Original-URL des Artikels: https://www.golem.de/news/online-banking-haspa-fuehrt-eindeutige-benutzernamen-ein-1902-139676.html    Veröffentlicht: 27.02.2019 14:04    Kurz-URL: https://glm.io/139676

Online-Banking

Haspa führt eindeutige Benutzernamen ein

Lange Zeit konnte die Hamburger Sparkasse (Haspa) nur anhand der PIN auseinanderhalten, welcher Benutzer sich beim Online-Banking bei einem gemeinsam genutzten Konto anmeldet. Das soll sich jetzt ändern.

Die Hamburger Sparkasse ändert zu Ostern die Anmeldung ihrer Kunden beim Online-Banking. Bisher war es mehreren Bevollmächtigten für ein Konto möglich, sich mit dem gleichen Nutzernamen, aber unterschiedlichen PINs, anzumelden. Mit der Änderung bekommt jeder Kunde einen eigenen Nutzernamen. Die Haspa passt damit ihre Online-Banking-Anmeldung einem neuen Standard an, der bald für alle Sparkassen bundesweit gilt. Damit dürfte es dann auch keine Verwirrungen bei unberechtigten Zugriffen auf Haspa-Konten mehr geben, bei denen die Bank bisher nicht genau sagen konnte, über welchen Kundenzugang Login-Versuche stattgefunden haben.

Bisher melden sich Haspa-Kunden mit der sogenannten Legitimationskontonummer und der eigenen PIN an. Nutzen mehrere Personen ein Konto, etwa in einer Ehe oder einer Firma, ist der Anmeldename somit für alle Nutzer gleich. Die Bank unterscheidet die Nutzer alleine anhand ihrer PIN. Versucht ein Angreifer die PIN eines Kontos zu erraten oder meldet sich gar erfolgreich mit einer erschlichenen PIN an, kann die Bank nach eigenen Angaben nicht feststellen, von welchem Nutzerkonto der Angriff ausging - lediglich welches Konto das Ziel war. Warum für die Haspa-Software ein solches Anmeldesystem für das Online-Banking entwickelt wurde, ist im Nachhinein kaum nachvollziehbar.

Gleiche Anmeldenamen sorgen für Verwirrung

Nach Berichten mehrerer Haspa-Kunden konnten sie nach Einbruchsversuchen in ihr Konto nicht feststellen, von welchen Rechnern aus die Angriffe erfolgten, da die Bank ihnen nicht sagen konnte, welcher der Kontobevollmächtigten Ziel der Angriffe war. So wurden etwa die falschen Bevollmächtigten angeschrieben, dass ihr Online-Banking nach fehlgeschlagenen Login-Versuchen gesperrt wurde. Andere Kunden durchsuchten erfolglos ihre Rechner nach Malware und später stellte sich heraus, dass die Login-Daten auf dem Computer eines Geschäftspartners abgegriffen worden waren. Aber auch in einer Ehe kann es für reichlich Verwirrung sorgen, wenn ein Partner seine PIN mehrmals falsch eingibt und der Zugang des anderen gesperrt wird.

Die Haspa bestätigte Golem.de auf Anfrage, dass man im Zweifel Kontobevollmächtigte nicht auseinanderhalten könne. Die Bank wollte aber nicht sagen, wie lange das Problem schon bekannt ist oder wie viele Kunden in der Vergangenheit Opfer einer solchen Verwechselung geworden sind. Immerhin erreichte uns im Zuge der Recherche ein Brief mit der Ankündigung der Änderung des Anmeldeverfahrens zu Ostern. Demnach können sich Haspa-Kunden in Zukunft weiter mit ihrer Legitimationskontonummer anmelden oder sie können einen neuen Benutzernamen wählen. Ein Sprecher der Bank bestätigte uns, dass damit auch mehrere Nutzernamen bei einem einzelnen Konto möglich seien. Kunden haben so auch bei einer Anmeldesperre Gewissheit, dass ihr eigenes Kundenkonto betroffen ist.  (fbs)


© 1997–2019 Golem.de, https://www.golem.de/