob dort überall der Zugriff auf
diese eingescannten Daten derart rigoros ist, wie man sich das
eigentlich wünschen müsste, wage ich zu bezweifeln.
die sache ist halt die, daß insider-betrug bei banken ein thema ist,
das es seit bestehen der banken gibt; ich geh davon aus, daß die damit
ziemlich gut umgehen können, sprich die höhe des risikos abschätzen,
wissen, welche methoden sich dagegen bewähren, wie die kunden drauf
reagieren, wenn wiedermal in der zeitung steht, daß ein filialleiter
auf die konten der kunden gegriffen hat, etc.pp.

die internet-thematik dagegen ist für alle neu: für die leute bei den
banken, für den kunden, für die öffentlichkeit und für die politiker
-- also rennens alle durch die gegend wie aufgescheuchte hendln, wenn
irgendwas passiert.

und nachdem das online-banking bis zur erfindung des phishings
eigentlich eine recht sichere sache war, die leute das aber nicht
glauben wollten, sich langsam daran gewöhnt haben, daß es wohl doch
sicher ist, und außerdem sehr bequem, kommt jetzt halt der absturz mit
dem phishing: verdrängte ängste werden wahr...

das problem ist teilweise, wie so oft, daß man nach technischen
sicherheitslösungen gesucht hat (zb 128bit-verschlüsselung, man
erinnere sich an die spezialzertifikate für "starke" verschlüsselung
zur zeit der US-krypto-exportbeschränkungen) und die menschliche
komponente ignoriert hat.

cm.
--
Actually, I found New Zealanders to be the most akin to Canadians.
They also feel the looming presense of a next door neighbour country
full of loud, excessively happy and somewhat simple people, and are a
little intimidated by it. -- Paul Tomblin
Wolfgang Decker
2007-09-21 19:12:57 UTC
Permalink
Post by christian mock
Post by Wolfgang Decker
Nicht nur die Kastln in der Bank sondern sämtliche Einziehungsaufträge,
Daueraufträge, etc, die du jemals unterschrieben hast, sind irgendwo in
einer Datenbank gescannt und verfügbar. Telekoms, Internetprovider,
EVUs, Genossenschaften, Gemeinden, etc. Ob dort überall der Zugriff auf
diese eingescannten Daten derart rigoros ist, wie man sich das
eigentlich wünschen müsste, wage ich zu bezweifeln.
die sache ist halt die, daß insider-betrug bei banken ein thema ist,
das es seit bestehen der banken gibt;
Ich hab nicht die Insider der Bank gemeint.
Sondern zum Beispiel die Abo-Keiler, Mitarbeiter von EVUs, Telekoms,
etc. Die alle Zugriff auf Kundendatenbanken haben, wo idR. auch die
Zahlungsinfos hinterlegt sind.
Und daher fuuuuurchtbar gefährlich.
Mein Gott, was da nicht alles "mit dem Internet" gemacht werden kann.
Ähnlich brutal dürfte nur der Buchdruck eingeschlagen haben.
Post by christian mock
glauben wollten, sich langsam daran gewöhnt haben, daß es wohl doch
sicher ist, und außerdem sehr bequem, kommt jetzt halt der absturz mit
dem phishing: verdrängte ängste werden wahr...
IMHO wird da wie bei allen Themen bewusst Angst geschürt, statt
einfach Aufklärung betrieben. Warum das gerade beim Online-Banking so
passiert und bei allen anderen Dingen nicht, entzieht sich ein wenig
meiner Kenntnis. Mich würde es nicht wundern, wenn die Banken selbst
dahintersteckten, weil die Verwaltung der TANs für die ein enormer
Aufwand ist. Einfacher und billiger für die Banken wäre es zweifellos,
wenn jeder seine Bankgeschäfte nur mit der Signaturkarte abwickeln
würde.

lg
Wolfgang
--
"Dogs come when they're called; cats take a message and get back to
you later." - Mary Bly
Neu: http://www.traumrouten.com/Content.Node/motorraeder/honda/hornet-600.php
Hans Huber
2007-09-21 19:35:58 UTC
Permalink
"Wolfgang Decker" schrieb
Post by Wolfgang Decker
Ich hab nicht die Insider der Bank gemeint.
Sondern zum Beispiel die Abo-Keiler, Mitarbeiter von EVUs, Telekoms,
etc. Die alle Zugriff auf Kundendatenbanken haben, wo idR. auch die
Zahlungsinfos hinterlegt sind.
also: Bankverbindungen geheim zu halten widerspricht wohl dem Sinn einer
Bankverbindung. Oder hast Du schon einmal eine Rechnung ohne aufgedruckt
Bankverbindung bekommen?

Und Unterschriftsproben zu bekommen ist wohl auch selten ein Hindernis.

Und im Übrigen benötigen die von Dir angesprochenen Firmen die schriftliche
Einziehungsermächtigung aus technischer Sicht gar nicht - der Nachweis dass
sie abbuchen dürfen wird nicht geprüft sondern dient nur für den Fall, dass
sich ein Kunde beschwert.

Aber offenbar ist die Hemmschwelle bei diesen klassischen Betrügereien
einfach hoch genug, dass nicht tausende Versuche täglich gestartet werden.
Wolfgang Decker
2007-09-21 19:39:07 UTC
Permalink
Post by Hans Huber
Und im Übrigen benötigen die von Dir angesprochenen Firmen die schriftliche
Einziehungsermächtigung aus technischer Sicht gar nicht - der Nachweis dass
sie abbuchen dürfen wird nicht geprüft sondern dient nur für den Fall, dass
sich ein Kunde beschwert.
Es geht nicht um die offiziellen Firmen.
Wo gibt's denn die Hindernisse, dass sich ein Mitarbeiter hunderte
Bankverbindungen mit den dazugehörenden Unterschriften "besorgt", so
wie es mit meinen Daten passiert ist und sich dann Geld überweist?
Post by Hans Huber
Aber offenbar ist die Hemmschwelle bei diesen klassischen Betrügereien
einfach hoch genug, dass nicht tausende Versuche täglich gestartet werden.
Dein Wort in Gottes Gehörgang...
Meine Erfahrung spricht eine andere Sprache.

lg
Wolfgang
--
"Dogs come when they're called; cats take a message and get back to
you later." - Mary Bly
Neu: http://www.traumrouten.com/Content.Node/motorraeder/honda/hornet-600.php
Hans Huber
2007-09-21 19:53:08 UTC
Permalink
"Wolfgang Decker" schrieb
Post by Wolfgang Decker
Wo gibt's denn die Hindernisse, dass sich ein Mitarbeiter hunderte
Bankverbindungen mit den dazugehörenden Unterschriften "besorgt", so
wie es mit meinen Daten passiert ist und sich dann Geld überweist?
gar keine - da bin ich ja ganz Deiner Meinung
Post by Wolfgang Decker
Post by Hans Huber
Aber offenbar ist die Hemmschwelle bei diesen klassischen Betrügereien
einfach hoch genug, dass nicht tausende Versuche täglich gestartet werden.
Dein Wort in Gottes Gehörgang...
Meine Erfahrung spricht eine andere Sprache.
tja... unsere Banken weigern sich ja zusätzliche Sicherheitsprüfungen am
Schalter einzuführen. Interessanterweise muss man nun (einer EU-Vorgabe sei
dank) bei Barüberweisungen am Schalter seinen Ausweis zeigen (zumindest ab
einer gewissen Höhe - man will hier Geldwäsche vorbeugen). Aber vom Kunden
der da mit einem Packerl Erlagscheinen kommt auch nur sein Konto-Karterl zu
sichten ist offenbar zu viel verlangt. Da wird blind drauf vertraut, dass
das sein Konto ist von dem aus er überweisen möchte, und die Unterschrift
wird oberflächlich einer Ähnlichkeitskontrolle unterzogen.
christian mock
2007-09-21 20:35:01 UTC
Permalink
Post by Wolfgang Decker
Post by christian mock
die sache ist halt die, daß insider-betrug bei banken ein thema ist,
das es seit bestehen der banken gibt;
Ich hab nicht die Insider der Bank gemeint.
Sondern zum Beispiel die Abo-Keiler, Mitarbeiter von EVUs, Telekoms,
etc. Die alle Zugriff auf Kundendatenbanken haben, wo idR. auch die
Zahlungsinfos hinterlegt sind.
ist aber auch eine sache, die schon seit laaaanger zeit bekannt ist;
es passiert ja auch immer wieder was in der richtung, aber offenbar
hat man einen umgang damit gefunden, daß das streßfrei abgeht -- sonst
würd ich davon ausgehen, daß zumindest die konsumentenschützer
ordentlich wirbel machen würden.

interessant wäre natürlich der vergleich mit phishing: wieviele fälle,
wieviel schaden?
Post by Wolfgang Decker
IMHO wird da wie bei allen Themen bewusst Angst geschürt, statt
einfach Aufklärung betrieben. Warum das gerade beim Online-Banking so
passiert und bei allen anderen Dingen nicht, entzieht sich ein wenig
meiner Kenntnis. Mich würde es nicht wundern, wenn die Banken selbst
dahintersteckten, weil die Verwaltung der TANs für die ein enormer
Aufwand ist. Einfacher und billiger für die Banken wäre es zweifellos,
wenn jeder seine Bankgeschäfte nur mit der Signaturkarte abwickeln
würde.
das glaub ich nicht. die ganze infrastruktur dafür ist ja schon
vorhanden für die kontoausdrucke, die software ist trivial. die banken
haben sicher ein interesse, daß das thema möglichst auf kleiner flamme
kocht, erstens weil sie irgendwann entdeckt haben, daß kunden, die in
eine filiale kommen, lästig sind (da hörst aussagen wie "wenn ein
kunde durch die tür in die filiale reinkommt, hat er uns schon 10,-
gekostet") und die online-geschichte drastisch billiger ist, zweitens,
weil sie IMHO nicht wollen, daß phishing-fälle ausjudiziert werden (es
werde alles kulant gelöst und es sei noch kein opfer auf seinem
schaden sitzengeblieben, sagen vertrauenswürdige quellen).

wer ein interesse an einer aufbauschung hat, ist die presse (99% der
computer-"fach"-presse ist ja reißerischer als "krone" und
"österreich" zusammengenommen), und die hersteller von
sicherheitssoftware (da kriegt man des öfteren "interessante" lösungen
präsentiert).

cm.
--
** christian mock in vienna, austria -- http://www.tahina.priv.at/
** http://www.vibe.at/ ** http://quintessenz.org/ ** ***@foo.woas.net
God has yet to tell me to believe the Bible. -- dpm
Wolfgang Decker
2007-09-21 20:58:07 UTC
Permalink
Post by christian mock
ist aber auch eine sache, die schon seit laaaanger zeit bekannt ist;
es passiert ja auch immer wieder was in der richtung, aber offenbar
hat man einen umgang damit gefunden, daß das streßfrei abgeht -- sonst
würd ich davon ausgehen, daß zumindest die konsumentenschützer
ordentlich wirbel machen würden.
Klar, in meinem Fall war's ohnehin schnell geregelt, weil mein Konto
schon seit Monaten aufgelöst war. Wenn die Bank die Unterschrift nicht
ausreichend prüft, wird sie in all den Fällen auch gerade stehen.
Das Problem sind die seltsamen Summen, die da überwiesen werden und
ich nehme mal an, dass nicht jeder seine Kontoauszüge laufend und
penibel überprüft. Bei Konten mit viel Bewegung geht da ein derartiger
Betrag leicht mal unter.
Post by christian mock
interessant wäre natürlich der vergleich mit phishing: wieviele fälle,
wieviel schaden?
Das wäre mal interessant, ja.
Post by christian mock
Post by Wolfgang Decker
IMHO wird da wie bei allen Themen bewusst Angst geschürt, statt
einfach Aufklärung betrieben. Warum das gerade beim Online-Banking so
passiert und bei allen anderen Dingen nicht, entzieht sich ein wenig
meiner Kenntnis. Mich würde es nicht wundern, wenn die Banken selbst
dahintersteckten, weil die Verwaltung der TANs für die ein enormer
Aufwand ist. Einfacher und billiger für die Banken wäre es zweifellos,
wenn jeder seine Bankgeschäfte nur mit der Signaturkarte abwickeln
würde.
das glaub ich nicht.
Ich weiß, dass diese gesamte TAN-Abwicklung extrem ressourcenaufwändig
ist. Wenn dann noch so Geschichten mit SMS an Handys dazukommen, die
ja auch bezahlt werden müssen, wird's immer kostenintensiver.
Post by christian mock
kocht, erstens weil sie irgendwann entdeckt haben, daß kunden, die in
eine filiale kommen, lästig sind (da hörst aussagen wie "wenn ein
kunde durch die tür in die filiale reinkommt, hat er uns schon 10,-
gekostet") und die online-geschichte drastisch billiger ist,
Und noch billiger wäre es, wenn man sich diese TAN Geschichte endlich
sparen könnte.
Post by christian mock
zweitens,
weil sie IMHO nicht wollen, daß phishing-fälle ausjudiziert werden (es
werde alles kulant gelöst und es sei noch kein opfer auf seinem
schaden sitzengeblieben, sagen vertrauenswürdige quellen).
Ja, das ist ja ohnehin im Interesse der Banken.
Sonst würde ja keiner mehr Online Banking betreiben und es würden alle
wieder in die Filialen kommen... ;-)
Post by christian mock
wer ein interesse an einer aufbauschung hat, ist die presse (99% der
computer-"fach"-presse ist ja reißerischer als "krone" und
"österreich" zusammengenommen),
Ach, die Presse schreibt ja ohnehin fast nur das, was sie vorgesetzt
oder von PR-Agenturen vorgekaut bekommen. Aber jetzt gleiten wir
ziemlich ins OT ab...

lg
Wolfgang
--
"Dogs come when they're called; cats take a message and get back to
you later." - Mary Bly
Neu: http://www.traumrouten.com/Content.Node/motorraeder/honda/hornet-600.php
Walter Dvorak
2007-09-22 08:21:27 UTC
Permalink
Post by Wolfgang Decker
Und noch billiger wäre es, wenn man sich diese TAN Geschichte endlich
sparen könnte.
TANs sind einfach handzuhaben und, bei richtiger handhabung
die nicht von vollkommener naivitaet gezeichnet ist, auch mehr als
hinreichend sicher. Und da simples verfahren auch relativ sicher
vor irgendwelchen technischen stoerungen und techn. ausfaellen.

Der wesentliche nachteil dieser signaturkarte abseits
technischer punkte aus meiner kundensicht:

- die laufenden kosten fuer das leisten von eigenen
unterschriften. Nicht die anschaffung der geraete/sw stoert
mich, sondern dass in peridodischen abstaenden fuer das
ausfuehren der *eigenen* unterschrift bei irgenwelchen
stellen kleine muenzen eingeworfen werden wollen. Auch wenn
diese betraege vergleichsweise minimal sein moegen, da passt
was vom prinzip her nicht.

WD
--
Damien Thorne
2007-09-22 09:33:03 UTC
Permalink
Post by Walter Dvorak
Post by Wolfgang Decker
Und noch billiger wäre es, wenn man sich diese TAN Geschichte endlich
sparen könnte.
TANs sind einfach handzuhaben und, bei richtiger handhabung
die nicht von vollkommener naivitaet gezeichnet ist, auch mehr als
hinreichend sicher. Und da simples verfahren auch relativ sicher
vor irgendwelchen technischen stoerungen und techn. ausfaellen.
Der wesentliche nachteil dieser signaturkarte abseits
- die laufenden kosten fuer das leisten von eigenen
unterschriften. Nicht die anschaffung der geraete/sw stoert
mich, sondern dass in peridodischen abstaenden fuer das
ausfuehren der *eigenen* unterschrift bei irgenwelchen
stellen kleine muenzen eingeworfen werden wollen. Auch wenn
diese betraege vergleichsweise minimal sein moegen, da passt
was vom prinzip her nicht.
Dazu kommt für mich als wesentlicher Nachteil der Umstand dass ich dadurch
Telebanking-mäßig quasi auf einen Rechner beschränkt bin.

dt
Hans Huber
2007-09-22 10:26:57 UTC
Permalink
"Damien Thorne" schrieb
Post by Damien Thorne
Dazu kommt für mich als wesentlicher Nachteil der Umstand dass ich dadurch
Telebanking-mäßig quasi auf einen Rechner beschränkt bin.
Sowohl bei Raika, als auch bei PSK kann ich trotz Nutzung der Signaturkarte
auch nachwievor (wenn ich das möchte) mein verstaubtes TAN-Kuvert
hervorkramen. Insofern kann man "im Notfall" auch ohne Karte/Leser arbeiten.

Und seinem Zweitrechner, im Büro, etc... auch einen Kartenleser anzuschaffen
kostet nicht die Welt, zumal man ja doch hin und wieder eine signierte Mail
verschicken muss/möchte und das Equipment ja auch dafür benötigt.
Hans Bachner
2007-09-22 15:13:52 UTC
Permalink
Post by Hans Huber
"Damien Thorne" schrieb
Post by Damien Thorne
Dazu kommt für mich als wesentlicher Nachteil der Umstand dass ich
dadurch Telebanking-mäßig quasi auf einen Rechner beschränkt bin.
Sowohl bei Raika, als auch bei PSK kann ich trotz Nutzung der
Signaturkarte auch nachwievor (wenn ich das möchte) mein verstaubtes
TAN-Kuvert hervorkramen. Insofern kann man "im Notfall" auch ohne
Karte/Leser arbeiten.
Auch bei den Sparkassen (wo die Signaturkarte vorerst nur fürs
Telebanking verwendet wird, für Onlinebanking kommt es leider erst
frühestens Ende 2008) können die TANs weiterverwendet werden.
Post by Hans Huber
Und seinem Zweitrechner, im Büro, etc... auch einen Kartenleser
anzuschaffen kostet nicht die Welt, zumal man ja doch hin und wieder
eine signierte Mail verschicken muss/möchte und das Equipment ja auch
dafür benötigt.
Genau. Ich habe auch einen Leser im Büro und einen zuhause - den kann ich
dann an jeden Rechner anstecken, an dem ich ihn grade brauche. Es gibt ja
auch noch andere Anwendungszwecke - etwa Finanz-Online Login.

Ja, die Signaturkarte kostet etwas - iirc 10 Euro pro Jahr. Das ist mir
aber der Komfort wert, dass ich nicht meine TAN-Liste ständig zwischen
ins Büro und wieder nach Hause mitnehmen und verbrauchte TANs abhaken
muss, oder immer wieder unmerkbare Login-Namen aus einer Datei
herausfischen muss. Kleine Randbemerkung: seit beim Onlinebanking immer
eine bestimmte TAN verlangt wird, kann man ja auch nicht mehr die halbe
Liste ins Büro legen und die andere Hälfte zuhause lassen. Da ist (im
Fall der Sparkassen: wäre) die Signaturkarte beim Onlinbanking schon
einfacher zu handhaben - die Bankomatkarte habe ich ohnehin immer mit.
Und im Verlust-/Diebstahlsfall ist die Karte im Gegensatz zur TAN-Liste
wertlos.

Hans.
Michael Pronay
2007-09-22 15:32:07 UTC
Permalink
Post by Hans Bachner
Ja, die Signaturkarte kostet etwas - iirc 10 Euro pro Jahr. Das
ist mir aber der Komfort wert, dass ich nicht meine TAN-Liste
ständig zwischen ins Büro und wieder nach Hause mitnehmen und
verbrauchte TANs abhaken muss
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Das ist bei BA-CA schon länger nicht mehr notwendig.

M.
Werner Tann
2007-09-22 15:51:45 UTC
Permalink
Post by Michael Pronay
Post by Hans Bachner
ist mir aber der Komfort wert, dass ich nicht meine TAN-Liste
ständig zwischen ins Büro und wieder nach Hause mitnehmen und
verbrauchte TANs abhaken muss
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Das ist bei BA-CA schon länger nicht mehr notwendig.
Klar ist es notwendig, wenn man kein Handy hat oder keine Lust, die
Handy-Nummer der Bank zu geben.

Oder wie will man sonst die SMS des "mobileTAN" empfangen?

Oder meinst Du etwas anderes?

Warum muß ich eigentlich raten, was Du meinst?
Hans-Christian Grosz
2007-09-22 16:49:44 UTC
Permalink
Post by Werner Tann
Post by Michael Pronay
Das ist bei BA-CA schon länger nicht mehr notwendig.
Klar ist es notwendig, wenn man kein Handy hat oder keine Lust, die
Handy-Nummer der Bank zu geben.
Oder meinst Du etwas anderes?
Er meint, dass die TANs bei der BA-CA numeriert sind und die Homepage
jeweils nach einer bestimmten TAN fragt, welche auf dem Zettel unter
ca. 50 TANS per Nummer zu finden ist. D.h. der Server weiss, welche
noch offen sind und welche bereits benutzt wurden.

HC
Wolfgang Decker
2007-09-22 15:43:37 UTC
Permalink
Post by Hans Bachner
aber der Komfort wert, dass ich nicht meine TAN-Liste ständig zwischen
ins Büro und wieder nach Hause mitnehmen und verbrauchte TANs abhaken
muss, oder immer wieder unmerkbare Login-Namen aus einer Datei
herausfischen muss. Kleine Randbemerkung: seit beim Onlinebanking immer
eine bestimmte TAN verlangt wird, kann man ja auch nicht mehr die halbe
Liste ins Büro legen und die andere Hälfte zuhause lassen.
Gut, da geht's mir mit meinem HTC-Handheld besser.
Für Windows-Mobile gibt's jede Menge Programme, wo man sensible Daten
mit Passwort geschützt ablegen kann. Die Papierliste brauch ich genau
30 Minuten, bis die TANs alle abgespeichert sind, dann wird sie in
kleinste Schnipsel zerlegt und aufgeteilt entsorgt (bisschen Paranoia
muss sein ;-)).

Somit hab ich alle TANs immer bei der Hand und dass ein Dieb/Finder
meines HTC gleichzeitig auch ein Super-Programmierer ist, der - und
das wird bei dem Programm eigentlich ausgeschlossen - das Programm
dennoch knackt und die Daten ausliest, ist erstens ebenfalls ziemlich
unwahrscheinlich und zweitens merk ich den Verlust meines Handhelds
ohnehin sofort und die TANs sind nach einem Anruf bei der Bank sofort
wertlos.

Die ganze TAN-Liste immer im Ausweistascherl oder sonst wo
mitzuschleppen, wäre mir zu unsicher und zu mühsam.

lg
Wolfgang
--
"Dogs come when they're called; cats take a message and get back to
you later." - Mary Bly
Neu: http://www.traumrouten.com/Content.Node/motorraeder/honda/hornet-600.php
David Seppi
2007-09-23 10:03:52 UTC
Permalink
Post by Hans Bachner
Auch bei den Sparkassen (wo die Signaturkarte vorerst nur fürs
Telebanking verwendet wird, für Onlinebanking kommt es leider erst
frühestens Ende 2008) können die TANs weiterverwendet werden.
Was ist der Unterschied zwischne Telebanking und Onlinebanking?
--
Impressum: http://unet.univie.ac.at/~a0425013/Impressum.html
Andreas Poeschek
2007-09-23 14:41:11 UTC
Permalink
Hallo!
Post by David Seppi
Was ist der Unterschied zwischne Telebanking und Onlinebanking?
Das hängt von der Bank ab, wie sie den Begriff definiert. Bei der Ersten
bspw. ist Telebanking die Verbindung über den MBS-Server mit einer MBS-
Clientsoftware, die auch einen Anschluss an diverse Fakturierungs- und
Buchhaltungssoftware automatisiert mit Standardschnittstelle erlaubt.
Onlinebanking hingegen ist der Zugriff über diverse Weboberflächen.

Bei der Post gabs früher den Begriff Telebanking fürs "Telefonbanking" - da
konnte man alles übers Telefon erledigen.

Grüße
Andi
Wolfgang Decker
2007-09-22 14:00:50 UTC
Permalink
Post by Damien Thorne
Dazu kommt für mich als wesentlicher Nachteil der Umstand dass ich dadurch
Telebanking-mäßig quasi auf einen Rechner beschränkt bin.
Das ist auch für mich der größte Nachteil.

lg
Wolfgang
--
"Dogs come when they're called; cats take a message and get back to
you later." - Mary Bly
Neu: http://www.traumrouten.com/Content.Node/motorraeder/honda/hornet-600.php
Wolfgang Decker
2007-09-22 13:59:45 UTC
Permalink
Post by Walter Dvorak
Post by Wolfgang Decker
Und noch billiger wäre es, wenn man sich diese TAN Geschichte endlich
sparen könnte.
TANs sind einfach handzuhaben und, bei richtiger handhabung
die nicht von vollkommener naivitaet gezeichnet ist, auch mehr als
hinreichend sicher. Und da simples verfahren auch relativ sicher
vor irgendwelchen technischen stoerungen und techn. ausfaellen.
Ja, aber für die Banken ist das Verfahren halt teurer, als wenn sich
jeder mit Signaturkarte identifizieren würde.

lg
Wolfgang
--
"Dogs come when they're called; cats take a message and get back to
you later." - Mary Bly
Neu: http://www.traumrouten.com/Content.Node/motorraeder/honda/hornet-600.php
Walter Dvorak
2007-09-22 17:45:17 UTC
Permalink
Post by Wolfgang Decker
Ja, aber für die Banken ist das Verfahren halt teurer, als wenn sich
jeder mit Signaturkarte identifizieren würde.
Was verursacht die kosten? Die TAN-tabellen rechnerseitig
vorraetig halten wohl kaum. Der ausdruck und zusendung der
TAN-listen schon eher.

Wenn ich da aber im kontext beobachte, was z.b. easybank
(teil der bawag-psk) fuer dubiose werbemittel in den letzten monaten
versendet hat, wie irgendwelche sandsackerl mit papierschirm oder
kleine torten mit kerzen, haben sie wohl zu viel geld gerade in
der portokasse.

WD
--
Wolfgang Decker
2007-09-22 18:30:39 UTC
Permalink
Post by Walter Dvorak
Was verursacht die kosten? Die TAN-tabellen rechnerseitig
vorraetig halten wohl kaum.
Handling, Software, Rechnerkapazität, Fehlerausschließung, etc.
Auch alles nicht zum Nulltarif zu haben.
Post by Walter Dvorak
Der ausdruck und zusendung der
TAN-listen schon eher.
Auch.
Post by Walter Dvorak
Wenn ich da aber im kontext beobachte, was z.b. easybank
(teil der bawag-psk) fuer dubiose werbemittel in den letzten monaten
versendet hat, wie irgendwelche sandsackerl mit papierschirm oder
kleine torten mit kerzen, haben sie wohl zu viel geld gerade in
der portokasse.
Das fällt aber ins Marketing-Budget und nicht in den laufenden
Betrieb...

lg
Wolfgang
--
"Dogs come when they're called; cats take a message and get back to
you later." - Mary Bly
Neu: http://www.traumrouten.com/Content.Node/motorraeder/honda/hornet-600.php
Andreas Poeschek
2007-09-23 14:36:41 UTC
Permalink
Hallo!
Post by Wolfgang Decker
Ja, aber für die Banken ist das Verfahren halt teurer, als wenn sich
jeder mit Signaturkarte identifizieren würde.
Mir meldeten zwei Bankleiter, dass das Verfahren mit der Signaturkarte für
sie teurer kommt, wenn sie jenes über das Spardat Rechenzentrum verwenden
(jenes, was auch die Volksbankengruppe und Sparkassen versorgt), als wenn
sie das TAN-Verfahren nutzen. Deshalb pushen manche kleine Banken die
Signaturkarte nicht so.

Grüße
Andi
David Seppi
2007-09-21 13:30:49 UTC
Permalink
Post by Walter Dvorak
... und zugleich steigt die wahrscheinlichkeit der nicht
verfuegbarkeit bzw. eines ausfalls in der gesamtstrecke. Dann muss
nicht nur das PC-werkl, geschickterweise eine vm-kiste die nur fuer
telebanking verwendet wird, samt IP-zugang funktionsfaehig sein.
Dafür funktioniert das TAC-System auf jedem hinreichend internetfähigen
PC. Wo findet man heutzutage unterwegs schon einen PC mit Kartenleser?
--
Impressum: http://unet.univie.ac.at/~a0425013/Impressum.html
David Seppi
2007-09-21 13:29:37 UTC
Permalink
Post by christian mock
bei der TAC wird der einzugebende code zusammen mit der dazugehörigen
transaktion auf einem anderen weg an ein anderes gerät geschickt --
Nicht bei jeder Bank.
Bei der Ersten Bank bzw. bei den Sparkassen kommt nur der TAC, ohne
Hinweis auf Betrag oder Empfänger.
--
Impressum: http://unet.univie.ac.at/~a0425013/Impressum.html
christian mock
2007-09-21 14:43:00 UTC
Permalink
Post by David Seppi
Post by christian mock
bei der TAC wird der einzugebende code zusammen mit der dazugehörigen
transaktion auf einem anderen weg an ein anderes gerät geschickt --
Nicht bei jeder Bank.
Bei der Ersten Bank bzw. bei den Sparkassen kommt nur der TAC, ohne
Hinweis auf Betrag oder Empfänger.
spricht nicht für die intelligenz der entscheider dorten, weil damit
das problem, das mit TAC gelöst werden sollte, überhaupt nicht gelöst
ist...

cm.
--
** christian mock in vienna, austria -- http://www.tahina.priv.at/
** http://www.vibe.at/ ** http://quintessenz.org/ ** ***@foo.woas.net
You draw a conclusion like Picasso drew photorealistic landscapes.
-- PdS
Bernd Petrovitsch
2007-09-21 09:23:55 UTC
Permalink
Post by Hans Huber
"Johann Mayerwieser
[TAN per Handy, offenbar TAC genannt]
Post by Johann Mayerwieser *usenet* im Betreff einfügen
Im Gegensatz zur Sig-Karte rennt nicht alles auf einer Schiene
(Internet), sondern ein Teil über eine 2. Schiene.
die TAN-Liste auf Papier kommt auch über die 2te Schiene. Meine
Ja, aber die transportiert weder Summer Überweisung noch die Kontonummer
(was auch gut so ist).
Post by Hans Huber
TAN-Liste verwahre ich sehr gut, mein Handy hingegen ist immer dabei,
kann also sehr leicht abhanden kommen. und nochmals: ob nun TAN oder TAC
Du tätigst Überweisungen, wenn Du dein Handy nicht findest, obwohl Dui
drüber eine TAC erwartest?
Wohl kaum.
Ergo ist der Schluß draus falsch.

[ Sig.-Karten-Werbung gelöscht ]

Bernd
--
"What happens when you read some doc and either it doesn't answer your
question or is demonstrably wrong? In Linux, you say "Linux sucks" and
go read the code. In Windows/Oracle/etc you say "Windows sucks" and
start banging your head against the wall." - Denis Vlasenko on lkml
Hans Huber
2007-09-21 10:00:36 UTC
Permalink
"Bernd Petrovitsch" schrieb
Post by Bernd Petrovitsch
Post by Hans Huber
TAN-Liste verwahre ich sehr gut, mein Handy hingegen ist immer dabei,
kann also sehr leicht abhanden kommen. und nochmals: ob nun TAN oder TAC
Du tätigst Überweisungen, wenn Du dein Handy nicht findest, obwohl Dui
drüber eine TAC erwartest?
Wohl kaum.
Ergo ist der Schluß draus falsch.
falsche Denkrichtung: nicht ich tätige Überweisungen, sondern der "Finder"
meiner "verlorengegangenen" Tasche, in der sich Handy und Geldbörsel
befunden haben. Eine TAN-Liste hingegen hätte sich in dieser Tasche sicher
nicht befunden.
Katharina Fuhrmann
2007-09-21 12:11:50 UTC
Permalink
Post by Hans Huber
"Bernd Petrovitsch" schrieb
Post by Bernd Petrovitsch
Post by Hans Huber
TAN-Liste verwahre ich sehr gut, mein Handy hingegen ist immer dabei,
kann also sehr leicht abhanden kommen. und nochmals: ob nun TAN oder TAC
Du tätigst Überweisungen, wenn Du dein Handy nicht findest, obwohl Dui
drüber eine TAC erwartest?
Wohl kaum.
Ergo ist der Schluß draus falsch.
falsche Denkrichtung: nicht ich tätige Überweisungen, sondern der "Finder"
meiner "verlorengegangenen" Tasche, in der sich Handy und Geldbörsel
befunden haben. Eine TAN-Liste hingegen hätte sich in dieser Tasche sicher
nicht befunden.
Blöde Frage, aber du bewahrst da auch noch die Zugangsdaten zu deinem
Netbanking auf?
Ich brauch zum Netbanking meinen Zugangscode, ein geheimes Passwort,
dann erst bei der Überweisung einen TAN, TAC oder was auch immer.
Und selbst wenn mir das Geldbörsl mit den Nummern oder das Handy mit
den zugesandten TACs abhanden kommt und dank Bankomatkarte derjenige
auch meine Kontonummer wissen würde, so müßte er doch erst meinen
Zugangscode und das Passwort herausfinden.
Sicher gibts vielleicht Leute, die mein Passwort mit viel probieren
rausfinden könnten (obwohl unwahrscheinlich, dazu müßte man schon viel
über mich wissen), aber abgesehen von meiner Bank und deren
Angestellten weiß keiner den Zugangscode. Und die Personalunion von
Geldbörsl- und Handyklauer mit Bankangestellten und zugleich gutem
Vertrautem von mir, das halte ich für äußerst unwahrscheinlich. Zudem
ich das Konto und die Zugangsdaten so ziemlich als erstes sperren
lassen würde!

Kathi (die findet, daß die Security-Hysterie schon ein wenig überhand
nimmt)
Erich Tlapak
2007-09-21 12:59:59 UTC
Permalink
abgesehen von meiner Bank und deren Angestellten
weiß keiner den Zugangscode.
Mit Verlaub: Auch die wissen die Codes nicht! Und schon garnicht die
Passwörter - zumindest wurde das mir gesagt als mir meine Kundenkarte
defekt wurde.
Kathi (die findet, daß die Security-Hysterie schon ein wenig überhand
nimmt)
Bei nötiger Vorsicht und aufmerksamer Beobachtung des Rechners,
eindeutig ja! Wenn jemand jedoch auf ein gefaktes Mail mit seinen Daten
antwortet dem ist nur durch Schaden zu helfen ;-)

Erich
David Seppi
2007-09-21 13:41:43 UTC
Permalink
Post by Erich Tlapak
abgesehen von meiner Bank und deren Angestellten weiß keiner den
Zugangscode.
Mit Verlaub: Auch die wissen die Codes nicht!
Mein Zugangscode steht auf meiner Bankomatkarte.
(Nein, den hab nicht ich raufgeschrieben, der wurde raufgeprägt
[Erste Bank]).

Aber ich verwende trotzdem bedenkenlos das TAC-Verfahren, weil die
Wahrscheinlichkeit, daß jemand mein Handy UND meine Bankomatkarte UND
meinen Login-PIN (steht nirgends) UND den zusätzlich erforderlichen
fixen TAC-Code (steht auch nirgends) herausfindet ist verschwindend gering.
--
Impressum: http://unet.univie.ac.at/~a0425013/Impressum.html
Bernd Petrovitsch
2007-09-21 16:00:48 UTC
Permalink
Post by Hans Huber
"Bernd Petrovitsch" schrieb
Post by Bernd Petrovitsch
Post by Hans Huber
TAN-Liste verwahre ich sehr gut, mein Handy hingegen ist immer dabei,
kann also sehr leicht abhanden kommen. und nochmals: ob nun TAN oder TAC
Du tätigst Überweisungen, wenn Du dein Handy nicht findest, obwohl Dui
drüber eine TAC erwartest?
Wohl kaum.
Ergo ist der Schluß draus falsch.
falsche Denkrichtung: nicht ich tätige Überweisungen, sondern der
"Finder" meiner "verlorengegangenen" Tasche, in der sich Handy und
Geldbörsel befunden haben. Eine TAN-Liste hingegen hätte sich in dieser
Tasche sicher nicht befunden.
Wenn Du auch Deinen Loginnamen+Passwort bei der Bank im Geldbörsel oder
Handy aufbewahrst, kann ich Dir auch nicht helfen.

Wieder PEBKAC.

Bernd
--
"What happens when you read some doc and either it doesn't answer your
question or is demonstrably wrong? In Linux, you say "Linux sucks" and
go read the code. In Windows/Oracle/etc you say "Windows sucks" and
start banging your head against the wall." - Denis Vlasenko on lkml
Hans Huber
2007-09-21 19:27:49 UTC
Permalink
"Bernd Petrovitsch" schrieb
Post by Bernd Petrovitsch
Wenn Du auch Deinen Loginnamen+Passwort bei der Bank im Geldbörsel oder
Handy aufbewahrst, kann ich Dir auch nicht helfen.
ich sagte mit keinem Wort, dass dadurch bereits alle Zugangshürden
überwunden wären.

jedoch macht sich der OP Sorgen wegen seines TAN-Zettels in Händen der
Polizei (auch der TAN Zettel allein ist nicht genug um damit Missbrauch zu
treiben). Als Alternativlösung verwenden einige Banken offenbar TAC, mit dem
Argument das wäre viel sicherer - was, wie wir im Verlauf dieser Diskussion
schon herausgefunden haben zumindest bei einigen Banken, die nur den nackten
TAC schicken ohne die nötigen Zusatzinfos zur Verifizierung ob eine
Man-in-the-middle-Attack vorliegt nicht stimmt.
Bernd Petrovitsch
2007-09-24 08:41:26 UTC
Permalink
Post by Hans Huber
"Bernd Petrovitsch" schrieb
Post by Bernd Petrovitsch
Wenn Du auch Deinen Loginnamen+Passwort bei der Bank im Geldbörsel oder
Handy aufbewahrst, kann ich Dir auch nicht helfen.
ich sagte mit keinem Wort, dass dadurch bereits alle Zugangshürden
überwunden wären.
Du hast es zwingend impliziert, weil es sonst (falls nicht alle
Zugangshürden überwunden gewesen wären) kein Securityproblem gäbe.
Post by Hans Huber
jedoch macht sich der OP Sorgen wegen seines TAN-Zettels in Händen der
Polizei (auch der TAN Zettel allein ist nicht genug um damit Missbrauch
zu treiben). Als Alternativlösung verwenden einige Banken offenbar TAC,
mit dem Argument das wäre viel sicherer - was, wie wir im Verlauf dieser
Diskussion schon herausgefunden haben zumindest bei einigen Banken, die
nur den nackten TAC schicken ohne die nötigen Zusatzinfos zur
Verifizierung ob eine Man-in-the-middle-Attack vorliegt nicht stimmt.
Ja. Es *gibt* Banken, die so "trivial" aushebelbare TACs verwenden?

Bernd
--
"What happens when you read some doc and either it doesn't answer your
question or is demonstrably wrong? In Linux, you say "Linux sucks" and
go read the code. In Windows/Oracle/etc you say "Windows sucks" and
start banging your head against the wall." - Denis Vlasenko on lkml
David Seppi
2007-09-24 09:47:47 UTC
Permalink
Post by Bernd Petrovitsch
Ja. Es *gibt* Banken, die so "trivial" aushebelbare TACs verwenden?
Der Text bei der Ersten (und den Sparkassen) lautet:

| Ihr gewünschter TAC-Key lautet: xxxx!
| Bitte beachten Sie, dass der TAC-Key nur ca. fünf Minuten gültig ist.
| Datum: 24.09.2007,
| Zeit: 11:46
--
Impressum: http://unet.univie.ac.at/~a0425013/Impressum.html
Harald Muehlboeck
2007-09-20 21:20:37 UTC
Permalink
Johann Mayerwieser *usenet* im Betreff einfügen
Post by Johann Mayerwieser *usenet* im Betreff einfügen
Mobile-TAN (wie z.B. bei Raiffeisenbank) scheint mir am sichersten.
Nach Anforderung vor dem Zeichnen kommt auf das (bei der Bank
bekanntgegebene) Handy eine SMS mit einer TAN, die 5 Minuten gültig
ist.
Die Erste nennt die TANs, die per SMS kommen, »TAC«s. Ich bekomme
immer wieder Post von der Ersten, dass man darauf umsteigen solle.

Wenn ich das richtig verstehe, gibt man die Handynummer, an die die
TACs gesendet werden sollen, einfach bei netbankling.at ein. Wir da
kontrolliert, ob das tatsächlich mein Handy ist, oder kann jeder, der
den Netbanking-Zugangs-Code hat, sein Handy dort eintragen?

tia
Harald
--
http://www.clef.at/yagpmfaq/ - Yet Another German Pegasus Mail FAQ
David Seppi
2007-09-21 05:29:29 UTC
Permalink
Post by Harald Muehlboeck
Wir da
kontrolliert, ob das tatsächlich mein Handy ist, oder kann jeder, der
den Netbanking-Zugangs-Code hat, sein Handy dort eintragen?
Du mußt die Eingabe mit einem TAN signieren.
--
Impressum: http://unet.univie.ac.at/~a0425013/Impressum.html
Werner Tann
2007-09-22 10:32:02 UTC
Permalink
Post by David Seppi
Du mußt die Eingabe mit einem TAN signieren.
Da TAN für Transaktionsnummer steht, empfehle ich: "mit einer TAN".
Hans Huber
2007-09-22 11:05:27 UTC
Permalink
"Werner Tann" schrieb
Post by Werner Tann
Post by David Seppi
Du mußt die Eingabe mit einem TAN signieren.
Da TAN für Transaktionsnummer steht, empfehle ich: "mit einer TAN".
<i-Tuepferl-Reiterei-ON>
wenn man TAN als Synonym für TAN-Code sieht, wäre der männliche Artikel OK
dafür Stört mich der Ausdruck "signieren". Hier wird weder im
elektronischen, noch im herkömmlichen Sinn unterschrieben, sondern nur etwas
bestätigt.
</i-Tuepferl-Reiterei-ON>
Thomas Koller
2007-09-22 11:29:22 UTC
Permalink
Post by Hans Huber
<i-Tuepferl-Reiterei-ON>
dafür Stört mich der Ausdruck "signieren". Hier wird weder im
elektronischen, noch im herkömmlichen Sinn unterschrieben, sondern nur etwas
bestätigt.
</i-Tuepferl-Reiterei-ON>
?

Was ist für dich denn eine Unterschrift, wenn nicht die Bestätigung, dass
das unterschriebene Dokument von dir ist, bzw. du dem Inhalt beipflichtest.

Tom
Werner Tann
2007-09-22 11:45:50 UTC
Permalink
Post by Hans Huber
wenn man TAN als Synonym für TAN-Code sieht, wäre der männliche Artikel OK
Synonym ist etwas anders. TAN ist ein Akronym.
http://de.wikipedia.org/wiki/Akronym

Bezöge man sich auf den TAN-Code, lautete das Akronym TANC. Tut's aber
nicht.

Mit gleichem "Recht" könnte man von dem ISBN sprechen (der ISBN-Code).
Ergo: Hinten dazuerfinden ist nicht. ;-)
Post by Hans Huber
dafür Stört mich der Ausdruck "signieren". Hier wird weder im
elektronischen, noch im herkömmlichen Sinn unterschrieben, sondern nur etwas
bestätigt.
Signieren bedeutet nicht nur unterschreiben. Bücher in größeren
Bibliotheken tragen eine Signatur (Code, der über Format, Aufstellort
usw. Auskunft gibt.

Das lateinische "signare" heißt ganz allgemein "bezeichnen, mit einem
Zeichen versehen".
Heinrich Moser
2007-09-22 22:04:14 UTC
Permalink
Post by Werner Tann
Post by Hans Huber
wenn man TAN als Synonym für TAN-Code sieht, wäre der männliche Artikel OK
Synonym ist etwas anders. TAN ist ein Akronym.
http://de.wikipedia.org/wiki/Akronym
Bezöge man sich auf den TAN-Code, lautete das Akronym TANC. Tut's aber
nicht.
Mit gleichem "Recht" könnte man von dem ISBN sprechen (der ISBN-Code).
Ergo: Hinten dazuerfinden ist nicht. ;-)
Mit gleichem "Recht" wird SMS als Synonym für "SMS-Nachricht"
gebraucht. Das korrekte Akronym wäre "SMSN" oder "SM". Wird aber aus
irgendeinem Grund nicht verwendet.

LG,
Heinzi
Werner Tann
2007-09-23 09:13:53 UTC
Permalink
Post by Heinrich Moser
Mit gleichem "Recht" wird SMS als Synonym für "SMS-Nachricht"
gebraucht. Das korrekte Akronym wäre "SMSN" oder "SM". Wird aber aus
irgendeinem Grund nicht verwendet.
Das kann man nicht vergleichen, da das Akronym sich hier aus
englischen Wörtern zusammensetzt. Die Tatsache, daß bei englischen
Akronymen die Zuordnung des Geschlechts oft Probleme macht, ist keine
Rechtfertigung dafür, bei deutschen Akronymen den Schlendrian
einreißen zu lassen.

Es ist *die* Internationale Standardbuchnummer, da sollte es keine
Debatte geben. Bei Eindeutschungen von Nicht-Akronymen wird's schon
problematisch: der Shop oder das Shop - der Laden oder das Geschäft?
Das kompliziert sich bei Akronymen, bei denen dazukommt, daß der
deutsche Benutzer oftmals die Herkunft gar nicht kennt. Frag mal ein
paar Leute, wofür SMS steht.

Bei deutschen Akronymen gibt es keine Übersetzungsprobleme, und meist
wissen die Benutzer sogar, wofür das Kürzel steht. Kein Grund also,
hier beim Genus herumzueiern.
Bernd Petrovitsch
2007-09-24 08:43:50 UTC
Permalink
On Sat, 22 Sep 2007 13:05:27 +0200, Hans Huber wrote:
[....]
Post by Hans Huber
<i-Tuepferl-Reiterei-ON>
wenn man TAN als Synonym für TAN-Code sieht, wäre der männliche Artikel
Dann wär's es ein Pleonasmus.
Post by Hans Huber
OK dafür Stört mich der Ausdruck "signieren". Hier wird weder im
elektronischen, noch im herkömmlichen Sinn unterschrieben, sondern nur
etwas bestätigt.
</i-Tuepferl-Reiterei-ON>
Was ist eine Unterschrift denn anderes als eine Bestätigung (den Text
gelesen zu haben, das Paket übernommen zu haben, den Vertrag
einzugehen, ....)?

Bernd
--
"What happens when you read some doc and either it doesn't answer your
question or is demonstrably wrong? In Linux, you say "Linux sucks" and
go read the code. In Windows/Oracle/etc you say "Windows sucks" and
start banging your head against the wall." - Denis Vlasenko on lkml
Michael Pronay
2007-09-24 08:58:33 UTC
Permalink
Post by Bernd Petrovitsch
Post by Hans Huber
wenn man TAN als Synonym für TAN-Code sieht, wäre der
männliche Artikel
Dann wär's es ein Pleonasmus.
Wie bei PIN-Code?

M.
David Seppi
2007-09-20 21:13:17 UTC
Permalink
Post by Hans Huber
Außerdem empfehle ich dringend auf eine Lösung mit Signaturkarte
umzusteigen.
Weder Ba-Ca noch Sparkassen bieten das an.
--
Impressum: http://unet.univie.ac.at/~a0425013/Impressum.html
Bernd Petrovitsch
2007-09-21 09:25:54 UTC
Permalink
Post by Hans Huber
"Bernhard Kuemel" schrieb
Verstoesst man gegen die Sorgfaltspflichten, wenn einem z.B. bei einer
Festnahme die Polizei TAN und Kreditkarte wegnimmt?
wenn Du mit "TAN" Deine Transaktionscodes fürs Banking meinst: Warum
führst Du Diese eigentlich mit?
Weil ich sowohl zu Hause wie in der Firma Überweisungen tätigen will/muß?
Post by Hans Huber
Vermutlich genügt ein Anruf bei der Bank, und die ausgestellten TANs
sind ungültig erklärt und das neue Kuvert liegt 1 Tag später in der
Yup.

[....]
Post by Hans Huber
was die Kreditkarte betrifft: Vertraust Du der Polizei weniger als einem
zwielichtigen Kellner aus einem Beisl ums Eck? Zweiterem gibst Du ja
Es gibt auch andere Beisln;-)
Post by Hans Huber
auch Deine Karte zur Zahlung und er rauscht damit erstmal für 10min ins
Hinterzimmer ab um sie in die Ritsche-Ratsche einzulegen.
Dafür kannst Du die KK-Abrechnung kontrollieren und einfach beeinspruchen.

Bernd
--
"What happens when you read some doc and either it doesn't answer your
question or is demonstrably wrong? In Linux, you say "Linux sucks" and
go read the code. In Windows/Oracle/etc you say "Windows sucks" and
start banging your head against the wall." - Denis Vlasenko on lkml
Wolfgang Decker
2007-09-20 18:47:43 UTC
Permalink
Post by Bernhard Kuemel
Verstoesst man gegen die Sorgfaltspflichten, wenn einem z.B. bei
einer Festnahme die Polizei TAN und Kreditkarte wegnimmt?
TAN und Kreditkarte?
Kannst du mit deiner Kreditkarte und TAN Überweisungen machen?
Oder geht's da um die Geheimnummer und die Kreditkarte?
Oder um TANs und die Bankomatkarte?

Und warum wurden sie abgenommen?

lg
Wolfgang
--
"Dogs come when they're called; cats take a message and get back to
you later." - Mary Bly
Neu: http://www.traumrouten.com/Content.Node/motorraeder/honda/hornet-600.php
Bernhard Kuemel
2007-09-20 21:26:37 UTC
Permalink
Post by Wolfgang Decker
Post by Bernhard Kuemel
Verstoesst man gegen die Sorgfaltspflichten, wenn einem z.B. bei
einer Festnahme die Polizei TAN und Kreditkarte wegnimmt?
Oder geht's da um die Geheimnummer und die Kreditkarte?
TAN is fuer Sofabanking, KK is davon unabhaengig.
Post by Wolfgang Decker
Und warum wurden sie abgenommen?
Ist schon laenger her. Bin auf einem Vordach (ca. 4 m hoch, in der
Kaerntner Strasse) gesessen. Stoerung der oeffentlichen Ordnung.
Jetzt hab ich grad ne neue KK bekommen und hab mich gefragt, was ich
tun soll, wenn sowas wieder passiert.

lg, Bernhard
--
Please encrypt all emails
GPG Key (ID F732FBF3 E4219D48) available on public key servers
Fingerprint E18F BF4D 0EE2 6522 E950 A06A F732 FBF3 E421 9D48
Wolfgang Decker
2007-09-20 21:45:35 UTC
Permalink
Post by Bernhard Kuemel
TAN is fuer Sofabanking, KK is davon unabhaengig.
Hm, die TANs auf Papier mit zu haben find ich auch gefährlich.
Post by Bernhard Kuemel
Post by Wolfgang Decker
Und warum wurden sie abgenommen?
Ist schon laenger her. Bin auf einem Vordach (ca. 4 m hoch, in der
Kaerntner Strasse) gesessen. Stoerung der oeffentlichen Ordnung.
Und da wird einem die Kreditkarte abgenommen?
Warum?

lg
Wolfgang
--
"Dogs come when they're called; cats take a message and get back to
you later." - Mary Bly
Neu: http://www.traumrouten.com/Content.Node/motorraeder/honda/hornet-600.php
Hans Huber
2007-09-20 22:13:47 UTC
Permalink
"Wolfgang Decker" schrieb
Post by Wolfgang Decker
Und da wird einem die Kreditkarte abgenommen?
Warum?
ich vermute mal, da wird nicht explizit die Kreditkarte abgenommen, sondern
man hat ganz einfach seine Hosensäckel zu leeren wenn man in Verwahrung
genommen wird. Bei Entlassung gibts dann alles wieder retour.
Bernhard Kuemel
2007-09-21 09:55:27 UTC
Permalink
Post by Hans Huber
"Wolfgang Decker" schrieb
Post by Wolfgang Decker
Und da wird einem die Kreditkarte abgenommen?
Warum?
ich vermute mal, da wird nicht explizit die Kreditkarte abgenommen, sondern
man hat ganz einfach seine Hosensäckel zu leeren wenn man in Verwahrung
genommen wird. Bei Entlassung gibts dann alles wieder retour.
So ist es. Und die haben mein Geldboersl genau durchsucht. Z.B. die
Bankomatkarte und die TAN aus dem Fach hinter dem Muenzfach genommen.

lg, Bernhard
--
Please encrypt all emails
GPG Key (ID F732FBF3 E4219D48) available on public key servers
Fingerprint E18F BF4D 0EE2 6522 E950 A06A F732 FBF3 E421 9D48
Hans Huber
2007-09-21 10:19:20 UTC
Permalink
"Bernhard Kuemel" schrieb

[Polizei nimmt einem persönliche Gegenstände bei Festnahme ab]
Post by Bernhard Kuemel
So ist es. Und die haben mein Geldboersl genau durchsucht. Z.B. die
Bankomatkarte und die TAN aus dem Fach hinter dem Muenzfach genommen.
ich nehm mal an die Codes und Karten waren uninteressant für unsere
Kriminalisten, die haben wohl eher nach verbotenen Substanzen gesucht.
Stefan+ (Stefan Froehlich)
2007-09-21 05:59:35 UTC
Permalink
Post by Wolfgang Decker
Hm, die TANs auf Papier mit zu haben find ich auch gefährlich.
Ist aber nicht ganz unpraktisch, wenn man von irgendwo anders
als daheim Netbanking betreiben will. Meine Verfuegernummer (aka
Login) steht aber nirgendwo geschrieben. Sofern wenn nicht jemand
ganz gezielt mich als Opfer aussucht und mich bzw. meinen Rechner
vor dem Ueberfall ausspioniert, wird er sie auch nicht herausfinden
koennen.

Servus,
Stefan
--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich

Steil? Steiler als Stefan!? Kaum zu fassen, daß es das gibt.
(Sloganizer)
Matthias Feichtinger
2007-09-21 09:09:32 UTC
Permalink
Post by Wolfgang Decker
Post by Bernhard Kuemel
Ist schon laenger her. Bin auf einem Vordach (ca. 4 m hoch, in der
Kaerntner Strasse) gesessen. Stoerung der oeffentlichen Ordnung.
Und da wird einem die Kreditkarte abgenommen?
Warum?
HEY! Herr Decker! Man lasse sich doch nicht so einfach zu einem Disput
verleiten! Diesen Kümmelbraten kann man doch schon meilenweit riechen!:-)
Frag ihn lieber, ob es nicht doch die Telephonzelle war, auf der er sich
unbedingt vor der Polzei setzen mußte! Wo kann man sich bitte in der
Kaerntnerstraße auf ein Vordach setzen, in 4m Höhe? Da kommt doch gleich
das Fernsehn und dann, wenn sie grad zufällig nüchtern ist, die Stenzel!
Und frag ihn, was er grad raucht, vielleicht kriegst auch ein wenig
davon, s'werden schon keine Smart sein ;-D))))
BTW, die Polizei nimmt nicht ab, die läßt sich geben (Führerschein,
Zulassungsschein, amtlichen Lichtbildausweis), dabei aber die
Kreditkarte nur dann, wenn man mit ihr zahlen kann. Das ist alles vorher
ein signifikantes Kümelkonstrukt, um wieder dabeizusein, aber nicht OT
;-)
--
Für die p.t.Leser: Die nächste Zeile enthält alle Informationen. LG Matthias:-)
.--. -.-- .-. --.. .-. .- ..-. ..- -. .... -.-. --. .--- ...- .-. .- ...- .- .-
.-. . .-. ..-. --. -. --.- --. .... .- --.- .-.. -.- .--. .. --- .-. ...- ..
...- .-. .- .- -. --.- -... --. -. --.
Catharina Turnwald
2007-09-20 22:24:32 UTC
Permalink
Post by Harald Muehlboeck
Johann Mayerwieser *usenet* im Betreff einfügen
Post by Johann Mayerwieser *usenet* im Betreff einfügen
Mobile-TAN (wie z.B. bei Raiffeisenbank) scheint mir am sichersten.
Nach Anforderung vor dem Zeichnen kommt auf das (bei der Bank
bekanntgegebene) Handy eine SMS mit einer TAN, die 5 Minuten gültig
ist.
Die Erste nennt die TANs, die per SMS kommen, »TAC«s. Ich bekomme
immer wieder Post von der Ersten, dass man darauf umsteigen solle.
Wenn ich das richtig verstehe, gibt man die Handynummer, an die die
TACs gesendet werden sollen, einfach bei netbankling.at ein. Wir da
kontrolliert, ob das tatsächlich mein Handy ist, oder kann jeder, der
den Netbanking-Zugangs-Code hat, sein Handy dort eintragen?
Wenn ich mich recht erinnere, habe ich mich, als ich bei der ERSTEN, wo
ich ein Konto habe, im Netbanking war (mich also dazu mit UserId und
Passwort identifiziert hatte) für Netbanking per TAC angemeldet und meine
Handynummer angegeben.

Da mein Handy eine Geheimnummer hat, wüßte ich nicht, wie die ERSTE auf
legale Weise nachprüfen sollte, ob die angegebene Handynummer auf mich
registriert ist und es steht auch nirgends, daß man nicht ein
Wertkartenhandy angeben könnte.

Die Anmeldung für Netbanking per TAC mußte ich mit einer TAN autorisieren.
Wenn also jemand meine ERSTE "Verfüger-Nummer", mein Passwort weiß und
außerdem meine TANs an sich gebracht hat, dann könnte er in Zukunft
Transaktionen per TAC autorisieren lassen.

Da man aber das Netbanking nur entweder mit TANs oder mit TAC bestätigen
kann, aber nicht beide Methoden gleichzeitig anwenden kann, würde ich bei
der nächsten Überweisung, die ich mit meinen TANs bestätigen möchte,
sofort feststellen, daß das nicht mehr funktioniert, da ich in die
Online-Eingabemaske TACs eingeben muß und keine bekomme, weil sie ja an
das Handy des Betrügers gesandt werden und dann würde ich wohl die Hotline
der Bank anrufen.

MfG
Cathairna Turnwald
Johann Mayerwieser *usenet* im Betreff einfügen
2007-09-21 09:29:32 UTC
Permalink
Post by Catharina Turnwald
Die Anmeldung für Netbanking per TAC mußte ich mit einer TAN autorisieren.
Wenn also jemand meine ERSTE "Verfüger-Nummer", mein Passwort weiß und
außerdem meine TANs an sich gebracht hat, dann könnte er in Zukunft
Transaktionen per TAC autorisieren lassen.
Da man aber das Netbanking nur entweder mit TANs oder mit TAC bestätigen
kann, aber nicht beide Methoden gleichzeitig anwenden kann, würde ich bei
der nächsten Überweisung, die ich mit meinen TANs bestätigen möchte,
sofort feststellen, daß das nicht mehr funktioniert, da ich in die
Online-Eingabemaske TACs eingeben muß und keine bekomme, weil sie ja an
das Handy des Betrügers gesandt werden und dann würde ich wohl die Hotline
der Bank anrufen.
Wennst einmal TACst kannst nicht mehr TANen - zumindest bei der
Raiffeisen. Also kannst deine TANs dem nächsten Pisher schenken.

Liebe Grüße
Hannes
David Seppi
2007-09-21 13:46:00 UTC
Permalink
Post by Johann Mayerwieser *usenet* im Betreff einfügen
Wennst einmal TACst kannst nicht mehr TANen - zumindest bei der
Raiffeisen. Also kannst deine TANs dem nächsten Pisher schenken.
Bei der Ersten kann man jederzeit TAC deaktivieren und mit einer TAN
eine neue Handynummer und einen neuen Code registrieren.
--
Impressum: http://unet.univie.ac.at/~a0425013/Impressum.html
Lesen Sie weiter auf narkive:
Loading...