Seit heute gilt eine neue Gebührenregeleung an deutschen Geldautomaten. Seit Anfang der 90er Jahre musste gemäß der EU-Preisangabenverordnung das kartenausgebende Institut die Gebühr festlegen, die ein Karteninhaber bei Abhebungen an fremden Geldautomaten bezahlen muß. Die Banken berechneten dann untereinander ein Interbankenentgelt für Nutzung des Geldautomaten. Hierdurch haben sich die Kosten für die Kunden in den letzten Jahren kontinuierlich nach oben geschraubt.

Ab heute gilt für deutsche Karteninhaber, dass die Gebühr für die Geldautomatennutzung an deutschen Geldautomaten direkt vom Betreiberinstitut berechnet wird. Die Höhe der Gebühr muss vor der Verfügung direkt am Kundenbildschirm angezeigt werden und der Kunde kann die Transaktion dann noch gebührenfrei abbrechen.

Hierdurch  dürften die Gebühren insgesamt günstiger werden, am besten fährt man immer noch  bei der Nutzung der Geldautomatennetze der Institutsgruppe der eigenen Bank, bei denen die Bargeldabhebung meist kostenlos angeboten wird.

Von gebraucht erstandenen USB-Sticks oder Festplatten, auf denen man noch vergessene Daten des Vorbesitzers findet, hat man ja schon öfters gehört oder gelesen.

Heute hatte ich mal eine andere Variante. Beim Konfigurieren eines gebrauchten Multifunktionsdruckers, der zuvor schon einige Zeit bei einem anderen Kunden des Händlers testweise im Einsatz war, fand ich auf der Seite für die Fax/Scan-to-Mail-Konfiguration die Mail-Zugangsdaten des Vorbesitzers. Die Konfiguration war so eingestellt, dass die Faxe oder Scan-Dokumente (natürlich unverschlüsselt) über den GMX-Account des Besitzers versandt wurden.

Das Zugangspasswort für den Mailaccount war zwar  "ausgepunktet" und der Programmierer des Interfaces hatte auch die Cut-and-Paste-Funktion des Formularfeldes deaktiviert, allerdings lieferte ein Blick in den Quelltext des HTML-Formulars das Passwort auf dem Silbertablett im Klartext.

Dieses Beispiel zeigt deutlich, dass man auch bei der Weitergabe oder dem Verkauf von scheinbar so harmlosen Geräten wie Scannern und Druckern daran denken muss, eventuell vorhandene Daten zu löschen. Die meisten Geräte haben ja dafür eine Funktion zum Rücksetzen auf Werkseinstellung. Aber auch danach sollte man alles nochmal genau durchsehen, um nicht sensible Daten versehentlich weiter zu geben.

In diesem Jahr werden sich viele von uns wohl von einem jahrelangen Begleiter beim Onlinebanking mit ihrem Kreditinstitut verabschieden müssen. Seit Beginn des "Homebankings" hat er Millionen Benutzern zur Autorisierung ihrer Zahlungen gedient. Die Rede ist vom guten alten (i)Tan-Bogen. Nach dem langen Wettrüsten zwischen Finanzdienstleistern und Online-Betrügern hat er nun den Krieg verloren. 

In 2011 werden wohl so ziemlich alle Kreditinstitute den Tan-Bogen als Sicherheitsmedium beim Onlinebanking abschaffen und auf Sicherheitsmedien mit zwei Kommunikationswegen umsteigen. Ein Grund, einen kurzen Rückblick auf seine Geschichte zu halten.

Am Anfang war die TAN

In den Anfangszeiten des Onlinebanking waren eine PIN, die den Zugang sicherte und eine Transaktionsnummer (TAN), die die einzelnen Transaktionen sicherte und nur einmal verwendbar war, ein ausreichender Sicherheitsmechanismus. Der Kunde bekam einen Bogen mit einer größeren Anzahl von 6-stelligen Nummern, die er in beliebiger Reihenfolge benutzen konnte.

Ein guter Fang

Nach einiger Zeit kamen merkwürdige Mails massenweise bei den Kunden an. In schlechtem Deutsch und mit massenhaft Rechtschreibfehlern schrieb "die Bank", dass der Kunde sich doch bitte aus Sicherheitsgründen neu autorisieren müsse und auf der im Link angegebenen Adresse doch PIN und eine oder mehrere TANs eingeben möge. Die sogenannte Phishing-Mails hatten das Licht der Welt erblickt. Anfangs mit hohen Erfolgsraten, denn unverständlicherweise fielen mehr Kunden auf die offensichtlichen Fälschungen herein, als man denken würde. Nach einiger Zeit konnte die Kunden soweit sensibilisiert werden, dass Phishing per Mail heutzutage kaum noch eine Rolle spielt.

Trojaner und ihre Pferde

Da die Phishing-Mails nicht mehr richtig funktionierten, setzten die Betrüger zunehmend auf Schadsoftware, die die Webseiten der Banken im Browser manipulierte und so Masken mit Abfragen von einer oder mehreren TAN-Nummern generierten. Das Konzept, das eine TAN für jede beliebige Transaktion verwendet werden konnte, hatte ausgedient.

Auf den Index

Abhilfe schafften die sogenannten indizierten TAN-Bögen. Die TANs auf den Bögen wurden numeriert und bei einer Transaktion wurde jeweils eine bestimmte TAN angefordert. Somit können abgephishte TANs nicht mehr ohne weiteres für eine beliebige Transaktion genutzt werden. Zusätzliche Sicherheit liefern bei einigen Instituten noch grafische Kontrollbilder, die die Transaktionsdaten und das Geburtsdatum des Kunden grafisch bei der Abfrage der TAN im Hintergrund darstellen. Es hat einige Zeit gedauert, bis die ersten Trojaner diese Klippen umschifft hatten. Die heutigen Schadprogramme sind allerdings in der Lage, den Datenstrom zum Kreditinstitut zu manipulieren und im Hintergrund andere Daten zur Bank zu senden, als dem Kunden im Browser dargestellt werden. Da der Kunde fast keine Möglichkeit hat, einen im Hintergrund werkelnden Trojaner zu erkennen, mussten neue Verfahren entwickelt werden, die sich nicht allein auf einen Kommunikationsweg für die Autorisierung einer Transaktion verlassen.

Nimm Zwei

Zwei Verfahren haben sich inzwischen etabliert. Zum einen die SMS-TAN oder MobileTAN. Hierbei wird aus den Transaktionsdaten eine Einmal-TAN errechnet, die dann zusammen mit den Eckdaten der Überweisung (Kontonummer, Bankleitzahl, Betrag) an eine vom Kunden festgelegte Mobiltelefonnummer per SMS gesendet wird. Somit sind Manipulationen am Datenstrom vom Kunden sofort zu erkennen und Phishing macht auch keinen Sinn, da eine TAN nur für die bestimmte Transaktion und für einen sehr kurzen Zeitraum gültig ist.

Das zweite Verfahren ist ein optischer TAN-Generator, der in Verbindung mit der Chipkarte des Kunden und den Eckdaten der Transaktion eine TAN errechnet. Die Daten könne entweder über die Tastatur des Generators eingegeben werden oder über einen sogenannten "Flickercode" vom Leser direkt vom Bildschirm abgelesen werden. Auch bei diesem Verfahren ist durch den zweiten Kommunikationsweg (Eintippen oder physisches Ablesen des Codes vom Bildschirm) eine Manipulation praktisch ausgeschlossen.

Und sie lebten sicher bis...?

Dieser kurze Rückblick zeigt seht gut den ständigen Wettlauf zwischen getroffenen Sicherheitsmaßnahmen und den Versuchen, diese auszuhebeln und zu umgehen. Die ersten Trojaner, die mit einigem Aufwand das Handy manipulieren, welches die TAN-SMS des Kunden empfängt, sind bereits entwickelt. So wird es auch in Zukunft kein Verfahren geben, das für immer zu 100 Prozent sicher sein wird. Es bleibt, als Nutzer von Onlinebanking-Diensten aktuell informiert zu bleiben, Entwicklungsschritte zu neuen sicheren Verfahren schnell mitzumachen und vor allem ein gesundes Mißtrauen zu bewahren, wenn man sich auf dem sensiblen Gebiet der Finanzwelt online bewegt.

In diesem Sinne: Tschüss TAN-Bogen

Ein frohes und besinnliches Weihnachtsfest Euch allen!

Heute Abend im Lidl an der Kasse vor mir will die männliche Hälfte eines Pärchens mit der ec-Karte den Einkauf bezahlen. Der erste Versuch geht schief, weil er anscheinend die Geheimzahl nicht weiß. Sie steht, durch eine Gitterabsperrung getrennt, um die Ecke bei den Getränken.

Er versucht, sie dazu zu bewegen, zur Kasse zu kommen, weil sie offenbar die Geheimzahl kennt.

Er: "Komm doch her."

Sie: "Wie denn?"

Er: "Na da hinten vorbei."

Das geht eine Weile so, schließlich schreit sie genervt durch den Laden:

"4689, jetzt gib's doch endlich ein!"

Alle im Laden schauen sie entgeistert an.

Sie: "Ist doch jetzt auch egal."

Soviel zum Thema Geheimzahl...

Als Administrator hat man eine eher lästige Pflicht. Man muss seine Arbeit dokumentieren. Kommt zunächst immer etwas Misstrauen hoch, wenn man aufgefordert wird, sein Wissen aufzuschreiben, so muss man nach rationeller Überlegung doch die Notwendigkeit einer Dokumentation erkennen.

Als verantwortungsbewusster Admin muss einem klar sein, dass man immer plötzlich mal ausfallen kann und dass dann der Betrieb weiterlaufen muss und nicht von der Anwesenheit einer Person abhängig sein darf.

Ein anderer Aspekt ist der, dass ich immer mal wieder Aufgaben erledigen muss, die nicht so häufig vorkommen. Ich bin dann froh, wenn ich auf eine Anleitung zurückgreifen kann, die ich einmal erstelle und mich dann immer wieder daran langhangeln kann. Schlussendlich ist auch die Übertragung von Aufgaben an Kollegen einfacher, wenn bereits eine Dokumentation existiert.

Als optimales Werkzeug zum Dokumentieren funktionieren für mich Wikis. Die einfache Bedienung, Verfügbarkeit an verschiedenen Orten und Rechnern und die Möglichkeit, mit mehreren Kollegen an den Dokumenten arbeiten zu können, ist für mich die optimale Lösung.

Als Wiki-Engine nutze ich zur Zeit meistens Dokuwiki. Die Engine legt die Daten in lesbaren Textdateien ab und benötigt auf dem Webserver lediglich PHP. Die Installation ist super einfach und schnell erledigt. Mit den zahlreichen Templates kann man das Aussehen des Wikis variieren. Es gibt auch Templates, mit denen sich Dokuwiki durchaus auch als CMS nutzen lässt, ohne dass man beim Ergebnis auf eine Wiki-Engine als Backend tippen würde.

In Zusammenarbeit mit den Kollegen entsteht über das Wiki ein Pool an Dokumentationen, die die alltägliche Admin-Arbeit erleichtern. Durch die Wiki-Technologie entstehen aus anfänglich sehr übersichtlichen Texten in Checklisten-Form oftmals umfangreiche Dokumentationen.

Wie sieht das bei anderen Admin-Kollegen aus. Ist ein Wiki auch für euch die optimale Dokumentationsplattform und wenn ja, welche Engine benutzt ihr?

Trotz Twitter, Facebook und anderer sozialer Netze gibt es noch etliche Dinosaurier wie mich, die das Netz noch über einen guten alten Feedreader im Auge behalten. Seit Jahren nutze ich den Dienst von Bloglines, um webbasiert auf meine abonierten Feeds zugreifen zu können.

Als Nutzer der (Dauer-)Beta war ich schon mal genervt von der oftmals schlechten Performance des Dienstes, aber die Funktionalität kam meiner Leseweise sehr entgegen und man muss ja nicht alles mit Google machen.

Gestern verkündete der Betreiber ask.com nun das Aus für den Reader. Am 1. Oktober macht Bloglines dicht. Die Gründe beschreiben die Betreiber auf blog.ask.com:

As Steve Gillmor pointed out in TechCrunch last year , being locked in an RSS reader makes less and less sense to people as Twitter and Facebook dominate real-time information flow. Today RSS is the enabling technology – the infrastructure, the delivery system. RSS is a means to an end, not a consumer experience in and of itself. As a result, RSS aggregator usage has slowed significantly, and Bloglines isn’t the only service to feel the impact.. The writing is on the wall.
 â€¨

Durch die  Nutzung sozialer Netze ist die Nutzung von Feedreadern dramatisch zurückgegangen. Eine starke Konkurenz wie der Google-Reader dürfte es allen Online-Feedreadern schwer machen, noch Nutzer an sich zu binden. Bis zum ersten Oktober haben die Nutzer nun Zeit, ihre Abos zu exportieren und auf andere Dienste umzusteigen. Ich werde jetzt auch mal den Google-Reader testen, denn trotz aller Social-Streams ist mir das gemütliche Lesen und stöbern durch meinen Feedreader immer noch lieb und teuer.

Wie geht es euch, nutzt ihr noch Feedreader oder holt ihr euch die täglich Infodosis inzwischen auf anderen Wegen?

Ja, der Admin war mal wieder im Konzert. Langsam wird das hier ja zum Musikblog, aber gut.

Vor ein paar Tagen war ich samt Kumpel bei den Global Kryners. Wie der Name schon andeutet, gibt es hier zünftige Musik im Dreitvierteltakt. Wer aber jetzt Volksmusik im Stil des Musikantenstadls erwartet, liegt komplett daneben. 

Die Band aus Österreich besteht aus 5 Musikern plus einer Sängerin. Die Jungs sind geniale Musiker, die aus den klassischen Volksmusik-Instrumenten Klänge herausholen, die man so selten gehört hat. Die Sängerin rundet das Bild ab, wenn Songs wie "Somewhere over the Rainbow", "Something stupid" oder "Like a virgin" verkrynert werden.

Die Story, wie ich die Kombo kennenlernte, gibt es auch hier im Blog zu lesen (samt schnippischem Kommentar vom Schwesterlein).

So, und hier noch eine Hörprobe via Youtube:

..dürften zwischen diesen beiden Videos liegen.

Was soll man da sagen. 

Objects in the rear view mirror may appear closer than they are.

Sheryl Crow hat es auch mal gesungen. Auch eine schöne Version.