Banken und Security, auch im 21. Jahrhundert noch ein Trauerspiel

Getriggert von Kris Köhntopp's trockenem Kommentar zu Banken und Sicherheit, fielen mir meine zwei jüngsten WTF-Momente mit meiner Bank wieder ein ...

Fall 1: Vor ein paar Wochen wurde die Banking-Website meiner Bank umgestellt auf so ein neues, hippes, responsive Design. Mit dem Ergebnis, dass ich auf meinem 27-Zoll-Bildschirm jetzt alles in riesiger Schrift, insgesamt aber weniger Information sehe und viel mehr scrollen und klicken muss. Statt dass man endlich mal die fünfstellige(!) PIN, aka das Passwort zum Online-Konto, gegen etwas zeitgemäßes ersetzt hätte.

O-Ton meiner Bank auf meine Beschwerde:

Es gibt also über 1,4 Milliarden Möglichkeiten. Die Wahrscheinlichkeit, dass Ihre PIN durch reines Ausprobieren in nur 3 Versuchen erraten werden kann, ist somit unbeachtlich.

Wenn das einer online ausprobiert, habt ihr hoffentlich tatsächlich ein System im Einsatz, das reines Ausprobieren ausbremst. Aber wenn Euch die Passwörter, pardon: PINs, mal abhanden kommen? Wie sind die eigentlich gespeichert? Dass die nur fünf Zeichen lang sein dürfen ist ja irgendwie verdächtig ...

It's not that limiting passwords to 16 character is insecure, it's that it makes us worry how you store the passwords.

— passwordistoostrong (@PWTooStrong) June 14, 2016

Fall 2, gerade gestern: Ich zahle online etwas mit Kreditkarte. Bei manchen Anbietern kommt dann noch eine Zwischenseite von Mastercard, die nach einem "SecureCode" verlangt, den ich einmal selbst vergeben hatte (ein ordentliches Passwort). Gestern dann der überraschende Hinweis, dass das jetzt das letzte Mal wäre, dass ich diesen SecureCode verwenden könne, der würde jetzt zwangsweise umgestellt und ich solle nach Abschluss der Zahlung irgendwelchen Anweisungen folgen.

WTF? Mitten in einem Zahlungsvorgang? Da schrillen natürlich sämtliche Alarmglocken. Wer überlegt sich denn sowas?

Ich kam dann auch nicht auf der Seite meiner Bank oder der von Mastercard raus, sondern auf sparkassen-kreditkarten.de. Toll, sieht fast aus wie echt. Also ich meine, ist die jetzt echt oder nicht? Diese Unsitte, ständig neue Domainnamen zu erfinden, und die User damit zu verunsichern, hat übrigens auch PayPal, aber das nur am Rande.

Ein Kommandozeilen-Whois liefert natürlich aus Datenschutzgründen nur den Hoster (gnn). Aber der ist wenigstens in Deutschland. Also nochmal beim DENIC gecheckt: Ja, gehört der Bayern Card-Services GmbH - S-Finanzgruppe, ist also echt. Das hätte aber nicht nötig sein müssen (und was macht Otto Normaluser eigentlich?).

Dann musste ich irgend eine App herunterladen, einen OCR-Code vom Bildschirm scannen - und eine vierstellige(!) numerische(!!!) PIN zur Sicherheit(?!?) festlegen. Seufz.

Jetzt warte ich auf die erste Zahlung, die diese App verlangt. Das wird bestimmt auch lustig ...

(Foto: Eine Sparkassen-Filiale in Ludwigsburg, by yours truly)