Wir sind Kunde der ASB Bank. Das ist eine gute Bank, sagt man…guten Service, viele Dienstleistungen – nicht unbedingt die günstigste von den Gebühren her, aber wenn man ungefähr weiss, was wie teuer ist kann man sich dazu passend verhalten (darüber hat Diane ja schonmal geschrieben).
Nun zum Online-Banking. Als deutscher Homebanking-Kunde ist man ja schon ein bisschen verwöhnt. Man hat eine PIN, TAN-Listen, vielleicht noch einen Kartenleser und vieles mehr, um sich ja das liebe Geld nicht von irgendwelchen Phischern abzocken zu lassen.
In Neuseeland ist das anders…
- Schritt 1: Die Bankberaterin schaltet Dich für Online-Banking frei, dazu muss man einen “geheimen” Benutzernamen wählen, ihr mitteilen und sie trägt den Namen zu Deinem Konto ein.
- Schritt 2: Man ruft eine 0800-Telefonnummer an und muss dort seinen – bemerkensweterweise ja immer noch “geheimen” Benutzernamen aufsagen, dazu noch ein paar Fragen beantworten wie Geburtsdatum, Adresse und so… Hat man diese Hürde genommen, bekommt man ein temopäres Passwort (ich vergaß zu erwähnen, dass das diesmal zumindest ein wenig geheimer ist, weil ein Computer das generiert).
- Schritt 3: Man loggt sich bei der ASB Bank ein und ändert beim ersten Login sein Passwort zu etwas wie “namemeinesHundes/meinerFrau/meinerOmma” – das gute, computergenerierte Passwort wird also wieder vermenschlicht und damit de facto unnütz.
- Schritt 4: Man kann mit dem “geheimen” Benutzernamen und dem selbst ausgedachten Passwort fleissig Bankgeschäfte machen. Hmmm, fragt sich der IT- aber nicht wirklich Sicherheitstechnik-erfahrene Autor dieses Eintrags, kann das sein und fragt daraufhin bei der Banktante nochmal nach. Jaja, das habe seine Richtigkeit und das sei auch alles toooooootal sicher, weil ja – und das ist jetzt der Knüller – den Benutzernamen nur sie und ich kennen würden und das Passwort ja schliesslich von mir ganz allein festgelegt wurde.
In Deutschland wird gerade über Verfahren zur Verbesserung der Sicherheit beim PIN/TAN-Verfahren diskutiert und ich bin ein großer Verfechter von Lösungen wie einer Pflicht für Chipkarten mit Verschlüsselung für Online-Banking – und hier sind wir dahingehend noch in der Steinzeit. Immerhin: Es gibt ein Limit von 800 NZ$ pro Tag für Online-Banking, will man darüber gehen, braucht man einen so genannten Netcode. Einen Netcode kann man entweder per SMS anfordern (kostet aber 20 Cent pro Aktion) oder man mietet sich von der Bank gegen eine monatliche Gebühr einen Tokengenerator (das kennen die Leute, die schonmal per Fernwartung Computer betreuen und sich remote irgendwo in ein VPN einloggen müssen) und generiert sich dann ein Token. An dieser Stelle geht’s dann anscheinend schon – wenn man bereit ist, dafür Geld auszugeben.
Ich wundere mich eigentlich nur über zwei Dinge: Will ich Sicherheit und schaffe mir einen Tokengenerator an, oder ist die Fraud-Gefahr in NZ einfach wirklich nicht existent?
Das ist ja unendlich geil, Name/Passwort und schon gehts ans Geld… Kann ich mir hier wirklich nicht vorstellen…
Comments on this entry are closed.