QUOTE (TSc @ Di 31.03.2009, 12:00) Und eine 5000,--€-Versicherung ist - gelinde gesagt - ein Witz.
Die hilft mir nichts wenn sich jemand mit der Kombination meine Ersparnisse überweist, das vieleicht bei allen Kunden des heutigen Tages, und sich damit ins Ausland absetzt.
Meine Ersparnisse werden durch 5000,--€ dummerweise nicht abgedeckt.
Es mag ja gute Gründe geben, SÜ nicht zu benutzen, z.B. "Prinzip". Ich gebe aus Prinzip niemandem (egal wem) meine PIN oder TAN, genausowenig wie mein email-Passwort, die Brieftasche, oder den Reisepass.
Das zitierte Argument aber, die Bemerkung sei mir erlaubt, ist totaler Unsinn. Wer seine gesamten Ersparnisse auf dem Girokonto hat, der besitzt entweder kein nennenswertes Vermögen, oder ist schlichtweg verrückt.
Jeder normale Mensch hat ein Tagesgeldkonto oder eine andere zinstragende Anlageform, welches das Hauptvermögen beherbergt. Der normale Mensch in lässt nicht regelmässig deutlich mehr als 5.000 Euro auf dem Girokonto brach liegen.
Wer sich den Luxus leisten kann, regelmässig Beträge deutlich über 5.000 Euro zinslos liegen zu lassen, der sollte auch nicht vor dem kompletten Ruin stehen, wenn in einem hypothetischen Fall tatsächlich ein paar Euros fehlen sollten.
Zudem ist es so, dass ein mutmasslicher Dieb mit einer TAN nur eine Überweisung ausführen kann. Folglich muss er einen Betrag wählen, bei dem die Ausführung wahrscheinlich ist. Es hilft nichts, wenn man versucht, 25.000 Euro zu überweisen, die Bank die Überweisung aber wegen mangelnder Deckung dann nicht ausführt... die TAN ist in diesem Fall unbrauchbar geworden, und was noch schlimmer ist, es wird Aufmerksamkeit erregt.
Da die meisten Menschen nicht riesige Vermögen auf dem Girokonto haben, muss ein Dieb relativ niedrige Beträge (vielleicht 500-2.000 Euro) wählen. Sofern PN die zugesagte Versicherung einhält (letztlich bleibt ihnen gar nichts anderes übrig, wenn sie im Geschäft bleiben wollen), ist das also kein Problem.
Dazu kommt, dass es für den einzelnen unehrlichen Mitarbeiter (sofern das System von PN auch nur halbwegs professionell ist, wovon auszugehen ist) sehr, sehr schwer ist, an eine TAN heranzukommen.
OTP-Geheimnisse werden in sicheren Transaktionssystemen üblicherweise nicht gespeichert, d.h. um an die TAN zu gelangen, müsste man entweder die SSL-Verbindung knacken (und das mehr oder weniger in Echtzeit, viel Glück dabei!
oder die TAN zur Laufzeit aus einem Memory Dump lesen, was root-Rechte auf dem Transaktionsserver und nicht unerhebliche Sachkenntnis erfordert.