Was uns ab September von Seiten der Banken erwartet ("starke Kundenauthentifizierung")

[franzi]

Heute hatte ich als Anhang zu meinem Kontoauszug ein Informationsblatt, welches ich fast weggeworfen hätte, weil ich dachte, es handle sich um Werbung.
Zum Glück habe ich diese "Kundeninformation zur starken Kundenauthentifizierung" dann doch durchgelesen.

Vorab hierzu ein Link der BaFin vom letzten Jahr (nicht aktualisiert):
Starke Kundenauthentifizierung: Neue Pflicht wirkt sich auf Online-Banking und Bezahlen im Internet aus

Hier kommt etwas auf uns zu, was einige von uns vielleicht noch nicht wissen. Bei manchen Banken treten diese Änderungen früher, bei manchen später in Kraft, spätestens jedoch zum Stichtag 14. September 2019.
Es geht um die künftige Abwicklung des Online-Bankings.
Hierbei wird z. B. eine Überweisung nicht mehr nur durch Eingabe der ID sowie des Passworts möglich sein, sondern es wird ein drittes Element, das sog. "Sicherheitsverfahren" erforderlich werden.

Dieses besteht entweder aus einem Fingerabdruck, der Gesichtserkennung oder der Eingabe eines weiteren Passworts.

Für diese drei Zusatz-Elemente ist aus technischen Gründen der Besitz eines Smartphones zwingend erforderlich.
Da es jedoch viele Menschen gibt, die kein Smartphone haben oder es sich schlichtweg nicht leisten können, habe ich heute diesbezüglich eine Email an meine Bank geschrieben.

Telefonisch konnte mir dazu leider niemand genaue Auskunft geben, obwohl ich zwei Mitarbeiter kontaktiert hatte. Die eine Person wusste davon gar nichts, die andere sagte, ihr sei die Kundeninformation nicht bekannt, sie müsse sich erst kundig machen.
Ich fand es seltsam, dass ein Kundenrundbrief versandt wird, ohne dass die Mitarbeiter über dessen Inhalt vorab informiert wurden.

Aus dem Schreiben geht weiters nicht hervor, ob weiterhin eine Überweisung via SMS-Tan (Nutzung mittels eines einfachen Handys), via Chip-Tan (auch bekannt als Smart-Tan, für welches man meist ein eigenes Gerät braucht) ab dem 14. September 2019 noch möglich sein wird oder nicht.
Es ist nicht bekannt, ob man ab September ein weiteres Zusatzgerät für die Anwendung des "Sicherheitsverfahrens" wird kaufen müssen, wenn man ohne Smartphone Überweisungen tätigen möchte, oder ob es darauf hinausläuft, dass man gezwungen sein wird, sich ein Smartphone anzuschaffen, um sich den neuen Anforderungen anzupassen.

Falls jemand von euch dazu schon nähere Infos hat, wäre ich darüber dankbar.
Über weitere Details werde ich berichten, sobald mir diese vorliegen.

Von der Neuregelung betroffen sind übrigens auch Menschen, die eine Kreditkarte verwenden oder die im Einzelhandel bargeldlos bezahlen.
Starke Kundenauthentifizierung: Was ändert sich 2019 für Online-Händler?

 

[romeo1222]

Es ist auch die sogenannte Photo-Tan möglich. Habe mir vor 1 Monat deswegen ein Lesegerät bestellt, da es auf lange Sicht günstiger sein müsste, als immer die Kosten einer SMS zu zahlen oder gar ne Handy-Flat zu nutzen (habe sowas nicht auf meinem Handy).

 

[franzi]

photoTAN

Offenbar ist das aber auch nicht vollkommen sicher. Zitat: "Wird Ihr Smartphone geklaut, kann der Dieb zusammen mit den Nutzungsdaten einfach Überweisungen vornehmen. "
Ich vermute mal, dass dieses Verfahren ab September auch seine Gültigkeit verlieren wird, weil es nicht sicher genug ist.

 

[Kerstin_K]

Ich gehe davon aus, dass das such ohne Smartphone geht. Zum Beispiel durch Übermttlung eins zusätzlichen Sicherheitscodes per SMS oder Anruf, das geht auch auf einem einfach Handy und sogar auf einem Festnetztelefon.

Ich kenne das schon von einigen Onlineshops.

 

[franzi]

Ja, aber dadurch entsteht keine starke Kundenidentifizierung, in dem Sinne, dass man damit überprüfen könnte, dass der Agierende auch identisch ist mit der Person. Bei SMS oder Anruf könnte ja auch jemand anderes diese in Empfang nehmen.

 

[Kerstin_K]

Doch, denn man muss ja im Besitz des Telefones sein. Ichhabe mir das gerade mal durchgelesen, das passt schon. Es gibt ja auch eine ganze Reihe Ausnahmen.

 

[Ursula66]

Ich verstehe das nicht so ganz, vielleicht kann mir ja jemand auf die Sprünge helfen?
Man braucht für eine Online-Überweisung doch auch in Zukunft kein Smartphone, denn: unter dem BAFIN-Link steht: (Hervorhebung von mir)

Die Pflicht zur Starken Kundenauthentifizierung verlangt jedoch eine Authentifizierung, die nicht nur aus einem, sondern aus mindestens zwei Elementen besteht. Diese Elemente müssen aus zwei der drei Kategorien Wissen, Besitz und Inhärenz stammen.

Das ist ja jetzt bereits mit dem TAN-Generator gegeben:
Du brauchst das PW um Dich zur Überweisung einloggen zu können (= Wissen)
Für den TAN-Generator benötigst Du Deine für dieses System freigeschaltete Bankkarte (= Besitz). Und beim TAN-Generator musst Du auch die KontoNr. des Empfängers sowie den Betrag freigeben.
=> Bedingungen für eine Starke Kundenauthentifizierung erfüllt.

Ein Smartphone benötigt man dafür nicht. (Habe ich auch nicht, ich habe seit 15 Jahren nicht mal mehr ein Handy. Und das soll so bleiben.)
Den TAN-Generator gibts bei der Hausbank für 10€ - also durchaus bezahlbar.

Dass Mastercard und viele andere gerne meinen Fingerabdruck hätten, das glaube ich gerne. Den gibts aber von mir ganz sicher nicht.

 

[Gelöschtes Mitglied 66109]

photoTAN

Offenbar ist das aber auch nicht vollkommen sicher. Zitat: "Wird Ihr Smartphone geklaut, kann der Dieb zusammen mit den Nutzungsdaten einfach Überweisungen vornehmen. "
Ich vermute mal, dass dieses Verfahren ab September auch seine Gültigkeit verlieren wird, weil es nicht sicher genug ist.

100% sicher ist gar nichts.

Wenn man allerdings sein Smartphone mit PIN, Fingerabdruck oder FaceID schützt und dann zusätzlich die sensiblen (Banking) Apps zusätzlich noch mal sichert, ist schon einiger Aufwand notwendig, um Mißbrauch zu treiben.

Wer bereit ist ein paar Euro im Jahr zu investieren, von mehr als 10 Euro reden wir hier nicht, kann sein Smartphone schon sehr gut absichern.

 

[franzi]

Ist die SMS-Tan nicht gleichwertig mit einem Tan-Generator?
Die SMS kommt ja auch direkt von der Bank auf mein Handy und generiert eine einmalige Tan, die nur für diese eine Buchung verwendet werden kann. Allerdings wird bei dieser der Empfänger schon angezeigt und man muss ihn nicht erst eingeben, wie bei einem Generator-Gerät.
Dann wäre ja alles wie bisher und es würde sich nichts ändern ...

 

[Ursula66]

franzi, da hast Du mich missverstanden:
Beim TAN-Generator muss man keine Daten eingeben sondern die angezeigten Daten (KntNr. und Betrag) bestätigen.
Wie das beim Handy aussieht wiess ich nicht - ich habe ja schon lange keins mehr.

Und ja, korrekt. Für Online-Überweisungen wird sich demnach wohl nichts ändern.

 

[Kerstin_K]

genau so ist das. Denn um die Überweisung zu ergassen musst Du Dich ja bei der Bank auch erst anmelden und authentifizieren.

 

[franzi]

franzi, da hast Du mich missverstanden:
Beim TAN-Generator muss man keine Daten eingeben sondern die angezeigten Daten (KntNr. und Betrag) bestätigen.
Wie das beim Handy aussieht wiess ich nicht - ich habe ja schon lange keins mehr.

Und ja, korrekt. Für Online-Überweisungen wird sich demnach wohl nichts ändern.

Bei SMS-Tan läuft es genauso, die Bankverbindung und der Betrag werden angezeigt. Das muss man nur noch bestätigen.

 

[franzi]

So, ihr Lieben, habe nun die Antwort von meiner Bank erhalten. Das fällt genauso aus, wie ich es befürchtet hatte.
Man braucht in Zukunft (ab September) ein Smartphone oder alternativ ein Seal One Gerät. Beides ist mit Kosten verbunden.
SMS-Tan, Tan-Generator und sonstige Varianten gelten ab September nicht mehr, weil sie nicht die erhöhten Sicherheitsstandards erfüllen.

Zitat aus dem Schreiben meiner Bank:

"Zukünftig wird das BestSign-Verfahren das führende Sicherheitsverfahren für die Anmeldung im Banking & Brokerage sein. Das bietet Ihnen viele Vorteile - unter anderem geht die Anmeldung mithilfe Ihres Fingerabdrucks bzw. Ihrem persönlichen BestSign-Passwort deutlich schneller und sicherer.

Sie können zunächst für eine Übergangszeit beide Sicherheitsverfahren nutzen. Ich empfehle Ihnen: Richten Sie noch heute das BestSign-Verfahren auf Ihrem Smartphone ein. Laden Sie dazu einfach die BestSign-App aus dem Apple- bzw. Android-Store herunter und folgen Sie den Anweisungen.

Die mobileTAN können Sie auch weiterhin erstmal nutzen. Sollte es eine Änderung geben werden alle Kunden rechtzeitig informiert.

Sie brauchen nicht unbedingt ein Smartphone. Sie können das BestSign-Verfahren auch über ein Zusatzgerät von SealOne® nutzen. Diese Geräte werden über USB oder Bluetooth mit Ihrem PC verbunden und nutzen eine digitale Signatur, die wie die App ein besonders starkes Sicherheitsmerkmal ist. Sie können ein passendes Gerät entweder über die Website des Herstellers oder direkt in unseren Filialen kaufen.

Sie möchten das BestSign Verfahren nutzen und ein Seal One Gerät bestellen. Gerne informiere ich Sie über unser Angebot.

Was kostet ein Seal One Gerät?
Die Geräte kosten zwischen 29,90 Euro und 49,90 Euro.

Wo erhalten Sie ein Seal One Gerät?
Sie können das Gerät online bestellen.

Wo können Sie das Seal One Gerät einsetzen?
Das Seal One Gerät können Sie weltweit nutzen. Voraussetzung für die Nutzung im Online Banking ist ein Laptop/PC mit USB Port und Verbindung zum Internet.
Sie können ein Gerät dazu für alle Ihre Konten - und in der Regel auch für verschiedene Banken, die ein Verfahren mit dem Seal One Gerät anbieten - verwenden.

Möchten Sie alternativ BestSign mobil nutzen?
Sie haben ein Smartphone oder Tablet? Dann können Sie das kostenlose BestSign mobil Verfahren nutzen. Laden Sie hierfür den Finanzassistent oder die BestSign App im AppStore von Apple oder Google kostenlos herunter."

 

[franzi]

Altes Video zu den Gefahren. Die Problematik ist also schon länger bekannt:

 

[Ursula66]

Das ist ja der Oberhammer. Denn laut BAFIN erfüllt die Methode mit TAN-Generator die erforderlichen Kriterien.
Darf ich fragen von welcher Bank das kommt?

 

[franzi]

Ich habe jetzt nochmal separat angefragt, wie es genau mit dem TAN-Generator und ähnlichen Methoden aussieht. Die Geräte werden ja immer noch angeboten bzw. beworben. In der Kundeninformation der Bank wurden aber diese alternativen Methoden nicht mehr erwähnt. Es wurde ausdrücklich die Variante, die über das Smartphone läuft, favorisiert.
Ich vermute, dass man für alle anderen Verfahren, welche bisher möglich waren und derzeit noch möglich sind, nun noch eine Übergangsfrist bekommt, in der man diese Verfahren noch nutzen kann. Ein genaues Datum für diese Frist wurde mir nicht genannt, daher hake ich jetzt nochmal nach.
Man muss bedenken, dass die Firmen, die solche Geräte herstellen, auch mit den Banken in Kooperation sind. Da geht es auch um finanzielle Interessen. Ich werde mir aber sicher jetzt kein Zusatzgerät kaufen, wenn es im September eh nicht mehr verwendet werden kann.
Letztlich besteht ein gewisser unterschwelliger Druck, die Smartphone-Variante zu wählen. Das will man aber wohl noch nicht so offen kommunizieren.
Ich melde mich, wenn mir die neue Antwort vorliegt.

 

[franzi]

Habe heute eine weitere Kundeninformation erhalten (noch nicht die Antwort auf meine spezielle Anfrage).

Hier steht eindeutig, wohin die Reise geht:

Zitat:

"Von der TAN-Eingabe zum modernen BestSign

Sehr geehrte XX


die Überweisung per Internet - welch eine Revolution vor über 20 Jahren. Und das Durchstreichen benutzter TANs auf einer Liste war Standard. Danach folgten mobileTAN, iTAN und chipTAN - nun steht die nächste Entwicklungsstufe bereit. Steigen Sie jetzt auf modernstes Banking um: auf BestSign, das Sicherheitsverfahren der Zukunft!

BestSign - Banking-Sicherheit dank neuester Technologien

• Aufträge schnell, einfach und höchst sicher mit der App freigeben: entweder biometrisch per Fingerabdruck (Touch ID), Gesichtserkennung (Face ID) oder per Passwort. Einfach die BestSign App auf das Smartphone oder Tablet holen und ab sofort noch einfacher überweisen.
• Alternativ BestSign mit einem Zusatzgerät von SealOne® nutzen (per Bluetooth oder USB) und Aufträge auf Knopfdruck freigeben.

Probieren Sie BestSign gleich aus! Sie werden staunen, wie einfach Banking sein kann. Willkommen in der Zukunft!"

So, wie ich es vermutet hatte, werden alle anderen bisher üblichen Verfahren auslaufen. Die Frist wird man uns wohl erst später sagen.
Danach wird es nur noch die zwei genannten Varianten geben, wobei man dann eben so ein SealOne-Gerät wird kaufen müssen.

 

[Archibald]

Es ist nicht bekannt, ob man ab September ein weiteres Zusatzgerät für die Anwendung des "Sicherheitsverfahrens" wird kaufen müssen, wenn man ohne Smartphone Überweisungen tätigen möchte, oder ob es darauf hinausläuft, dass man gezwungen sein wird, sich ein Smartphone anzuschaffen, um sich den neuen Anforderungen anzupassen.

Falls jemand von euch dazu schon nähere Infos hat, wäre ich darüber dankbar.
Über weitere Details werde ich berichten, sobald mir diese vorliegen.

Du benötigst und bekommst ein neues Gerät. Das kostet mich 23 Euro inkl. Versand. Finde ich unverschämt, soll das doch die EU zahlen, aber wie immer ist der Nutzer der Gelakmeierte und muss bezahlen was die da aushecken. Ich werde den Teufel tun und Banking per Smartphone abwickeln wo jede APP Daten absaugt.... Am Computer kann ich das wenigstens kontrollieren und absichern.

 

[franzi]

Ich finde es auch nicht in Ordnung, dass man uns nicht deutlich sagt, dass wir das Gerät kaufen müssen. Daran verdienen diese Technik-Firmen natürlich schön mit.

 

[Kerstin_K]

Darf ich fragen von welcher Bank das kommt?

Das sieht nach Postbank aus.

 

[Ursula66]

Dass man versucht den Kunden neue Verfahren anzudrehen halte ich für normal, besonders wenn sie auch noch Kosten generieren.
Bisher lese ich aber nur "Werbung" für das neue Verfahren.
Den geposteten Texten kann ich aber keinesfalls entnehmen, dass das TAN-Generator-Verfahren aufgrund der Gesetzesänderung nicht mehr erlaubt ist.
Also ware ich mal ab, was Deine Bank auf Deine explizite Frage antwortet.

 

[Gelöschtes Mitglied 66109]

per Smartphone abwickeln wo jede APP Daten absaugt.... Am Computer kann ich das wenigstens kontrollieren und absichern.

Du kannst auch auf dem Smartphone deine App‘s absichern und genau kontrollieren, was die App‘s machen und worauf sie Zugriff haben. Man muss nur VOR dem Runterladen schauen, welche Berechtigungen die App gerne hätte und nach dem Runterladen nochmal kurz schauen, ob man ihr nicht versehentlich Rechte eingeräumt hat, die man ihr eigentlich nicht einräumen wollte

Zusätzlich: Ich habe App‘s die sensible Daten enthalten z.B. in einem extra Ordner den du nur öffnen kannst, wenn du die 6stellige Pin kennst. Und dann ist in dem Ordner jede App nochmals geschützt. Man muß nur wollen.

 

[Gelöschtes Mitglied 58736]

Ich werde den Teufel tun und Banking per Smartphone abwickeln wo jede APP Daten absaugt.... Am Computer kann ich das wenigstens kontrollieren und absichern.

Also ich halte mein IOS Smartphone für sicherer, als meinen Windows10 PC.

Wobei ich meistens eh nur noch Tablet nutze.
Merkt man hier als Admin doch bestimmt auch an den genutzten Geräten, dass mobil mittlerweile überwiegt?

Man kann aber auch die jeweilige Webseite auf dem Smartphone nutzen.

Geht auf jeden Fall auch ohne Installation einer eigenen App, abgesehen von der PushTANApp.

Ich nutze schon lange nur noch PushTAN statt SMSTan, schon aus dem Grund, weil manche da auch dreist Gebühren wollen.

Am Ende wird ja niemand gezwungen OnlineBanking zu nutzen.
Es ist halt nur praktisch und die Banken verteuern das OfflineBanking ja auch bewusst.

 

[Gelöschtes Mitglied 64655]

Habe schon jetzt ein separates Smartfone auf dem ich nur Banking mache. Alles andere nicht.
Habe auch für den Playstore eine Emailadresse nur für diesen Zweck.

 

[Märzenbecher]

Postbank hat ja vor kurzem schon umgestellt auf das "neue online banking".
Seitdem poppt da immer eine Seite auf wo man sich mit seinem - wenn auch nicht vorhandenem - smartphone verbinden soll.

Finde ich eine Unverschämtheit. Ich kaufe kein smartphone.