comdirect

Hallo @SMT_Erik ,

ja, das ist mir aus eigenen Recherchen bekannt. (In den über die Zeit eingegangenen Benachrichtigungen, dass sich die benutzten TAN-Verfahren ändern würden, spielte diese Option leider nur eine sehr untergeordnete Rolle.)

Am liebsten würde ich aber den TAN-Generator meiner alten Bank weiterverwenden, anstatt einen zusätzlichen zu erwerben. Der ist genauso sicher, erfasst die Daten aber per Flickercode oder manueller Eingabe.
Auch hat er damals nur ca. 10 Euro gekostet und eine Knopfzelle hält ca. 10 Jahre.

Selbst wenn comdirect im Online-Banking-Portal keine Flickercodes anbieten möchte, wäre ich mit einer manuellen Eingabe der Überweisungsbestandteile ja schon vollends zufrieden.
Mir ging es noch nie darum, bei einer Überweisung "wertvolle Sekunden" zu sparen, sondern den Vorgang sicher abzuschließen!

(Deshalb mag ich auch keine TAN-losen Überweisungen "kleiner Beträge" oder das kontaktlose Bezahlen per EC-Karte [siehe meinen Beitrag als "NetY", als der ich mich dieses Jahr leider nicht mehr einloggen konnte].)

Am liebsten würde ich aber den TAN-Generator meiner alten Bank weiterverwenden, anstatt einen zusätzlichen zu erwerben. Der ist genauso sicher, erfasst die Daten aber per Flickercode oder manueller Eingabe.
Auch hat er damals nur ca. 10 Euro gekostet und eine Knopfzelle hält ca. 10 Jahre.

Auch mit den Tangeneratoren kochen die Banken (nicht nur die Comdirect) praktisch alle ihre eigene Suppe. Auch da fehlt eine verpflichtende Standardisierung.

Das gilt wahrscheinlich vorrangig für die großen Banken, die kleineren können sich das nicht leisten. - Wenn ich z. B. bei eBay ganz allgemein nach "TAN Generator" suche, dann bekomme ich sofort eine ganze Reihe von "brandneuen" baugleichen Geräten angezeigt, wie ich auch eines bei meiner alten Bank erworben hatte.
Da steckt wirklich nicht viel dahinter. Es soll ja nur auf einfache, zuverlässige, energiesparende, auf lange Sicht wartungsfreie Art und Weise bestätigt werden, dass der Kunde auch wirklich im Besitz der EC-Karte ist. Dafür benötigt man keine Digitalkameras, bunte Displays (vielleicht sogar noch Internetanbindung!?) oder andere fehleranfällige Hardware. - Ein einfacher Kartenleser, der mit einigen Daten der aktuell zu bestätigenden Aktion gefüttert wird, ist völlig ausreichend!

Zwischenzeitlich musste ich mir jetzt auch zwangsweise die photoTAN-App installieren, weil comdirect mir nicht mal mehr ein Login erlauben wollte. - Dabei wollte ich nur nach meinem Kontostand schauen - von Banktransaktionen mit dem neuen Konto hatte ich zwischenzeitlich Abstand genommen.
Wenn man Ahnung von der Technik hat, dann ist das ein EXTREM ungutes Gefühl! Kein Sachverständiger würde sich wohl trauen, guten Gewissens ein Smartphone (oder anderes Android-Gerät) für die Nutzung als sicheren "2. Faktor" zu empfehlen!
(Ein sicheres, selbst zu verwaltendes Linux auf einem dafür zu rootenden Mobilgerät zu installieren, wird wohl niemals den normalen Bankkunden empfohlen werden!)

Ein echter TAN-Generator liegt offline und ausgeschaltet daheim im Schrank. Ein Dieb müsste mir nicht nur die EC-Karte entwenden, sondern auch noch meine Wohnung ausfindig machen, dort einsteigen und alles durchsuchen. ... (Ich habe übrigens kein Problem damit, nicht an jeder Straßenecke jedem Fremden sofort etwas überweisen zu können.)
Ein Smartphone oder anderes Mobilgerät hat üblicherweise Netzwerkverbindungen und auch andere Apps installiert (von den hunderten vorinstallierten Hintergrundprozessen, die alles abgreifen, ganz zu schweigen) - außerdem haben die Kunden es üblicherweise immer dabei! Meist sogar in derselben Tasche wie ihr Portemonnaie! ... Eigentlich kann ich mir von hier aus alles Weitere sparen. Jeder sollte diesen Gedankengang selbst vervollständigen können.

Nun aber noch ein paar konstruktive Fragen zur zwangsweise installierten photoTAN-App:
Was passiert, wenn jemand den Cache bzw. die Daten der App löscht (übliche "Optimierungs-" bzw. Fehlerbehebungsmaßnahme, wie sie ständig in Foren den unbedarften Benutzern bei allen nur erdenklichen App-Problemen gleich als Erstes empfohlen wird), wenn die App einfach mal deinstalliert wird, wenn das ständig überall in Benutzung stehende Gerät ausfällt / beschädigt wird usw.? Oder was passiert, wenn das gesamte Gerät verloren geht?
(Die genannten Punkte sind für einen TAN-Generator im heimischen Schrank fast schon uninteressant - für die App auf einem täglich genutzten Mobilgerät aber äußerst wichtig!)
Muss die alte App-Installation irgendwie "gesperrt" werden (/ Sperr-Notruf)?
Wie kann man sich noch anmelden bzw. eine neue App registrieren, um weiterhin / wieder Überweisungen tätigen zu können? Für die Einrichtung wurde zuvor ja noch eine Papier-TAN benötigt.

Ich hoffe, dafür liegt ein greifendes Sicherheitskonzept vor, nicht nur eine einfache "Selbstverwaltung" durch den Kunden, ganz ohne TAN oder sonstiges zusätzliches Sicherheitsmerkmal.
(Diese Selbstverwaltungsakte stellen natürlich ideale Angriffsszenarien dar!
Am Beispiel der Überweisungslimits: Diese stellten früher eine Sicherheitsschranke dar. Das instantane Leerräumen des Kontos durch Unbefugte wurde erschwert. Wollte der Kunde selbst ausnahmsweise eine größere Summe überweisen, so musste er dies der Bank vorher persönlich ankündigen. - Heutzutage geht das alles online! Cyber-Kriminelle können sich nach Belieben die Limits hoch setzen, um wieder alles auf einen Schlag abräumen zu können. Überweisungslimits sind also nur noch Augenwischerei, wahrscheinlich der Gewohnheit der Kunden geschuldet.)

Ich hoffe wirklich sehr, es ist nicht nur das "Passwort", also die kleine PIN zum Anmelden beim Onlinekonto. Das würde das gesamte Sicherheitskonzept ad absurdum führen.
Kleiner Exkurs: Ich weiß, wie die meisten Nutzer mit ihren Passwörtern umgehen! (Eines für alles, am besten noch im Browser gespeichert! Oder an zentraler Stelle [dort wo Trojaner und Viren zuerst Daten abgreifen], z. B. dem Adressbuch, notiert usw.) Trotz laufender Virenscanner finden auch immer mal wieder Keylogger ihren Weg auf den PC. Dann hilft auch die eigene Sorgfalt nicht mehr weiter. - Auf Mobilgeräten muss man sich darüber gar keine Gedanken machen ... denn da hat praktisch jeder gleich von Haus aus seinen eigenen Keylogger installiert! Der nennt sich dort "Tastatur". (So gut wie jede vorinstallierte und so gut wie jede [über die großen, unsicheren Stores] nachinstallierbare Tastatur-App speichert jeden einzelnen Tastenanschlag und schickt ihn live oder später an sein "Herrchen". Die bei langsamen Schreibern so beliebten Vorschläge werden meistens nicht offline, sondern online, vom Betreiber der App aus den "Vorlieben" des Nutzers generiert.) So wandert jedes Login / Passwort zu diversen Interessengruppen, direkt oder indirekt. Die großen Firmen werden zwar niemals offiziell etwas damit anfangen - aber deren Datenbanken sind auch nicht unverwundbar!
---> Deshalb gibt es das Zwangskriterium des "Besitzes" (der EC-Karte, des speziell registrierten TAN-Generators oder dergleichen)!

Hallo @NetY2 ,

danke für dein erneutes Feedback. Ich habe es gerne an unsere Fachabteilung weitergegeben und einige Anmerkungen (fettkursiv) von unserer Seite ergänzt.

@NetY2  schrieb:

...

Zwischenzeitlich musste ich mir jetzt auch zwangsweise die photoTAN-App installieren, weil comdirect mir nicht mal mehr ein Login erlauben wollte. - Dabei wollte ich nur nach meinem Kontostand schauen - von Banktransaktionen mit dem neuen Konto hatte ich zwischenzeitlich Abstand genommen.

 

Seit 14.09.2019 ist gemäß der PSD2-Richtlinie beim Login via Webseite alle 90 Tage und via App einmalig nach jeder Neuinstallation die Eingabe eines zweiten Faktors in Form einer TAN notwendig.

 

Wenn man Ahnung von der Technik hat, dann ist das ein EXTREM ungutes Gefühl! Kein Sachverständiger würde sich wohl trauen, guten Gewissens ein Smartphone (oder anderes Android-Gerät) für die Nutzung als sicheren "2. Faktor" zu empfehlen!
(Ein sicheres, selbst zu verwaltendes Linux auf einem dafür zu rootenden Mobilgerät zu installieren, wird wohl niemals den normalen Bankkunden empfohlen werden!)

 

Das von uns implementierte Procedere entspricht der o.g. Richtlinie.

...

Nun aber noch ein paar konstruktive Fragen zur zwangsweise installierten photoTAN-App:
Was passiert, wenn jemand den Cache bzw. die Daten der App löscht (übliche "Optimierungs-" bzw. Fehlerbehebungsmaßnahme, wie sie ständig in Foren den unbedarften Benutzern bei allen nur erdenklichen App-Problemen gleich als Erstes empfohlen wird), wenn die App einfach mal deinstalliert wird, wenn das ständig überall in Benutzung stehende Gerät ausfällt / beschädigt wird usw.?

 

In diesem Falle ist die erneute Aktivierung der photoTAN App erforderlich. Das ist ist mittels Wiederherstellungsfunktion, eines weiteren aktiven TAN-Verfahrens (mobileTAN) oder mit einer aktuellen photoTAN-Aktivierungsgrafik möglich.

 

Oder was passiert, wenn das gesamte Gerät verloren geht?

 

Bei Verlust (oder Diebstahl) des Gerätes empfehlen wir,  schnellstmöglich mit uns unter 04106 - 70 8 25 00 Kontakt aufzunehmen. Vorhandene Aktivierungen werden gesperrt und eine neue Aktivierung angestoßen.

...

Am Beispiel der Überweisungslimits: Diese stellten früher eine Sicherheitsschranke dar. Das instantane Leerräumen des Kontos durch Unbefugte wurde erschwert. Wollte der Kunde selbst ausnahmsweise eine größere Summe überweisen, so musste er dies der Bank vorher persönlich ankündigen. - Heutzutage geht das alles online! Cyber-Kriminelle können sich nach Belieben die Limits hoch setzen, um wieder alles auf einen Schlag abräumen zu können. Überweisungslimits sind also nur noch Augenwischerei, wahrscheinlich der Gewohnheit der Kunden geschuldet.)

Ich hoffe wirklich sehr, es ist nicht nur das "Passwort", also die kleine PIN zum Anmelden beim Onlinekonto. Das würde das gesamte Sicherheitskonzept ad absurdum führen.

 

Änderungen am Überweisungslimit sind TAN-pflichtige Prozesse.

 

...

 

Gruß aus Quickborn

Erik

 

Danke für die prompte Antwort.

Habe ich das jetzt richtig verstanden, dass ich also sogar noch ein zweites Gerät benötige, um im Falle des Ausfalles des Smartphones / der App wieder an mein Konto zu kommen (für TAN-pflichtige Transaktionen in jedem Fall und nach 90 Tagen auch für das bloße Login)?

Dieses zweite Android-Gerät sollte dann also immer sicher im heimischen Schrank liegen.
Im Prinzip kann man dann also auf die Installation auf dem täglich genutzten Gerät komplett verzichten - und es läuft darauf hinaus, was in anderen Beiträgen dieses Forums bereits angesprochen wurde, nämlich dass Kunden sich ausschließlich zum Zwecke der TAN-Generierung ein Smartphone anschaffen müssen, was dann auch noch für nichts anderes benutzt werden darf.
Ganz abgesehen von den Anschaffungskosten gibt es tatsächlich auch heutzutage noch Menschen, die sich solche Geräte generell nicht anschaffen würden. Andere bekommen abgelegte Geräte von Freunden oder aus der Familie geschenkt - niemals ahnend, wer sie alles schon in den Händen hielt und was (Ja, auch nach dem Zurücksetzen auf Werkseinstellungen!) darauf noch so alles im Hintergrund werkelt. - Und darauf wird dann eine Software-Zugangskomponente für das Bankkonto installiert. ...

Die ganze Diskussion gäbe es nicht, wenn ich den bereits im Schrank liegenden TAN-Generator zusammen mit meiner comdirect-EC-Karte nutzen könnte!
Formulierungen wie "Geräte anderer Banken können aufgrund abweichender technischer Standards nicht genutzt werden." (aus einem anderen Beitrag kopiert) lassen mich übrigens regelmäßig erschaudern. Wenn ein Unternehmen, um die Kundenbindung zu maximieren, sich gegen den Einsatz von etablierten Technologien und für eine absichtlich inkompatible Eigenentwicklung entscheidet, dann wird daraus KEIN "technischer Standard"!!!
Den gibt es leider nicht. Ich habe danach gesucht - und Vergleichstests zu TAN-Generatoren gelesen. Einmal war sogar ein einzelner photoTAN-Generator unter allen Kandidaten, für ein paar Euro weniger als bei comdirect, auch als Einziger mit 3 AAA-Batterien statt der sonst üblichen Knopfzellen. Im Kleingedruckten des Herstellers stand aber sogar bei diesem einzig möglichen Kandidaten, dass er comdirect nicht unterstützen würde. ...

Noch zum Überweisungslimit-Beispiel (leider etwas länger geworden):
"Änderungen am Überweisungslimit sind TAN-pflichtige Prozesse."
---> Ja, so wie andere Transaktionen auch. Hier sollte es darum gehen, dass Software-TAN-Generatoren auf mehrfach genutzten Geräten "keine Ideallösung" darstellen.
In den TAN-Generator meiner alten Bank muss ich zumindest meine EC-Karte einlegen. Bei comdirect wird der eigentliche Besitz dieses echten "zweiten Faktors" allerdings gar nicht überprüft.
Das Anliegen meines Beispiels war aber noch einmal ein ganz anderes: Es sollte auf die früher stärker vorhandene Sicherheitsfunktion der Limits hinweisen. Wenn nur 1000 Euro pro Tag überwiesen werden dürfen, dann braucht ein Unbefugter auch ganze 10 Bankarbeitstage, um 10000 Euro zu entwenden. Dadurch steigen die Chancen ungemein, dass der Kontoinhaber davon etwas mitbekommt und bei der Bank die sofortige Sperrung einleiten kann.
Allerdings habe ich zwischenzeitlich gesehen, dass es bei comdirect gar keine "richtigen" Überweisungslimits in diesem Sinne gibt, oder? Hier scheint nur ein Limit für den einzelnen Überweisungsvorgang zu existieren!? Mir ist gerade nicht ersichtlich, was für einen Sicherheitsgewinn dies bringen sollte. Jemand mit Zugang zur TAN-App kann schließlich einfach mehrere Überweisungen auslösen (oder das Limit hochsetzen), womit das gesamte Konto wieder an nur einem Abend geleert wäre - und der Kontoinhaber schaut am nächsten Morgen in die (dann leere) Röhre!
Bei meiner alten Bank kann man mittlerweile auch das (echte) Überweisungslimit in Selbstverwaltung anpassen und benötigt keinen persönlichen Kontakt zur Bank mehr, was sicherheitstechnisch einen Rückschritt (aber natürlich eine Ersparnis für die Bank) bedeutet.
Aber noch einmal der Unterschied: Von der alten Bank habe ich einen gängigen, einfachen, zuverlässigen, austauschbaren TAN-Generator für einige Euro erstanden, welchen ich mit zwei Knopfzellen viele Jahre lang betreiben und sicher im Schrank verwahren kann. Ein Krimineller müsste mir nicht nur mein Zugangspasswort stehlen (leider heutzutage, trotz größter Sorgfalt einzelner Kunden, über viele, viele digitale Wege möglich), sondern mir auch noch da draußen in der realen Welt meine EC-Karte stehlen! (Scriptkiddies gibt es reichlich, aber nur wenige organisieren sich, um im echten Leben EC-Karten zu stehlen. - Sie könnten ja schließlich "erwischt" werden!)
Auf der anderen Seite steht comdirect mit der reinen Software-App. Ich hatte gehofft, mich hier von speziellen Beispielen fernhalten zu können, weil ich es für selbsterklärend hielt. Aber es hat wohl nicht sollen sein. Das klassische Beispiel heißt hier wohl "Whatsapp". Diese spezielle Spyware haben sehr viele Leute, ganz sicher auch Kunden von comdirect, installiert. Es soll hier gar nicht um die Datenschutz-Problematik oder die willentlichen, intendierten illegalen Aktivitäten (auch ganz ohne DS-GVO) dieser App gehen. Es gibt ohne Ende Whatsapp-Skandale, auch als beliebtes Einstiegstor für Schadsoftware. Genauso wie Facebook jede Aktivität der eindeutig identifizierten, gläsernen Nutzer verfolgt, kann ihnen auch ganz gezielt durch einen einfachen Whatsapp-Anruf entsprechende professionelle Überwachungs- und Fernsteuerungssoftware untergeschoben werden - ohne dass der Nutzer irgendwo auch nur die geringste Spur davon finden könnte! In diesem Beispiel geht es um professionelle Entwicklungen von Geheimdiensten, die diese vorrangig auf "böse Menschen" ansetzen. Aber wie immer, wenn die Mittel einmal geschaffen wurden, werden sie natürlich auch gegen "andere Ziele" eingesetzt.
Heutzutage benötigt niemand mehr die Mitarbeiter von Gestapo und Stasi; die werden (tausendfach effizienter) freiwillig in der Hosentasche mit herumgetragen. Das ist die heutige Realität und darauf müssen auch Banken achten. Ein Abbau der seit Langem etablierten Sicherheitsfaktoren (hier: die EC-Karte!) ist da meiner Meinung nach eher kontraproduktiv.

@NetY2 

Die Entscheidung, welche Authentifizierungsverfahren eingesetzt werden, trifft eine Bank in erster Linie auch nach wirtschaftlichen Aspekten. Wollte man jeden Kunden zufriedenstellen, müsste man wohl jedes denkbare Verfahren umsetzen. Mit den mobile- und photoTAN-Verfahren deckt die comdirect den Teil der Kunden ab, die ein Mobiltelefon oder Smartphone nutzen (ich schätze das dürften so 99% sein). Für den kleinen Rest gibt die Möglichkeit ein externes Lesegerät (leider nicht ganz günstig) zu kaufen.

Lohnt es sich nun im Kosten-Nutzen-Verhältnis also, noch ein drittes Verfahren anzubieten, im Wesentlichen für das restliche eine Prozent? Ich gehe davon aus, das Bankmanagement hat sich Gedanken dazu gemacht und die Frage offensichtlich mit einem Nein beantwortet. Damit verärgert man möglicherweise einen kleinen Teil der Kunden, stellt für einen deutlich größeren aber eine bequemere Alternative zur Verfügung.

Viele Grüße

Weinlese

Hallo Weinlese,

Deine Argumentation klingt natürlich ganz schlüssig - nur leider ignoriert sie die grundlegenden Voraussetzungen bzw. Anforderungen der ursprünglichen Entscheidungsfindung (über die hinterher natürlich auch nur noch spekuliert werden kann). Dass der aktuelle Zustand für 1 % der Kunden nicht zufriedenstellend ist (und den restlichen 99 % ist es einfach mal "egal"), ist kaum diskussionswürdig.
Meine Argumentation betrifft die Ausgangssituation. Vor der von den großen Banken absichtlich so festgefahrenen Situation!

Banken haben kein Interesse daran, dass Kunden ihre Gerätschaften kreditinstitutsübergreifend benutzen können. Denn dann könnten diese schließlich auch leichter ihre Bank wechseln! ...
Also werden technische (absichtliche Inkompatibilität der TAN-Generatoren) und finanzielle (erhöhte Anschaffungskosten der TAN-Generatoren) Hürden aufgebaut, um, wie bereits ausgeführt, die eigenen Kunden möglichst stark zu binden. Das ist kein Geheimnis, das lernt jeder BWL-Student an der Uni.

Man kann also nicht einfach die jetzige, bereits Bank-gemachte Situation als Diskussionsgrundlage nehmen, sondern muss analysieren, wie es zu diesem Zustand kam.

Hätte comdirect für die geforderte TAN-Umstellung nicht nur aus den genannten, explizit wirtschaftlichen Gründen gehandelt (Kundenbindung, Kundenbindung, Kundenbindung!), so sähe die aktuelle Situation ganz anders aus. Die 99 %, denen ihre Sicherheit egal ist, wären mit einer sicheren Lösung ebenso glücklich, genauso wie das 1 %, welches sich informiert. Diese Lösung (einfacher Kartenleser mit wie-auch-immer gestalteter Informationsübertragung für auszuführende Aktionen) wäre nicht nur sicherer, sondern auch preiswerter für die Kunden und nahezu kostenlos für die Bank (fertige Geräte + Aktualisierung des Online-Banking-Portals)!

(Mal wieder ein kleiner Exkurs: Auch ohne expliziten technischen Standard gibt es etablierte Herangehensweisen an jede Entwicklungsaufgabe. - Kein Entwickler möchte das Rad zweimal erfinden, weshalb IMMER mit einer Recherche begonnen wird. Was gibt es bereits? Wie kann es weiterverwendet werden? ... In diesem Fallbeispiel schafft eine einfache eBay-Suche bereits Klarheit oder ein Blick auf diverse Wikipedia-Seiten [z. B. https://de.wikipedia.org/wiki/Electronic_Banking#Onlinebanking] oder die Suche nach Vergleichstests etablierter TAN-Generatoren, ... - Dass solcherlei Recherchen hier anscheinend keinen Einzug gehalten haben, zeugt von Management-getriebener Entwicklung bzw. Entwicklern.)

Ich finde das Weiterleiten meiner Nachrichten zwar nett - aber die Entwicklungsabteilung wird nichts Grundlegendes tun können bzw. dürfen. Die Entscheidungsgewalt liegt bei anderen.
Nur die reinen, ersten Verbesserungsvorschläge für die photoTAN-App sollten für die Entwicklungsabteilung Relevanz besitzen. Eine "richtige" Lösung wurde wahrscheinlich nie gewünscht, sonst hätte sie einfach "kostenlos" vom restlichen Markt übernommen werden können.


Viele Grüße
NetY