Aktuell stellen die diversen Banken die Authentifizierung von Transaktionen beim Online-Banking vom sogenannten chipTAN-Verfahren mit Flicker-Code auf andere Verfahren um. In Teil 1 hatte ich einen Blick auf die Postbank geworfen. In Teil 2 ging es um das Ende der SMS-TAN für Kunden der Volks-/Raiffeisenbanken. In Teil 3 gehe ich auf die neuen Authentifizierungsverfahren (chipTAN QR)für Transaktionen beim Online-Banking für Kunden der Sparkassen (und der Volks-/Raiffeisenbanken) ein.
Anzeige
chipTAN mit Flicker-Code läuft aus
Bisher war es so, dass Kunden der Volks-/Raiffeisenbanken und der Sparkassen beim Online-Banking das sogenannte chipTAN-Verfahren verwenden konnten. Benötigt wurde ein sogenannter TAN-Generator, wie nachfolgend abgebildet.
Dieser Generator ist unabhängig von einem PC oder einem anderen Gerät, welches für das eigentliche Online-Banking verwendet wird. Um eine Transaktion wie eine Überweisung, einen Dauerauftrag etc. zu genehmigen, wird der chipTAN-Generator sowie die Bankkarte (oder EC-Karte) benötigt. Diese ist in den Leser einzustecken. Bei jeder Transaktion (z.B.) Überweisung wird dann ein optischer "Flickercode" im Browser im Formular für die Überweisung angezeigt.
Der TAN-Generator kann diesen Flickercode optisch lesen und eine TAN berechnen. Diese wird dann im Browser-Formular zum autorisieren der Überweisung eingetragen. Dabei kann man im Display des Lesers die Ziel-Kontonummer und auch den zu überweisenden Betrag kontrollieren. Dieser Abgleich, die für jeden Vorgang einzeln generierte Transaktionsnummer (TAN) und die fehlende Verbindung zwischen dem für das Online-Banking verwendeten Gerät und dem chipTAN-Leser macht das sehr sicher. Die Generatoren kosteten nicht viel und laufen mit Knopfzellen über Jahre. Aber das chipTAN-Verfahren läuft nun bei vielen Banken in der oben skizzierten Form aus.
Anzeige
Das chipTAN-Gerät zeigt den Fehlercode 00 an
Mir fiel das Ganze bereits vor einigen Wochen auf, als bei der Anmeldung zum Online-Banking bei einer Überweisung plötzlich der Hinweis am Rand der Seite auftauchte, dass das chipTAN-Gerät möglicherweise den Fehlercode 00 anzeigt. Einige Tage später ging ich diesem Hinweis nach, und habe folgendes herausgefunden.
chipTAN: neue Kartengeneration der Sparkassen-Card (Debitkarte)
Die Banken – hier die Sparkassen – tauschen die früher gebräuchliche EC-Karte nun bei Ablauf gegen eine neue Debitkarte aus. Dann gibt es aber Probleme mit dem oben beschriebenen chipTAN-Verfahren. Die Sparkassen schreiben dazu:
Die neue Kartengeneration der Sparkassen-Card (Debitkarte) ist mit der neuesten Chip-Version ausgestattet. Diese Neuerung bewirkt, dass ältere Modelle von TAN-Generatoren für das manuelle sowie optische chipTAN-Verfahren (Flickergrafik) in Verbindung mit der neuen Karte nicht mehr funktionieren.
Kurz und knapp: Wer einen der "veralteten" TAN-Generatoren besitzt, muss diesen austauschen. Spätestens wenn die neue Debitkarte eintrudelt, ist mit dem alten chipTAN-Generator (für Flickercode) kein Online-Banking mehr möglich.
Debitkarte bezeichnet ganz allgemein eine Zahlungskarte der Geldinstitute. Andere Namen sind auch Bankkarte, Sparkassenkarte, EC-Karte oder eben auch Girokarte (Quelle).
Nachfolgendes Bild zeigt Beispiele solcher veralteter TAN-Generatoren, wer so ein Teil benutzt, ist von der Maßnahme betroffen:
Veralteter chipTAN-Generator
Das bedeutet, man muss reagieren, und sollte vorsorglich einen neuen TAN-Generator beschaffen, der zum angebotenen Verfahren der Bank passt. Alternativ bieten manche Banken noch ein sogenanntes PushTAN-Verfahren zur Authorisierung von Tansaktionen an.
Auf einer Sparkassenseite habe ich noch die Detailinformation gefunden, dass Flicker-Geräte der Hersteller Kobil und OneSpan (ehemals VASCO) nicht betroffen seien. Flicker-Geräte, deren Bezeichnungen "DIGIPASS" (OneSpan/VASCO) oder "TAN Optimus" (Kobil) beinhalten, können somit weiter genutzt werden. Darüber hinaus funktionieren alle chipTAN-QR/USB Generatoren auch weiterhin mit der neuen Kartengeneration kompatibel.
Eine neue Debitkarte erkennen
Auf der Seite meiner Bank gab es noch den Hinweis, wie man eine neue Debitkarte erkennen könne, die nicht mehr mit den alten chipTAN-Lesern kompatibel ist. Bei einer Sparkassen-Card, die zur neuen Kartengeneration gehört, findet sich auf der Kartenrückseite rechts oben, über dem Magnetstreifen, eine Kennung.
Lautet das hier im Bild mit Code gekennzeichnete Kürzel auf TPY, RWF, TGI, 1U6, GH7 oder NVC, handelt es sich um eine Debitkarte der neuen Generation. Dann ist der Austausch des chipTAN-Generators für Flickercodes (wie oben erwähnt) gegen einen einen neuen kompatiblen chipTAN-QR-Generator dringend erforderlich.
Das PushTAN-Verfahren
In obigem Text wurde erwähnt, dass manche Sparkassen das sogenannte PushTAN-Verfahren zur Authentifizierung einer Transaktion anbieten. Das wurde mir auch auf folgender Seite vorgeschlagen.
Kostenfrei hört sich für viele Kunden erst einmal gut an. Zum pushTAN-Verfahren schreibt meine Bank:
Beim pushTAN-Verfahren erhalten Sie Ihre TAN über eine spezielle App, die "S-pushTAN-App". Direkt auf Ihr Smartphone oder Tablett. So können Sie von einem einzigen Gerät aus sicher auf Ihr Online-Banking zugreifen und die TAN anfordern.
Das Verfahren wird dabei als optimal für mobiles Banking angepriesen:
- Bequemes Online-Banking mit Smartphone oder Tablet
- Hohe Sicherheit durch separate App mit eigenen Zugangsdaten
- Abschluss in wenigen Minuten – direkt von zu Haus
Zur Sicherheit der einzelnen TAN-Authentifizierungsverfahren hält die Sparkasse diese Seite bereit. Sobald der Begriff "bequemes Online-Banking per Smartphone oder Tablet" irgendwo auftaucht, klingeln bei mir die Alarmglocken.
Eine kurze Prüfung mit Exodus ergab nur einen Tracker der Starfinanz in der App enthalten ist.
Die Sicherheit von pushTAN
Ich habe dann noch etwas im Web recherchiert. Die Verbraucherzentrale hat im März 2022 diesen Artikel zum Thema Online-Banking veröffentlicht, in dem es heißt:
Push-TAN – Nachricht per Handy-App
Kurzbeschreibung: Auch hier wird für jede Überweisung, die Sie tätigen möchten, die TAN angefordert. Im Unterschied zur mTAN nutzen Sie hier eine spezielle App, in der die TAN generiert wird.
Bewertung: Hohe Sicherheit, wenn für App und Onlinebanking verschiedene Apps oder Geräte verwendet werden.
Das BSI ist hier da bereits wesentlich vorsichtiger und schreibt: Die Sicherheit des [Push-]TAN-Verfahrens kann erhöht werden, wenn zwei unterschiedliche Geräte für Banking und TAN-Generierung eingesetzt werden. Auch hier sollte immer die aktuellste Version der App installiert sein.
Ich habe Bauchschmerzen
Meine Bauchschmerzen beginnen damit, dass das Verfahren nur so sicher wie das für die TAN-Generierung verwendete Smartphone und die benutzte App ist.
- Im Jahr 2015 (ist lange her), konnten die "freundlichen Jungs" vom Chaos Computer Club zeigen, wie das PushTAN-Verfahren der Sparkassen-App ausgehebelt werden konnte.
- Sowohl heise als auch Spiegel Online berichteten darüber. Der Sparkassenverband schob diesen "Hack" auf eine veraltete Version der S-pushTAN-App.
Gut, wir sind jetzt einige Jahre weiter. Aber wer garantiert mir, dass nicht irgendwo in der aktuellen App oder in einer zukünftigen Version eine ähnliche Schwachstelle lauert? Man könnte sich nun wieder beruhigt hinlegen und "dem Born den Aluhut" aufsetzen. Kann ich mit leben. Aber für die "ich bin beruhigt Fraktion" habe ich noch was zum Nachdenken.
Da gibt es auf anwalt.de den Artikel Hackerangriffe auf Bankkonten (Phishing), die das push-TAN-Verfahren der Sparkassen nutzen vom 22.5.2022, der darauf hinweist, dass unbekannte Straftäter bei Online-Banking-Kunden mehrfach Konten binnen eines Tages leer geräumt haben. Zitat aus dem Artikel zu einzelnen Fällen:
- Allein in der Stadt Stuttgart wurden Konten von fünf Bankkunden mit Schadensbeträgen im fünfstelligen Bereich leergeräumt (vgl. Wolf-Dieter Obst, "So schnell verlor eine Bankkundin 50.000 EUR", in: Stuttgarter Nachrichten vom 05.03.2021).
- In Sindelfingen sollen es bei einer weiteren Kundin rund 40.000 EUR gewesen sein und bei einer 95-jährigen zuvor 20.000 EUR.
Laut Artikel sollen Sparkassen in ganz Deutschland bis hin zur Deutschen Kreditbank AG in Berlin und selbst eine Genossenschaftsbank sein. Und weiter heißt es im verlinkten Artikel:
Von den aktuellen Hackerangriffen, bei denen innerhalb eines kurzen Zeitraumes, teilweise sogar am gleichen Tag, Konten in ganz Deutschland leergeräumt worden sind, ist das sogenannte pushTAN-Verfahren betroffen.
Das ist aber das oben erwähnte Verfahren, welches von Sparkassen bundesweit den Online-Banking-Kunden angeboten wird. Der Artikel erwähnt aber auch Schadensfälle bei der Deutschen Kreditbank AG (DKB) in Berlin und bei der Baden-Württembergischen Bank (BW-Bank) oder der Landesbank Baden-Württemberg (LBBW) in Stuttgart. Es ist ganz interessant, sich die Ausführungen zum pushTAN-Verfahren im Artikel in Ruhe durchzulesen. 2021 gab es sogar eine Warnung der Polizei vor Betrügereien mit PushTAN (siehe diesen t-online-Artikel). Klar hat der Kunde mit Schuld, wenn er auf Phishing und Telefonanrufe hereinfällt. Aber für mich persönliche gehe ich aus der Geschichte "Finger weg vom pushTAN-Verfahren" heraus. Ich würde es keinem Bankkunden für Online-Banking empfehlen.
chipTAN QR oder photoTAN
An dieser Stelle bleibt die Frage, wie man es sicherer bewerkstelligen kann. In den Online-Banking-Seiten wurde mir von der betreffenden Sparkasse vorgeschlagen, dass ich mich für einen Leser, der entweder das chipTAN QR- oder das photoTAN-Verfahren unterstützen kann. Auf der Seite gab es einen Link auf den Sparkassen-Shop (zum Beispiel diese Seite), wo ursprünglich gut 6 oder mehr chipTAN QR- oder Hybrid-Leser im Preisbereich zwischen ca. 16 und 30 Euro aufgelistet waren – in nachfolgendem Screenshot sind es nur noch vier.
Ich hatte dann bei der Presseabteilung der Bank nachgefragt, was der Kunde denn nun wählen solle. Die Antwort der Presseabteilung klang logisch:
Bei der oben genannten Seite des Sparkassen-Shops handelt es sich um eine zentrale Bestellplattform des Sparkassenverlags mit günstigeren Erwerbspreisen für neue chipTAN-QR Generatoren. Aufgrund der aktuellen Lage und der beschränkten Verfügbarkeit von TAN-Generatoren sind im Shop Geräte unterschiedlicher Hersteller gelistet. Für die reine Nutzung des chipTAN-QR Verfahrens reicht der genannte DIGIPASS 882 vollkommen aus.
Der DIGIPASS 882 ist ein TAN-Generator, den es im Umtausch (siehe hier) für ca. 17 Euro + Versand gibt. Zum Leser heißt es auf der Beschreibungsseite des Shops:
Der DIGIPASS 882 ist der zuverlässige TAN-Generator für sicheres Online-Banking mit und ohne Software in Verbindung mit dem chipTAN QR- und dem manuellen chipTAN-Verfahren. Beide Verfahren entsprechen den aktuellen Standards der Deutschen Kreditwirtschaft für kartenbasierte TAN-Generierung. Der TAN-Generator erkennt den angezeigten QR-Code* sekundenschnell und generiert die TAN für Ihr Online-Banking. Geeignet ist das Online-Banking-Verfahren für Computer/Laptop (über Browser oder z. B. mit StarMoney) und für Smartphone/Tablet (über Browser oder z. B. mit Sparkassen-App). Eine hohe Zuverlässigkeit zeichnet den DIGIPASS 882 aus.
Ich habe mich für dieses Gerät entschieden. Für das Online-Banking wird meine alte EC-Karte zur Authentifizierung eingesteckt. Dann kann ich bei Überweisungen einen im Browser angezeigten QR-Code scannen und bekomme das Zielkonto, den Betrag und die TAN im Display des Lesers angezeigt. Diese Daten kann ich also verifizieren und dann die TAN in der Banking-Seite zur Freigabe der Transaktion eingeben.
Das Verfahren ist durch die getrennten Geräte für Banking und TAN-Generierung als sehr sicher einzustufen (wenn man als Benutzer die Daten auch kontrolliert). Gegenüber dem alten Leser für den Flickercode gibt es gleich mehrere Vorteile: Das Lesen geht ruck-zuck, ich sehe alle Daten zur Kontrolle gleichzeitig im Display und der Leser hat drei Mignon AAA-Zellen, statt der teuren Knopfzelle des alten Lesers.
Der Vollständigkeit halber hier noch einige Fragen meinerseits und die Antworten der Presseabteilung der Sparkasse darauf.
Frage: Gibt es von der Sparkasse da einen groben Leitfaden, was die Leute wählen sollen? So dürften die Kunden i.d.R. etwas überfordert sein.
Antwort: Die TAN-Generatoren unterstützen alle das chipTAN-QR Verfahren, sodass Kundinnen und Kunden mit keinem der gelisteten TAN-Generatoren etwas falsch machen können. Aus mehrjähriger Erfahrung im Umgang und Verkauf von TAN-Generatoren können wir die Geräte des Herstellers „REINER SCT", in diesem Fall der sogenannte „tanjack QR" uneingeschränkt empfehlen.
Frage: Sind diese Lesegeräte für verschiedene Banken, die chipTAN-QR verwenden, kompatibel – oder ist da etwas zu beachten?
Antwort: Die Geräte können für alle Sparkassen und Banken eingesetzt werden, welche das chipTAN-QR Verfahren einsetzen. Das Gerät ist nicht an eine Sparkasse oder Bank gebunden.
Frage: Wie sieht der Zeitplan zum Austausch der EC-Karten aus – wird der turnusmäßig bei Ablauf einer Gültigkeit vorgenommen, oder gibt es eine Deadline, zu der alle Karteninhaber umgestellt sind (für TSK, ggf., falls bekannt, für den Sparkassenverband).
Antwort: Die neuen Girokarten erhalten seit Juli 2022 die neue Chipgeneration. Dies betrifft neu bestellte Karten, Ersatzkarten oder auch den jährlichen Kartenaustausch aufgrund der erreichten vier jährigen Kartenfälligkeit. Mit dem Kartenaustausch Ende 2026 werden alle Girokarten mit der neuen Chipgeneration versehen sein.
Ich hatte noch gefragt, ob es eine Empfehlung des Sparkassenverbands in Bezug "soll man eine pushTAN-App oder einen chipTAN QR-Leser verwenden" gebe. Dort lautet die Antwort:
Eine konkrete Empfehlung über die Vorgehensweise bei dieser Thematik gibt es nicht. Die jeweiligen Handlungen sind den einzelnen Sparkassen freigestellt. Der Sparkassenverband unterstützt die Sparkassen allerdings mit zentralen Werbeaktionen oder Bestellplattformen (siehe den o.g. Shop) zur erfolgreichen Kommunikation und Sensibilisierung der Kundinnen und Kunden.
Artikelreihe
Postbank: App und/oder SealOne statt chipTAN – Teil 1
Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2
Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens – Teil 3
Online-Banking und Apps: Was die Kunden wünschen – Teil 4
Online-Banking und die Sicherheit von Banking-Apps – Teil 5
Online-Banking und Absicherung per chipTAN USB – Teil 6
Ähnliche Artikel
Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?
Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse
Der Edge Effizienzmodus verursacht Probleme beim Flicker-Code beim Onlinebanking mit TAN-Generator
Festes SA SQL-Passwort bei windata 9-Banking-Software
DKB: Online-Banking im Firefox und Opera blockiert?
Banking Startup Dave gehackt, Daten in Hackerforen
Nächste Runde: FluBot-Banking-Malware (Mai 2022)
Online-Banking: mTAN und Banking-Apps unsicher
Anzeige
Es wird höchste Zeit daß hier aufgeräumt wird. Wären die Banken konsequent dann würde sie diese ganzen Generatoren endlich abschaffen und nur auf die App setzen. Würde auch viel Geld sparen wenn veraltete Verfahren nicht mehr gepflegt weren würden. Man kann jedem zumuten eine App zu installieren. In meinem Bekanntenkreis hat das ohnehin fast jeder. Der Rest würde sie zur Not auch installieren.
Sollte das ein Troll-Beitrag sein?
Ich denke nein, sondern der Schreiber wollte nur aufzeigen, wie der naive Durchschnittsnutzer an solche Sachen heran und damit umgeht.
Danke Günter für deine unermüdliche Berichterstattung. :+1:
+1
Dem kann ich mich nur anschließen. Danke Günter!
klar wir schaffen die"veralteten" sichereren Verfahren ab um sie gegen unsichere Apps zu tauschen. Sowas kann man eigentlich nur fordern, wenn man keine Ahnung hat oder zu den Bösen gehört die davon profitieren würden.
Es gibt Fingerabdrucksensoren die sicher sind. SMS sind unsicher und können problemlos abgegriffen werden. Und wer will immer unnötig Zusatzgeräte rumschleppen? Ich kenne niemanden! Entweder man lässt sich darauf ein oder man geht an den Schalter. Solange es noch welche gibt.
Die typisch deutschen Bedenkenträger ruinieren uns noch weil wir immer weiter abgehängt werden. In Afrika lachen sie schon über uns.
Also mal ehrlich… Ich nutze lieber alle anderen Verfahren bis auf biometrische Datenabgabe, als diese völlig unsicheren App-Verfahren und dazu ist man noch gezwungen sich eines dieser Wanzen, sprich Smartphones anzuschaffen, was ich nicht will.
Und so zu tun, als stehen überall die Wagen vor den Häusern und lauern auf Leute die grad eine mTAN bekommen haben, ist doch reinste Angstmachpropaganda..
mTAN war lange mein Favorit und ich würde es behalten wenn es ginge, aber eine TAN über einen Generator erzeugen ist die absolut sicherste und beste Methode.
Es gibt nur 2 Haken dabei.
1. Man muss den Generator mitschleppen, will man woanders als zu Hause irgendwelche Zahlung und/oder Bankgeschäfte tätigen.
2. Es gibt Leute (meist Ältere) die sind für diese Art Technik einfach nicht mehr erreichbar, es ist zu kompliziert, oder sie haben ganz einfach gar keinen PC.
Auch kann es sein, dass sie die Arme nicht mehr so ausstrecken und ruhig halten können, um irgendwelche Codes vom Bildschirm zu scannen.. Beim Flicker-Code muss man ja ziemlich lange stillhalten z.B…
Ebenso ist schon alleine aus aktuellem Anlass, da wir uns als Gesellschaft noch gar nicht einig sind, wie wir mit dem Fortschritt umgehen sollen, es aber schon wieder die typischen Ermächtigungen gibt, uns über Fortschritt kontrollieren und beherrschen zu wollen und Machtverhältnisse zu sichern, jede Art von biometrischer Datenerfassung strickt abzulehnen!
Generell ist der unrechtmäßige, einfach durchgeführte Datenerfassungswahnsinn und Profilerzeugung der letzten 2,5 Jahrzehnte aufzuarbeiten.
Es wurde einfach gemacht bedeutet nicht, dass es auch so einfach gemacht hätte werden dürfen.
Denn ich habe dem niemals zugestimmt und für mich ist das eine Art von Kriminalität, die rückwirkend abgestraft gehört, aber mindestens in Frage zu stellen, aufgedeckt und aufgearbeitet werden muss und dazu ein Verbot erfolgt und die Löschung, was wohl nicht so einfach machbar sein dürfte. Wer dem zustimmen will, kann das gerne tun und sich gläsern machen, aber ich will und muss natürlich vorher gefragt werden und meine Zustimmung geben.
Zum TAN-Generator noch eine Ergänzung: Halte ich für die sicherste Variante, da ich dazu auch die Debit-Karte als Authentifizierungsmerkmal benötige. Aber die Banken haben es echt versaut. Ich habe mir den neuen QR-TAN-Generator der Sparkasse zugelegt (aktuell bräuchte ich es noch nicht, da ich noch eine alte Debit-Karte habe, die auch mit Flicker-Code-TAN-Generatoren funktioniert). Kurz darauf kam die nächste Bank, die auch einen QR-TAN-Generator forderte. Mal kurz geraten, ob der vorhandene QR-TAN-Generator (der Sparkasse) als simple Hardware verwendbar ist? Nein, die Bank will eine eigene Hardware – und die nächste Bank hat wiederum ihren QR-TAN-Generator. Am Ende des Tages musste ich mir aus praktischen Erwägungen heraus (aber mit Bauchgrimmen) eine QR-TAN-Generator-App auf ein Smartphone installieren, um die Authentifizierung ohne separate Hardware vornehmen zu können.
Entwicklungsland Deutschland – jede Bank fährt ihren eigenen Stiefel – und dann wundert man sich, dass Apple und Google dann mit ihren Pay-Lösungen die Geschäftsfelder besetzen.
Der Knabe ist ein typischer Troll.
BITTE NICHT FÜTTERN
Danke für die Information, habe ebenfalls vorsorglich zwei neue Generatoren geordert.
Als Kunde zahlreicher Banken und Bankkonten bin ich froh, keine spezielle Hardware mehr mit mit führen zu müssen (z. B. im Urlaub, im Ausland), dann auch noch ohne Redundanz. Alle Banken nutzen mittlerweile die Biometrie-unterstützte 2FA (bzw. sogar 3FA) mit entsprechenden Apps. Wichtiger wäre es, nur Smartphones ("Firmware") von Herstellern aus demokratischen Rechtsstaaten einzusetzen mit aktuellem, monatlichem Patch Level. Und ggf. auch noch (zumindest im Enterprise-Umfeld) ein Backup-Smartphone, z. B. das Vorgänger-Modell, auf der Hinterhand zu haben. Bei uns hier darf kein Hardware-Defekt eines einzelnen Geräts zu einer nennenswerten Betriebs- oder Dienstunterbrechung führen.
Das ist ein Argument, welches ich gelten lasse. Du triffst für dich die Entscheidung – und auf dieser Basis (und was Du oben ausführst), gehörst Du nicht zur Klientel, wo ich sage "da lauert Risiko".
Ein wenig Bauchschmerzen habe ich noch wegen "Alle Banken nutzen mittlerweile die Biometrie-unterstützte 2FA (bzw. sogar 3FA) mit entsprechenden Apps." Es klang ja schon an – der Markt der Geräte ist sehr groß und das Ganze stellt eine Herausforderung für die Entwicklung dar. Hoffen wir, dass da nicht irgendwann ein Lapsus passiert, der die ganze schöne Biometrie-Geschichte aushebelt. Hier machen mir nicht die etablierten Banken mit ihren Informatik-Anhängseln Sorgen, sondern die vielen FinTechs, wo das Konzept hinten und vorne nicht stimmt.
Gerade beim Handelsblatt gelesen (Paywall), dass die Bafin gegen den Zahlungsdienstleister Unzer wegen schwerwiegender Mängel vorgeht. Gleich daneben die Prognose, dass 1/3 der Schweizer Privatbanken verschwinden könnten.
Gestern schlug bei mir eine Mail eines Lesers ein, der mich auf die Kundenzufriedenheitsbewertung der DKB bei Finanztipp hinwies. Da gibt es wohl Kunden, die bei Problemen ganz schön alt aussehen.
Das ist dann "wenn man mal unter den Teppich schaut" – und das macht mir auf längere Sicht Sorgen. Der Markt ist dynamisch und wenn Player unter Druck kommen, wird gerne geschludert.
Letztendlich muss jeder entscheiden, wie er verfährt – ich persönlich bin sehr froh, dass meine Sparkasse die chipTAN QR-Lösung anbietet. Firmen werden möglicherweise auf chipTAN-USB mit einer Banking-Software setzen, weil dies viele Überweisungen vereinfacht.
Wenn Leute informiert eine Risikoabschätzung treffen, ist dies in Ordnung. Was mich aufregt, sind Klientel der Art "Muss man alles abschaffen – Lösung xyz ist das, was wir brauchen", oder "ich habe keine Ahnung, klicke auf alles, was bei 3 nicht auf den Bäumen ist und habe auch sonst eine Banking-Umgebung zum brechen" – und dann mit großen Augen herumheulen, wenn was passiert.
Ich blogge nicht von ungefähr hier auf diesem Niveau, um Interessenten die Möglichkeit zu geben, sich vielleicht ein eigenes Bild zu machen. Ich bin seit 2000 im Bereich "50 Plus" Leserschaft unterwegs – das ist mir nichts mehr fremd. Und man sollte nicht auf "sind die doof" verfallen – mit irgendwo "kurz vor 70" merke ich, wie so manches schwerer fällt, als vor 10 Jahren. Nach meinem Genickbruch (mit inkomplettem Querschnittssyndrom) vor 7 Jahren und 4 Wochen Klinik sowie 5 Wochen Reha war ich so durch den Wind, dass mich Taxi-Fahrer locker bescheißen konnten – wäre mir früher nicht passiert und würde mir heute auch nicht mehr passieren. Die Episode war für mich ein Altersimulator in Reality, denn ich war binnen Sekunden auf einem körperlichen und geistigen Zustand eines (zumindest gefühlt) 90 Jährigen. Da sieht die Welt dann ganz schön schwierig aus.
Diese Erfahrungen habe ich vor Augen, wenn es um obige Themen und Maximierung der Sicherheit geht. Für mich selbst kriege ich es (hoffentlich) die nächsten 5-10 Jahre noch locker auf die Reihe, bei Online-Aktivitäten weitgehen sicher unterwegs zu sein.
Danke Günther für den Artikel. Eine schöne Zusammenfassung und gute Nachfragen.
Deinen Gedanken in der Antwort oben kann ich uneingeschränkt zustimmten – auch den Teil am Ende mit "50+". Ich habe immer mehr mit älteren oder wirklich alten Menschen zu tun und mir liegt die allgemeine Häme "die sind doof und taterig" sehr, sehr fern. Ich kenne auch recht junge Menschen, die durch fiese Krankheiten plötzlich stark eingeschränkt sind und auch unter kognitiven Problemen leiden. Technik hat sich auch an diesen Menschen auszurichten, nicht nur an jungen, fitten, hippen mit genügend Geld in der Tasche für immer die neuesten Gadgets.
Noch zum Artikel: Meine Genossenschaftsbank bietet photoTAN an, ich habe den Digipass Leser und bin sehr zufrieden mit der Erkennungsgeschwindigkeit und der Zuverlässigkeit. Das Gerät frisst gängige Akkus, keine blöden Knopfzellen wie die ganzen Flickercode-Leser, die auch noch unzuverlässig und langsam bei der Code-Erkennung sind. Und deren Flickercode für jeden Bildschirm wieder neu eingestellt werden muss. Ich hoffe meine Sparkasse rangiert diese blöden Dinger bald aus. Und ich hoffe, dass es weiterhin keine App-Pflicht gibt, denn damit stehen "Nicht-Smartphone-Nutzer" im Regen.
Zum Screenshot "Erfahrungen mit der DKB":
Sorry, aber das hat nun gar nichts mit dem Inhalt dieses Artikels zu tun.
Ich bin selbst (zufriedener) Kunde bei der DKB und habe Ende 2021 eine neue Girocard erhalten mit dem Hinweis, dass mit dieser Karte chipTAN mit Flicker-Code ausläuft.
Als Ersatz für den "alten" TAN-Generator wurde mir nach Anruf bei der Hotline der tanJack photo QR von REINERSCT empfohlen.
Gesagt, getan, habe diesen bestellt, die Umstellung verlief ohne Probleme.
Zu der negativen Bewertung der DKB:
Wenn ich die Kommentare durchlese, so wird hier als Hauptgrund die Umstellung auf die Debit VISA Karte angegeben.
OK, diese Kritik ist berechtigt und hier hat die DKB wirklich "Mist gebaut", einige aus meinem Bekanntenkreis sind davon auch betroffen, ich habe das Glück, das meine "alte" Visacard noch weiterhin gültig ist.
Aber, wie erwähnt, das ist ein anderes Thema und hat nichts mit dem Ende des chipTAN-Verfahrens zu tun.
Dir ist aber schon klar, dass es a) einen Kommentar ist, der b) zeigen soll, dass sich Einschätzungen ändern können. Das Ganze ist ja im Kontext verschiedener Negativ-Vorfälle eingebettet. Die Botschaft: Wenn ich heute eine Einschätzung über eine Bank treffen, kann das in wenigen Monaten Makulatur sein. Offenbar ist die Hälfte der Abstimmenden irgendwie unzufrieden mit der DKB – dass Du mit der DKB zufrieden zu sein scheinst, stellt ja niemand in Abrede.
Beim Tippgeber war ein Nachbar wohl lange zufriedener DKB-Kunde, der dann grottige Erfahrungen machen durfte. Wegen Unstimmigkeiten bei einer Zahlung kontaktierte er die Bank bzw. deren Support und hat, so die Aussage, seit Wochen keinen Zugriff auf sein Konto (das wurde nämlich gesperrt). A Nightmare und hatte mit dem von dir aufgeworfenen Sachverhalt eher nichts zu tun.
Schon wieder ein neues Lesegerät?
IIRC musste ich in 2019 doch schon ein neues kaufen, weil der Chip in den Karten geändert wurde.
Könnte vielleicht folgendes der Fall sein?
Wie bei der PIN der EC einst durch Dritte nachgewiesen werden konnte, hatten Kriminelle das Verfahren schon lange geknackt, während die Banken das totschwiegen und leugneten und den dummen Kunden zu geschoben hatten.
Irgendwann reichte das Leugnen nicht mehr, die Beweise, das bei der Berechnung der PIN geschlampt wurde waren nicht mehr zu leugnen und es gab neue Karten.(*)
Warum muß jetzt schon wieder das Verfahren bei den chipTANs erneuert werden?
Was war die Lücke bei dem bisherigen?
(*)ein Problem war, das PIN wie 1234 0567 0660 verboten waren, weil zu einfach…und führende Nullen zu Problemen führen konnten..
"So können Sie von einem einzigen Gerät aus sicher auf Ihr Online-Banking zugreifen und die TAN anfordern."
Das ist Satire? Bitte sag das das Satire sein soll.
Stehen die Banken so unter Druck durch die Newbies (N25) daß sie nicht mehr wissen was sie tun?
Bei einer 2FA ist die 2 doch der Kern, oder?
Wo ist die BaFin, die diesen Schmarren ja genehmigt haben muß?
Warum nutzt denn keine Bank eigentlich diese Authenticator-Apps, z.B. von Microsoft oder Google?
Mir geht folgendes dazu im Hinterkopf herum – ist aber spekulativ: Die Banken möchten nicht von Microsoft oder Google abhängig werden – möglicherweise spielt auch die DSGVO da mit rein.
Und was auch nie angesprochen wurde: Geht mir das Smartphone mit der Authenticator-App kaputt oder wird dieses zurückgesetzt, hat der Kunde eventuell ein gehöriges Problem, sich wieder zu authentifizieren. Wer die Einmal-Sicherheits-Codes zum Zurücksetzen ausgedruckt und aufbewahrt hat, ist fein raus. Aber wie viele Bankkunden bekommen das auf die Reihe?
Wenn die Banken eine eigene Authentifizierungsmethode verwenden, wird da vieles einfacher. Daher finde ich das Konzept der chipTAN-Leser, die die Bankkarte zur Authentifizierung verwenden, auch genial. Der Kunde braucht nur noch seine Online-Banking-Zugangsdaten – die er bei "Verlust" bei seiner Bank ändern lassen kann.
Ich bin kein Freund von 2FA mit meinem Handy. Immer soll ich für einen externen Anbieter ein Smartphone und meine Handynummer einsetzen. Sorry, aber ich lehne sowas kategorisch ab. Meine Handynummer ist eine Schüttelnummer – kommt die in falsche Hände oder ich will eine andere, schüttel ich die einfach ab.
Außerdem missfällt mir, das meine "digitale" Existenz von einem Handy abhängig ist. Das kann es nicht sein.
Und MS bzw. Google ist auch fragwürdigt (DSGVO).
Als Alternative habe ich mir für bestimmte Dinge der 2FA wo es nicht anders geht, eine Alternative gesucht – und gefunden. Diese ist auf meinem PC und portable(!) – es nennt sich WinAuth (winauth.github.io/winauth) – und macht genau das selbe wie MS / Google Authenticator – nur auf dem PC als kleines Programm.
WinAuth muss ich mir anschauen – klingt interessant.
Ansonsten ist bei obigem Thema ja der chipTAN QR-Leser die ideale Lösung – zumindest für mich. Ich kann vom PC, über ein Tablet bis zum Smartphone den Browser zum Online-Banking nutzen (ich rufe den im Inkognito-Mode auf und verwende i.d.R. einen anderen Browser als für andere Sachen). Und die TAN-Authentifizierung erfolgt durch den unabhängigen chipTAN QR-Leser. Da kann meine Frau mit ihrer EC-Karte ggf. auch schnell Online-Banking machen.
Wie schon 3mal gesagt:
Es wird nicht nur ein OTP(One Time Password) generiert, sondern auch angezeigt/eingearbeitet
für was das ist.
Das ist der *wesentliche* Knackpunkt bei den TAN generatoren:
"Eigenes Display" und "eigene Tastatur",
und "unveränderliche Software".
Ich verstehe nicht wieso das immer übersehen wird
und auf der TAN geritten wird.
Diese wesentliche "Faktor" dieses 2FA wird adabsurdum geführt, wenn das Display und die Software manipuliert werden könnten, wie beim Smartphone.
BTW:
Authenticator-Apps, z.B. von Microsoft oder Google
laufen -natürlich- offline, ohne "nachhause" zu telefonieren.
Das ist deutlich vertrauenswürdiger als die SealOne-App, die 24×7 im Speicher hängen will und Verbindungen nachause aufbauen will.
So bietet sie ein ständige Angriffsfläche.
> Authenticator-Apps, z.B. von Microsoft oder Google laufen -natürlich- offline …
Ja, genau, so wird das sein.
@1ST1
"Warum nutzt denn keine Bank eigentlich diese Authenticator-Apps, z.B. von Microsoft oder Google?"
Weil das Verfahren "Bidirektiomal" ist.
Die Bank übermittelt dem TAN-Generator "sicher" verschlüsselt
die Daten der Überweisung-z.B. via Flickercode, Bluetooth, USB und Internet. Es ist dabei vollkommen wurscht wie "unsicher" diese Übetragung zum TAN generator ist, da hochwertig verschlüsselt.
Diese Daten werden dem User auf einem "sicheren", autarken, also vertrauenswüdigem Display angezeigt.
Der User muß das Abnicken.
Dann berechnet das Gerät die 6 stellige TAN passend zu den Werten.
Die Bank hat das auch gemacht, und schwups passt es.
(Die Postbank hatte früher die TAN-Feld-Eingaben ausgesternt…sind schon schlau…)
Das können die anderen Authenticator-Apps natürlich nicht.
Weder anzeigen noch einrechnen der Werte.
Sie wären nur ein elektronischer TAN-Bogen.
Das funktioniert z.B. Amazon oder beim Anmelden ans VPN.
Der "Trick", der große Sicherheitsgewinn hier ist die Anzeige der Werte (IBAN, Betrag, Empfänger). Dazu muß das aber ohne Lupe lesbar sein.
(Hm, ich weiß garnicht wie Sehbehinderte das machen sollen. Wer soll das Vorlesen?)
Beispiel:
Stelle Dir vor Du hast eine Trojaner auf Deinem PC oder MTM in der Firewall.
Die blendet ihre die Banking seite über die echte.
Du tippst ein "1000 Euro an Paul" ind die Fake Seite
Der Trojaner hat die "echte" Bankseite und tippt "10000Euro an Johann"
in den echten Bankcomputer ein.
Die Bank fragt nach der TAN, Du erzeugst sie durch einen Blick auf den TAN-Generator oder die TAN Liste.
Du glaubst, das Du die 1000 Euro an Paul genehmigt hast, aber in Wahrheit
genehmigst Du die 10000Euro an Johann.
So ist das früher wohl öfters vorgekommen…
Du sagst jetzt: Aber ich sehe doch das da 10000Euro überwiesen wurden.
Wirklich? Die Betrüger manipulieren auch die Online-Kontoauszüge.
HTH.
Abhilfe konnte sein, das man neue Konten separat freischalten muß und das die erste Überweisung "schwebend unwirksam" ist wie eine SEPA-Lastschrift.
Manche Banken haben das Problem schon vor langer Zeit erkannt und senden dem Kunden eine SMS mit den Zahlungsdaten und Kontostand. Aber so hätte der Kunde ja immer eine Übersicht und greite nicht so leicht in die Schuldenfalle.
Bezgl. Menschen mit Visuseinschränkung: Es gibt den DIGIPASS 840A CV (Comfort Voice) mit Sprachausgabe. Auf die Schnelle habe ich nicht herausgefunden, ob der QR-Code oder Flicker-Code will.
Jetzt fällt mir mein Handy auf den Boden, das Display ist gesplittert und das Touchscreen reagiert nicht mehr.
Ich kann mir kein neues Handy im Onlineshop kaufen, weil ich zum Zahlen den pushTAN benötige. Ich kann mir kein neues Handy im Geschäft kaufen, weil mein POS-Limit auf 200,- gesetzt ist und nur mit pushTAN geändert werden kann. Und Bargeld ist auch keine Option, weil das Ausgabelimit an Fremdautomaten auf 150,- steht und die nächste Filiale meiner Bank 40 Minuten entfernt ist.
Mit SMS TAN kann man wenigstens sein 20 Jahre altes Nokia ausgraben und ist wieder im "Spiel". Und über die Sicherheit von Handys, mobile OS und App Stores kann man ja unendlich diskutieren.
(* Ich habe 0 Erfahrung mit chipTAN und co. kann hier also nichts zu sagen)
In diesen technisch labilen Zeiten hat man für sowas einfach ein paar Hundert EUR Bargeld zuhause…
Display kaputt? Digitizer kaputt?
Ja und?
Hast du kein VNC auf dem Handy laufen?
Dann hast Du ein Problem, ja.
Aber mit gehst Du einfach remote auf das Handy und rettest was zu retten ist.
As eazy as…
Kein Backup?
Kein Mitleid!
Und das, was demnächst kommt, ist das QR-Verfahren für alles. Und, wenn die Regierende uns dann richtig an den Kragen wollen, dann lassen sie unsere Konten ganz einfach sperren. New Normal in Zeit des Great Resets verpflichtet. Bitte wehrt euch gegen diese willkürlichen Maßnahmen, die nur eins in sich haben: deine Freiheit zu berauben.
Sie erfüllen das Ziel der Banken:
Die Bank hat das Geld, der Kunde macht die Arbeit.
Neben dem chipTan QR Verfahren hauptsächlich der Sparkassen gibt es noch das Sm@rtTAN photo Verfahren mit bunten Matixcodes, welches hauptsächlich Genossenschaftsbanken nutzen. Ich empfehle daher einen "Hybrid" Leser zu kaufen der beides kann. Diese kosten kaum mehr, sind aber flexibler nutzbar.
Da anscheinend nur FlickerCode Geräte von Reiner SCT Probleme bereiten, solche von OneSpan und Kobil aber nicht spricht wohl einiges dafür daß Reiner hier fehlerhafte Geräte ausgeliefert hat und sie eigentlich im Rahmen der Produkthaftung kostenlos austauschen müsste. In jedem Fall würde ich diese Firma jetzt nicht noch mit einem Neukauf belohnen wenn es auch von anderen Herstellern geeignete Geräte gibt…
Der oben beschriebene Digipass-Leser von ReinerSCT is hybrid und soll auch das Sm@rtTAN photo-Verfahren unterstützen.
Ob ReinerSCT da Mist gebaut hat, kann ich nicht final beantworten – bei den neuen Debitkarten scheint auch ein neuer Sicherheitschip Einzug zu halten, den die älteren ReinerSCT chipTAN-Leser nicht mehr können. Mein alter chipTAN-Generator von ReinerSCT kann definitiv nicht umgestellt werden – der hat eine Reihe Photodioden zum Lesen des Flickercodes, könnte also beim besten Willen keinen QR-Code fotografieren.
Hier in den Kommentaren und oben im Text war ja die Rede davon, dass sich einige Leser per (kostenpflichtigem) Update aktualisieren lassen. Das sind dann aber Lesegeräte für um die 30 Euro. Ich wüsste nicht, wie mein 10 Euro chipTAN-Leser für Flickercode irgendwie zu aktualisieren wäre (keine Schnittstelle).
Es soll ja so sein das Flickercodeleser -mit den Photodioden- anderer Hersteller keine Probleme bereiten. Leider gibt es ja keine echten technischen Informationen, statt dessen das Herumgewiesel mit QR, obwohl daß nicht das Entscheidende ist (auch mit dem neuen QR Leser kann man noch das manuelle Verfahren mit der händischen Eingabe von Zahlen nutzen, wenn man denn unbedingt möchte).
„Ich wüsste nicht, wie mein 10 Euro chipTAN-Leser für Flickercode irgendwie zu aktualisieren wäre (keine Schnittstelle)" – na, die Photodioden sind doch eine Schnittstelle. Man müsste eben nach Drücken einer bestimmten Tastenkombination das Update über die Photodioden einflickern können (so ähnlich wie bei gewissen digitalen Stromzählern verlangt). Braucht bloß eine ruhige Hand…
Es gibt jetzt auch eine spezielle Version des Digipass 882 Generators im Angebot.
DIGIPASS 882 LBBW-Edition
15,41 €
Was mir noch in Bezug auf die Sicherheit der QR-Geräte eingefallen ist, wäre es nicht noch vorteilhafter, wenn zusätzlich eine Pin notwenig wäre oder diese Option aktiviert werden könnte?
Ich persönlich habe mit der App so meine Probleme, was die Sicherheit angeht. Wer weiß, ob nicht ein Screenshot ausreicht um die TAN abzugreifen.
Ich weiß was von meinem aktuellen Samsung Smartphone(inkl. Knox(abgeschaltet)) an Verbindungen aufgebaut wurden. Teilweise konnte ich es per ADB einschränken, teilweise durch eine lokale VPN-Firewall wie Netguard oder RethinkDNS verhindern. Diese könnten auch wiederum problematischen sein. Ich will garnicht wissen, was die Firmware anstellt. Manche Geräte sollen über die Update-Engine angreifbar gewesen sein.
Die CVE bei Samsung(https://security.samsungmobile.com/securityUpdate.smsb) sind doch teilweise sehr hoch vom Score her angesiedelt. RCE, Race Condition in Qualcomm Firmware usw..
Aus dem Bauch heraus würde ich einen Pin nicht für notwendig und hilfreich erachten. Grund: Ich brauche meine Zugangsdaten zur Legitimation beim Online-Banking-Zugang (Sicherung 1). Dann brauche ich im Lesegerät meine Bankkarte (Sicherung 2), ohne die nichts geht. Eine Pin am Lesegerät wäre dann Sicherung 3, die nicht mehr wirklich viel bringt – nur wenn jemand mir die Zugangsdaten für das Online-Banking und die Bankkarte klaut, könnte er Schindluder treiben. Wenn dann noch so ein Cleverle die Pin auf die EC-Karte schreibt, würde das auch nichts mehr nützen. Aber vielleicht habe ich was übersehen.
Zur Zeit soll Sova, ein Banking Trojaner, auf Android aktiv sein.
https://www.cleafy.com/cleafy-labs/sova-malware-is-back-and-is-evolving-rapidly
Zitat:
"The SOVA Android banking trojan continues to evolve with new features, code improvements, and the addition of a new ransomware feature that encrypts files on mobile devices."
Quelle: https://www.bleepingcomputer.com/news/security/sova-malware-adds-ransomware-feature-to-encrypt-android-devices/
Der DIGIPASS 882 LBBW-Edition ist nicht Hybrid, funktioniert also nicht bei den bunten Codes der Genossenschaftsbanken. Besser nicht kaufen.
Es gibt die Möglichkeit eine zusätzliche PIN zu setzen (Anleitung lesen…), ist aber eine Pin mehr die man vergessen kann…
Im Shop gab es keine Informationen dazu, aber unter der folgenden Seite: onespan.com/de/manual/dp882
Die Option hatte ich schon im Menü des Gerätes entdeckt, jetzt weiß ich wie die Funktion aktiviert wirde. ;)
Welches Lesegerät man verwendet ist wurscht.
Das Lesegerät (AKA TAN Generator) ist nur ein Stück Kupfer… Die Sicherheit steckt in dem Chip auf der Geldkarte. D. H. Man müsste die zusätzliche PIN in den Chip integrieren. Ich vermute mal, das man das nicht gemacht hat um kostspielige Service Fälle zu vermeiden.
Die ganze Sache ist ja schon durch das Banking Passwort abgesichert.
Früher gab es sogar einmal 2 Zugangsstufen:
Die eine konnte nur gucken (und Überweisungen freigegeben ) , die andere auch administrieren. Das hat wohl die Kunden überfordert.
Hm, hab ich jetzt etwas überlesen, oder taucht nirgends im Beitrag oder in einem Kommentar die Möglichkeit auf, dass man auch PhotoTAN per App(!) machen kann… was zwar auch nur per App fkt., die unsicher sein KANN, aber wenigstens wird dann nicht eine TAN per Push aufs Smartphone gesendet, sondern die App fotografiert nur den Farb- oder QR-Code auf der Webseite bei Zahlungsvorgängen…und sendet dann ein positives Authentifizierungssignal an die Webseite der Bank.
Ok, diese Generatoren sind am "allersichersten", aber auch am unhandlichsten…
Was die Sicherheit angeht:
Wenn man schon eine App benutzt und ihr nicht ganz vertraut, dann kann man sich ja zusätzlich noch bei der Bank absichern, indem man für sein Konto das tägliche max. Überweisungslimit runtersetzt, z.B. auf 500 oder 1000 EUR. Dann passieren einem auch nicht solche Horrorgeschichten, und der Schaden hält sich in Grenzen – sofern überhaupt einer entsteht !
Wenn man mal ausnahmsweise mehr Geld braucht, kann man das Limit temporär erhöhen… Ich denke das ist ein guter Kompromiss zwischen Sicherheit und Komfort.
Darüber hinaus sollte man sein ganzes Erspartes oder den Notgroschen besser nicht auf dem Girokonto liegen lassen, sondern ab aufs Tagesgeldkonto – oder noch besser: in Aktien/ETFs anlegen.
Vom Tagesgeldkonto kann man ja immer nur auf sein Referenzkonto überweisen…
Und damit man von allen Überweisungen immer etwas mitbekommt, auch wenn sie jemand Fremdes ausgelöst hat, am besten eine "Push-Email" in seinem Konto aktivieren, die man sofort aufs Smartphone erhält. Gute Online-Banken bieten sowas an !
Mein Sparkassenkonto (habe ich jetzt seit über 30 Jahren !) nutze ich nur noch für ganz spezielle Zwecke – eben weil die Sparkassen und auch viele Volksbanken noch nicht soviele (Sicherungs-)Funktionen anbieten wie reine Direktbanken.
Ich nutze übrigens bei der Comdirect schon seit Jahren die "PhotoTAN-App", die beide Verfahren (PhotoTAN und PushTAN) beherrscht. Meistens benötige ich darin PushTAN, aber manchmal auch PhotoTAN… Und man kann die App per PIN und zusätzlich biometrisch absichern, also vor unbefugter Nutzung sicher sperren.
Noch nie Probleme damit gehabt, im Gegenteil:
Da ich noch etliche andere Banken/Broker habe, würde ich wahnsinnig werden, bei jedem Kontensaldoabruf bei jeder einzelnen Bank separat erst noch einen dieser unergononomischen ChipTAN-Generator benutzen zu müssen – vor allem in meiner Multibanking-App, die mir ALLES übersichtlich aufsummiert anzeigt.
Ich war sehr erleichtert, dass die Rabobank ihr Geschäft in Deutschland aufgab, bei der man sich nur per Generator identifizieren konnte…
Ich habe das Thema App nicht angesprochen, weil ich die chipTAN QR- und photoTAN-Verfahren thematisieren wollte. Hat zwei Gründe: a) Leute, die mit chipTAN (auf Flickercode) unterwegs sind, dürften auf den entsprechenden Nachfolge-Leser umsteigen. Grund b). Mit den tanJack-Readern von ReinerSCT oder anderen Firmen habe ich meine Bankkarte als zweiten Faktor – das bekomme ich mit dem Smartphone so nicht hin.
Man kann natürlich das Smartphone samt entsprechender App zur Authentifizierung verwenden. Hier kommt es immer auf eine individuelle Betrachtungsweise (was ist erforderlich, wie stufe ich das Risiko ein, wie bin ich technisch vom Verständnis aufgestellt) an. Ich denke, der Großteil der Leserschaft hier im Blog wird am Ende des Tages auch nicht zu den "Risiko-Kohorten" beim Online-Banking gehören.
Ich fand es interessant, wie massiv sowohl Deutsche Bank als auch Sparkasse beim Onlinebanking versucht haben, einem eine Smartphone-App als zweiten Faktor überzuhelfen. In beiden Fällen musste ich einiges an Argumentation aufwenden, um an einen TAN-Generator zu kommen. Letzten Endes kam auf mein "Smartphone geht gar nicht. Ich kann Ihnen das gern technisch im Detail begründen" ein entsetztes "aber für einen separaten TAN-Generator müssen Sie 10 (oder waren es 15 ?) € bezahlen". Das habe ich dann gern gemacht, wobei es natürlich schön gewesen wäre, wenn man für beide Konten den selben TAN-Generator hätte verwenden können.
Beim ersten Wechsel von der iTAN-Liste zur generierten TAN hatte ich mit der Hotline telefoniert, weil ich wissen wollte, welche Voraussetzungen Betriebssystem und Browser erfüllen müssen (ich wollte weiter c't-Bankix nutzen). Nach einigem Hin und Her wurde mir seinerzeit angeboten, dass sich die Entwickler zu diesen Fragen bei mir melden würden – darauf warte ich noch heute.
Ich kenne etliche Leute, die zwar ihr Smartphone intensiv nutzen, aber keinerlei Gedanken an Sicherheit verschwenden und bedenkenlos mit einem Gerät, dass vor drei Jahren 79 € gekostet hat und nie aktualisert wurde, auch Onlinebanking betreiben.
Mit ChipTAN-USB bei meiner Sparkasse bin ich soweit zufrieden. Geärgert hat mich allerdings, dass von denen das eigentlich besonders sichere HBCI mit Chipkarte Verfahren abgeschafft wurde, seinerzeit habe ich einen Chipkartenleser mit dem S Symbol von der Sparkasse bekommen, die PIN wurde über dessen Tastatur eingegeben. Andere Banken haben das nicht abgeschafft, bei der Volksbank durfte ich sogar noch vor einigen Monaten vom SMS-TAN darauf umstellen. Jedenfalls funktioniert ChipTAN-USB zusammen mit meiner Girokarte und dem ältern Reiner-SCT, der für dieses Verfahren allerdings ein kostenpflichtiges Update benötigte. Ich mache Online-Banking ausschließlich am PC mit einem entsprechenden Programm (früher Quicken, jetzt Lexware Finanzmanager).
Was hier zu kurz gekommen ist, sind die Probleme die die Umstellung für ältere, mit nicht so besonderen IT-Kenntnissen bedeutet. Was auch hier fehlt ist die tatsache, das das Onlinebanking auch ohne die Handyapp vom PC möglich ist. Auch mit vorhanden Bankingprogramm wie z.B. Wiso mein Geld von Buhl. Außerdem hat mich meine Bank VR-Bank Fulda informiert, das die TAN-Ausgabe per flickercode weiter betrieben wird und sich für mich außer einer neuen Banking-Site nichts ändert.
Ich bin bei der Postbank und die hat Chip Tan mit Flickercode defenitiv abgeschaltet und das Verfahren ist nur noch zulässig um ein anderes Verfahren wie die Postbank App oder ein Seal One Gerät freizuschalten. Da ich aber auch schon seid Jahren mit Wiso 365 unterwegs bin und eine einaml erzeugte Tan in dem Programm auch 90 Tage ihre Gültigkeit hat hält sich das alles in Grenzen aber ist schon richtig das man sich da schon einlesen muss um das Konto innerhalb der Software auf ein neues Verfahren umzustellen was für ältere Herrschaften mit wenig IT Erfahrung auch die Hotlines zu spüren bekommen wie die von Buhl im meinem Falle. Ob eine Umstellung alle paar Jahre sinnvoll ist kann man ja dahingestellt lassen. Muss aber dazu sagen das ich das Banking Programm nur zur Kontostandsabfrage nutze da sonst alles über Dauerauftrag wie Lastschrift bei mir abgeht. Schönes Wochenende:-)
Für mich war die "heimliche" Umstellung ein echtes Ärgernis bei der Sparkasse KölnBonn.
Ich hatte meine Bankkarte verloren und als der Ersatz ankam, war der neue Chip darauf und die "00" Fehlermeldung auf dem Tangerät kam. Die Hotline vom Onlinebanking war dauerhaft nicht besetzt. Der Mann wurde wohl durch die Dauerbeschwerden in den Wahnsinn getrieben. Ich hatte es dann in der Filiale reklamiert und dort wusste niemand was von der Umstellung. Man hat mir dann eine weitere Ersatzkarte bestellt, wobei wieder der "OO" Code auftrachte. Ich habe dann den eine abgelaufene Karte in das Lesegerät gesteckt, und es funktionierte und dann habe ich die Chips miteinander verglichen und so mitbekommen, dass der neue Chip nur hoch halb so groß ist. In der Zwischenzeit ist mein Online-Banking mit einer Sicherheits-Tan-Abfrage belegt und ich komme an meine Kontoauszüge nicht mehr, die das Amt von mir dringend haben will. Denn wenn Du sowas nicht per AGB bei einer Bank akzeptierst, bekommst in Deutschland kein Online-Banking mehr.
Jetzt taucht das Problem auf, um ein neues Tan-Lesegerät zu bestellen, brauch ich aufgrund der Zahlungsarten wieder eine Tan. In der Filale will man nichts machen, Serivce Automaten drucken nur die jüngsten Umsätze. Um die Kontoauszüge über einen langen Zeitraum auszudrucken, will man fette Gebühren von mir haben und die kommen erst Tage später per Post.
Mal abgesehen davon, dass mein TAN-Lesegerät und meine neue Bankkarte erst ein Jahr alt sind und die Tatsache, dass sich durch Umstellung kostenpflichtig ergibt im eigenen Shop neue Kartenlesegeräte zu verkaufen, natürlich sofort ein Fall für den Verbraucherschutz.
Durch die schöne Webseite hier dann von der Umstellung erfahren und konnte auf der Sparkassen HP herausfinden, dass die es diese Umstellung gegeben hat, während alle Bankmitarbeiter mit den Schultern zucken und niemand kompetentes erreichbar ist.
Das Kernproblem aktuell bleibt, wie bekomme ich kurzfristig ein neues Tanlesegerät ohne TAN …
Ich war mit dem Flicker-Code im Übrigen zu frieden, nur bei schlechten Lichtverhältnissen (Sonne) und oder abgewetzen Screens alter Laptops gab es da bei mir Probleme. Man musste die Größe des Screens anpassen und das Display war klein und machmal schwer zu lesen, aber sonst keine Probleme. Und echte Sicherheitsprobleme dürften nur entstehen, wenn die Kunden das SSL-Zertifikat des Bankprotals nicht überprüfen.
Um die Geschichte oben zu ende zu erzählen:
Nachdem ich das oben geschrieben habe, bin ich in der Filiale um die Sachbearbeiter mit der Geschichte zu konfontrieren, fiel eine Kollegin in das Gespräch ein, dass Sie das gestern in Erfahrung gebracht hatte, das die alten Ta-Geräte ketzt nicht mehr funktionieren – sechs Wochen nach der Umstellung. Ich bekam dann den Tipp, dass bei Saturn und Mediamarkt, diese Geräte "billiger" zu kaufen wären.
Dann sagte mir bei Saturn, dass Sie die Geräte seit einem Jahr nicht mehr reinbekommen, weil die Entwicklung umgestellt werden musste. Als ich dann im Computer checken ließ, ob dies für ganz Saturn so war, befanden sich gerade im Lager vor drei Tagen frisch reingekommen 20 RainerSCT tanJack Photo QR für satte 26.99. In der Packung befand sich kein Handbuch, dass musste ich Online downloaden. Der Verkäufer meinte, das Gerät könnte Flicker-Code lesen. Im Praxis Test hat sich das nicht bewahrheitet.
Glücklicherweise konnte ich das im Portal umstellen.
… guter Preis! Gestern im Internet bestellt: 'best price' mit Porto für 28,38 € …
Vor einer Woche neues mobile bestellt: da war nur eine französische Kurzbeschreibung dabei.
… und wenn ich seit kurzer Zeit über Paypal mit Kreditkarte online bezahlen will, meckert das System wegen Visa Secure und muss den Zahlungsvorgang abbrechen …
In diesem Sinne,
beste Gesundheit dem Blogbetreiber!