Wir haben Firmen-Konten bei der VR Bank und bei der Hamburger Sparkasse. Während wir die Hamburger Sparkasse mittels Banking-Software bedienen, nutzen wir bei der VR Bank das normale Online-Banking.

Beim Online Banking benötigt man für jede Überweise eine TAN - klar, das kennt jeder. Privat bin ich bei der Deutschen Bank und dort bekommt man einen Block mit TANs auf Papier (!). Jede TAN hat eine Nummer, und bei einer Überweisung muss ich dann die TAN mit bestimmten Nummer angeben. Da für einen Angreifer nicht vorhersehbar ist, welche Nummer verwendet werden soll, halte ich das für recht sicher selbst wenn jemand meinen TAN Block klaut.

Also: TANs auf Papier - das ist einfach und der Papier-Block ist immer verfügbar.

Die VR Bank möchte das aber ganz besonders sicher machen:

Bis vor kurzem hatten sie ein Verfahren namens "sm@art TAN". Dazu bekam man ein kleines Gerät, in dem man die EC Karte reinstecken musste. Bei einer Überweisung wurde dann eine Nummer angezeigt, dann musste man das Gerät parat haben, EC Karte rein, einige Tasten drücken, angezeigte Nummer angeben, noch eine andere 6-stellige Nummer angeben (die aus der Kontonummer abgeleitet wurde), eine Taste drücken, das Gerät zeigt eine 6-stellige TAN an, die gab man dann ein und hoffte, dass man alles richtig gemacht hatte.

Für meine Kollegin aus der Buchhaltung war das in Ordnung. Umständlich, aber da sie das oft gemacht hat, in Ordnung. Ich als Gelegenheitsnutzer empfand das alles als sehr umständlich, weil ich jedesmal wieder drüber nachdenken musste, welche Knöpfe ich auf dem Gerät drücken musste.

Nun aber ist sm@rt TAN Geschichte. Jetzt können wir uns für ein SMS Verfahren anmelden. Das läuft dann so: bei einer Überweisung berechnet die VR Bank eine TAN und schick die via SMS aufs Handy zu. Dort liest man sie ab und gibt sie ein. Hört sich auf den ersten Blick einfach und gut an, oder?

Und nun schauen wir mal genauer hin:

• Wir melden ein Handy bei diesem Verfahren an: das Unternehmenshandy unserer Kollegin aus der Buchhaltung.
• Was ist, wenn die nicht da ist, aber dringend eine Überweisung gemacht werden muss?
• Was ist, wenn der Akku leer ist?
• Was ist, wenn das Handy zu Hause vergessen wurde?

Und das beste: für diesen Service muss man auch noch extra pro SMS bezahlen (wobei gnädigerweise 10 SMS pro Monat frei sind)! Um es ganz deutlich zu sagen: etwas beknackteres habe ich lange nicht gesehen. Offensichtlich hat man sich das einzig für den Privatkunden ausgedacht, der alle Jubeljahre mal eine Online-Überweisung macht. Und selbst für den gilt die obige Kritik. Für uns als Unternehmen ist das an Unbequemlichkeit kaum noch zu überbieten.

(Ja, schon klar, jetzt kommt sicher der Einwand: bedient die VR Bank doch auch via Banking-Software... dann hätten wir zwei Software-Pakete parallel, die beide gepflegt werden wollen - das ist auch keine Lösung.)

Ich bin also neugierig: warum macht man sowas? Was ist an der Lösung der Deutschen Bank schlecht oder warum sollte sie unsicher sein?