Dies ist ein Nachtrag zu den Themen E-Mails und E-Banking in der Reihe „Sicher im Internet“
Österreichische Banken (vielleicht auch in anderen Ländern?) sind jetzt auf die glorreiche Idee gekommen, ihre E-Banking Benutzer jetzt auch mit dem total modernen Medium E-Mail zu informieren.
Früher war es üblich, die Benutzer nur per Telefon, Brief und der so genannten Postbox (ein Bereich innerhalb des E-Bankings) mit Nachrichten oder Werbung zu beglücken.
Damit ist jetzt aber Schluss und ich erkläre euch, warum das eine schlechte Idee ist.
Änderung der AGBs
Die Banken haben in ihrer jährlichen Änderung der AGBs einfach „per Mail“ bei den Benachrichtigungsmöglichkeiten hinzugefügt. Das wars. Stillschweigen bedeutet „Ich bin einverstanden“, Ablehnung bedeutet, „du kannst gerne kündigen, wenn dir was nicht passt“.
Gut, das machen eh alle so, aber ein Bankkonto ändert man nicht mal so schnell, wie z.B. den Mobilfunkanbieter.
Außerdem, welche Alternative hat man, wenn es alle Banken gleichtun?
Auswirkung
Früher hat es mal geheißen: „Banken senden niemals eine Mail, in der sie auffordern, auf irgendwelche Links zu drücken, oder irgendwo Benutzerdaten einzugeben“.
Das könnt ihr nun vergessen.
So gesehen bei einer Mail der Hausbank meiner lieben Frau.
Sie hat ein Werbemail für das Zahlen mit dem Smartphone bekommen, auf der sich sage und schreibe 16 (sechzehn!) Weblinks zum Draufklicken befanden.
OK, es steht nirgends, dass man draufklicken soll, aber es ist ja eine Einladung, oder?
Nun werden die Menschen trainiert, auf bunte Mails von Banken zu reagieren und die weiterführenden Information im Internet zu lesen.
Das Problem ist aber, wie viele Menschen kennt ihr persönlich, die die Authentizität einer E-Mail oder einer Webseite bestätigen können?
Ein Beispiel am Rande: In der Türkei gab es vor nicht allzu langer Zeit einen Fall, wo man Anhänger der Opposition mit gefälschten Mails, die zum Downloaden einer angeblichen Protest-App aufrief, die in Wirklichkeit ein Trojaner war.
Was das bedeutet, könnt ihr euch wahrscheinlich denken.
Man hat es jetzt den E-Mail Betrügern noch leichter gemacht, eine noch größere Anzahl an zukünftigen Betrugsopfern zu bekommen.
Hintergrund
Ich denke mal, die Banken haben das gemacht, um die trostlosen Benachrichtigungen in der Postbox zu umgehen, die wahrscheinlich eh keiner liest, weil die Information so nicht sofort verfügbar ist.
Ob das wirklich so ist, kann natürlich nur ein Insider im Bankwesen sagen, da ich aber selbst in einem großen Unternehmen arbeite, weiß ich, auf welche großartigen Gedanken und Visionen die Vordenker und Lenker so kommen.
Sicherheitsbedenken werden da zugunsten der schönen Werbung einfach abgewedelt…
Aufweichung bei der Passwort-Komplexität
Zusätzlich möchte ich noch erwähnen, dass alle meine Banken mich vor längerer Zeit per AGB dazu „gezwungen“ haben, die Kennwörter für das E-Banking zu ändern.
Und zwar so, dass die ersten paar Stellen numerisch sein müssen, der Rest darf gnädigerweise auch Buchstaben und Sonderzeichen enthalten.
Dadurch hat das Kennwort wesentlich an Komplexität eingebüßt und ist dadurch wesentlich leichter zu erraten.
Und wieso?
Na, damit das Anmelden bei den E-Banking-Apps nicht so schwer ist, denn wer möchte schon dauernd Sonderzeichen in sein Smartphone eintippen?
Bei der Komponente, die die aufgrund der schlechten Update-Politik der Hersteller die größte Angriffsfläche für Schwachstellen ist und auch den größten Anreiz für Hacker bietet, nämlich dem Smartphone, muss man nur ein paar Zahlen eingeben, um sich zu authentifizieren.
Sieht denn da vielleicht noch jemand die Ironie und den Schwachsinn?
Darum kein E-Banking am Smartphone
Ich kann nur immer wieder gebetsmühlenartig bitten und betteln.
Bitte benutzt keine E-Banking-App (und am besten gar nichts was mit Bank im Entferntesten zu tun hat) auf dem nicht so Smartphone.
Danke.
Siehe auch hier:
Krawutzi! 