Ja klar, bei so langen Wegstecken verständlich. Hab ich nicht bedacht.
Habe das Glück, offizielle Fillialen aller drei Netzbetreiber in unmittelbarer Nähe zu haben. Bei meiner letzten Aktion im O2-Shop ging es um den Zugriff auf das Online-Portal. Hier hat der Ausweis gereicht, wobei aber auch keine Kontonummer hinterlegt ist. Wenn ich eine hinterlegt hätte, würde ich aber auch kein Problem darin sehen, wenn man mich in einem offiziellen Shop anhand dessen authentifizieren wollte. Bei einem Reseller sähe das anders aus.
Ungeachtet dessen stimme ich aber zu, dass neben SMS und E-Mail auf Wunsch auch andere 2FA-Methoden möglich sein sollten. Gerade ein Netzbetreiber sollte sich hier nicht bitten lassen.
Aus deren Sicht wird es aber nicht sinnvoll sein, derzeit nur noch solche Verfahren anzubieten. Man muss sich immer klar machen, dass deren Kunden aus sämtlichen Bevölkerungsgruppen kommen. Bei O2 kommt noch die Übernahme von E-Plus-Kunden hinzu 
Da wird man schlicht alle Verfahren anbieten müssen, die bei den Kunden vorhanden sein und auch verstanden und angewendet werden können. Auch damit wird noch genug für die Hotline übrig bleiben.
Also, es lief so: Der Mitarbeiter fragte mich nach meinem Namen. Ich sagte ihn. Er war sich aber unsicher. Ich zeigte ihm meinen Personalausweis, damit er ihn abtippen konnte. Aber zum Verifizieren wollte er die letzten 4 Stellen der IBAN von der bei o2 hinterlegten Bankverbindung. Den Ausweis hatte er dafür nicht genommen, obwohl er noch auf dem Tisch lag. Vielleicht eine Vorgabe von o2, dass er die Nummer ins System eingeben muss. Aber warum denn nicht der Ausweis?!
Es hätte auch einer meiner Freunde in den Laden (ein offizieller o2-Shop…) gehen können. Gleiches Geschlecht wie ich, ähnliches Alter. Sagt meinen Namen laut und deutlich. Kann auch die letzten 4 Stellen der IBAN meines Bankkontos nennen, da wir untereinander schon einmal Geld überwiesen haben. Und schwupps: schon hat er den Zettel mit dem QR-Code für eine eSIM mit meiner Mobilfunknummer, bereits freigeschaltet (der Mitarbeiter hatte extra darauf hingewiesen: eine explizite Aktivierung — so wie üblich — sei nicht nötig!). Kriminell sein kann ganz einfach sein…!
Manche Daten wie Name, Adresse, Geburtsdatum… und auch Kontonummer(!) sind keine Geheimnisse! Mit denen man Authentifizierungen vornimmt. Dafür gibt es andere — etablierte(!) — Methoden.
Meinetwegen Personalausweis: Sichtkontrolle durch einen Mitarbeiter oder elektronisch, wie heutzutage möglich.
Verfahren wie OTP, z.B. TOTP.
Verfahren wie ChipTAN, gerne mit einer dedizierten Karte für diesen Zweck, nicht der allgemein verfügbaren Karte.
Meinetwegen auch ein festgelegtes „sicheres“ Kundenpasswort. Im Normalfall kann es in einem Keepass aufbewahrt werden, damit es nicht verloren geht. Natürlich ist das Management und die Weitergabe/Austausch etwas schwieriger…
1 „Gefällt mir“
Ich gebe mal meinen Senf dazu, aus der Erfahrung meiner Tätigkeit.
Bei uns ist es so, dass die eSIM Profile bei der Telekom und o2 eine Lizenz haben, bedeutet wird diese gelöscht, aus welchen Gründen auch immer, Reparatur des Geräts, Werksreset etc, ist die Lizenz von der eID getrennt und kann nicht erneut gekoppelt werden, bedeutet neues kostenpflichtiges Profil. Aber auch da, sollte es die HauptSim sein, kann kein SMS TAN ankommen, also auch nur über das Portal erreichbar, Ohne SIM ein schwieriges Unterfangen, also muss man sich einen Zugang über ein öffentliches WLAN suchen oder ein anderes Gerät mit Netzzugriff um die eSIM dann direkt im Portal zu aktivieren.
bei VF hat man z.b ein Problem wenn das Telefon kaputt ist, also man keinen Zugriff mehr auf das System hat um die eSIM zu löschen, denn das Netz geht immer noch davon aus, dass die eSIM mit der eID gekoppelt ist, was technisch auch noch so ist, man bekommt sie aber nicht gelöscht, da muss auch ein neues Profil bestellt werden, es fallen Kosten an und es ist der gleiche Mist wie bei der Telekom und o2. Anders ist es wenn die eSIM wie in deinem Fall gelöscht wird, es dauert ungefähr 3-4 Std, dann hat das Netz begriffen dass die eSIM nicht mehr an eine eID gekoppelt ist und man kann erneut Scannen/koppeln.
Bei den Netzbetreibern selbst ist es aber deutlich einfacher, ohne Gebühren und dem gezwungenen Ersatz-Profil.
1 „Gefällt mir“
Guten Morgen,
eine Verständnisfrage: Was ist an dier 2FA-Methode schlecht bzw. sicherheitskritisch?
Ebay bietet 2FA entweder per SMS oder E Mail an. Wenn ich mich bei Ebay einlogge, erscheint das Auswahlfenster. Wenn ich SMS als Authentifizierungsmethode wähle, erhalte ich einen Code. Was nützt aber einen Hacker, der meine SMS abfängt, dieser Code allein? Übersehe ich bei diesem Aspekt etwas? Danke für die Antwort.
Wir schreiben von o2. Na klar geht das, ich habe z. B. zwei Multicards als phys. SIM und momentan drei weitere Multicards + eine Datacard als eSIM. Die QR Codes sind nur einmal gültig, du kannst eine eSIM wechseln und lässt einfach eine neue erstellen das dauerte wenige Minuten im Online Portal.
3 „Gefällt mir“
Von heute:
Guten Tag
<Vorname Nachname>,vielen Dank für Ihre Mitteilung und die ausführliche Schilderung Ihrer Erfahrungen.
Wir verstehen, dass der Verlust Ihrer eSIM und die damit verbundenen Einschränkungen beim Login sowie bei der Zwei-Faktor-Authentifizierung (2FA) zu Unannehmlichkeiten geführt haben. Gerne möchten wir auf Ihre Punkte eingehen:
Verifizierung im Shop über Bankverbindung statt Personalausweis
Die Identitätsprüfung über die bei uns hinterlegte Bankverbindung ist ein etabliertes Verfahren, das in bestimmten Fällen schneller und effizienter durchgeführt werden kann. Die Prüfung des Personalausweises erfolgt in der Regel bei Vertragsabschlüssen oder in sicherheitsrelevanten Fällen, kann aber je nach Situation und Standort variieren. Wir nehmen Ihre Rückmeldung ernst und leiten sie gerne intern weiter.Fehlende Unterstützung für gängige OTP-Verfahren wie TOTP
Aktuell erfolgt die Zwei-Faktor-Authentifizierung bei o2 primär über SMS oder E-Mail. Wir sind uns bewusst, dass Verfahren wie TOTP (z. B. über Authenticator-Apps) in der Branche weit verbreitet und sicher sind. Die Einführung zusätzlicher 2FA-Methoden befindet sich in Prüfung, da wir kontinuierlich daran arbeiten, unsere Sicherheitsstandards zu verbessern und den Zugang für unsere Kunden flexibler zu gestalten.Fallback per E-Mail
Sie haben recht: Der Zugriff auf das E-Mail-Konto kann ein Sicherheitsrisiko darstellen, wenn dieses nicht ausreichend geschützt ist. Wir empfehlen daher dringend, auch für Ihr E-Mail-Konto eine starke Authentifizierung (z. B. 2FA) zu aktivieren und regelmäßig die Sicherheitsmaßnahmen zu überprüfen.Sollten Sie weiterhin Schwierigkeiten beim Zugang oder bei der eSIM-Aktivierung haben, stehen Ihnen unsere Hotline sowie die o2 Shops gerne zur Verfügung.
Zur Verbesserung unseres Kundenservices erhalten Sie möglicherweise eine E-Mail oder SMS zu einer Zufriedenheitsbefragung. Wenn Sie mit meinem Service zufrieden waren, freue ich mich sehr über eine positive Bewertung, bei der die 10 der Höchstbewertung entspricht.
Freundliche Grüße
<Initial des Vornamens Nachname>
Ihre o2 Kundenbetreuerin
Immerhin!
Und, nach so viel Business BlaBla, hast du jetzt eine neue Karte bekommen? Funtioniert’s jetzt, oder noch immer nicht? BTW, frage ich mich auch, ob solche Briefe/Mails heutzutage von einer KI generiert werden oder ob ein Mensch das von sich gegeben hat.
1 „Gefällt mir“
Achso:
Also: ja, bereits seit damals.
Ich würde jetzt zuerst nichts Böses unterstellen. Der Text war ordentlich, wie ich finde: sowohl vom Inhalt als auch vom Stil. Mit Unterschrift einer Mitarbeiterin (was natürlich nichts heißen muss). Außerdem hat es zwei Wochen gedauert. Ich habe vor kurzem extra einmal nach dem Bearbeitungsstand per Telefon nachgefragt: da hieß es, dass mein Anliegen eingegangen sei, aber noch in Bearbeitung.
2 „Gefällt mir“