Die wollen wissen, wer mein Lieblingslehrer war!

Für den Artikel Apple Pay für alle habe ich mir vor einem Jahr eine virtuelle, Applep-Pay-kompatible Kreditkarte von Boon besorgt. Der Herausgeber hat mich vor Kurzem informiert, dass nach dem Gratisjahr nun pro Monat eine Gebühr von 1.49 Franken fällig wird. Das war für mich der Moment, um die Kreditkarte zu kündigen. Ich habe Apple Pay nach meinem Test nicht mehr eingesetzt. Das Problem ist das Prepay-Verfahren: Ich kann mich nie daran erinnern, wie viel Guthaben noch auf der Karte ist. Was man definitiv nicht will, ist ein Bezahlvorgang, der wegen Unterdeckung abgebrochen wird, während hinter einem eine lange Schlange ungeduldiger Kunden wartet.

180226-teacher.jpg
Er wars nicht! (Solche Hipster-Lehrer gab es zu meiner Zeit nicht.) (Bild: startupstockphotos.com/pexels.com, CC0)

Zweiter Punkt: Die Gebühren sind zu hoch. 1.49 Franken pro Monat, nur damit ich mit dem Handy zahlen kann? Das bringt es auf gar keinen Fall. Die kontaktlose Bezahlmöglichkeit der Maestro-Karte ist für mich komfortabel genug.

Nun war es aber gar nicht so einfach, die Karte zu künden. Beim Einloggen zeigte mir die Boon-App aus heiterem Himmel die ominöse Sicherheitfrage an: «Wer ist dein Lieblingslehrer?» Hölle, als ob ich jemals einen Lieblingslehrer gehabt hätte! Habe ich also «Keiner» reingeschrieben? Habe ich den Namen eines Lehrers verwendet, den ich nicht ganz so schlimm fand? Wenn ja, welcher wäre das denn gewesen? Ich hatte keinen Schimmer, welche Antwort die App von mir erwartete.

Da ich seit Jahren meine Passwörter sorgfältig verwalte (siehe hier und hier), verwende ich bei diesen Sicherheitsfragen normalerweise keine echte Antwort, sondern schreibe wie beim Passwort eine zufällige alphanumerische Zeichenfolge hinein. Denn Antworten auf Sicherheitsfragen lassen sich recherchieren. Besonders für das persönliche Umfeld dürfte es in vielen Fällen nicht allzu schwierig sein, die Antworten herauszufinden. Bei Promis stehen sie mitunter sogar in Klatschheftchen.

Manchmal schreibe ich die Antwort auf die Sicherheitsfrage in meinen Passwortmanager. Im Fall von Boon habe ich das offensichtlich unterlassen. Ich habe nicht damit gerechnet, dass sie jemals nötig sein würde. Und auch in dem Fall war mir überhaupt nicht klar, warum die Frage aufgetaucht war: Ich hatte mir keine falsche Passworteingabe geleistet und auch keine Unregelmässigkeiten festgestellt. Doch die App gab keine Begründung, weswegen sie mir die Sicherheitsfrage unter die Nase hielt.

180226-boon.png
… hm, welcher war denn am wenigsten schlimm?

Ich habe mich daraufhin an Boon gewandt und das Problem geschildert. Da kam als erstes die Antwort, man wolle für eine weitere Prüfung die Antwort auf meine Sicherheitsfrage wissen. (Seufz.) Zur Frage, warum die Sicherheitsfrage überhaupt auftaucht und ich mich nicht ganz normal mit dem bekannten Passwort einloggen konnte, hiess es:

Der bei ihnen vorliegende Fehler ist uns unbekannt, wir können ihnen aber versichern, dass sie eine Sicherheitsantwort hinterlegt haben.

Als geklärt war, dass die Beantwortung der Sicherheitsfrage keine Option ist, hat man mich aufgefordert, die Kopien eines der folgenden Dokumente einzusenden (Vorder- und Rückseite): Personalausweis, Reisepass oder Führerschein (muss ein Ablaufdatum aufweisen): «Nach Erhalt und erfolgreicher Prüfung Ihres Dokumentes werden wir Sie telefonisch kontaktieren und Ihnen Ihre Sicherheitsantwort mitteilen.»

Das fand ich nun nicht befriedigend, sodass ich Folgendes zurückschrieb:

Da Sie mir keine Erklärung angeboten haben, weswegen kein normales Login mit Benutzernamen und Passwort möglich ist muss ich von einem Einbruchsversuch ausgehen. Dieser war bislang wohl nicht erfolgreich, da ich keine Sicherheitsantwort vergeben habe – die Namen meiner Lehrer herauszufinden, wäre für viele Leute möglich.

Das Zusenden eines amtlichen Dokuments ist einerseits ein weiteres Sicherheitsrisiko, andererseits dauert das eine längere Zeit, während der das Konto weiterhin angreifbar bleibt. Unter den Umständen muss das Konto jedoch sofort gesperrt werden.

Die Frage nach der Sicherheit des Benutzerkontos in den Raum zu stellen, hat genützt:

Zuerst einmal können wir sie beruhigen, ihr Konto ist schon gesperrt da sie ihre Sicherheitsfrage mehrfach falsch beantwortet haben.

Ihr Account wurde zur Kündigung an die zuständige Abteilung weitergeleitet und sie sollten in Kürze eine Kündigungsbestätigung erhalten.

Ihre Restguthaben von 28,55 CHF wird an die bei uns Hinterlegte Kreditkarte ausgezahlt.

Das war nach einem harzigen Start dann eine speditive und unkomplizierte Behandlung meines Anliegens. Ein Dankeschön an den Boon-Support dafür.

Was die Sicherheitsfrage angeht, bleibe ich dabei: Die sind nicht zweckdienlich. Mir leuchtet ein, dass eine Zweifaktorauthentifizierung in dem Fall schwierig ist: Ein SMS mit einem Einwegcode läuft ziemlich sicher auf dem iPhone ein, auf dem auch die Boon-App genutzt wird. Und ein wirklicher Sicherheitsgewinn ist nur da, wenn der Code auf einem zweiten Gerät empfangen wird. Trotzdem wäre es in dem Fall sicherer als die meines Erachtens sehr fragwürdigen Sicherheitsfragen.

Autor: Matthias

Diese Website gibt es seit 1999. Gebloggt wird hier seit 2007.

Kommentar verfassen