In Teil 1 hatte ich ja bereits das Versagen der Banken im Hinblick auf ein einheitliches, kundenfreundliches und sicheres Online-Banking angesprochen. Es gibt keine einheitlichen TAN-Generatoren für das Online-Banking, die man über alle Banken verwenden könnte. Billige Lösung: Man kann die Apps der Banken für Online-Banking verwenden. Bei der Ing habe ich da meine besonderen "Erfahrungen" gemacht, die ich in Teil 2 mal hier im Blog einstelle.
Anzeige
Kurzer Rückmeldung auf Teil 1: Dort hatte ich ja thematisiert, dass die in Deutschland ansässigen Banken es nicht geschafft haben, einen einheitlichen TAN-Generator zu spezifizieren, der für alle Institute die Autorisierung beim Online-Banking ermöglicht. Jede Bank stoppelt da mit was eigenem rum – und mit dem Wechsel der Debit-Karten bis Ende 2023 wurden die alten PushTAN-Generatoren, die noch mit Flicker-Codes arbeiteten, funktionslos.
Wer keinen ChipTAN QR- oder PhotoTAN-Leser oder gar einen Hybrid-Leser kaufen kann oder will (die sind bei Firmen zur Buchung am Desktop imho essentiell), kann auf die Banking-Apps der Geldinstitute ausweichen. Aber auch da ist nicht alles Gold, was glänzt.
Es wollte einer Banking to go machen
Es gibt ja Kaffee to go und Essen to go, habe ich mir sagen lassen. Das "to go" steht da wohl für "kannst mitnehmen" und "kannst Du ggf. auch vergessen" – irgendwie etwas in Richtung "Wegwerfmentalität" – jedenfalls nix nachhaltiges oder wertiges – zumindest für meinen Geschmack.
Anzeige
Ging mit gerade beim Schreiben des Texts durch den Kopf, da es nun um die Banking to go-App der Ing geht. Passt aber zur beknackten Werbung der Ing für ihre App (siehe obigen Screenshot).
Die Ing stellte um
Es war im Frühjahr 2023, als Kunden der Ing-Bank darüber informiert wurden, dass die iTAN-Listen auf Papier abgeschafft und durch ein anderes Autorisierungsverfahren für die Transaktionen ersetzt würden.
Schnell war klar: Die Ing benötigt einen eigenen photoTAN-Generator – den DIGIPASS DP772 – zum Preis von 32 Euro, zum Online-Banking. Der TAN-Generator kann zwar für bis zu acht Konten für Transaktionsfreigaben genutzt werden. Der Ing photoTAN-Generator lässt sich natürlich nicht für Konten anderer Banken verwenden – und photoTAN-Generatoren anderer Banken scheinen nicht zu funktionieren – hatte ich in Teil 1 bereits erwähnt.
Von der Ing wurde aber die oben erwähnte Banking to go-App für das Online-Banking propagiert. Auf die Schnelle vor die Wahl gestellt, nochmals einen photoTAN-Generator zu kaufen oder mal die App testweise zu nutzen, habe ich mich für letzteres entschieden.
War fix erledigt: Die Android-App aus dem Google Play-Store heruntergeladen und auf meinem Moto G5 installiert. Danach folgte die Einrichtung – erinnerungsmäßig musste ich die App über eine TAN der damals noch vorliegenden TAN-Liste freischalten (oder es gab einen Brief der Ing mit einem Freischaltcode).
Das klappte zwar, aber erinnerungsmäßig rumpelte es – ich brauchte zwei oder drei Anläufe, bis die App zum Online-Banking benutzt werden konnte. Die Erfahrung musste ich später erneut machen, als ich die App auf anderen Geräten installierte. Beim Einrichten läuft man irgendwann auf einen Punkt, wo die Eingaben (z.B. PIN) nicht möglich waren und eine Bestätigung nicht abgeschlossen werden konnte. App zurücksetzen und die Einrichtung neu starten. Irgendwann klappt es.
Ähem, dein Gerät ist plötzlich zu alt
Die Einrichtung hatte geklappt und ich war wieder Online-Banking-fähig bei der Ing – aber erinnerungsmäßig nur für ca. 3 – 4 Wochen. Denn im Mai 2023 (wenn ich richtig erinnere) kam dann die Benachrichtigung, dass für das Online-Banking mit "Banking to go" bald eine App-Aktualisierung erforderlich sei.
Diese erforderte aber ein Upgrade der Android-Version, Android 8.0 sei nicht mehr ausreichend. Prima – das Moto G5 hing auf Android 8.0 fest. Als die App dann nach der Vorankündigung bereitstand, habe ich noch ein Upgrade versucht, was aber erwartungsgemäß abgelehnt wurde.
Nun musste ich eine schnelle Entscheidung treffen: Doch photoTAN-Generator kaufen, oder ein Android-Smartphone nutzen, was ein neueres Android besitzt und die App-Aktualisierung ermöglicht. Ich hatte ein Moto G30 mit Android 11 beschafft (inzwischen auf Android 12), welches bei meiner Frau im Einsatz war.
Nur mal im Hinblick auf das "es ist gut, wenn alte Smartphones vom Banking ausgeschlossen werden" einige Gedanken. Das Moto G30, auf dem die Ing Banking to go-App läuft, bekommt seit ewigen Zeiten keine Sicherheitsupdates mehr. Da gibt es sich mit dem Moto G5 imho nicht viel. Dass eine eingestellte Android API-Unterstützung für die Verweigerung des App-Updates war, kann ich auch nicht erkennen. Vielleicht lagen den App-Entwicklern Details vor, die mir unbekannt sind – über die Google Play Services können Schwachstellen ja auch adressiert werden. Persönlich empfinde ich den oben skizzierten Sachverhalt, eine App auf einem Smartphone zuzulassen, dann deren Update binnen Monatsfrist zu kicken und die Leute vom Online-Banking auszuschließen, als strange. Wobei wir wieder beim Fail der Banken sind.
Hakelige Banking-App
Also schnell die App auf dem Gerät installiert und dann die Einrichtung versucht. Dabei war die Autorisierung über das bereits eingerichtete Moto G5 erforderlich. War das erste Mal, dass ich mit der oben erwähnten "Versuchsschleife" konfrontiert wurde. Ich brauchte erinnerungsmäßig drei oder vier Versuche, bis die App auf dem neuen Smartphone für das Ing Online-Banking eingerichtet war.
Der Effekt, den ich fast bei jeder Freigabe erlebe: Die Software behauptet "bestätigen Sie die Aufforderung zur Freigabe in ihrer App". Aber in der betreffenden App (hier auf dem Moto G5) erschien diese Freigabeaufforderung nicht. Dann hängst Du fest und kommst nicht über diesen Schritt hinaus. Was bleibt, ist die App beenden und die Einrichtung erneut probieren.
Inzwischen habe ich dieses Spielchen mit einem zweiten Moto G13-Android-Smartphone hinter mit – das ist also "Standard" bei der Ing. Beim Online-Banking per App habe ich inzwischen auch festgestellt, dass es hilft, sich bei der App ab- und dann anzumelden, um eine am Desktop wartende Transaktion beim Online-Banking über das Smartphone zu bestätigen.
Kürzlich hing ich dann beim Online-Banking am Desktop "in der Luft", weil die Banking to go-App am Smartphone die auf dem Desktop angezeigten QR-Codes nicht akzeptierte. Die Kamera zeigte den QR-Code scharf, die App versuchte den zu interpretieren, scheiterte aber wiederholt. Der Versuch, den Ing-Support telefonisch zu erreichen, um nachzufragen, ob es eine Störung gibt, erwies sich als aussichtslos.
Telefonsupport ist faktisch nicht mehr möglich, da die wenigen Leitungen, in zwischenzeitlich geschaltet sind, hoffnungslos überlastet sind. Da werden Wartezeiten von 30 Minuten avisiert und der Telefoncomputer legt auf. In mehreren Versuchsdurchläufen ist mir dann aufgefallen, dass das Smartphone einen bestimmten Abstand vom Monitor benötigt, um den QR-Code auswerten zu können. Das ist mit beim photoTAN/QR-Code-Leser der Sparkasse und mit deren App bisher noch nie passiert.
Über die Pleite, dass die Banking to go-App ggf. etwas anderes zeigt, als die Online-Banking-Seiten der Ing hatte ich ja bereits in Teil 1 berichtet. Muss man halt akzeptieren, denn das ist alles modern. Passt auch zum Fall, den ich im Beitrag Fail von Finanzdienstleister und Ing-Empfehlung Scalable Capital (Robo-Advisor) beschrieben habe. Die Scalable Capital-Lösung Robo-Advisor wurde "heiß von der Ing angepriesen", und ich wollte das Ganze mal mit ein wenig Spielgeld testen.
War eine Erfahrung der besonderen Art – FinTechs patzen noch mehr als die "etablierten" Banken, wenn es um IT geht – das ist alles zwar modern per App oder in per Dark-Mode designten Webseiten übertüncht – aber funktional "siehst Du die Pferde vor der Apotheke kotzen" – die Leute können es einfach nicht. Inzwischen habe ich den Anbieter samt seinem Robo-Advisor gekickt – das schöne "Investitionsmodell" entpuppte sich als Geldverbrennungsmaschine – es Glück, dass ich nur ein wenig Spielgeld für diesen Test eingesetzt hatte.
Bin ich zu alt und zu doof?
Kann natürlich sein, dass Born langsam zu alt für den Scheiß wird – junge Banking-Kunden sind halt willig, unkritisch und daher beliebt. Und wenn eine App zum Banking winkt, "schmilzt die Jugend hin". Die These wurde mir in obigem Kontext unfreiwillig bestätigt.
Beim Vereinssport, den ich mir derzeit so vier Mal die Woche gönne – damit es nicht allzu langweilig wird – sprach mich eine ältere Dame, so um die 80 an und fragte, ob ich eine "Empfehlung für ein günstiges Android-Smartphone habe, ihres sei zu alt". Spontan fragte ich "Kundin bei der Ing", worauf ich groß angeschaut wurde und die Frage mit einem Nicken bestätigt wurde.
Die Dame war mit der Banking to go-Geschichte in die gleiche Falle gelaufen, die ich einige Tage vorher über ein vorhandenes, neueres Android-Gerät, umgangen hatte. Auch ihr wurde – so ca. 3-4 Wochen nach der zwangsweisen Umstellung von iTAN auf die Banking to go-Lösung mitgeteilt, dass das Android-Gerät für App-Updates zu alt sei.
Wunderbares Timing – so geht modernes Banking – Kunden sind zum Knechten da. Zwei Wochen später wusste ich, das die alten Smartphones mit der Banking to go-App nicht mehr funktionierten (mein Gerät verweigerte den Zugriff, aber ich hatte in der Zwischenzeit zwei passende Android-Geräte für Banking to go eingerichtet, die funktionierten).
Auf meine Nachfrage nach 3 Wochen, ob sich das mit dem Banking und dem neuen Android-Smartphone geklärt habe, bekam ich zur Antwort, dass die Dame den Zugriff auf das Online-Konto verloren habe. Sie müsse sich nun kümmern, wie sie Zugriff auf das Konto bekäme.
Fail auf der ganze Linie
Man kann sich natürlich auf den Standpunkt stellen "passiert nun mal, wo ist das Problem, lässt sich doch irgendwo, irgendwie alles lösen". Erkenntnis des Tages von meiner Seite: Ein Großteil der Kunden ist schlicht nicht in der Lage zu erkennen, welches Folgen eine "IT-Umstellung der Banken", die in einem Brief mitgeteilt wird, zu erkennen.
Ich befasse mich nun täglich mit IT-Problemen, erinnere mich aber an die Phase, als meine Sparkasse und die Ing mitteilten, dass die TAN-Autorisierung umgestellt würde. Ich habe stundenlang recherchiert, welche Leser passen könnten und welche Vor- bzw. Nachteile die jeweilige Lösung hat. Bei Banking to go war halt der Charme, dass auch zwei Smartphones eingerichtet werden können, während beim photoTAN-Leser nur ein Gerät zulässig ist. Ist das nicht zur Hand, verloren oder die Batterien sind leer, geht nix.
Dass die Ing die Leute auf die neue TAN-Lösung mittels Banking to go-App zwingt (es sei denn die nutzen den photoTAN-Leser), dann aber nach einem Monat um die Ecke kommt und mitteilt, alte Android-Geräte tun ab dem Stichtag nicht mehr, war ein perfektes Timing. Genau das erwartet man von seiner Bank – mit der linken Hand nicht wissen, was die rechte Hand tut.
Ist natürlich ein Rant auf hohem Niveau geworden – am Ende des Tages habe ich die in Teil 1 und Teil 2 beschriebenen Klippen mit Fachwissen, Geduld und ggf. mehreren Versuchen für mich umschiffen können. Ich kann auch noch nachvollziehen, dass die Banken dem (irrigen) Glauben nachhängen, dass nur ein neues Android-Gerät "sicher" sei. Aber die aktuell angebotenen Lösungen sind doch nur "bis zum nächsten Update" halbwegs gesichert funktionsfähig. Jedes Update bietet die Gefahr, dass da wegen Bugs nichts mehr geht.
Europas Bankenwesen leidet doch darunter, das "Kleinstaaterei" die Bereitstellung eines einheitlichen Zahlungsraum und komfortabler Zahlungsdienstleistungen verhindert (einiges kommt durch die PSD2-Zahlungsrichtlinie & Co., die von der EU erzwungen wurde). An dieser Stelle kann ich nachvollziehen, dass die Leute auf PayPal, Apple Pay und Google Pay springen und die "Fails der Banken" schlicht umgehen.
Persönlich bin ich eigentlich froh, dass ich bei meiner Hausbank noch einen persönlichen Ansprechpartner habe, der telefonisch erreichbar ist und sich bei gemeldeten Problemen oder konkreten Fragen "kümmert". Die örtliche Filiale sieht mich dagegen nur, wenn ich am Drucker Kontoauszüge per Debit-Karte ziehe. Der Rest läuft per Online-Banking – nach der Umstellung auf den photoTAN/QR-Code-Leser sogar ganz gut.
Was nervt, sind halt viele Eigenwilligkeiten, die die "Software-Klempner" der Sparkassen in ihre Prozesse einpflegen. Da stellst Du dir schon mal die Frage, welches Zeug die rauchen. Als ich beispielsweise die Überweisung per EPC-QR-Code für das neue Spendenkonto meines Blogs getestet habe, kam ich aus dem Staunen nicht heraus.
Ich konnte mit der Sparkassen-App sehr komfortabel den QR-Code von der Webseite scannen und bekam in der App auch alle Zahlungsdaten angezeigt. Dann musste ich die Überweisung des einen Euro per photoTAN/QR-Code-Generator autorisieren. Lief dann aber darauf hinaus, dass ich alle Angaben wie IBAN, Betrag und TAN erneut manuell eintippen durfte.
Aber vielleicht bin ich bald reif für "betreutes Altern" und überlasse anderen "den Mist aufzuwischen".
Artikelreihe:
Der Fail der Banken beim Online-Banking – Teil 1
Fail der Ing beim Online-Banking – Teil 2
Ähnliche Artikel
Postbank-Störungen: Neue Postbank-App – "The Master of Desaster" (2. Jan. 2023)
IT-Umzug der Postbank ab 31.3.2023
Postbank geht am 30. Juni 2023 bis zum 3. Juli wieder in den Wartungsmodus
Postbank Seal One Gerät – Treiber deinstallieren unter Windows nicht möglich
Datenleck bei Postbank und Deutscher Bank; ING und Comdirect
MOVEit-Datenleck: Neben Postbank/Deutscher Bank auch ING und Comdirect betroffen
BaFin: Rüge an Deutsche Bank wegen Postbank- Chaos; DDoS-Angriff auf BaFin-Webseite
Gericht stuft Push-TAN-Verfahren der Banken als unsicher ein
Postbank: App und/oder SealOne statt chipTAN – Teil 1
Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2
Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens – Teil 3
Online-Banking und Apps: Was die Kunden wünschen – Teil 4
Online-Banking und die Sicherheit von Banking-Apps – Teil 5
Online-Banking und Absicherung per chipTAN USB – Teil 6
Anzeige
Nein, Du bist nicht zu alt und/oder zu doof. Die ING ist echt die Pest und Cholera in einer Person.
Auf der Webseite, das Login mittels QR-Code: Funktioniert (natürlich) nicht. Die App selber reagiert auch nur sehr träge, ist mittlerweile zur mobilen Werbeplattform verkommen.
Noch sehr viel schlimmer jedoch ist es, irgendwen bei besonderen Anliegen erwischen zu können… Seit DREI Monaten stehe ich schriftlich (Kontaktformular, E-Mail – sogar Post) vergeblich mit denen in Kontakt, nur um irgendwelche Textbausteine zu erhalten. Am Freitag habe ich dann fünf(!) Briefe auf einmal erhalten.
Dann wird plötzlich – ohne Vorwarnung – das Konto gekündigt. Nur um, mit einem Schreiben gleichen Datums, die Kündigung wieder zurückzunehmen.
ING ist klasse, solange alles läuft. Aber wehe es gibt Probleme… dann ist man vollends aufgeschmissen.
Die Freischaltarien hatte ich auch bei der ING mit den Geräten. Die haben PSD2 überhaupt nicht im Griff. Aber Multibanking um ein Zahlungsprofil erstellen zu können, da sind sie gleich vorne bei.
Vielleicht hättest Du aber auch das Öko-Kontomodell für mehr Kontoführung nehmen sollen, da bekommst Du 1-2 Features mehr.
Nach der letzten Preiserhöhung via Brief habe ich aber selber nun eine Kündigung abgeschickt. Kein Service, keine Niederlassungen, 1(!) Automat in 80 km Umkreis, alles nur Gefrickel und hochgradig unprofessionell, aber dafür immer mehr Geld haben wollen.
Bei all den Merkwürdigkeiten bleibt festzuhalten: Dieses Land hat "fertig" und zwar in jedweder Hinsicht. Genieße Deine verbleibenden Jahre, es wird nicht besser werden.
Kontokündigung der Ing – durch die Ing – steht hier vermutlich auch an. Das Konto, was ich ursprünglich für Spenden zur Unterstützung des Blogs angegeben hatte, war ein Ing-Extra-Konto. Die Ing hat mir untersagt, dieses für Einzahlungen Dritter zu verwenden und droht mit Kündigung zum Dezember 2024, wenn weitere Zahlungseingänge erfolgen. Einige Leser haben meinen Hinweis auf das geänderte Spendenkonto nicht mitbekommen und lassen ihre Daueraufträge weiter laufen. Muss es nochmals separat thematisieren und werde dann die Kündigung kassieren. Die Sparkasse als Hausbank hat dagegen keine Probleme mit einem äquivalenten Konto, solange ich das nicht als Girokonto verwende. Kann man nix machen, ist halt Bank …
Extra-Konto geht nur mit Referens-Konto zum auf- und abbuchen.
Für die Spendensachen müsste man wohl ein Giro-Konto haben aber dort ist ja ein Mindestgeldeingang (700€) nötig um keine Gebühren zu zahlen die dann die Spenden wieder auffressen würden.
Die Ing brauchte geschlagene drei Wochen, um auf meine Frage, ob das Extra-Konto in ein Giro-Konto gewandelt werden kann – abschlägig zu antworten.
Ich habe es anders gelöst – nachdem die Kündigungsandrohung mit Empfehlung, mir eine andere Bank zu suchen, für das Konto vorlag, habe ich bei meinem Berater bei der Bank angerufen. Kurz den Fall geschildet und gefragt "Ich habe da ja noch dieses Konto, kann ich dieses für Zahlungseingänge des genannten Zwecks verwenden" (ist ein Pendant zum Extra-Konto der Ing). Antwort: "Damit haben wir kein Problem, solange sie das Konto nicht als Girokonto für Zahlungen nutzen". Ein Grund, warum ich immer noch mehrere Banken habe (auch wenn es kostet) – nie alle Eier in einen Korb legen.
Einfache Lösung: 700 € per Dauerauftrag von anderem Konto überweisen.
Hat bisher bei ING und DKB problemlos funktioniert.
Nun, wie in Teil 1 des Artikels bereits ge-/beschrieben, halte ich auch nicht (mehr) allzu viel von der ING, aber folgende Aussagen kann ich nicht bestätigen:
"Auf der Webseite, das Login mittels QR-Code: Funktioniert (natürlich) nicht."
Seit es den photoTAN-Generator gibt, logge ich mich (fast täglich) ausschließlich über den QR-Code (über einen Laptop) bei meinen Konten ein. Hatte diesbzgl. nur einmal ein Problem, als die generierte TAN nicht anerkannt wurde. Dieses Problem war aber nach dem dritten Versuch dann wieder erledigt. Ansonsten funktioniert das Login bisher zuverlässig.
"Kein Service, keine Niederlassungen, 1(!) Automat in 80 km Umkreis"
Gut, die ING ist nun mal eine reine Online-Bank. Das mit den fehlenden Niederlassungen liegt in der Natur der Sache und das weiß man eigentlich, wenn man sich dort ein Konto einrichtet. Und ja, die ING betreibt nur sehr wenige eigene (!) Geldautomaten, das stimmt. Aber die kostenlose VISA-Debitkarte, die zum Girokonto automatisch mit dazu gehört, funktioniert an über 90 % aller Geldautomaten (eben an denen mit VISA-Zeichen) und dort gibt es ohne weitere Kosten/Probleme dann Bargeld. Auch dies klappt bei mir seit 2012 einwandfrei.
Die App selbst soll einen Login via QR-Code ermöglichen (mittels Smartphone) – und genau das funktioniert nicht. Hat es nie, tut es jetzt nicht und wird es wohl auch nie. Die sind auch froh, daß ihr Software-Geraffel "irgendwie" läuft.
Wofür brauche ich einen Geldautomaten der ING?
– Verfügung über einen freien Betrag, wie ich ihn mir wünsche
– Einzahlung
Kunde wurde ich vor zig Jahren, zwischenzeitlich haben sie einfach etliche Automaten abgebaut.
Und ja, die VISA-Debit-Karte ist zum Abheben von Geld an Fremdautomaten geeignet. Da geht es aber nach den Regeln der jeweiligen Bank (und die sind nicht einheitlich):
– Mindestbetrag, der abzuheben ist
– Maximalbetrag, den man abheben kann (unter Berücksichtigung der Konfiguration des Kontos / Bank)
– Gebühren(!) der jeweiligen Bank (da muß man sich erst mal schlau machen, wer wieviel Geld haben möchte), denn beliebig oft darf man ja auch nicht kostenfrei abheben.
Alles in allem bin ich mit der Bank fertig. Und ich lernte schon früh, mich NIE auf eine einzelne Bank zu verlassen, darum tut mir der Weggang auch nicht wirklich weh.
Einen Plan "B" und "C" habe ich seit frühester Jugend in der Hinterhand.
Man sieht "Vielfalt" ist nicht immer zielführend … ;-)
Zu viele verschiedene Möglichkeiten (>> man redet aneinander vorbei (hier: photoTAN/App/Smartphone) oder bezieht sich auf andere Dinge) und jeder hat/setzt nun mal auch andere Prioritäten. Ist ja auch in Ordnung, macht aber das "verstehen" untereinander nicht einfacher. Deine Geldautomaten-"Probleme" z. B., kann ich persönlich – ganz alleine auf meine Bedürfnisse bezogen – nicht ansatzweise nachvollziehen. Will damit sagen: Sie betreffen mich nicht, da ich sie nicht nutze/brauche/noch nie gebraucht habe und wohl auch nicht brauchen werde. Ist KEINE Kritik jetzt, sondern ich finde es sehr interessant, wie unterschiedlich man die Dinge doch sehen kann und was für Prioritäten doch jeder für sich selbst setzt und für wichtig – oder eben unwichtig – erachtet …
Nach den vielen Diskussionen hier bin ich nicht sicher, ob es nicht serverseitige Fails bei der Ing waren. In meinem Fall wollte ich auf die Schnelle was beim Online-Banking erledigen -> Browser am Desktop angeworfen und wollte die Anmeldung per QR-Code und Banking to go-App am Smartphone durchführen. Mindestens fünf Versuche scheiterten "Fehler bei der Anmeldung" – es sind ja zwei QR-Codes per App zu bestätigen. Versuch, den Telefonsupport zu erreichen, um zu fragen, ob es eine Störung gebe. Keine Chance, Wartezeiten von über 30 Minuten.
Also noch einige Male probiert – und irgendwann, als ich das Smartphone sehr weit weg vom Monitor gehalten habe, klappte die Anmeldung. Ich weiß jetzt, in welchem Winkel und Abstand ich das Smartphone halten muss, um die QR-Code Freigabe erfolgreich meistern zu können.
Ist wie bei der Toilette, wo Du "La Paloma pfeifen musst, damit die Wasserspülung betätigt werden kann" – kennen wir vermutlich doch alle – nicht?
Was das Erkennen des QR-Codes mit der Smartphone-Kamera betrifft: Man sollte die Kamera nicht zu nahe an den Monitor halten, weil viele Kameras eine Mindestentfernung brauchen, um das Bild scharf stellen zu können. Evtl. hilft es auch, die Linse zu säubern.
Lichtreflektionen auf dem Monitor sind ein weiterer möglicher Problempunkt.
Das war auch meine Erkenntnis nach einigen Tests – wobei die Kamera den QR-Code immer sehr scharf angezeigt hat und mein Eindruck "dass der QR-Code bei größerer Entfernung eigentlich kaum erkennbar war" mich in die Irre geleitet hat. Ich halte nun genügend Abstand und die Authentifizierung funktioniert wieder.
"Dieses Land hat "fertig" und zwar in jedweder Hinsicht."
Hach ja, schlimmschlimmschlimm. Ernsthaft jetzt?
Die ING hatte bis 2023 tatsächlich noch iTAN-Listen?
LOL!
Wie hat die ING das überhaupt noch machen können?
TAN-Listen auf Papier sind EU-weit seit September 2019 verboten!
So etwas gibt es bei meiner Bank seit 2006 nicht mehr!
Zuerst gabs da einen kleinen TAN-Generator, 2010 wurde auf die Flicker-Geschichte umgestellt, die bis heute problemlos funktioniert.
Als TAN-Generator gabs den Digipass 836.
Den habe ich vor ca. 1 Jahr gegen ein identisches Neugerät getauscht, weil das Display nicht mehr lesbar war.
Eine TAN muss nicht immer eine "Überweisung" sein, sondern kann eine andere "Transaktion" wie z.B. Reset von Passwörter als "Zweiten Faktor" genommen werden. Daher die TAN nicht verteufeln und sich aufregen ;)
Eben.
Genau SO handhabt es die ING auch (noch) nach wie vor. Die alten Papier-iTAN-Listen gelten bis heute – u. a. für den genannten Fall – und sollten lt. ING aufgehoben werden. Ich habe diese allerdings seit dem verpflichtenden photoTAN-Verfahren bisher nicht mehr benötigt. Die Liste liegt halt bei den Bankunterlagen im Ordner und stört nicht weiter …
Das läuft bei meiner Bank über den TAN-Generator.
Wenn z. B. das Passwort zurückgesetzt werden muss, dann funktioniert (zumindest bei der ING) auch der TAN-Generator nicht mehr, da dieser erst NACH der Eingabe des Passwortes zum Einsatz kommt und wohl – bei Passwortrücksetzung – danach ebenso neu "angemeldet" werden muss. So verstehe ich das jedenfalls, wenn ich die Bedingungen/Anweisungen bei der ING lese. Und für diesen Fall sind dann eben noch die alten Papier-iTAN-Listen da. Aber wie geschrieben, ich musste diese auch seither nicht mehr einsetzen … Und auch noch:
Gerade daran sieht man ja perfekt, wie jede Bank ihre eigene Suppe kocht … Voll daneben ist das eigentlich!
Bei der ING hatte ich persönlich keine Probleme. Einen QR-Code zum Login habe ich bisher nie gesehen — hat es da in den letzten Tagen eine Änderung gegeben?
Allerdings habe ich seit etwa 2 Jahren keinen Zugriff auf meine Konten beim Banco Santander mehr, weil es anscheinend Voraussetzung ist, eine deutsche Mobilnummer zu haben, damit man die App freischalten kann. Und die habe ich nicht. Ausgerechnet bei einer spanischen Bank kann ich keine spanische Nummer nutzen?!? WTF?!? Im Moment aber egal, da nur 30 Euro drauf.
Bei mittlerweile 6 Login-Apps auf meinem Smartphone würde es wohl eine größere Aktion geben, falls mir das Ding mal runterfällt. Durchdacht oder, bewahre, gar kundenfreundlich ist das alles nicht.
Wenn man sich auf einem PC mittels Webbrowser auf der ING-Website anmelden möchte, dann kann man sich (wahlweise, soweit ich weiß) auch mit zwei nacheinander angezeigten QR-Codes, die mit der Banking-To-Go-App der ING abfotografiert werden, authentifizieren. Ich nutze diese Methode regelmäßig (und ohne Probleme).
Ok, habe die Option gefunden. Aber welchen Nutzen hat es, diesen QR-Code abzufotografieren? Entfällt dadurch die Eingabe des PIN in die App? Mehr muss ich ja ohne QR-Code auch nicht machen. (Kann's gerade mangels PC nicht ausprobieren.)
"Abfotografieren" ist vielleicht nicht das richtige Verb.
Wenn man sich auf der ING-Webseite für das QR-Login entscheidet, dann werden nacheinander zwei QR-Codes angezeigt, die man mit der Banking-to-Go-App "abscannen" muss. In der App ist dazu rechts oben ein QR-Code-Symbol, auf das man tippen muss. Die App muss die Berechtigung erhalten, die Kamera des Smartphones verwenden zu dürfen.
Durch das Abscannen der beiden QR-Codes wird man auf der Webseite angemeldet. Das Anmelden bei der App kann IMHO auf verschiedene Arten geschehen. Ich mache es mit einem Fingerabdruck (statt der PIN) und kann damit auch Transaktionen freigeben (ohne PIN).
>> Durch das Abscannen der beiden QR-Codes wird man auf der Webseite angemeldet.
Das erklärt es, danke. Die Anmeldung auf der Webseite mache ich immer ohne QR-Code direkt auf der Webseite.
(Biometrische Informationen nutze ich, sofern ich die Wahl habe, grunsätzlich nicht, weil, wenn kompromittiert, schwierig zu ändern…)
Wobei, gerade noch einmal nachgedacht, es so nicht sein kann. Irgendwelche Anmeldeinformationen *muss* ich ja auf der Webseite direkt eingeben, sonst kann die ING nicht wissen, an welche IP-Adresse sie die zur App passenden QR-Codes schicken soll. Muss ja nicht die gleiche sein wie die vom Handy.
Na, egal.
Kann ich grob skizzieren: Die Webseite zeigt im ersten QR-Code imho den Link zum Ing-Online-Zugang. Die App wertet den Link aus und schickt über die Internetverbindung die Bestätigung, dass der Benutzer mit dem Konto xyz Zugang verlangt. Dann wird aus dieser Information der zweit QR-Code im Browser generiert. Durch den App-Scan des zweiten QR-Codes erfolgt die Zugangsverifikation und die App schickt ein Zugangstoken, welches am Desktop die Anmeldung zum Online-Banking im Browser freischaltet. Dann hat der Nutzer Zugriff auf seine Konten. Sobald er Transaktionen anstößt, müssen diese über die Notifikation in der App mittels PIN-Eingabe bestätigt werden. Der Weg ist – wenn die Notifikation funktioniert – eigentlich komfortabel und imho auch sicher (solange niemand das Smartphone hat und die PIN zur Freigabe kennt).
Die ING ist über die Jahre wirklich schlechter geworden. Ich bin dort Kunde seit seligen Allgemeine Deutsche Direktbank-Tagen. Ich nutze aus privaten und beruflichen Gründen mehrere Banken und darf sagen, viele andere sind in diesen Dingen noch schlimmer als ING. Meine speziellen Lieblinge sind DKB und Smartbroker+. Letztere ist gekündigt, erstere auf ein Benutzungsminimum reduziert. Eine Standardisierung auf ein TAN-Gerät wäre schon mal ein guter Anfang zur Besserung.
Technisch bitter was Du da schreibst was bei ING abgeht. Konnte ich selber bisher glücklicherweise nicht bestätigen – bin aber auch auf iOS unterwegs.
Um etwas neutraler zu bleiben, wäre hier vielleicht der Hinweis angebracht das die Fragmentierung bei Android ebenfalls zum Problem beiträgt. Die Update-Politik der Hersteller trägt hier mit zum Problem bei.
Abgesehen davon muss man aber auch zugestehen das Banking nun mal nicht kostenlos ist. If you pay like a monkey, you get monkeys.
Stimmt.
Und die Vorschrift mit X Jahre Support (updates) hilft auch nicht wirklich weiter.
Die Hersteller erfüllen die Vorschrift ja schon, wenn die nur 1x im Jahr ein Update bringen.
Dabei gibt es wie bei Windows auch monatlich einen Patchday.
Mir ist kein Smartphonehersteller bekannt, der monatlich Updates zur Verfügung stellt.
Und wenn es die Updates nur 1-2 mal im Jahr gibt, ist mir sicherheitstechnisch auch kaum geholfen, denn dann bleiben Sicherheitslücken monatelang ungepatcht. Da hilft auch keine aktuelle Androidversion.
Bei Android ist man dem Hersteller bzgl. Updatementalität hilflos ausgeliefert.
Ad hoc hätte ich "voll d'accord" zugestimmt – aber ich warne vor dieser Aussage. Vieles kommt per Google Play Dienste-Update – da kann Google Schwachstellen patchen, ohne dass die Hersteller liefern müssen. Über diese Schiene kommen inzwischen auch funktionale Updates – wie gerade die AI-Unterstützung für Fotos.
Mit einem Google Pixel und Graphene OS funktioniert das mit den Updates; der Patchlevel ist stets aktuell (Stand Heute: Sicherheitsupdate Stand 01.10.24). Was sicher auch damit zu tun hat, dass Googles hauseigene Pixel die Android-Updates auch als erstes erhalten und GOS bis dato nur Pixel unterstützt. Und ING Banking geht damit auch, problemlos. Ich weiß gar nicht mehr, wann ich mich zuletzt über einen Webbrowser bzw. Desktop dort eingeloggt habe.
Kauf dir ein Pixel und die hast monatliche Updates.
Samt monatlichen Schwierigkeiten…
Wenn der Sparkassen Berater bei der Einrichtung der Apps und Identitäten selbst durcheinander kommt und der Vorgang dann mal 15-30 Minuten dauern kann, dann ist die Sparkasse imho der Renner an schlechter Qualität. Im Vergleich hatte ich mit der IngDiba bis dato noch nie Probleme.
Soll Banken geben, die in den wenigen (weil vorher viel dicht gemacht) Filialen extra Schalter nur für Kunden mit Problemen beim Online-Banking bereithalten. Ist doch cool – wenn du Online-Banking machen willst gehst einfach zum Online-Banking-Schalter deiner Bank!
Und ja – das Land hat fertig – 25.000 Normen/Vorschriften/Gesetze für den Bau von Gebäuden, die sich teilweise widersprechen und Bauen fast unmöglich macht. Aber so ein simples Gesetz das Technik (Hardware/Software) 30 Jahre supportet werden muss, gibt es nicht. Auch wäre es zu einfach Konzernen vorzuschreiben das echte und verstehbare Menschen mit ausreichend Handlungs-Kompetenz innerhalb von 5 Minuten ans Telefon gehen müssen.
Ne Günter du wirst nicht zu alt, du stammst aus einer Zeit als technische Dinge noch von Ingenieuren erdacht und umgesetzt wurden, die Fehler als Angriff auf die persönliche Ehre betrachtet haben. Als Firmen noch von Unternehmen und nicht von Juristen und BWLern geführt wurden. Als Investoren noch Investoren waren und keine Melkroboter…
"Auch wäre es zu einfach Konzernen vorzuschreiben das echte und verstehbare Menschen mit ausreichend Handlungs-Kompetenz innerhalb von 5 Minuten ans Telefon gehen müssen."
DAS wäre allerdings WIRKLICH ein Segen! Diese "Zahlen-Drück-und-Fragen-beantworten-Orgien" sind echt inzwischen wie eine Seuche, die dazu dann auch noch enorm viel Lebenszeit (mit gruseliger Musik"unterhaltung") kostet! Und als Dank fürs ewige Warten, wird man dann beim Durchstellen zu einem echten (oft dann auch noch inkompetenten) Mensch aus der Leitung geworfen – und kann wieder von vorne anfangen … :-(((
"ein simples Gesetz das Technik (Hardware/Software) 30 Jahre supportet werden muss" wäre (soweit nicht nur zusammengemurkst*) der Tod vieler KMUs, weil sie die Kosten (Rückstellungen), um "30J" zu garantieren, nicht aufbringen können.
Inwieweit o.g. Garantie durch Bankgarantien o.Ä. ersetzt werden kann wäre auch noch fraglich**, sie würden aber auch nicht billig.
P.S. Ein erster Schritt wäre schonmal, Cloudzwang für IoT (bis hin zum EV) zu unterbinden oder wenigstens OpenSourcezwang für die Cloudseite des Produktes durchzusetzen. Denn sonst werden sie wie bei diversen HomeAutomationprodukten oder Fisker*** ganz leicht gebrickt.
* soweit es also tatsächliche Garantien (auch über Inso/Geschäftsaufgabe hinaus) verlangt
** wer garantiert denn das Überleben und die Zahlungsfähigkeit jener Bank in 25+ Jahren?
*** pluralistic. net/2024/10/10/software-based-car/
Ja also bei Architekten und Ingenieuren ist das so mit der 30jährigen Haftung, selbst und erst recht bei "Einzelkämpfern". Auch nach Berufsende hinaus gilt das! Die 30jährige Nachhaftung ist Teil der Haftplichtversicherung – Typischerweise fällt bei Kündigung der Versicherung noch mal ein Jahresbeitrag für die Nachhaftung an und dann ist das abgesichert.
Wenn das Architekten und Ingenieure jahrzehntelang geschafft haben, warum soll es dann die IT-Branche schon wieder nicht können? Was ist mit dieser Branche los, außer das diese Branche weiß, dass sie dann einen Schadensfall nach dem anderen Produzieren würde?
Darum geht es ja – dann wird eben nicht mehr "Just for Fun" entwickelt, dann wird eben wieder ingenieurmäßig entwickelt. Wenn dann 95% der Firmen aufgeben – ja gut – ehrlich – ich will auch keine Architekten und Ingenieure am Markt haben, deren Bauwerke alle fünf Minuten einstürzen!
"Wenn das Architekten und Ingenieure jahrzehntelang geschafft haben, warum soll es dann die IT-Branche schon wieder nicht können?"
Weil Architekten und Ingenieure nur für heutige Fehler haften, es kommen weder neue Bedrohungen hinzu noch müssen sie das Produkt der technischen Entwicklung nachführen.
Als Beispiel ein Gebäude: Das steht und damit ist gut – im Gegensatz zur IT wird niemand erwarten, dass der Architekt später die Türen und Fenster zu verstärken hat, die Gebäudehülle gegen neue Bedrohungen abzusichern habe oder z.B. die notwendigen Anpassungen für ein irrsinniges GEG nachzuliefern.
Bei der IT ist das aber Erwartungshaltung – es geht gerade nicht darum, nur den status quo zu erhalten.
>>> Bei der IT ist das aber Erwartungshaltung – es geht gerade nicht darum, nur den status quo zu erhalten.
Wieso sollte das so sein? Wenn es noch Support geben würde, würde ich gerne noch Mit Windows 2000 arbeiten. Diese Versionitis ist Teil des Problems der IT und nicht Teil der Lösung. Also für meinen Teil habe ich diese Erwartungshaltung nicht. Meine Kunden im übrigen auch nicht, die regen sich auch über jeden Versionswechsel eher auf als zu begrüßen das jetzt wieder alles ganz anders aussieht aber die wirklichen Fehler immer noch vorhanden sind.
Nur die IT-Branche will immer neue Funktionen – alle anderen wollen endlich mal in Ruhe arbeiten mit dem was bereits da ist.
Kann ich nach meinen Beobachtungen der letzten 3 Jahrzehnte voll unterschreiben.
Einfach auf Internetanbindung verzichten, dann sind auch ältere Betriebssystem- oder Software-Versionen kein Problem.
Die sind auch so KEIN Problem – das einzige "Risiko" geht man selbst ein!
Bspw. arbeite ich (aus validen Gründen) noch mit verschiedenen W7-Geräten und habe bis dato nicht ein einziges Problem mehr gehabt, als bei Geräten mit den moderneren OS-Versionen.
Ein Schelm, wer… 🤷♂️
Wer das gerne möchte kann selbst mit WfW noch arbeiten, erst Recht mit Win2K. Nur wird eben neuere Hard- und Software nicht mehr unterstützt und Ihnen fehlt die kompatible Alte. Daher fordern Sie (implizit) also doch genau das: MS habe W2K der technischen Entwicklung und der sich verändernden Bedrohungslage nachzuführen – eben das, was beim Gebäude keine Pflicht ist.
P.S. Sie führen ernsthaft das Verhalten eines global players als Argument dafür an, dass KMU aus dem Markt gedrängt werden sollen? *SMH*
>> Ihnen fehlt die kompatible Alte.
Wieso fehlt die? Steht hier, kann jederzeit eingeschaltet werden. Und mit Verlaub – viele Inkompatibilitäten sind ABSICHT der Hersteller und nicht technischer Zwang. Man erinnere sich nur als AMD wieder Fahrt aufnahm, die CPUs und Mainboards trotz bereits erfolgter Zusage ganz plötzlich und komischerweise doch keine Treiber mehr für – was war es? – Windows 7 erhalten haben?
Ja ne iss klar – der Nutzer fordert – zur Not indirekt – ne der Nutzer fordert einfach nur endlich mal seine Ruhe zu haben von den aufgezwungenen Änderungen und Neuerungen einer Branche die auf Teufel komm raus keine Haftung übernehmen will.
Und wieso sollten KMU aus dem Markt gedrängt werden? So schlecht wie Microsoft aufgestellt ist, wäre dieses Unternehmen wohl das erste Opfer. Dann kommt plötzlich ganz viel Spielraum für KMUs auf den Markt!
Nochmal: Niemand zwingt "den [privaten]* Nutzer" zu Veränderungen, sondern idR ist es der eigene Wunsch oder der Glaube, ohne Updates nicht leben zu können, oder materielle Erfordernis (Ersatz defekter Hardware). Stellen Sie sich einen 486er hin und fahren sie nach Herzenslust WfW/W2K!
Bzgl. Verdrängung kleiner Anbieter: Im Gegensatz zum Grossen hat der Kleine nicht das Volumen, die nötigen Bürokratiespezialisten zu beschäftigen und auch nicht die riesige Rechtsabteilung, um Streitsachen auf ewig hinauszuzögern.
Wie es MS & Co vor Gericht ergeht lesen wir auch hier immer wieder – falls sie am Ende doch Strafe zahlen müssen sind das Peanuts.
P.S. Wenn Sie ein Produkt auf ein blosses Versprechen ("werden wir nachliefern") hin kaufen ohne das Versprechen zum Vertragsbestandteil zu machen, ist das ihr Fehler. Aber Schuld sind ja immer die Anderen…
Aktuelles Beispiel: Ich habe filen(.io) auf das Versprechen "rclone Intergration" hin gekauft und nun machen sie wohl nur einen hässlichen Fork (Integration der rclone-Befehle in ihr Produkt == nicht vertrauenswürdiges 1st-party-Tool) statt tatsächlicher Integration in das 3rd-party Tool rclone. Im Gegensatz zu Ihnen war ich mir des Risikos aber bewusst und jammere nun nicht herum – ich habe mich eben in diesem Fall verspekuliert. 🤷♂️
* bei Firmen ist es in DE das BSI + Gerichte, nicht der Anbieter
Nun ja – ich habe gar nichts falsches gekauft, weil ich mir das Treiben von AMD und Microsoft nur schön angeschaut habe. Es geht da schlicht um das Prinzip und die Marktmacht die MS hier ausnutzt.
Aber schon schön zu sehen, wie hartnäckig Sie die "Haftung" in der IT-Branche verhindern wollen. Sieht so aus, das Sie sich den Aufwand für eine bessere Qualität sparen wollen, wohl wissend das Ihr Aufwand erheblich ansteigen würde. Ein Aufwand den Sie scheinbar nicht tragen wollen, der aber in allen anderen Branchen selbstverständlich ist. Und jetzt bin ich hier raus, es wird zu persönlich.
Was für ein mieser Strohmann! Aus »30J Support« machen Sie nun also 30J »"Haftung" in der IT-Branche«? Das ist ein himmelweiter Unterschied!
Selbst Letztere ist lächerlich, kein verständiger Mensch forderte, dass die Architekten aus Ihrem 1. 'Argument' Häuser gratis für neue Bedrohungen (Einbruch, Unwetter, …) zu wappnen hätten oder VW die alten Modelle an den modernen Verkehr anzupassen habe – nur bei der IT kommen solche irrationalen Forderungen.
Ich bin 'nebenbei' Betriebswirt und sehe daher die Auswirkungen.
Aber so langsam gehe ich in den Destruktivmodus und lasse die Naiven machen. Ich lache dann über die Phyrrhussiege der Aktivisten: Solche irrationalen Forderungen schaffen genau jene Monopole, die nicht mehr beherrschbar sind und ihre Marktmacht dann ausnutzen. Die Lobbyisten des Grosskapitals warten nur, dass Ihresgleichen ihnen den Weg zur Marktbereinigung ebnet. 👍
Ha, aber genau DAS widerspräche doch der zum Endstadium des Kapitalismus getriebenen sog. "liberalistischen Marktwirtschaft" – was denkt Ihr Euch nur?
Sie sind da auf Demagogen hereingefallen: Verbesserung erreicht man nicht durch Zerschlagen des Alten, sondern nur, indem man es durch etwas Besseres ersetzt.
Also schlagen Sie doch zunächst ein in der Praxis besser funktionierendes*, weniger menschenverachtendes*, weniger umweltschädliches*, … System vor, dann gewännen sie sicher auch Zuspruch aus der Mitte (Kapitalismus ist auch mMn weit entfernt vom Optimum).
* Sozialismus (bzw. soz. Planwirtschaft) ist es ausweislich 100% aller je real existierenden Sozialismen nicht
Unsere gesamte Familie nutzt ING und wir sind sehr zufrieden. 0 Probleme und Cashback bieten die auch noch an. eTAN habe ich noch nie benutzt. Das geht alles mit PIN etc. Du bist vermutlich doch zu alt ;)
Hab in einem anderen Kommentar bereits angedeutet – gegenüber mir war die Aussage der Ing glas klar – per Brief mitgeteilt: Bis Mai 2024 stellst Du von iTAN auf die neuen TAN-Freigaben per photoTAN/QR-Code-Leser oder Banking to go um, oder Du kannst kein Online-Banking für die Konten machen. Sollte die Ing das dann doch nicht umgesetzt haben?
PS: Ich wüsste nicht, wie Du Transaktionen da frei gibst, wenn iTAN-Listen auf Papier nicht mehr unterstützt werden. Was habe ich da nicht verstanden?
Bei meinem ING-Konto erstelle ich Transaktionen im Webbrowser auf dem PC und gebe sie dann mit der Banking-to-Go-App frei (per biometrischem Merkmal). TANs habe ich bei der ING ewig nicht gebraucht.
Gut, ist der Weg, den ich auch verwende – ist ein sprachliches Missverständnis – ich habe mich falsch ausgedrückt – natürlich brauch ich keine Transaktionsnummer (TAN) mehr eintippen – aber die Banking to go-App generiert das Äquivalent im Hintergrund und übermittelt den Code an die Server der Ing. Von daher sind wir beieinander.
Was Du aber imho nicht verhindern kannst: Dass auf der Banking to go-App eine Transaktion angestoßen werden und dann auch in der App bestätigt werden kann. Von daher hätte ich mir z.B. eine reine QR-Code TAN-App der Ing gewünscht, der nur die TANs am Smartphone generiert, die ich dann am Desktop im Browser eingebe – dann hätte ich wieder zwei Faktoren zur Autorisierung.
Das Anstoßen und Bestätigen einer Transaktion ausschließlich mit der App habe ich bisher nie genutzt. Da ich – bei meiner Konfiguration der Banking-to-Go-App – eine Transaktion mit einem Fingerabdruck bestätigen müsste, erscheint mir das Risiko allerdings akzeptabel.
Einfach "herrlich", die ganzen Beiträge (Teil 1 + Teil 2) hier so zu lesen. :-) Zeigt perfekt das ganze Dilemma auf, dass jede Bank ihr eigenes Ding macht und ihre eigene Suppe zusammen kocht – mal schmeckt die Suppe besser und mal ist sie wohl fast ungenießbar … Wäre doch zu schön, wenn man eine Suppe kochen könnte, die so gut wie fast allen schmeckt … ;-)
Von der ING bin ich weg, als diese das HBCI abschaltete. Diese Entscheidung der ING war das k.o.-Kriterium für mich. Ich lasse mich beim Banking nicht tracken, weder am Handy, noch am PC.
Jetzt bin ich bei einer Bank, welche das HBCI (noch) nicht abgeschaltet hat und dem Offline-Banking via Software (Jamaika, Hibiscus) keine Steine in den Weg legt.
Nun ist alles schön. Keine Werbung, kein Tracking. Banking wie es sein soll.
Bei welcher Bank bist du aktuell?
Genau wie ich, die Abschaltung war der Auslöser. Obwohl es sonst keine Probleme mit denen gab.
PS: Kennt noch jemand Banking über BTX? :-) das waren noch Zeiten.
Nach häufigem Ärger mut Banken vor Ort (Sparkasse, Post und Hypo) wegem schlechtem Service habe ich seit vielen Jahren nur ein Konto bei der ING mit Extra-Konto und Portfolioverwaltung.
Ich verwende die App auf einem neuen Fairphone 5 (Android 14), einem 6 Jahre alten BQ Aquaris X-Pro mit LineageOS 20 (Android 13 immer noch mit ständigen Updates!) als Backup-Smartphone und einem 10"-Tablet von Lenovo (Android 9, keine Updates mehr) ohne SIM-Karte im WLAN.
Die geschilderten Probleme kann ich für mich zum großen Teil nicht nachvollziehen. Die Einrichtung auf den Geräten erfolgte ohne Schwierigkeiten. Das BQ Aquaris arbeitete sogar als gerootetes Gerät ohne Probleme mit der ING-App, im Gegensatz zu manchen Kreditkarten-Apps. Alle Geräte haben kein Problem, für die Einwahl auf dem PC die QR-Codes auf dem Bildschirm zu verwenden. Auch eine Bestätigung einer Transaktion läuft einwandfrei, ich muss nur in einem Auswahlmenu das beabsichtigte Gerät auswählen.
Den Robo-Advisor Scalable zur Aktien- und Fondverwaltung habe ich allerdings nach einer längeren Testpahase auch wieder rausgeschmissen. Mit der Portfolio-Verwaltung der ING bin ich zufrieden.
Was mir allerdings Bauchschmerzen bereitet, ist die Möglichkeit, Bankgeschäfte unter Android mit Bestätigung auf dem gleichen Gerät zu machen. Das ist in meinen Augen keine echte Zweifaktor-Authentifizierung und ein prinzipielles Sicherheitsproblem. Aber solange ING hoffentlich haftet muss man wohl damit leben. Ich mache jedenfalls Bankgeschäfte auf dem PC mit Bestätigung auf den Android-Geräten, nur in absoluten Ausnahmefällen verwende ich dafür die Android-App.
Wo es nur geht verwende ich TOTP mit Aegis Authenticator. Leider wird TOTP gerade bei Banken oft nicht angeboten, was ich für einen schweren Fehler halte. Ich kann TOTP ohne aktive Internetverbindung und auf mehreren Geräten nutzen und die verschlüsselte Datenbank auf irgendwelchen externen Speichermedien oder in der Cloud meiner Internetanbieter sichern. Außer hinreichend parallel laufender Uhrzeit brauche ich nichts! Im Gegensatz dazu ist eine Zweifaktor-Authentifizierung per SMS oder Banking-App, vor allem wenn man nur ein Gerät dafür hat, ein völliger Unsinn: Gerät kaputt, verloren, gestohlen, Mobilfunkverbindung fällt wegen Reparaturarbeiten am Funkmast aus, stark verzögerte SMS im Ausland! Wenn etwas davon passiert steht man im Regen!
Was ich mir dringend wünschen würde, wäre TOTP als Alternative und die Wahlmöglichkeit, Bankgeschäfte nur per TOTP zu erzwingen. Wenn man TOTP mit Aegis dann auf einem anderen Gerät verwendet, hätte man eine hohe Sicherheit. Außerdem vermisse ich die alte ING-App mit der man nur seine Konto-Stände abrufen konnte. Die jetzige App würde ich dann wieder deinstallieren und Banking nur auf dem PC machen und TOTP benutzen. Das wäre mein Sicherheitstraum, der sich allerdings wohl nicht erfüllen wird!
TOTP für Aufträge hat den grossen Nachteil der blinden Bestätigung (Sie können vor Freigabe nicht kontrollieren, was sie mit dieser OTP bestätigen).
Zu TAN-Zeiten gab es dazu mehrere Betrugsmaschen, die kämen dann wieder.
LineageOS ist interessant – mal schauen, ob ich mit dem Moto G5 da was deichseln kann.
Mit der in der App nicht angezeigten Freigabebestätigung einer Transaktion habe ich auf allen meinen Motorola Moto-Geräten – die haben pures Android. Manchmal sehe ich zwar eine kurze Notifikation zur Freigabe, wenn ich nicht sofort reagiere, bis die verschwindet, habe ich keine Chance gefunden, die Freigabe in der geöffneten App zu erteilen. Man muss sich aus der App abmelden und diese neu starten – dann kommt die Abfrage. So aus meiner Zeit in der Software-Entwicklung vor 30 Jahren: Ein simpler Punkt "Freigaben erteilen" in der App hülfe vermutlich – dann könnte der Benutzer den Menüpunkt aufrufen, die App fordert am Ing-Server die Liste der Transaktionsfreigaben an und der Nutzer könnte die Freigaben – abgesichert durch Pin – bestätigen.
"Manchmal sehe ich zwar eine kurze Notifikation zur Freigabe, wenn ich nicht sofort reagiere, bis die verschwindet, habe ich keine Chance gefunden, die Freigabe in der geöffneten App zu erteilen."
Probieren Sie mal Notic*, das speichert (auf Wunsch) alle Notifications in einer kleinen DB (inkl. Option, N. zu blockieren oder nach n Sek. auszublenden) und bei Tipp auf die N. gelangt man in die App.
* gibt's leider (wie so vieles Produktives/Nützliches) nicht mehr im Play Store, aber hier ist die APK:
notification-blocker-notification-history. de. softonic.com/android
Die Anzeige der Notification bzw. Bestätigungs Abfrage kann in der App erneut erzwungen werden, wenn man in der Konten Übersicht nach unten swiped. Das geht immer. Dafür muss man die App nicht neu starten.
Vielen Dank für Ihre Erfahrungen. Ich war schon kurz davor, zur ING zu wechseln, werde das aber lassen.
Ähnliche Erfahrung mit der DKB. Da ist die TAN-App (TAN2go) jetzt ganz abgeschafft worden und man muss Transaktionen über die normale Banking App autorisieren. Nur blöd, dass diese Änderung Finanzprogramme (hier WISO MG) praktisch unbrauchbar macht, da eine entsprechende Anbindung von der DKB momentan nicht mehr bereitgestellt wird. Das alte Verfahren funktioniert noch, solange man es noch installiert hat, aber wehe, man muss sein Handy wechseln, dann ist Schluss.
0 Probleme mit der APP der ING und als Bank selbst
ich brauch keine Bank/Ansprechpartner vor Ort
wie auch beim PC: das genutzte device sollte recht aktuell sein in Bezug auf Sicherheit
@Günter: https://xdaforums.com/f/moto-g5-roms-kernels-recoveries-other-develop.6206/
die 1822 App/Webseite dagegen ist mist :-)
Kann eigentlich 95 % von allem was Herr Born schreibt,nur bestätigen, da leider auch ING-Kunde. Viele Jahre lang hat alles dank der Tan-Listen super funktioniert, aber dann….
Unser Problem ist, daß wir in der Familie 2 Konten bei denen haben und beide an einem PC verwaltet werden. Seit da aber nun wegen der APP das Handy mit ins Spiel kommt,gibts nur noch Probleme beim Anmelden. Um an mein Konto zu kommen,muss ich erst das andere Konto meiner Frau wählen, mich wieder ausloggen und dann erneut wählen…Irre.
Ohne PC, also nur mit dem Handy klappt das alles wunderbar, aber als alter sehbehindeter Mensch, ist das Handy einfach eher ungümstig, um es freundlich zu formulieren..
Kundenfreundlichkeit geht anders.
Banken und Digitalisierung, eine überall gleich schleche Geschichte.
Ich kenne keine Branche, die an vergammelten Technologie-Stacks so händeringend festhält und dabei gleichzeitig eine so massive Externalisierung und Einkauf von sogenannten White-Label-Lösungen betreibt, bei gleichzeitig laufender Änderungen der Rahmenbedingungen.
Das Problem ist weniger die Digitalisierung, da waren die Banken von Anfang mit dabei und ich erinnere mich noch an die Siemens Nixdorf Systeme der frühen 80er Jahre. Übrigens damals Hi-Tech aus Deutschland, das alles verloren gegangen ist.
Das ist das eigentliche Problem. Die Banken haben längst Ihre Technologiehoheit verloren und diese nie priorisiert behandelt. Hinzu kamen und kommt die Gier in Kombination mit der Unfähigkeit, sowas wie digitale Souveränität, Interoperabilität und KISS-Prinzip in den Buchhalter-Excel-Tabellen abbilden zu können.
Statt Buchhalter und BWLer wäre der eine oder Techniker vielleicht besser als CEO gewesen.
Ohne Worte. Danke für die Schilderung des Gebarens bei ING.
Hab auch mit BTX-Banking angefangen.
Bin jetzt beim Banking über den Browser.
Handy-Banking solange es sich vermeiden lässt nicht.
Für alle einen guten Start in die Woche.
Es sind mehrere (wahrscheinlich alle) Banking-Apps in den letzten Monaten auf älteren Geräten unbrauchbar geworden, nachdem die App ein Update erhielt. Entsprechende Beschwerden findet man zahlreich in den Playstore-Wertungen. Laut Antworten der Anbieter sei das nicht ihre Schuld, sondern Zwang von Google: Apps müssen eine bestimmte Mindestversion von Android voraussetzen, sonst werden sie im PlayStore nicht mehr zugelassen – Totschlagargument „Sicherheit".
Das kommt heraus, wenn man alle Daseinsbereiche Google unterwirft.
Das mit nicht mehr unterstützten Android API-Funktionen (aka Google Play-Dienste) könnte man ja noch irgendwie akzeptieren, sofern dies zutreffend, nachvollziehbar und transparent erfolgt. Die oben skizzierte App-Volte fand 2023 statt – ich habe gerade nachgesehen (Vorteil eines Bloggers, der gelegentlich über endende Unterstützung bei Android berichtet).
Stand 14.10.2024 laut Google: "Wichtig: Google Play-Dienste werden nur auf Geräten mit Android 6.0 (API-Level 23) oder höher unterstützt." Wir sprachen im obigen Text darüber, dass Android 8.x aus der App-Unterstützung gekickt wurde – eine Begründung habe ich nicht gefunden.
Unabhängig davon – die App-Entwickler mussten das imho dann seit vielen Monaten gewusst haben. Dann die Leute auf Banking to go zu drängen, Android 8 zuzulassen, um das einen Monat später zu kicken -> bezeichne ich als Fail!
Abseits dessen, deutet sich an, dass die Ing noch "einen Türken" gebaut hat. Es gibt hier Aussagen in den Kommentaren, dass Leute noch nie einen "QR-Code gesehen hätten, sondern sich per PIN anmelden können". Hier bei mir war die Aussage der Ing glasklar – per Brief mitgeteilt: "Bis Anfang Mai 2023 muss auf TAN-Authentifizierung per TAN-Generator oder Banking to go-App umgestellt sein – danach geht der Zugriff auf das Konto für Transaktionen verloren."
Hier ist es so, dass ich keine Desktop-Anmeldung per Browser für Online-Banking per Pin mehr machen kann. Die Pin wird als ungültig zurückgewiesen – nur die Anmeldung per QR-Code und Banking to go-App klappt (nachdem ich empirisch herausgefunden habe, in welchem Abstand und Winkel ich das Smartphone vor den Monitor zu halten habe).
Vermutlich kein „Türke", sondern ein Missverständnis. Statt einer (wechselnden) TAN auf dem PC gebe ich jetzt eine PIN (immer die gleiche) *in der App* ein.
Der zweite Faktor „TAN-Liste" ist also durch den zweiten Faktor „registrierte App" ersetzt worden. Hat sich ja nicht die ING ausgedacht, sondern war eine Regulierungsvorgabe.
Wobei ich einige Sicherheits-Experten kenne, die das für eine Verschlimmbesserung halten. Denn die TAN-Liste konnte man zwar bei physischem Zugriff darauf (!) klauen oder kopieren, dafür war sie nicht mit dem Internet verbunden.
Ok, nun sind wir wieder beisammen – das ist bei mir genau so: Ing-Webseite im Browser auf dem Desktop aufrufen. Dann per Banking to go-App über die PIN anmelden, auf die QR-Code-Scanner-Funktion gehen und die auf der Online-Banking gezeigten zwei QR-Codes vom Handy scannen und freigeben lassen. Im Anschluss Banking im Desktop-Browser erledigen und Transaktionen wieder über die Banking to go-App nach Eingabe eines PIN bestätigen. Damit hat man den zweiten Faktur in Form eines getrennten Geräts. Unschön ist lediglich, dass man das Banking auch in der App machen kann und dann das "zweite Gerät" beim autorisieren nicht mehr hat.
Wie kompliziert ist das denn? Ich melde mich auf deutsche-bank.de mit meiner Bankverbindung und einem selbst gewählten Pin an, dann starte ich auf dem Smartphone die Photo-Tan-App, gebe da noch einen Pin an, fotografiere vom PC den Farbcode mit der App, tippe den daraus resultierenden Pin wieder auf dem PC ein und bin "drin".
Abgesehen davon, dass es um einen Farb- und nicht um einen QR-Code handelt, scheinen die Verfahren identisch zu sein.
Das mit den QR-Code-Abfotografieren hatte ich, wie gesagt, bisher nicht. Von der Ablauflogik her auch überflüssig — was für Informationen sollen denn da übertragen werden?
Vielleicht ein zusätzlicher Schutzmechanismus, mit dem sichergestellt werden soll, dass man das Handy wirklich physisch in der Hand hat, und nicht ein Virus die PIN eingegeben hat? Und der bei mir, weil ich bei der ING nur Anlage-, aber kein Girokonto habe (= geringere aufsichtsrechtliche Sicherheitsanforderungen, vgl. Ihre Kündigungsandrohung), nicht ausgeführt wird?
Zur ersten Frage: Mit dem Scannen des QR-Codes aus der App, an der ich angemeldet sein muss, werde ich automatisch am Desktop im Browser beim Online-Banking angemeldet. Die App schickt ein Autorisierungs-Token, welches den Konten zugeordnet ist. Keine Eingabe von Kontonummer und irgendwelchen PINs mehr erforderlich.
@Günter
Wo wir grad bei Banking via Web sind:
https://www.deskmodder.de/blog/2024/10/14/firefox-131-0-3-mit-sicherheitskorrekturen-und-weiteren-aenderungen/
"Es wurde ein Problem korrigiert, bei dem einige Benutzer nicht auf die Webseite ihrer Bank zugreifen konnten, um Rechnungen zu bezahlen."
Also sry ich kann das ganze hier 0 Teilen. Bin bei ING seit über 8 Jahren noch nie Probleme gehabt. Mit Iphone und der APP läuft alles tip top sogar BauFI läuft drübert.
Also das Gebasche verstehe ich nicht, davor Sparkasse und RaiBa und das war mehr als unterirdisch von 4 stelligen Pins als Zugang mal ganz davon abgesehen.
Ich für mich kann ING nur empfehlen.
FinTech…
https://www.bbc.com/news/articles/cj6epzxdd77o
Es gibt sie noch, die positiven Erfahrungen, doch sie beginnen wie so oft mit einer schlechten. War seit Jahrzehnten zufriedener Kunde der Sparda-Bank BW – bis diese das Online-Banking umgestellt hat. Viele waren mit dem neuen TEO berechtigterweise unzufrieden, die Sparda-Bank hat es trotzdem durchgezogen. Konsequenz: Die Genossenschaftsbank hat seit 2020 fast 12 % ihrer Mitglieder verloren.
Gewechselt bin ich dann zur BBBank, ebenfalls eine Genossenschaftsbank. Probleme hatte ich mit deren Online-Banking bislang nie, obgleich das System umgestellt wurde. Die Bank hat in der Anfangszeit das alte und das neue Online-Banking parallel betrieben, bis die Kinderkrankheiten verschwunden waren. Meinen alten, noch zu Sparda-Bank-Zeiten gekauften TAN-Generator mit Flicker-Code kann ich weiterverwenden, könnte allerdings auch auf einen mit Farbcode umsteigen. Selbstverständlich gibt es eine Bank-App, deren Verwendung ist aber kein Muss. Zum Glück, denn auf dem Smartphone sind mir Bankgeschäfte zu unsicher. Filiale und eigene Geldautomaten sind vor Ort.
Die meisten sind einfach zu träge, um auch einmal die Bank zu wechseln. Bei mir hat das erstaunlich reibungslos geklappt. Übrigens: Der umstrittene Vorstandsvorsitzende der Sparda-Bank, der TEO initiiert hat, ist Anfang 2024 in den Ruhestand gegangen. Mit 61 Jahren! Vermutlich war weniger das Alter der Grund, sondern eher die negative Entwicklung bei den Mitgliedern, was von der Bank natürlich anders dargestellt wird.
Bin eigentlich mit der ING zufrieden. Der Online Kram ist von meiner Erfahrung her besser als bei anderen Banken.
Das mit dem Scannen von ING Login QR Codes klappt nicht mit allen Handy Modellen. Die ING Leute versprachen Besserung – hab mir dann nach nem halben Jahr, auch aus anderen Gründen ein anderes Modell zugelegt und da geht das (dafür anderes nicht so gut)
@Günter Born: ich hatte das EXTRA Konto als Tagesgeldkonto verstanden und verstehe dann die Aussage der Bank dass darauf keine Dritten im größeren Umfang einzahlen sollten.
Ich habe bei der ING-App auch immer wieder das Problem, dass die Push-Notifications nicht erscheinen. Dann hilft es aber, die App zu starteten, und im Startbildschirm nach unten zu ziehen. Dann erscheint der Ladedonut und die Notification kommt.
Interessant – ich beende die App, starte neu, melde mich an und bekomme die Abfrage angezeigt.
Das Problem, dass der QR-Code nur in einem bestimmten Abstand und Winkel zum Bildschirm lesbar ist, tritt bei mir nur dann auf wenn der "Dunkel-Modus" (Windows und Linux) aktiviert ist.
Wir sind schon lange ING-Kunde und durchaus zufrieden. Photo-TAN braucht es nicht und mit dem Handy flutscht es.
Aber im Verglich zu diesen Schilderungen hier gibt durchaus Steigerungen:
Wir waren mit der kompletten Familie Kunden der Volksbank. Hier gab es auch einen Technologiewechsel und damit fing das Drama an.
Es gab alte und neue App gleichzeitig im Store und selbst der Service wußte nicht mehr, welche wir einsetzen müssen.
Also herumprobiert, telefoniert und Briefe abgewartet. Meiner Frau gings ebenso. Dies mehrere Runden bis wir aufgaben, weil wir scheinbar zu blöd sind.
Zudem wurden die Kinder erwachsen und wir brauchten dann etliche online-Zugänge.
Dann Termin vereinbart und Filiale aufgesucht. Kann ja schließlich jeder Hirni heutzutage mit seinem Handy.
Die Beraterin hat dann brav die Codes abgerufen und wir diese eingegeben, jeder seinen eigenen. Als es nicht funktionierte, dann halt nochmal und nochmal. Wir waren ja zu blöd und deshalb ging es nicht. Bis die Frau dann zu weinen anfing und mir beinahe der Kragen geplatzt wäre. Aber was hätte das genutzt?
Noch am selben Tag haben wir alle Konten gekündigt und auf die Sparkasse oder ING umgezogen.
Ein Problem weniger und damit Minimierung des Haareraufens.
Wir haben auch Konten bei der Sparda-Bank, ist ja das gleiche Online-Banking wie bei der Volksbank (ist meine Schwester).
Auch der Tan-Generator ist der gleiche, läuft ja alles im Prinzip über die DZ-Bank bei den "Volks und Reifeisen Banken".
Dort gibt es mit dem Tan-Generator kein Problem.
Die Banking-App der Banken wird bei beiden nicht genutzt.
Nur die "SecureGo+ App" wird ab und zu für Onlineeinkäufe genutzt und die funktioniert.
Hier alles Easy.
Banking mit dem Handy/Smartphone geht gar nicht (vor allen dingen aus technischen Gründen wie zB Sicherheit), auch wenn die Banken was anderes erzählen.
Ich habe nur ein Konto bei der ING, kein Giro.
Zur Verwaltung habe ich den Digipass 772 nix anderes.
Es gibt seit zich Jahren keine Probleme.
Das Anmelden des TAN-Generators wahr, wie bei allen anderen Banken, etwas frickelig.
Man braucht bei dem ING-Generator ja keine Karte wie bei den meisten anderen Banken.
Sondern man benötigt einen Code den man bei der Einrichtung anlegt um ihn überhaupt nutzen zu können.
Diese "Banking to go App" habe ich bis jetzt noch nie gebraucht (ich hoffe das bleibt so).
Für alle, die schneller per Telefon Kontakt zur ING wünschen: eine ING-Mitarbeiterin hat mir mal den Tipp gegeben, dies in der geöffneten App zu initieren. Unter "Profil – Hilfe & Feedback – Per Telefon kontaktieren" hat das bei mir keine 5 Min. gedauert, bis jemand ans Telefon ging (ist allerdings schon ca. 1 Jahr her, als ich den Support mal brauchte).
Zuvor war ich auch immer ewig in der Warteschleife. Aber keine Ahnung, ob das immer noch so schnell funktioniert wie beschrieben…
Ansonsten kann auch ich bestätigen, dass es bei mir bei der Einrichtung ähnliche Probleme gab, die ich durch "Probieren" lösen konnte. Aber bis ich herausfand, dass, wenn die App nicht startet, und eine nichtssagende Meldung erscheint (weiß nicht mehr den genauen Wortlaut), nur eine Aufforderung für ein Update gemeint war (OHNE das zu benennen) – das dauerte…
Momentan läuft aber alles ohne Probleme.
Ich finde es sehr mutig, mit einer antiquierten Android-Version (8.x) an den Start zu gehen, denn dass hier Sicherheitslücken im System sind, ist ja wohl mehr als klar.
Daher finde ich es richtig, dass der Hersteller eine Mindestvoraussetzung bezüglich der Version fordert.
Tatsächlich kann ich keins der o.g. Probleme nachvollziehen, ich habe die Installation auf mindestens 20 verschiedenen (Android-) Geräten problemlos durchgeführt. Auch das Lesen des QR-Codes vom Bildschirm funktioniert immer!
Was die Bedienung / Nutzerfreundlichkeit angeht, kann man sicherlich geteilter Meinung sein, hier gibt es aus meiner Erfahrung keinen golden Weg, irgendjemand hat immer etwas zu meckern.
Ich habe ein zweites, älteres SmartPhone EXTRA dafür, ohne Karte. Wird eingeschaltet, um die PhotoTAN App zu öffnen, scannen, und dann nach Abmelden wieder abschalten.
Ansonsten läuft da gar nichts mehr drauf, und die PhotoTAN funktioniert sogar im Offline-Modus. Ab und an mal WLAN eingeschaltet, Apps aktualisiert, und das wars.
Dieses Zweithandy nehme ich natürlich auch nie mit.
Ich kann den ganzen Stress hier nicht nachvollziehen. Hatte noch nie eine TAN nutzen müssen. Die App läuft auf einem uralt iPad , auf einem aktuellen iPhone und auf meinem Samsung Tab S7 +. Der QR Code zur Anmeldung auf der ING Webseite läuft ohne zu mucken superschnell. Das abfotografieren einer Rechnung ist komfortabel zum Überweisen. Bin rundum zufrieden. Ohne die ING App war es ein Drama einen Supportmitarbeiter zu bekommen, mit der App geht das auch schneller.
Es war einmal die gute alte Zeit. Da konnte man ganz einfach "Online-Banken". Der Konsumentenschutz wurde verbessert. Neben der Eingabe von Benutzername und Passwort wurde ein SMS-Sicherheitscode an ein Handy geschickt. Jedes Handy, das SMS empfangen konnte, war für diesen konsumentenfreundlichen Schutz brauchbar. Plötzlich änderten Banken Ihre Sicherheitsvorgaben. SMS-Code gibt es nicht mehr. Es muss ein Android-Handy mit Google-Play-Store bzw. ein Apple-iOS-Handy sein. Da muss man dann die App installieren und konfigurieren. Ohne Smartphone heute kein Internet-Banking. Auf die TAN-Generatoren gehe ich hier nicht ein.
Ist eine Verbesserung der Sicherheit beim Online-Banking nicht auch in Deinem Interesse?
Was spricht gegen einen SMS-Code?
Es gibt schon länger Trojaner fürs Smartphone, welche SMS-TANs abgreifen können. SS7 ist recht unsicher. Darüber lassen sich SMS umleiten. Und dann wäre da noch SIM-Swapping.
SMS kann relativ leicht abgefangen werden
Die Sicherheit?
Eine SMS lässt sich abfangen.
Und die TAN ließe sich für andere Transaktionen nutzen, da keine Bindung der TAN zu einer Transaktion stattfindet.
Die TAN, die ein TAN-Generator generiert, lässt sich nicht abfangen und auch nur für genau die eine Transaktion nutzen, für die man die TAN angefragt hat. Denn der TAN-Generator zeigt die Transaktionsdaten im Display an. Man muß sie nur mit den Daten der Bankingapp oder der auf dem PC-Bildschirm angezeigten Daten vergleichen.
Deshalb haben die Banken die TAN per SMS (nennt sich mTAN) abgeschafft.
Dass er nicht personen- sondern SIM-gebunden ist und eine SIM rel. leicht von Unbefugten nachbestellt oder kopiert werden kann.
Müsste noch für einen Link recherchieren – die technischen Gründe wurden ja von Lesern genannt – aber ein deutsches Gericht hat entschieden, dass SMS-TAN nicht mehr als sicheres Banking zulässig ist. Wird bei abgezogenen Konten relevant.
Ich wüsste gerne, welches Gericht dies entschieden haben sollte; derlei ist mir nicht bekannt.
Das Landgericht Heilbronn hat hingegen entschieden, dass das sogenannte push-tan Verfahren ein erhöhtes Gefährdungspotential aufweist und zwar auch nur dann, wenn auf demselben Gerät ausgeführt:
Leitsatz:
"Das sog. pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt, weist ein erhöhtes Gefährdungspotential auf, da eine Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege erfolgt; es liegt deshalb keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor, weshalb die für die Annahme eines Anscheinsbeweises für die Autorisierung einer Zahlungsanweisung im Sinne von § 675w BGB erforderliche sehr hohe Sicherheit nicht bejaht werden kann."
Quelle/Volltext: https://www.landesrecht-bw.de/bsbw/document/NJRE001550519
SMS-tan ist aber gerade nicht pushtan, weil bei sms-tan ein zweites Gerät erforderlich ist, wenn die Transaktion via Webbrowser vorgenommen wird und insoweit die 2FA Sicherheit gegeben ist. Im übrigen nutzen noch Banken dieses Verfahren, z.B. die ABC Bank, Köln, für die Authentifizierung und für Transaktionen. Ausländische Banken auch, z.B. die niederländische Avyens (früher LeasePlan).
Ich habe den Spenden-QR-Code gerade mit der ING erfolgreich getestet (die 5 EUR werden Dir hoffentlich bald gutgeschrieben). Auch die VR-Banking App der Volks- und Raiffeisenbanken erkennt den Code einwandfrei.
Danke, sind schon da!
Zum Spenden-QR-Code plane ich noch eine separaten Artikel – so in der Art weshalb und wie wurde der fabriziert.
Das die Linke Hand nicht weiß was die Rechte macht kenne ich sehr gut.
Ich war Kunde bei der C24 Bank. Ohne Vorankündigung ging keine Kartenzahlung mehr. Ein Geldautomat spuckte dann die "Lösung" aus: "Zu viele Transaktionen in der laufende Periode." Ich habe dann dort öfters angerufen und nachdem nach einer Woche immer noch nichts ging und ich nach 90 Minuten noch in der Warteschleife hing, bin ich jetzt bei einer Bank bei der man noch persönlich sagen kann was nicht geht und sich nicht hinter dem Telefon "versteckt" wird. Seit dem mache generell um alles mit Appzwang einen großen Bogen.
Ich bin sehr froh der ING schon vor Jahren den Rücken gekehrt zu haben.
Was mich damals extrem genervt hat, war das absolute Kuddelmuddel an Authentifizierungsverfahren: gefühlt war für jeden Vorgang ein anderes Verfahren (oder Auswahl aus Zweien) benötigt. Das einzige Verfahren, das für (so gut wie) jeden Vorgang ging, war die "gute" alte TAN-Liste auf Papier.
Und der Support meinte damals doch tatsächlich, dass ich die dann halt auch mit in den Urlaub nehmen solle, wenn ich denn (damals als Selbständiger durchaus noch gezwungenermaßen) von dort aus Überweisungen machen müsste.
Den Trigger zur Kündigung brachte dann die ersatzlose Abschaltung des Zugangs für mein Homebanking Programm. Mag sein, dass ich damit total Old-School bin, aber ich suche mich z.B. für die Steuererklärung lieber durch einen Export aus dem Programm, als durch x Seiten im Webbrowser.
Ein Aspekt, den Du nicht erwähntest:
Natürlich ziehen diese Banking Apps auch schön weiterverkaufbare Daten von den Kunden. An die käme man sonst nicht ran.
https://reports.exodus-privacy.eu.org/en/reports/de.ingdiba.bankingapp/latest/
Hier sind Signaturen von Sentry und MS Visual Studio enthalten.
Auf dem Schaubild in der Mitte wird gezeigt, wie man das Tracking dann auf eine eindeutige Person matcht:
https://www.kuketz-blog.de/tagesschau-app-was-google-ueber-deine-lesegewohnheiten-erfahren-kann/
ING ist da mit zwei Trackersignaturen (wir wissen erst nach einer Netzwerkanalyse, ob diese aktiv sind) noch recht gütig.
Die Sparkasse kann mit vier Trackersignaturen aufwarten:
https://reports.exodus-privacy.eu.org/en/reports/com.starfinanz.smob.android.sfinanzstatus/latest/
Bei den FinTecs schaue ich lieber erst gar nicht!
Interessanter Link – hatte Exodus nicht mehr bemüht – war auch nicht der Scope der obigen beiden Beiträge, und mein letzter Stand war, dass Exodus vor einiger Zeit keine neuen Scans mehr durchführen wollte. Das scheint sich geändert zu haben.
Ansonsten muss man detailliert aufpassen – habe es noch nicht genau untersucht – aber die aufgelisteten Ing-Apps gehören zu anderen europäischen Dependancen – und jedes Land scheint eigene App-Entwickler zu haben – so erkläre ich mir jedenfalls, dass da immer wieder unterschiedliche Frameworks aufpoppen, je nach App-Variante.
Apropos FinTech: Trade Republic hat, wie viele andere Banken auch, die Zinssenkung der EZB zum 18.09.2024 um 0,25 % weitergegeben, was natürlich völlig legitim ist. Sie haben aber gleichzeitig, und das ohne es irgendwie zu kommunizieren, die Zinsmethode zum Nachteil der Kunden geändert. Nämlich von bisher act./360 auf act./365. Damit sinkt die Verzinsung von 3,75 % nicht auf 3,50 %, sondern faktisch auf 3,452 %. Der Support wollte die Treuhand-Banken dafür verantwortlich machen, was natürlich haushoch gelogen war, denn die Deutsche Bank verwendet diese Methode gar nicht, sondern die in Deutschland übliche Methode für Tagesgelder, und die ist 30/360, wie eine kurze Recherche schnell ergab. 30/360 ist sogar einen Hauch (4. Stelle hinter dem Komma) besser, als act./365. Trade Republic berechnet und zahlt die Zinsen schon selbst, unabhängig von den Treuhand-Banken, denn die zahlen den Zinssatz der EZB gar nicht. Mit der Lüge konfrontiert antwortete dann ein anderer Mitarbeiter mit der Ausrede, dass die Methode EU-Standard wäre. Das ist aber nicht relevant. Auf das Eigentliche, dass sie diese Verschlechterung heimlich vorgenommen haben, ging keiner der 5 Supportmitarbeiter ein. Ich halte das als ein Indiz dafür, dass so eine Vorgehensweise nicht rechtmäßig ist, auch wenn sie in ihren seltsamen AGB sogar ausschließen, dass man einen Anspruch auf Zinsen hat. Unfassbar! Traden würde ich bei dem Laden nicht und das kommende Zwangsgirokonto auch niemals für Zahlungsverkehr nutzen. Das ist eine Datenkrake.
Zitat: "Der Kunde und Trade Republic treffen die von der gesetzlichen Regelung des Rechts der Geschäftsbesorgung (§§ 675, 667 BGB, § 384 HGB) abweichende Vereinbarung, dass ein Anspruch des Kunden gegen Trade Republic auf Herausgabe der Zinsen und/oder Dividenden nicht entsteht. Der Kunde erklärt sich damit einverstanden, dass Trade Republic etwaige Zinsen und/oder Dividenden vereinnahmt und behalten darf. Ohne diese Vereinbarung müsste Trade Republic – die Anwendbarkeit des Rechts der Geschäftsbesorgung auf die Leistungen von Trade Republic unter diesem Vertrag unterstellt – die Zinsen und/oder Dividenden an den Kunden herausgeben. Entscheidet sich Trade Republic ungeachtet dieser Vereinbarung gleichwohl für eine vollständige oder teilweise Herausgabe der Zinsen und/oder Dividenden dem Anteil des Guthabens des Kunden am gesamten Guthaben oder der Beteiligung an den in Ziffer 1.6. dieser Sonderbedingungen bezeichneten Investmentvermögen entsprechend, werden Umfang und weitere Modalitäten der Herausgabe in der Applikation oder im Preis- und Leistungsverzeichnis bekanntgegeben. Soweit keine Bekanntgabe erfolgt, verbleibt es bei der Vereinbarung zwischen Kunde und Trade Republic, dass die Zinsen und/oder Dividenden nicht herauszugeben sind. Eine Herausgabe von Zinsen und/oder Dividenden an den Kunden stellt keinen Verzicht auf das Recht von Trade Republic dar, etwaige Zinsen und/oder Dividenden behalten zu dürfen, und begründet keinen Anspruch des Kunden für die Zukunft. Trade Republic ist jederzeit berechtigt, eine vollständige oder teilweise Herausgabe der Zinsen und/oder Dividenden zu beenden."
Ich habe diese Probleme nicht bei der ING. im Gegenteil in den letzten 20 Jahren war die ING eine der Banken wo alles am unkompliziertesten war. egal ob es Hausfinanzierung oder Konten für die Kinder war. Onlinebanking mit aller Authentifizierungsarie war immer deutlich einfacher als bei einer der etablierten "Hausbanken". Sicherlich gibt es auch Probleme aber welche Bank ist perfekt
Glaube deine Artikelserie schießt hier ein bisschen übers Ziel hinaus.
"Glaube deine Artikelserie schießt hier ein bisschen übers Ziel hinaus."
Nö!
Lesen Sie mal die Erfahrungsberichte bei modern-banking, finanztip, finanzfluss, usw.
Nur weil Ihnen persönlich nichts Negatives aufgefallen sein soll, den anderen ihre negativen Erfahrungen abzusprechen und den Blog-Artikel zu kritisieren, finde ich, wie soll ich es sagen, etwas seltsam.
Seit sie noch Allgemeine Deutsche Direktbank hieß, bin ich Kunde bei denen und war damals zufrieden – und bin es heute immer noch. Ich habe auch Konten bei anderen Banken und die ING ist mir rundum lieber als die anderen, daher kann ich das Gejammere hier nicht nachvollziehen. Meiner Ansicht nach bezieht sich das Geheule hier primär auf Layer-8-Probleme.
Sind wir doch alle fein damit ;-)
PS: Was ich so nicht nachvollziehen kann – Wie so sich jemand seine Lebenszeit verschwendet, um das Gejammere hier zu lesen, wo er doch rundum zufrieden ist ;-) Aber ich muss nicht alles verstehen ….
"Man kann die Apps der Banken für Online-Banking verwenden. "
Früher oder später werden die Bankkarten wegfallen.
"Bin ich zu alt und zu doof?"
Das frage ich mich schon über mich selber seit Jahren. Diese ganzen Entwicklungen gefallen mir überhaupt nicht. Die Software wird immer komplizierter. Vielleicht kommuniziert die neue Software über die alte Software.
Als ich ca. 2009 ein Praktikum bei einer Spedition gemacht habe hatten die noch auf einem Computer ein altes Programm laufen und das konnte man nur über die Tastatur bedienen (Kein Mauszeiger). Manchmal funktionierte das Programm. Manchmal nicht und das Programm war essenziell. Vielleicht kann man eben nicht alles neu machen und baut eben auf dem alten Zeug einfach auf.