Sparkassen Sammelthread

[geos]

ANZEIGE

Wo muss denn da nach unten gewischt werden? Die Auftragsdaten (im Beispiel fehlt noch die Empfänger-Zeile) passen bei handelsüblicher Auflösung doch locker-flockig komplett auf den Bildschirm:
Anhang anzeigen 343028

Nun, wie Du selbst schon andeutest, hängt das von der Bildschirmgröße ab. Das ist aber gar nicht der entscheidende Punkt.

Den entscheidenden Punkt sieht man allerdings auch direkt auf Deinem Screenshot: da steht irgendwas in grau auf grau, dann kommt irgend so ein Warnkasten mit eng geschriebenem, relativ langem Text (aber auch eher in hellem Design, nicht wirklich "Warnfarbe"; und vor allem steht da bei jedem Auftrag wohl immer was, was optisch stets so aussieht) und schließlich, ganz deutlich unten ein großer leuchtend roter Querbalken, auf dem nur "Auftrag freigeben" steht.
Worauf wird die Aufmerksamkeit des Nutzers gelenkt? Und welche Info/Impuls bekommt er da übermittelt?
Das ganze ist designpsychologisch so angelegt, dass der etwas unbedarfte Nutzer direkt unten auf "Auftrag freigeben" geht und dort eben den Auftrag freigibt.
Es wäre schon viel gewonnen, wenn eine andere Farbgebung und Hervorhebung/Schriftgröße genutzt würde und vor allem unten auf dem Balken ein Hinweis auf den konkreten Auftrag stünde statt des generischen Textes.
Danke dass Du das Beispiel gepostet hast.

 

[AJ44]

Irgendwie wird auch nur die Schuld bei den Banken gesucht…der Kunde braucht gar nicht mehr nachdenken.
Kann das nicht einfach auch in deinem Sicherheitsthread diskutiert werden? Sowas muss doch jetzt nicht wieder in sämtlichen Threads zu den einzelnen Banken „gepusht“ werden.

 

[nkm]

Es geht weniger um Schuldzuweisungen als um die Tatsache, dass die von den hiesigen Banken als unfehlbar sicher angesehenen Medien Lücken und Mißbrauchspotential aufweisen. Diese Medien müssen massentauglich sein, angefangen von leichter Verständlichkeit, ohne erst °Kleingedrucktes° vor einer Freigabe lesen zu müssen.
Meine 2 Banken in PL und CZ sind wesentlich aufklärender gegenüber den Nutzern unterwegs. Man könnte auch meinen, typisch Deutsch wieder.

 

[Uncle Sam]

von dem sie im Ernstfall meinen, es ginge um etwas ganz anderes

Dann müssen die Kunden im Ernstfall halt lesen, was da steht.

Und kam nach der Freigabe nicht auch eine E-Mail mit dem üblichen Spruch? "Neues Gerät hinzugefügt, wenn Sie das nicht waren,…"

Beitrag automatisch zusammengeführt: Heute um 09:40

da steht irgendwas in grau auf grau

jetzt wird aber das letzte Haar in der Suppe gesucht.

 

[geos]

Irgendwie wird auch nur die Schuld bei den Banken gesucht…der Kunde braucht gar nicht mehr nachdenken.

überhaupt nicht; wenn Du meinen Beitrag liest, wirst Du feststellen, dass ich explizit schreibe, dass es die Schuld der Kunden ist, die Freigabe nicht genau durchzulesen.

Kann das nicht einfach auch in deinem Sicherheitsthread diskutiert werden? Sowas muss doch jetzt nicht wieder in sämtlichen Threads zu den einzelnen Banken „gepusht“ werden.

Könnte man; allerdings geht es hier um einen spezifischen Aspekt der Sparkassen-App (und nur dieser) und dessen Auswirkungen. Daher sollte das thematisch hier genau passen.

 

[geos]

Dann müssen die Kunden im Ernstfall halt lesen, was da steht.

So ist es, selbstverständlich.

Und kam nach der Freigabe nicht auch eine E-Mail mit dem üblichen Spruch? "Neues Gerät hinzugefügt, wenn Sie das nicht waren,…"

Beitrag automatisch zusammengeführt: Heute um 09:40

Vermutlich. Die direkte Emailbenachrichtigung über solche sicherheitsrelevanten Ereignisse ist in der Tat eine gute Funktionalität des Sparkassensystems.
Für diejenigen Kunden, die Email nicht (zeitnah) lesen, ist es natürlich nutzlos.

jetzt wird aber das letzte Haar in der Suppe gesucht.

Nein; solche Designentscheidungen haben direkt zur Konsequenz, wie leicht oder schwer (statistisch gesehen) Kunden auf entsprechende Social Engineering-Geschichten reinfallen. Es geht hier nicht um Ästhetik oder Geschmack, sondern um Funktionalität eines Sicherheitssystems.

Wir haben hier mit der Zeit von Fällen gelesen, die vermuten lassen, dass Sparkassenkunden Social-Engineering-Betrügern z.B. deren IPhone für Apple Pay freigeschaltet haben (und dann ausgeplündert wurden).
Mein Beitrag sollte nur darstellen, wie die das Design der S-pushTAN-App eine solche Angreifbarkeit befördert. Das heißt nicht, dass das Opfer in solchen Fällen keine eklatanten Fehler gemacht hätte. Es überrascht mich, dass ich das nochmal so explizit erläutern muss.

 

[knauserix]

Nein; solche Designentscheidungen haben direkt zur Konsequenz, wie leicht oder schwer (statistisch gesehen) Kunden auf entsprechende Social Engineering-Geschichten reinfallen. Es geht hier nicht um Ästhetik oder Geschmack, sondern um Funktionalität eines Sicherheitssystems.

Wir haben hier mit der Zeit von Fällen gelesen, die vermuten lassen, dass Sparkassenkunden Social-Engineering-Betrügern z.B. deren IPhone für Apple Pay freigeschaltet haben (und dann ausgeplündert wurden).
Mein Beitrag sollte nur darstellen, wie die das Design der S-pushTAN-App eine solche Angreifbarkeit befördert. Das heißt nicht, dass das Opfer in solchen Fällen keine eklatanten Fehler gemacht hätte. Es überrascht mich, dass ich das nochmal so explizit erläutern muss.

Dem will ich mich anschließen, ohne jetzt die technischen Details genau zu kennen.

Aber die Sparkassen-TAN-App lässt sich zwar vielleicht aus Sicht eines IT-Technikers nicht leicht manipulieren, in der Praxis aber halt wohl doch. Das Erfordernis der Nähe zwischen zwei Geräten via Bluetooth plus anschließende Freigabe in der App ist vielleicht doch eine zu leicht zu überwindende Hürde, gerade in einer Zeit, in der zunehmend mehr Zahlungen von Handy zu Handy stattfinden und damit auch von Zahlungsanbietern geworben wird.

Wenn ich es richtig sehe, haben bzw. hatten auch die Atruvia-Banken diese Funktionalität (nicht via Bluetooth, sondern durch Scannen einer Graphik, und dies auch möglich über Darstellung auf einem PC oder Handy). Soweit ich es zuletzt gesehen habe, verschicken aber diese Banken zunehmend die Graphik nach Einleitung des Prozesses per Post an den Kunden).

Und das sollte aus meiner Sicht zum Standard werden: eine erzwungene zeitliche Verzögerung plus Einbindung des Postweges.

Es gibt auch gar keinen wirklich nachvollziehbaren Grund, warum ein neues 2FA-Gerät sofort freigeschaltet sein muss. So etwas kann man als Kunde schließlich auch planen und dann eben ein paar Tage warten, bis es vollständig aktiviert ist.

 

[geos]

Der Grund ist ganz einfach: der Kunde (d.h. viele Kunden) erwartet es so. Es soll alles instantan gehen. Der Wunsch/Bestellung des Kunden soll sofort umgesetzt werden, der Kunde sofort das Ergebnis erhalten und nutzen können. Alles andere wird als Mangel in der Servicequalität angesehen. Auch hier gilt: convenience beats everything. Sicherheitsbedenken oder auch nur -gedanken verschwinden bei vielen oder kommen erst gar nicht in den Kopf, wenn nur die Nutzungshürde tief genug gelegt wird.
Du kannst davon ausgehen, dass ein Versand per Post wieder einen Shitstorm von wegen "kann keine Digitalisierung", "Steinzeit" usw. nach sich ziehen würde, wobei tatsächlich Postversand neue Angriffsflächen eröffnet, die vielleicht nicht nötig wären. Eine Verzögerung könnte man auch explizit einbauen (macht z.B. die Volkswagenbank, wenn ich mich recht entsinne), aber wie gesagt, dem steht häufig die Kundenerwartung entgegen.
So, bevor jemand motzt; dieser Beitrag ist in der Tat nicht mehr sparkassenspezifisch; bitte um Nachsicht und bitte bei Bedarf Diskussion an geeigneterer Stelle gerne fortsetzen. Merci.

 

[eldiablo]

Der Grund ist ganz einfach: der Kunde (d.h. viele Kunden) erwartet es so. Es soll alles instantan gehen. Der Wunsch/Bestellung des Kunden soll sofort umgesetzt werden, der Kunde sofort das Ergebnis erhalten und nutzen können. Alles andere wird als Mangel in der Servicequalität angesehen. Auch hier gilt: convenience beats everything. Sicherheitsbedenken oder auch nur -gedanken verschwinden bei vielen oder kommen erst gar nicht in den Kopf, wenn nur die Nutzungshürde tief genug gelegt wird.
Du kannst davon ausgehen, dass ein Versand per Post wieder einen Shitstorm von wegen "kann keine Digitalisierung", "Steinzeit" usw. nach sich ziehen würde, wobei tatsächlich Postversand neue Angriffsflächen eröffnet, die vielleicht nicht nötig wären. Eine Verzögerung könnte man auch explizit einbauen (macht z.B. die Volkswagenbank, wenn ich mich recht entsinne), aber wie gesagt, dem steht häufig die Kundenerwartung entgegen.
So, bevor jemand motzt; dieser Beitrag ist in der Tat nicht mehr sparkassenspezifisch; bitte um Nachsicht und bitte bei Bedarf Diskussion an geeigneterer Stelle gerne fortsetzen. Merci.

So wie du es beschreibst, habe ich in meiner italienischen UniCredit, wenn ich ein neues Gerät einfüge, z.B. ein iPhone wechsele, dann kann ich erst nach 72 Std im neuen Gerät eine Überweisung durchführen oder ein Zahlungsmittel bei Apple Pay einfügen
Gleichzeitig werde ich auf alle andere Geräten oder webapp informiert, dass am XX.XX.XXXX um YY:YY dieses Gerät eingefügt habe, zzg eine SMS und eine Email
Und wenn ich versuche eine Überweisung vom neuen Gerät durchzuführen, da bekomme ich die Fehlermeldung zzg werde ich per sms und email informiert, dass jemand von diesen Gerät versucht hat, eine Überweisung durchzuführen

das ist bei der Sparkasse nicht der Fall (zumindest bei der Kreissparkasse Köln)

Kreditkarte und Bancomat (my One) funktionieren dann nur Physisch und im alten Gerät kommt (nicht verfügbar )

 

[eham]

[...]

das ist bei der Sparkasse nicht der Fall (zumindest bei der Kreissparkasse Köln)

[...]

@eldiablo : was ist denn aus deinem Fall bei der KSK geworden?

 

[eldiablo]

@eldiablo : was ist denn aus deinem Fall bei der KSK geworden?

Anwalt hat den eine Frist bis Ende des Monat geben, sonst würde klagen, warten auf Antwort

 

[jo123]

ANZEIGE

Eine Frage an euch....kennt ihr noch irgendeine Sparkasse ..... die Fraspa mit ihrem kostenfreien Premiumkonto bei mtl. 5000€ Geldeingang mal ausgenommen .....welche noch ein kostenfreies Girokonto anbietet?

Btw....mal zur Info für die, welche das Sparkassen-Onlinebanking/App mal ausprobieren wollen.

Bei folgenden Sparkassen kann man als Neukunde ein Tagesgeldkonto ohne Girokonto eröffnen:

Nassauische Sparkasse
Sparkasse Allgäu (bisschen lustig hier, dass man die Eröffnungsunterlagen noch per Post zugesandt bekommt, welche man dann wieder unterschrieben zurücksendet, trotz E-ID....klappt aber einwandfrei)
BLSK/ NORD/LB
BW-Bank (als blauer Ableger)

Denen ist der Wohnsitz auch vollkommen egal.

Beste Grüße!!!

@TheHighVoltage Ist das Tagesgeldkonto bei der SPK Allgäu Zahlungsverkehrsfaehig?