Consorsbank Telefonbanking

Bei der ConsorsBank gibt es einige wenige Anliegen, die man nicht automatisiert über das OnlineBanking-System abwickeln kann. Da die Consorsbank keine Möglichkeit bietet, einen TAN-legitimierten Auftrag mit Freitext zu versenden und sich so der Bank gegenüber auszuweisen, bleibt in diesen Fällen nur die Möglichkeit über das Consorsbank Telefonbanking durch Anruf der entsprechenden Nummer, derzeit +499113693000.

Nachteile

Dies bietet jedoch zwei Nachteile, sobald man sich im Warteschleifensystem als Kunde (und nicht als bloßer Interessent) zu erkennen gibt:
Erstens wird das Telefongespräch laut dem entsprechenden Hinweis in der Warteschlange zwingend aufgezeichnet, ohne dass man dies verhindern könnte.
Zweitens hat die ConsorsBank die früher separat bestehende Telefonbanking-PIN abgeschafft. Die Legitimation erfolgt nun über die Eingabe der Kontonummer sowie der Abfrage von ein bzw. zwei Stellen der regulären Onlinebanking-PIN!

Gefahren der Preisgabe der PIN im Klartext

Insbesondere die Abfrage der PIN im Klartext ist erstaunlich, zeigt dies doch, dass die ConsorsBank die PIN im Klartext (und nicht ge-hashed speichert, sonst wäre ich der Abgleich der mitgeteilten Stelle der PIN mit der bei der Bank hinterlegten PIN nicht möglich. Außerdem kann die PIN bei der ConsorsBank maximal 5 Stellen sein. Hört also irgendjemand das (unverschlüsselte) Telefongespräch mit, erlangt jemand Zugriff auf die angefertigten Aufzeichnungen oder wird das Telefongespräch auf eine nicht der ConsorsBank zuzuordnende Telefonanlage umgeleitet, kommt der Angreifer so im besten Fall nach bereits drei Telefongesprächen samt Legitimation über einzelne PIN-Stellen an die vollständige PIN im Klartext, die er wiederum beim Telefonbanking zur Legitimation beliebiger Aufträge im Namen des eigentlichen Kontoinhabers nutzen kann.

Insgesamt handelt es sich damit um ein Verfahren, das im Sinne der Sicherheit nicht genutzt werden sollte. Dies gilt umso mehr vor dem Hintergrund, dass die Mitteilung der PIN im Klartext an Dritte grundsätzlich grob fahrlässig im Sinne von § 675v BGB sein kann (vgl. etwa AG Neukölln, 01.09.2009, 18 C 58/09, ECLI:DE:AGBENK:2009:0901.18C58.09.0A) und somit der Bankkunde bei dem genutzten Telefonbankingsystem ein gewisses Risiko trägt, dass die Gegenstelle des Telefongesprächs nicht ein Berater der ConsorsBank, sondern ein Dritter ist, und dem Kunden dies bei Anwendung der im Verkehr erforderlichen Sorgfalt hätte auffallen müssen.

Andere Möglichkeiten des Telefonbankings bei der ConsorsBank

Bei der ConsorsBank gibt es jedoch eine undokumentierte Möglichkeit, diese Probleme zu umgehen: Gibt man sich gegenüber dem Telefoncomputer als Interessent (statt als Kunde) zu erkennen, wird man gefragt, ob das Gespräch aufgezeichnet werden darf und kann dies ablehnen. Außerdem wird man ohne weitere Legitimation direkt mit einem Bankberater verbunden. Dieser wiederum kann eine Legitimation via SMS-Tan veranlassen und die entsprechende SMS versenden. So bleibt die PIN geheim und der Kunde hat gleichzeitig über diesen separaten Kanal versandte Mitteilung an die bei der ConsorsBank hinterlegte Handynummer die Sicherheit, dass der Gesprächspartner tatsächlich im Namen der ConsorsBank handelt. Es bleibt die Frage, warum dieses Möglichkeit von der ConsorsBank nicht standardmäßig vorgesehen wird, wenn die Prozesse doch bereits implementiert sind.

Hinweis: Auch der Berater am Telefon wird in der Regel zunächst einzelne Stellen der PIN als Legitimation abfragen. Hier gilt es, dieses Verlangen abzulehnen und auf die Möglichkeit der Legitimation via SMS-Tan zu verweisen. Nach diesem Hinweis wechselten bislang alle meine Gesprächspartner snstandslos auf das SMS-Tan-Verfahren.

Schreib als Erster einen Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*