TAN Generator Mail Bestellbestätigung

#1 Ich frage mich ob ich mittlerweile unter Verfolgungswahn leide oder ob ich einfach ein zu sensibles Sicherheitsempfinden habe. Habe bei meíner Spasskasse einen TAN GEnerator bestellen müssen das das alte Verfahren ausläuft. Bestellung lief über den Deutschlandweiten Shop. Ich musste meine Mailadresse angeben was ich sehr ungewöhnlich fand (auch nur einmal und nicht zur Sicherheit 2x)
Hab mich zwar geärgert und gezögert aber manchmal ist Frau echt zu blöd.
Wenige Minuten nach Absenden des Formulars bakam ich per mail eine Bestellbestätigung mit den Angaben was ich bestellt habe und der Lieferanschrift. Heute nun bekam ich die Meldung dass der Generator versendet wurde (mit Verfolgungslink bei DPD).
Meine Kontonummer taucht allerdings nirgends auf (Mails). Ich halte es nun für etwas bescheuert diese Mitteilungen per Mail zu machen und bin echt sauer darüber. Die Kontonummer zur Person rauszufinden ist nun nix schweres. Bleibt noch das Kennwort fürs Onlinebanking. Besteht also keine Gefahr wenn jemand den Generator abfängt?

Wie schätzt ihr das ein?

#2 Was hat der TAN Generator denn mit deiner E-Mail Adresse oder deiner Kontonummer zu tun?
http://www.sparkasse.de/sparkassenshop/tan-generator.html
http://de.wikipedia.org/wiki/Transaktionsnummer#chipTAN_manuell.2Fsm.40rtTAN-Plus

Für eine Online Überweisung benötigst du künftig eine TAN die sich nur mit dem Generator, deiner EC Karte und deinem PIN erzeugen lässt und die zudem zeitlich limitiert ist. Wo soll da jemand etwas "abfangen"?
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#3 Ich finde es ziemlich blöd, dass die Bestellbestätigung per unverschlüsselter Mail kam. Ich bekomme ja sonst auch keine Post von meiner Bank per Postkarte.
Sieht aber wohl so aus als gäbe es keine echte Sicherheitslücke.

#4

Zitat

Ich finde es ziemlich blöd, dass die Bestellbestätigung per unverschlüsselter Mail kam.

Hast du freemail?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 Ne, hab da meine Mail beim Provider angegeben. Trotzdem wird die Mail ja offen "um den Globus" gesendet.
Bestelle ich ein Buch im Netz bekomme ich zwar auch eine Mail aber da kann ich auch entscheiden das Buch wenns mir zu heikel ist im Buchladen zu bestellen und bar zu zahlen. Die Möglichkeit gab es hier garnicht da meine Bank den Generator nicht verkauft.

#6

Zitat

Trotzdem wird die Mail ja offen "um den Globus" gesendet.

Ist nicht ganz korrekt, siehe: http://de.wikipedia.org/wiki/STARTTLS
Die Kommunikation zwischen zwei MTA's kann durchaus verschlüsselt erfolgen.

Und die wird auch nicht "um den Globus" gesendet sondern geht lediglich den nötigen Hops nach, eine Mail von deiner deutschen Bank wird wohl auch in Deutschland bleiben.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7

Zitat

Athene postete
Ich finde es ziemlich blöd, dass die Bestellbestätigung per unverschlüsselter Mail kam. Ich bekomme ja sonst auch keine Post von meiner Bank per Postkarte..

Ja das ist in der Tat etwas ärgerlich, manche Web-Dienste schicken nach einer Neuanmeldung auch fröhlich eine Bestätigungsmail mit Usernamen und Passwort durch die Gegend.
Leider sind verschlüsselte E-Mails immer noch die Ausnahme und die Schneckenpost scheuen viele, allein aus Kostengründen.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#8 Vielen Dank für eure Antworten. Das Dingen kam heute an. Meine Kontonummer tauchte nirgends auf (war ne Befürchtung von mir). Dafür ist meine Handynummer auf dem Rücksendebeleg obwohl ich die nur der Spaßkasse gegeben habe aber nie dem Shop :-(
Ich ärger mich so über mich selbst *grummel* weil ich sonst immer so vorsichtig bin. Ist ja nichts passiert.

#9

Zitat

Leider sind verschlüsselte E-Mails immer noch die Ausnahme

*Huh* was los bin ich im parallel Universum?
Natürlich sind verschlüsselte Mails eine Ausnahme wenn man das auf die ganze Welt bezieht,
aber in .de kommt das recht häufig vor....
Du kannst ja sogar Mails verschlüsselt abholen ohne große Probleme, wo liegt denn nu das Problem?

Zitat

Dafür ist meine Handynummer auf dem Rücksendebeleg obwohl ich die nur der Spaßkasse gegeben habe aber nie dem Shop :-(

Weißt du was, ich denke das ist ein Feature.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#10

Zitat

Weißt du was, ich denke das ist ein Feature.

Ih halte das eher für einen Bug ;-)

#11

Zitat

Xeper postete
Du kannst ja sogar Mails verschlüsselt abholen ohne große Probleme, wo liegt denn nu das Problem?

Die Mails selbst sind so gut wie immer unverschlüsselt und können beispielsweise beim MTA ausgeleitet werden, da nützt die schönste Verschlüsselung zum und zwischen den Servern nichts:
http://www.heise.de/ct/artikel/Lauschverhalten-unter-der-Lupe-290250.html

Bei einer E-Mail von der Bank ist das wahrscheinlich egal, aber jeder hat etwas zu verbergen und vielleicht laufen die Behörden schon morgen Amok und fangen an großflächig E-Mails zu überwachen, bloß weil man mal in einer Moschee war etc.
Dann wäre es schön wenn beispielsweise Banken mit guten Beispiel voran gegangen wären und vertrauliche E-Mails grundsätzlich verschlüsseln.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#12

Zitat

Die Mails selbst sind so gut wie immer unverschlüsselt und können beispielsweise beim MTA ausgeleitet werden, da nützt die schönste Verschlüsselung zum und zwischen den Servern nichts:
http://www.heise.de/ct/artikel/Lauschverhalten-unter-der-Lupe-290250.html

Hmm naja ok der Artikel ist von '06.
Warum sollte die Mail nach irgendwohin ausgeleitet werden, klar ist das machbar.
Die Frage ist ob das wozu passiert?
Nach meiner Meinung ist das jetzt erstmal unwahrscheinlich bei einer normalen Mail Aktivität unter deutschen Providern.

Das die Mails immer unverschlüsselt sind kann ich ebenfalls nicht bestätigen, TLS ist optional aber nach dem Handshake wird jegliche Kommunikation verschlüsselt.

Hast du denn einen MTA wo du die Traffic überwachst und kannst sagen das Provider untereinander in .de nur unverschlüsselt senden?
Ich glaube nicht das du das bestätigen kannst.

Edit:
@Asrubael
Ich habe den Artikel jetzt gelesen, kannst du mir sagen warum der hier rein gehört?
Soweit wie ich das verstehe handelt es über eine staatlich angeordnete Überwachung und ob/wie die von den diversen Providern umgesetzt wird.
Das hat aber rein gar nichts mit der Technologie zu tun die E-Mail Kommunikation zwischen client/server, server/server zu verschlüsseln sowie das authentische E-Mails von Dritten eingesehen werden.
Es weiß ja jeder das man in .de nicht anonym ist, diverse Dienste dazu gibt es natürlich (komplette Tunnelung/VPN etc.) aber das hat nichts mit diesem Thread zu tun oder?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode