Hilfe
abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Überweisung unter 30 Euro ohne TAN

jrrl122
Autor
1 Beiträge

Ich bin gerade etwas erschüttert, dass zukünftig Überweisungen unter 30 Euro ohne TAN freigegeben werden können. Mich ärgert es schon die ganze Zeit, dass mein Konto bei der comdirect nur mit  einer 6 stelligen PIN gesichert ist und jetzt werden auch Überweisungen nicht mehr richtig geschützt. Irgendwie hat man das Gefühl, dass comdirect das Thema Sicherheit im Internet noch nicht richtig verstanden hat. Abschalten kann man die neue Option auch nicht. Ich überlege mir wirklich, ob ich mein Konto nicht auflösen sollte und zu einer Bank wechsle, die vernünftige Standards im Online-Banking hat.

137 ANTWORTEN

Elbblick
Experte ★★★
657 Beiträge

@SMT_Erik  schrieb:

im nächsten Jahr mit dem Wegfall des iTAN-Verfahrens die wesentliche Grundlage entzogen.

 


Packt die Aluhüte und das Popcorn aus, jetzt kommt Stimmung in den Laden.

 

Nanus
Autor ★
5 Beiträge

Hallo Erik,

Jetzt kommen wir zum Kern: "Zahlungsdiensterichtlinie PSD2"

Was steht denn darin in dieser europäischen Richtlinie?

Hier mal ein paar Auszüge:

"Die Mitgliedstaaten stellen sicher, dass ein Zahlungsdienstleister eine starke Kundenauthentifizierung verlangt, wenn der Zahler
a) online auf sein Zahlungskonto zugreift,
b) einen elektronischen Zahlungsvorgang auslöst,

c) ..."

und was eine starke Kundenauthorisierung ist steht auch darin:

"starke Kundenauthentifizierung: eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist), die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist;"

 

Bei der TAN-freien Überweisung sehe ich nur EINE Authentifizierung (PIN). Ich denke, da widerspricht mir auch niemand.

Und was ist, wenn es keine starke Kundenauthorisierung gibt. Auch hier gibt es Auskunft in der Richtlinie:

"Verlangt der Zahlungsdienstleister des Zahlers keine starke Kundenauthentifizierung, so trägt der Zahler einen finanziellen Verlust nur, wenn der Zahler in betrügerischer Absicht gehandelt hat."

Eine Ausnahme für Beträge unter 30 EUR habe ich jetzt nicht gefunden!

FAZIT: Nur wenn ich in betrügerischer Absicht handel, zahle ich!

Viele Grüße

Michael

 

Elbblick
Experte ★★★
657 Beiträge

Es ist schon interessant wie viel Energie einige hier aufwenden um aus einer 30-Euro-Mücke einen 30.000-€-Elefanten zu machen. 

SMT_Philipp
ehemaliger Mitarbeiter
1.562 Beiträge

Hallo @Nanus,

 

wir handeln bisher auf Basis eines Bafin Rundschreibens von 2015 (siehe Punkt 7).

Dieses bezieht sich auf eine Definition von Kleinstbetragszahlungen, die in der Payment Service Directive (PSD1) von 2007 festgehalten wurde (siehe hier Artikel 34 und 53.).

 

Auf diesem rechtlichen Grund fußt derzeit unsere TAN-Freiheit.

 

Ab 14.09.2019 greifen die neuen Regelungen aus der PSD2, genauer gesagt den Regulatory Technical Standards (RTS).

Für die Ausnahme zu den Kleinstbetragszahlungen siehe Artikel 16.

 

Vielleicht hilft dir auch dieses PDF weiter (auf Seite 7 werden die Ausnahmen für die Strong Customer Authentication einigermaßen augenfreundlich genannt). 🙂

 

Viele Grüße

Philipp

 


In der Kürze liegt die Wü

inliner
Legende
4.665 Beiträge

@Elbblick

Diese klitzekleine Mücke macht aber ganz großes Kino, weil es da so ein paar Korithenk***Piiiiieps*** gibt.

 

Mir tut nur die Bank leid, bei der sie sich zukünftig (hoffentlich bald) über andere Mücken aufregen.

Findbhair
Autor ★★★
70 Beiträge

@SMT_Erik"Darüber hinaus wird der Quelle der Mehrheit an Schadensfällen, dem Phishing, im nächsten Jahr mit dem Wegfall des iTAN-Verfahrens die wesentliche Grundlage entzogen."

 

Neinnnn, ehrlich jetzt?! iTAN ist eine unsichere Technologie?! boa .. Nee wa?! 😄

Das ist das noch erleben darf. Hatte man das nicht schon bei Einführung der Technologie attestiert?!

Ihr müßt alles erst am eigenen Leib spüren bevor ihr es glaubt, oder?!

Soviel zum Thema Sicherheitsberatung bei Banken. loool

 

Aber ich sag euch eins, das wird das Problem nicht lösen. Die Karawane wird einfach nur weiterziehen zum nächsten unsicheren Verfahren. Ist ja ein wenig so wie als Kind im Bonbonladen wenn die Erwachsenen nicht hingucken, man kann sich nur schwer entscheiden, wo man zugreift. Naja, iTAN ist dann weg ok, welches Leckerlie nehmen wa denn jetzt?! hmmm vielleicht das kontaktlose Bezahlen ohne PIN ... da muß man ja nicht mal mehr Bankautomaten präparieren.

Nee, also ich bin gespannt, wies weitergeht und greif mal in die Popkorntüte von @Elbblick

 

LG Fin

inliner
Legende
4.665 Beiträge

Tu mir einen Gefallen:

 

Such Dir nen anderen Sandkasten für Deine Schlammschlacht.

Client597

Hallo Philipp,

 

Danke für die objektiven Rückmeldungen und die Referenzierung der Quellen, auf denen die Entscheidung der comdirect fußt.  Beißt sich Artikel  54 Absatz 2 der besagten Richtlinie in Kombination mit den AGB der comdirect dann aber nicht dahingehend mit der "30-Euro"-Geschichte, dass die AGB im Bereich Online-Banking unter "Auftragserteilung und Authentifizierung" explizit eine Legitimation per TAN fordern und die Richtlinie sagt:
> (2) Die Zustimmung zur Ausführung eines oder mehrerer
> Zahlungsvorgänge wird in der zwischen dem Zahler und seinem
> Zahlungsdienstleister vereinbarten Form erteilt.
> Fehlt diese Zustimmung, gilt der Zahlungsvorgang als nicht
> autorisiert.

 

Betrachte ich die Inhalte der AGB als meine mit der comdirect "vereinbarte Form", wäre meiner (laienhaften) Einschätzung nach jeder nicht explizit gemäß den AGB mit einem personalisierten Sicherheitsmerkmal erteilte Überweisungsauftrag gemäß Richtlinie als nicht autorisiert einzustufen. Und ich selbst könnte für besagte "Kleinbeträge" gar keine Überweisung mehr ordnungsgemäß legitimieren, da ich z.B. eine TAN-Eingabe für "Kleinbeträge" nicht selbst explizit erzwingen kann.

Für die Diskussion um Haftungsfragen könnte man dies natürlich positiv für den Kunden werten, muss dieser für nicht gemäß den AGB autorisierte Aufträge keine Haftung übernehmen, ist die fehlende Verfügbarkeit einer AGB-konformen Autorisierungsmöglichkeit erfreulicherweise nicht einer nicht-autorisierten Nutzung eines  Authentifizierungsinstruments gleichzustellen, bei der ansonsten wieder Worte wie Sperranzeige und Beweispflicht fallen würden.

 

Viele Grüße

Martin

Findbhair
Autor ★★★
70 Beiträge

@inliner  schrieb:

Tu mir einen Gefallen:

 

Such Dir nen anderen Sandkasten für Deine Schlammschlacht.


Wieso? Fängt doch gerade erst an so richtig Spaß zu machen. XD

 

Also, ok, ich erklärs mal für DAUs.

Frage: Warum schafft die Bank (und eigtl. jede Bank) die zwei Faktor Autentifizierung (TAN-Verfahren) für online Überweisungen ab?

 

Antwort: Weil online banking von Anbeginn an nie sicher war, und auch in Zukunft nicht in absehbarer Zeit sicher gestaltet werden kann.

 

Und darum kann man's eigtl. auch gleich ganz lassen.

JEDES der vielen TAN-Verfahren ist angreifbar. iTAN am einfachsten durch phishing oder man-in-the-middle Attacken, app basierte Verfahren durch manipulation der Übertragungswege oder simplen Austausch der App und sogar der noch verhältnismäßig sichere SMS-TAN-Empfang mittels eines klassischen Handys (also KEIN smartphone) war - der Telekom sei dank - angreifbar (durch Abfangen der SMS). Ergo ... wenns alles nichts bringt, weg damit.

 

Verkauft wird das den Kunden natürlich mit mehr Freiheit und Komfort bla bla und nciht, wir bekommen es eh nicht gebacken und lassen es also lieber gleich. aber wenn man sich ie Entwicklung anschaut dann ist der Trend weg vom Versuch und hin zum "egal, wir lassens einfach" eindeutig zu sehen.

 

Das hatten wir übrigens schon mal in der Geschichte, nur dass es da kaum einer von Euch bemerkt haben wird. Nämlich beim klassischen alten Überweisungsschein.

Womit habt ihr diese Transaktion autorisiert? Richtig, mit eurer Unterschrift.

Blöd nur, dass es mit fortschreitender Zeit für die Banken viel zu aufwendig wurde, diese Unterschrift noch bei jeder Überweisng auch zu prüfen. Und ergo sagte man vor über 30 Jahren schon, scheiß egal ... alles bis zu einer Summe von x DM/Euro wird einfach ausgelöst und gut ist. (x war im unteren dreistelligen Bereich verortet)

 

Und wenns zum Schaden kam, dann wurde der lieber stillschweigend ausgeglichen um die schlechte PR zu vermeiden. Denn offiziell war das Verfahren ja sicher und offiziell gab es ja auch keinen Mißbrauch.

 

Und das gleiche sehen wir hier jetzt auch. Nur das es sich hier nicht so gut verheimlichen läßt. aber der Grund ist der selbe: KOSTENERSPARNISSE!

Denn jede autentifizierungsprüfung kostet Zeit, technische Ressourcen und somit GELD!

 

Und jetzt könnt ihr ja mal überlegen - vor dem Hintergrund eines kostenfreien Kontos obendrein - wieviele Überweisungen nur diese Bank hier pro Sekunde tätigt und wieviel sie dafür bereit ist zu investieren?! hmm was denkt ihr, vor allem auch noch vor dem Hintergrund eines kostenfreien Kontos. 😉

 

So und für alle die etwas tiefer einsteigen wollen in die wunderbare welt des online-Bankings kann ich als guten Einstieg das hier sehr empfehlen:

 

zum Warmwerden ein wenig aus der Historie: -> https://youtu.be/MYAwe-etEU0

darauf Aufbauend aus diesme Jahr: -> https://youtu.be/FByqA0Qry84

 

Und wer das sich angeschaut hat, kann ja jetzt mal überlegen, wie wahrscheinlich es ist, dass irgend eine Bank diesbezüglich inzwischen mehr gelernt haben wird. 😄

 

LG Fin

Findbhair
Autor ★★★
70 Beiträge

ach einen hab ich noch, der war auch witzig -> https://youtu.be/jltx8ifPKy8