unzufriedene Kunden? Warum?

Benutzer EnnoH schrieb:

Sehe ich auch so, wenn man unzufrieden ist, kündigen. Gibt genügende Banken.

Die N26 hat unterschiedliche Tarifmodelle. Kostenloses Girokonto bis hin zu kostenden Kontos. Ich hatte das kostenlose, hat eigentlich alles soweit gepasst, aber mein DKB Konto hat mir dennoch besser gefallen und daher habe ich das dann gekündigt. Habe derzeit noch bei der comdirect eine, nachdem mir die 1822bank nicht gefallen hat. Habe gerne 2 Girokonten, einmal für Miete und größere Ausgaben und das andere für Haushalt (Essen, Tanken, ...)

Benutzer martinjohannes93 schrieb:

Ihr habt das Problem nicht erkannt. Natürlich gibt es Banken wie Sand am Meer. Man kann auch wechseln oder splitten, was aber nicht immer positiv sich auf den Schufa-Score auswirkt, wenn man Kreditkarten von 5 Instituten hat.

Das Problem ist, dass man bei Problemen oft im Regen stehen gelassen wird, keinen Ansprechpartner findet und auch keine schnelle Hilfe. Das ist für den Kunden zunächst nicht transparent. N26 hat erst im letzten Jahr seine Hotline abgeschafft und dann nur noch den Chat als direkte Kontaktmöglichkeit gelassen. Dazu muss man sich aber im Konto einloggen können. Das ist vielen nicht bekannt und mir als N26-Kunden auch damals nicht kommuniziert worden.

Leistungen wie 24-Stunden-Sperrhotline oder -Ansprechpartner in Notfällen werden von den Banken nicht genannt in der Werbung und auch zunächst von den Kunden nicht nachgefragt. Sie existieren auch häufig nicht.

Da sind eigentlich alle Online-Banken ziemlich identisch. Es ist nicht möglich, sofort den Kunden zu identifizieren und für ihn das Konto dann wieder freizuschalten. Man kann den Kunden nur raten, sich einen Mix mit online und konventionellen Banken zu suchen: entweder in "gemischten Banken" wie die comdirekt, die mit der Commerzbank zusammenarbeitet oder 1822direkt, wo es auch Filialen zumindest im Rhein-Main-Gebiet gibt oder halt splitten.

Mit der Abschaffung des iTAN-Verfahrens im Laufe dieses Jahres (beide o.g. Banken bieten das noch an) wird allerdings noch mehr Sicheheit auf HandyTAN (auch mobileTAN oder SMS-TAN genannt) geschoben. D.h. die beiden Authentifizierungswege Handynummer und Email-Adresse, die jetzt schon ständig angegriffen werden, sind spätestens dann die übliche Art und Weise Überweisungen zu legitimieren und damit völlig überfrachtet.

Ich würde mich nicht wundern, wenn der Smartphonediebstahl danach in die Höhe schnellt. Denn darin laufen beide Authentifizierungsverfahren zusammen: man hat in der Regel seinen Email-Account und auch die Bank als App und dazu natürlich seine SIM-Karte drin. Es wird also zum Wettlauf zwischen Bemerken des Verlusts des Handys und Sperren der SIM-Karte auf Seiten des Besitzers und Entsperrung des Handys (falls überhaupt ein Zugangsschutz besteht) und Änderung des Kontozugangs von Seiten des Diebs. Eine nicht gesperrte SIM, die in den falschen Händen ist, kann die Bank immer als "grobe Fahrlässigkeit" auslegen und ist damit aus der Haftung raus. Die Handy-SIM ist da praktisch wie eine Kreditkarte, die nicht gesperrt ist.

Diese Überfrachtung eines bereits heftig angegriffenen Systems der 2-Wege-Authentifizierung aus Handynummer und Email-Adresse haben praktisch alle Banken, ob online Banken für den Zugang oder konventionelle Banken für die Transaktion. Nur wenige Banken bieten echte Alternativen zum mobilen TAN-Verfahren und sie erfordern meist das Mitführen eines weiteren Geräts.

Darum ist es auch weiter ein Skandal - um zum eigentlichen Thema dieses TT-Forums zurückzukehren - dass es immer noch nicht bei allen Mobilfunkanbietern möglich ist, 24 Stunden lang am Tag per Hotline seine SIM-Karte sperren zu lassen. Bei den drei großen Netzbetreibern und Drillisch geht es, bei manch kleineren wird es nur elektronisch rund um die Uhr angeboten. Dazu darf der online Kontozugang beim Telefonanbieter aber noch nicht gehijackt und verändert worden sein. Wenn die Betrüger das mit Bankkonten schaffen, sind online Accounts der Telefonanbieter dagegen Peanuts. Hier sparen Betreiber und Kunden an der falschen Stelle.

Hand aufs Herz: Wer fragt bei Abschluss eines Mobilfunkvertrags nach, ob er/sie die Nummer 24 Stunden lang per Hotline sperren lassen kann?

Benutzer wolfbln schrieb:

Deine umfangreichen Ausführungen zum Mobilfunk haben aber nur etwas mit der häufiger in der Kritik stehenden Authentifizierungsmethode "Mobile TAN" zu tun, oder sehe ich das falsch? Ich habe auf meinem Gerät eine Banking- und eine PushTAN App. Beide verlangen für Login und Überweisungsausführung bzw. -freigabe entweder einen Fingerabdruck (Methoden zum Aushebeln sind dokumentiert, aber relativ aufwändig) oder unterschiedliche, komplexe Passwörter. Mit gesperrten oder ungesperrten SIM-Karten hat das nichts zu tun.

Benutzer nukumichi schrieb:

Nein, ist nicht korrekt. Ich habe oben etwas den Zugriff auf Transaktionen (unberechtigte Überweisungen) und die Kontoverbindung vermischt. Wenn ein Angreifer Zugriff auf die Kontoverbindung hat, kann er auch alle Transaktionen, die über mobile TAN-Verfahren erfolgen auf sich umlenken. In diesem Fall war das alte iTAN-Verfahren sogar sicherer, weil es etwas dauerte, neue TAN-Listen zu erstellen.

Die meisten online-Banken haben eine 2-Wege-Authentifizierung über:
A) Email-Adresse
B) Handynummer

Wenn ein Angreifer beides unter seine Kontrolle bekommt, hat er leichtes Spiel und kann das ganze Konto kidnappen. Die meisten Angreifer gehen auf das Konto, weil es den Zugriff auf Transaktionen mit sich hat.

Wie leicht eine Email-Adresse zu hijacken ist, habe ich letztes Jahr erlebt. Häufig über Phishing-Mails werden unbemerkt Emailkonto-Weiterleitungen gelegt. Diese Funktionen sind auf normalen Browsern oder mobilen Apps überhaupt nicht zu sehen. Man kann sie nur in den Einstellungen über die Seiten der Email-Anbieter finden. Und da sind sie sehr versteckt. Bei GMX z.B. unter "Filtereigenschaften", wo ich die Einstellungen des Spamfilters vermuten würde und nicht der Weiterleitungen. Hat der Angreifer diese Weiterleitung im Hintergrund gelegt, hat er unbemerkt Lesemöglichkeit auf alle eingehenden Emails einschl. Verifikationslinks. Das Konto voll zu kapern, geht ziemlich einfach. Bei Freenet.de reichte mein Name, Account und Geburtsdatum als Sicherheitsfrage, um im Chat es auf neue Handynummer oder Alias-Email umzuleiten und mich auszusperren.

Etwas schwieriger ist es, die Handynummer zu kidnappen bzw. die SIM-Karte, so lange sie physisch nicht im Besitz des Angreifers ist. Da aber Kunden ständig Handys verlieren, Verträge und Nummern ändern usw. sind die Anforderungen der Online-Banken zur Änderung der Handynummer nicht allzuhoch. Häufig ist das per Chat oder online-Formular leicht möglich. Bei den Mobilfunkanbietern gibt es inzwischen sehr viel mehr Sorgfalt, wem sie eine Ersatz-SIM wie bereitstellen. Schwierig wird es aber, wenn das Handy verloren geht. Da drin laufen alle Wege zusammen: SIM-Karte, Email-Adresse (über Email-App) und Bankkonto (über Bank-App) und es ist nur eine Frage der Zeit, bis der Zugreifer das Handy entriegelt hat und SIM + Email + Konto zusammenbringt und umleiten kann.

Darum ist es auch so ungeheuer wichtig, alle verlorengegangenen SIM-Karten, außer sie sind in den Gully gefallen, über die Konten verifiziert wurden, so schnell wie möglich zu sperren, auch prepaid SIMs.

Zur PushTAN nur so viel: das wird bisher nur von Sparkassen und der DKB angeboten. Bei Sparkassen entfallen auch die besonderen Verifizierungs-Probleme von Online-Banken, weil in der Regel ein Filialnetz vorhanden ist, wenn auch immer nur regional. Push-TAN wird außerdem noch von der DKB angeboten als TAN2go.

PushTAN ist da etwas schwerer zu manipulieren, aber auch dieses System ist in der Vergangenheit technisch unterlaufen worden über Schadcode. Bei PushTAN besteht der Vorteil, das es nicht an eine Mobilfunknummer gebunden ist. Als Nachteil ist es aber zwangsläufig auf ein oder mehrere definierte Geräte beschränkt (was auch verloren gehen kann) und das Gerät kein Root/Jailbreak haben darf. PushTAN muss für jedes neue Gerät ein Registrierungsverfahren durchlaufen, das mehrere Tage dauert. Dadurch kann es schon alleine zu keinem Schnellzugriff kommen. Dies erfolgte in der Vergangenheit eher durch das Hacken mit Schadcode.

Sagen wir mal so: wenn man seine SIM-Karte auch nur für Bankgeschäfte braucht und das Handy immer schon zu Hause wegschließt und die Transaktion immer über ein Zweitsystem laufen lässt unabhängig vom Handy in dem die SIM ist und die Bestätigungs-SMS aufläuft, dann ist auch mobile TAN sicher. Aber wer macht das schon?