Wie angekündigt berichte ich über meine persönliche Erfahrungen mit verschiedenen Banken und ihren Produkten.

Deutsche Sparkassen sind in der Regel kommunale öffentlich-rechtliche Kreditinstitute die in einem geografische begrenzten Raum aktiv sind. Aktuell existieren ca. 410 Sparkassen die nach außen mit einem einheitlichen corporate design auftreten und ein vergleichbares Produktportfolio bieten. Tatsächlich sind es jedoch eigenständige und von einander unabhängige Unternehmen. Meine Erfahrungen beziehen sich auf die Sparkasse Dortmund.

Leistungsumfang & Komfort

Die SparkassenCard gehört zur Grundausstattung jedes Privatkontos. Dabei handelt es sich um eine Maestro Debit-Karte mit Geldkarten/GiroGo-Funktion. Die Bankleitzahl bzw. IBAN/BIC unterscheidet sich bei jeder der 410 Sparkassen. Wer umzieht und zur lokalen Sparkasse wechselt muss also seine Lastschriften neu einrichten und Kontodaten in Shops ändern. Das ist sehr nervig und erfordert eine gewisse Aufmerksamkeit um keine Rückbuchungen zu erzeugen.

Neben der SparkassenCard werden verschiedene Mastercard und VISA Karten angeboten. Dabei handelt es sich um Charge-Karten deren Leistungsumfang je nach Modell (Standard, Gold, Platinum) unterschiedlich und meiner Meinung nach nicht der Rede wert ist. Im Standardmodell sind grundlegende “Sicherheitsleistungen” wie Kartensperre/Ersatz und ein Reisenotfallservice (Medizin, Jurist, Dokumente, Bargeld) enthalten. Bei den Gold-Modellen kommen regionale “Clubangebote” sowie Reise-, Auslandskrankenversicherungen sowie ein EU-Ausland Kfz-Schutzbrief hinzu. Die Platinum-Karte enthält eine Mitgliedschaft in Sparkassen Golfclub (gähn), ein Priority Pass, Mietwagen Selbstbeteiligungsversichung, In/Auslands Kfz Schutzbrief und einen Concierge Service.

Die PIN der SparkassenCard lässt sich neuerdings an Automaten ändern. Applaus.

Filialen & Automaten

Das Filialnetz ist flächendeckend und es stehen ca. 25.000 Automaten zu Verfügung, so viele wie bei keinem anderen Verbund. An allen Automaten lassen sich kostenlose Bargeldabhebungen durchführen. Unverständlicherweise kann man aber nur bei seiner “Heimat-Sparkasse” Geld einzahlen oder andere Geschäfte tätigen. Münzeinzahler stehen in nahezu allen Filialen zur Verfügung.

Onlinebanking

Die Onlinefunktionen sind umfangreich, allerdings in der Benutzung altbacken. Es ist möglich Giro- und Sparkonten per HBCI anzusprechen, bei Kreditkartenkonten ist das nicht möglich. Das Angebot der TAN Verfahren ist sehr umfangreich und bietet smsTAN, pushTAN (per App) sowie chipTAN (per Kartenleser).

Gebühren & Auslandseinsatz

Je nach gewähltem Konto fallen unterschiedliche Gebührenmodelle an. Wirklich kostenlos bekommt man kein Konto da man zwar ein “Online-Konto” ohne monatliche Gebühr nutzen kann, dann jedoch €5,00 p.a. für die SparkassenCard zahlt. Wenn man sein Konto lediglich online und zur Bargeldversorung die Filiale nutzt kommt man mit diesem Konto gut aus. Wenn man jedoch häufig Filialdienstleistungen in Anspruch nimmt, werden saftige Gebühren fällig, beispielsweise €0,50 für den Kontoauszugsdrucker oder €2,50(!) für Buchungen/Auftragsverwaltung am SB Terminal oder beim Personal. Das sog. “Basis” Konto kostet €23 pro Jahr und erlaubt die kostenlose Nutzung des Kontoauszugsdruckers (yay!), allerdings kosten dann selbst Onlineüberweisungen und Aufträge je €0,25. Beim “Komfort” Konto sind schließlich alle üblichen Leistungen kostenlos enthalten, jedoch zahlt man stolze €83 pro Jahr zuzüglich Kreditkarte.

Die Bargeldversorgung via SparkassenCard ist mit €5,50 im Ausland unverhältnismäßig teuer. Kreditkarten sind grundsätzlich kostenpflichtig und reichen von €35 p.a. (Mastercard/Visa Standard) über €83 (Mastercard/Visa Gold) bis zu €250 (Mastercard Platinum). Eine Umsatzabhängige Rückerstattung dieser Gebühr ist nicht möglich. Bei Barauszahlungen per Kreditkarte fallen im Inland mind. €5,50 an, im Ausland ist die Auszahlung kostenlos. Bei Zahlungen mit Kreditkarten in nicht-Euro Währungen fallen Gebühren in Höhe von 1% des Zahlbetrags an. Im Vergleich zu den Leistungen sind die Gebühren meiner Meinung nach maßlos überzogen und nicht mehr zeitgemäß.

Weiterhin fallen Nutzungen für die TAN-Erzeugung an. Entweder €9,90 für ein Kartenleser, €0,12 pro smsTAN oder €0,06 pro pushTAN. Letzteres ist eine Frechheit da im Gegensatz zu chipTAN und smsTAN keine relevanten Kosten für Hardware oder Versand anfallen.

Insgesamt ist die Kontoführung bei der Sparkasse eine teure Angelegenheit. Ich nutze ein kostenloses Online-Konto lediglich um Bareinzahlungen vor Ort auszuführen und überweise den Betrag anschließend online auf mein reguläres Konto.

Reputation

Mit einer SparkassenCard oder den entsprechenden Kreditkarten lässt sich mit Sicherheit kein Eindruck schinden. Die Exklusivität, Design und Produktumfänge sind schlichte Hausmannskost. Im Gegenteil dokumentiert jemand der €250 für eine Sparkassen MasterCard Platinum ausgibt meiner Meinung nach seine Unkenntnis im Bezug auf Finanzdienstleistungen.

Service

Durch das dichte Filialnetz würden sich erstklassige Serviceleistungen realisieren lassen. Das Regionalkonzept macht dies jedoch wieder zunichte. Wer als Kunde der Sparkasse Dortmund in Essen oder München unterwegs ist, gilt in der Filiale als “Fremdkunde” und man kann praktisch keine Dienstleistung abgesehen von kostenloser Bargeldauszahlung am Automaten in Anspruch nehmen.

Den Service in Filialen habe ich als mittelmäßig erlebt, man merkt dass viele ihre Bänkerkarriere bei der Sparkasse beginnen. Häufig müssen Rückfragen eingeholt werden und die Bearbeitung läuft überwiegend schleppend. Leider passieren dabei auch unschöne Fehler. Als ich meine Kreditkarte kündigen wollte musste die Kompetenz des Filialdirektors bemüht werden, zuvor waren 3 KollegInnen an dieser Aufgabe gescheitert. Letztendlich wurde die Karte durch diese Versuche gekündigt, allerdings im Sinne von “Zahlungsausfall, Karte eingezogen”. Das führte zu einem negativen Schufa-Eintrag und entsprechendem Aufwand diesen wieder zu löschen. Immerhin hat sich die Filiale mit ein paar Werbegeschenken entschuldigt…

Das Personal ist sehr engagiert was die Bewerbung von Vorsorge- und Versicherungsangeboten angeht. Offensichtlich dient der persönliche Kundenservice bei Kontoangelegenheiten im wesentlichen als Fuß in der Tür um weitere Angebote zu vermarkten. Häufig sind diese Verkaufsversuche aufdringlich und unfreiwillig komisch, insbesondere wenn man wegen einer Trivialität zum Schalter muss und eine Immobilie angeboten bekommt. Die Kontaktaufnahme per Post ist erfreulich zurückhaltend.

Auf meiner Bewertungsskala von 1 (schlecht) bis 10 (gut) vergebe ich eine 3 für die Sparkasse Dortmund.

Just in case you did not yet hear about “Let’s encrypt”, let me explain the context in a few words. Feel free to visit their website for more details. They’re starting their public Beta as early as 2015-12-03.

What is it about?

Services like websites are offering secure connections to ensure privacy. Protocols like HTTPS are used which require SSL certificate(s) and a private key to encrypt data in transit. Besides enabling encryption, a certificate makes sure you’re communicating with the service you intend to communicate with and not with someone who is intercepting your communication. Sending encrypted data to someone who can de-crypt it but is not the intended recipient is even worse than communicating in plain-text.

Certificates are signed by a certificate authority (CA) which acknowledges that the person which uses a certificate exists and is trustworthy. This is usually determined by checking the services domain via E-Mail validation or the person/organisations existance by checking paperwork. Software like web browsers use a predefined directory of trusted CAs to determine if they trust the judgement of a CA. For example, if Firefox trusted “Cool CA Inc.”, then certificates signed by this CA are also trusted and if i have a certificate signed by this CA, your browser trusts the connection to my website.

Since it’s quite hard and expensive to be trusted by all browser vendors only few CAs are trusted by default. Browser vendors obviously have to make sure that they can trust a CA since their judgement will affect millions of users. CAs which made it that far compensated their effort by making a fortune out of a technically trivial process of validating persons/websites and create certificates. That said, they’re also offering insurrance services but that’s rather irrelevant for most users. Taking money to enable security contradicts the general requirement of secure communication for everyone. Someone running a small website may not be able to invest a lot of money to get a SSL certificate signed by one of those CAs. One alternative would be using self-signed certificates which are not trusted by browsers and produce severe error messages when opening the website. Another alternative would be not to use encryption at all, which sadly is what many people have chose.

Let’s encrypt

This is where “Let’s encrypt” joins the party. They’re a non-profit organisation backed by organisations like Mozila, the EFF and some well established online companies. The organisation offers certificate signing for free and those certificates are trusted by all major browsers. You can find out a lot more information and details at their website.

A speciality of “Let’s encrypt” is that you can request certificate signing in a automated way and also renew your certificates this way. This is done by running a software which takes care about the request and signing process. Renewing is a standard process which usually needs to happen about every 1-3 years. Certificates are bound to a specific domain and domain ownership can change over time. Therefor unrestricted certificate validity for a specific domain can become a threat because they’re not validating the current domain owner anymore. “Let’s encrypt” wants to make sure this problem is very temporary, therefor they opted to make their certificates valid for 90 days. After or before that expiration date you need to renew the certificate and prove that you’re still owning the domain.

Automatically renewing certificates with ones that are valid for another 90 days is a big relief for webmasters that no longer have to run through a manual process. It’s a common issue that a certificate expires without notice and website visitors are getting error messages, this also gets solved by automation.

Automated renewal

So how to automate the process? “Let’s encrypt” offers a software to fetch/renew certificates and also validate if you’re still owning the domain. For that, the software needs to run on the server defined by the DNS entry for the specific domain. The software initiates the validation process (ACME) and a web service at “Let’s encrypt” communicates with that software. During that process ports 80/tcp and 443/tcp are used by default which means your webserver needs to go down for a couple of seconds to allow the software to use those ports. That downtime may be worked around in the future but for now i don’t care much about it. “Let’s encrypt” is working on integration with major web servers such as Apache or Nginx to make the process completely transparent. Until then some scripting is required, which i’d like to share.

To use automatic renew, first make sure your web server (nginx in my case) loads certificates from the letsencrypt folder.

1
2

ssl_certificate /etc/letsencrypt/live/martin.heiland.io/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/martin.heiland.io/privkey.pem;

Stop the web server and initiate the renew process. Note that a few options need to be set to force non-interactive renewal:

1
2

$ service nginx stop
$ /path/to/letsencrypt/letsencrypt-auto -d martin.heiland.io --renew-by-default --rsa-key-size 4096 --agree-tos --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory auth

Note that due to a bug, this command may fail several times with a “The client sent an unacceptable anti-replay nonce” error. In this case, just repeat the command until it succeeds.

If HPKP is used, you will need to refresh your pins:

1
2
3
4

$ openssl x509 -noout -in /etc/letsencrypt/live/martin.heiland.io/fullchain.pem -pubkey | openssl asn1parse -noout -inform pem -out public.key
$ openssl dgst -sha256 -binary public.key | openssl enc -base64 > hash.key
$ PIN1=$(cat hash.key | sed 's_/_\\/_g') && sed -i 's/add_header Public-Key-Pins.*/add_header Public-Key-Pins '\''pin-sha256=\"'"${PIN1}"'\"; pin-sha256=\"sRHdihwgkaib1P1gxX8HFszlD+7\/gTfNvuAybgLPNis=\"; max-age=31622400'\'';/g' /etc/nginx/conf.d/martin.heiland.io.conf 
$ rm public.key hash.key

Finally, restart the web server and check if it’s serving the updated certificate:

1

$ service nginx start

You obviously can put this process to a monthly cronjob, but you might to supervise the process a couple of times to make sure it works flawlessly.

As soon as Samsung finally made the SM951-NVMe SSD publicly available (they paper launched it 6 months before), i got the 512GB model (MZVPV512HDGL) via some “back channel” sale to build my new photography and gaming rig. Since it’s a OEM product the vendor does not sell it to consumers nor offers any drivers or product support. Typically this is not an issue for a SSD but in this particular case some M.2 PCIe tweaking via EFI settings was required and the default Windows 10 NVMe driver provided dismal sequential throughput of 80 MB/s while the drive can do about 2400 MB/s, depending on block size and queue depth. Guess thats what you call a early-adopters tradeoff. As a temporary workaround, NVMe drivers for Intel datacenter SSDs could be used to replace Windows’ default driver.

Today i noticed that Samsung has released a proprietary driver along with the SSD 950 Pro product launch. The 950 Pro is basically the same SSD just with stylish PCB coloring and “3D V-NAND” technology (Samsungs lingo for TLC) rather than MLC like the SM951 uses. While TLC is a more recent technology and offers better density (aka. cheaper to manufacture huge chips), it’s not as quick when writing data and should be a litte less reliable than MLC. The SM951 may be older but could still be a superior SSD technology-wise. It turns out that this driver is also compatible to the SM951 SSD and provides comparable throughput to Intels driver.

Samsungs driver can be downloaded here. Note however that Samsung Magician will still not fully support this drive since it appears to check for its identifier and offers limited capabilities for Samsung OEM and non-Samsung drives.