comdirect

SMT_Chris · ‎21.03.2019

+++Update 26.03.2019+++

Nachfolgend findet ihr Links zu hilfreichen Kommentaren innerhalb dieses Threads. Einfach auf die jeweilige Frage klicken und schon landet ihr auf der entsprechenden Antwort. Die Liste werden wir bei Bedarf laufend ergänzen.

++++

Liebe Community,

die Abschaltung des iTAN-Verfahrens gemäß der EU-Zahlungsdiensterichtline (Payment Service Directive 2; kurz: PSD2) ist seit geraumer Zeit in aller Munde und auch in der Community gab es bereits dazu den einen oder anderen Thread. Das haben wir zum Anlass genommen, um auf die Abschaltung des iTAN-Verfahrens detailliert einzugehen.

Unterschiede zwischen photoTAN und iTAN und warum das photoTAN sicherer ist.

Anders als beim iTAN-Verfahren werden beim photoTAN-Verfahren TANs dynamisch generiert und sind nur transaktionsgebunden gültig. Eine genutzte TAN, wird nach dem Vorgang automatisch in der photoTAN-App oder im Lesegerät gelöscht.

Warum soll ich schon jetzt das photoTAN-Verfahren aktivieren, obwohl PSD 2 das iTAN-Verfahren noch bis September 2019 erlaubt?

Wir möchten sicherstellen, dass die Umstellung auf das photoTAN-Verfahren für unsere Kunden so reibungslos wie möglich verläuft. Wir haben uns deshalb dazu entschieden, unsere Kunden gestaffelt in Gruppen über die bevorstehende Abschaltung zu informieren und entsprechend die Abschaltung vorzunehmen. Alle unsere Kunden haben somit genügend Zeit, sich über die Neuerungen zu informieren und zur photoTAN zu wechseln.

Wie lange kann ich nach der Aktivierung des photoTAN-Verfahrens noch meine iTAN-Liste nutzen?

Sobald das photoTAN-Verfahren aktiviert wurde, verliert die iTAN-Liste ihre Gültigkeit.

Was passiert, wenn ich weiter das iTAN-Verfahren nutzen und nicht zum photoTAN-Verfahren wechseln möchte?

Wenn nicht zum photoTAN- oder mobileTAN-Verfahren gewechselt wird, können nach Ablauf der Frist beim Online-Banking keine Aufträge mehr erteilt werden. Wir empfehlen daher dringend, den Wechsel spätestens dann vorzunehmen, wenn wir über den jeweiligen Umstellungstermin informieren.

Auf welchen Geräten kann ich die comdirect photoTAN-App installieren?

Die photoTAN-App ist für Geräte mit den Betriebssystemen Android, iOS (Apple) und Windows verfügbar. Erhältlich sind die Apps in den offiziellen App-Stores und den Windows Phone Store.

Kann ich die photoTAN auch beim Mobile Banking mit meinem Smartphone nutzen?

Selbstverständlich! Hierbei handelt es sich um eine sogenannte App2App‐Lösung, die besonders schnell und praktisch ist. Voraussetzung ist, dass entweder die neue comdirect App, die trading App oder Mobox – die App zum JuniorGiro – auf dem entsprechenden Smartphone installiert ist. Diese verbindet sich dann automatisch mit der photoTAN‐App, und das Scannen der Grafik entfällt.

Was kann ich tun, wenn ich kein Smartphone besitze?

Selbstverständlich kann auch ohne ein mobiles Endgerät das photoTAN-Verfahren genutzt werden. In diesem Fall muss ein Lesegerät genutzt werden, das sich unsere Kunden für einmalig 34,90 Euro auf dem Postweg zuschicken lassen können.

Was muss ich beachten, wenn ich das Smartphone wechsle?

In diesem Fall gibt es mehrere Möglichkeiten:

Mit dem bisherigen aktivierten Smartphone

Login in den Persönlichen Bereich auf comdirect.de
Unter Verwaltung > PIN/TAN-Verwaltung > photoTAN auf „Weiteres Gerät aktivieren“ klicken.
photoTAN Grafik über altes Smartphone einlesen und TAN eingeben.
Es erscheint eine Aktivierungsgrafik – im Persönlichen Bereich - die mit dem neuen Gerät zu scannen ist.
Es erscheint eine weitere Grafik. Diese ebenfalls mit dem neuen Gerät einlesen.
Aktivierungscode im Persönlichen Bereich eingeben und in der photoTAN-App die Eingabe bestätigen.
Geschafft.

Mit dem Aktivierungsbrief

Login im Persönlichen Bereich auf comdirect.de
Unter Verwaltung > PIN/TAN-Verwaltung > photoTAN auf „Weiteres Gerät aktivieren“ und dann auf Button „Mit Aktivierungsbrief aktivieren“ klicken.
Aktivierungsgrafik aus dem Brief mit der photoTAN-App oder dem Lesegerät scannen.
Aktivierungsgrafik im Persönlichen Bereich scannen.
Aktivierungscode im Persönlichen Bereich eingeben und in der photoTAN-App die Eingabe bestätigen.
Geschafft.

Mit der Wiederherstellungsnummer (ab April 2019)
Ab April wird es eine Wiederherstellungsnummer geben, die der Kunde via SMS erhält, um photoTAN auf seinem Smartphone zu aktivieren.

Klick-Empfehlung:
Tipps & Tricks | Unsere Community-Regeln |
Wertpapiere im Editor suchen und verknüpfen | Deine Idee ist gefragt!

kammann · ‎11.04.2019

Sorry, aber die Freigabe zum Teilen des TAN-Generators durch das SMT erscheint mir grob fahrlässig: Die Mathematiker und Kryptologen, die den Sicherheitsstandard HDD 1.4 für TAN-Verfahren entwickelten haben sich durchaus etwas dabei gedacht, als sie TAN-Generator und Authentifizierungsmerkmal voneinander getrennt haben – beim „echten“ PhotoTAN-Verfahren mit Chipkarte kann man daher problemlos den TAN-Generator gemeinsam benutzen, denn das geheime Unterscheidungsmerkmal befindet sich auf der zusätzlich benötigten Chipkarte (Girocard).

Commerzbank und comdirect benutzen hingegen ein abgespecktes PhotoTAN-Verfahren, bei dem das Authentifierungsmerkmal auf den TAN-Generator „geladen“ wird. Genaugenommen können bis zu 8 unterschiedliche Merkmale gespeichert werden, es findet aber keine weitere Authentifizierung am TAN-Generator statt. Das kann man vom Sicherheitsniveau etwa vergleichen mit einem Dual-SIM Handy, bei dem bei beiden SIM-Karten die Pin-Abfrage deaktiviert wird – Jeder der in Besitz eines solchen Handys gelangt kann unbegrenzt auf beiden SIM-Karten telefonieren. Übertragen auf den TAN-Generator: Jeder der Zugriff auf den TAN Generator hat, kann über alle dort hinterlegten Konten verfügten, wenn z.B. über ein Phishing-Angriff vorher Zugangsnummer+Passwort ausgespäht wurde.

Die comdirect macht es sich hier meiner Meinung zu einfach und verlagert das Sicherheitsrisiko auf den Kunden – jede von einem aktivierten TAN-Generator freigegebene Transaktion wird die Bank dem Kunden zuordnen, der den betreffenden Zugang aktiviert hat. Im Falle eines Diebstahls oder einer Kopie des Authentifizierungsmerkmals haftet somit der Kunde.

Dieses Vorgehen der Bank erinnert mich stark an die ersten Skimming-Fälle bei den damaligen ec-Karten an Geldautomaten. Damals argumentierten die Banken auch, dass die damaligen ec-Karten mit Magnetstreifen sicher wären und unterstellten betroffenen Kunden, dass sie ihre PIN auf der Karte notiert hätten. Unzählige Gerichtsverfahren wurden zu Lasten der Kunden entschieden, bis klar wurde, dass Betrüger über gut getarnte Lesegeräte am Automaten + Kamera die Karten kopieren und die PIN ausspähen konnten. Da die Banken die Schuld nicht mehr länger auf die Kunden schieben konnten, wurden die schon Jahre vorher entwickelten Chipkarten zum Standard bei den heutigen Girocards.

Ich fürchte, dass sich diese Geschichte mit „halbgaren“ TAN-Verfahren wiederholen wird.

Weinlese · ‎12.04.2019

@kammann schrieb:
Die comdirect macht es sich hier meiner Meinung zu einfach und verlagert das Sicherheitsrisiko auf den Kunden

In einem anderen Thread hat jemand argumentiert, die comdirect reagiere überfürsorglich und lasse den Kunden nicht selbst Risiken tragen, weil sie das iTAN-Verfahren für den Wertpapierhandel nicht mehr zulässt. Wie man es als Bank also auch macht, irgendjemand wird sich immer unfair behandelt fühlen.

Viele Grüße

Weinlese

Goliath74 · ‎12.04.2019

@kammann schrieb:
Übertragen auf den TAN-Generator: Jeder der Zugriff auf den TAN Generator hat, kann über alle dort hinterlegten Konten verfügten, wenn z.B. über ein Phishing-Angriff vorher Zugangsnummer+Passwort ausgespäht wurde.

Du hälst einen Pishing-Angriff mit anschließendem Einbruch in die Wohnung, um an das Lesegerät zu kommen, für möglich?

Ich denke nicht.

Dann kann der jenige auch gleich die Karte klauen und schon ist das "echte" phototan Verfahren auch für die Katz.

Das ist alles zu viel evtl., vielleicht, wenn und aber.

Ich glaube daran wenn Grönland die erste bemannte Basis auf dem Mond eröffnet.

SMT_Erik · ‎12.04.2019

Hallo @kammann,

vielen Dank für deinen Hinweis. Du hast Recht, da wir auch in unseren AGB auf die Pflicht zur Geheimhaltung bei der Nutzung von Authentifizierungsinstrumenten hinweisen und damit haben @ehemaliger Nutzer und ich uns mit unseren Aussagen geirrt. Sorry!

Ich werde die letzten Posts entsprechend korrigieren.

Gruß aus Quickborn

Erik

Hilfreiche Links:

Unsere Community-Regeln | Labels in der Community | Tipps & Tricks rund um die Community
3 Zutaten für den perfekten Communitybeitrag | Der Community-Adventskalender!

thomasw · ‎12.04.2019

Schade, dass comdirect nicht erlaubt, dass ich die comdirect App auf einem anderen Gerät installieren möchte, als die photoTan-App. Das ist m.E. ein Sicherheitsrisiko.

Bis dahin werde ich eine Drittanbieter App fürs Banking nutzen, die die comdirect photoTanApp unterstützt ...

Goliath74 · ‎12.04.2019

Dann nehm doch die mobile App auf dem einen und die phototan App auf dem anderen Gerät. Das geht.

thomasw · ‎12.04.2019

Das geht wohl nicht. Hat mir auch comdirect so bestätigt.

Oder welche mobile App meinst Du? Mit Apps von Drittanbietern funktioniert es. Aber nicht mit denen von comdirect ...

Goliath74 · ‎12.04.2019

Diese App von comdirect zeigt Dir auch auf dem Handy die phototan Grafik an und Du kannst Sie mit einem anderen Gerät scannen. Eben ausprobiert. https://www.comdirect.de/cms/kontakt-zugaenge-mobile-app.html

dkb-Kunde · ‎14.04.2019

@Jodi schrieb:
Vor allem wenn man auch die günstigere Methode mit dem TAN Genarator anbieten könnte. Mir scheint, dass man die kleinen Fische los werden will. Ich befasse mich auf jeden Fall gerade mit Alternativen. Die ING wird das Verfahren mit dem TAN Generator anbieten und die DKB hat es auch. Da ich bei beiden bereits Kunde bin, schaue ich mal ob ich nicht alles dort dann mache.

Same thing here.

Eigentlich hatte ich die Überlegung, so in etwa mittelfristig - je, nachdem, wie sich das Ganze hier bei genauem Hinschauen und je nach den gemachten Alltagserfahrungen entwickelt - zumindest mit einem Teil meines Depots zur angebl. so kostengünstigen Testsieger-comdirect zu wechseln.

Das hat sich ab sofort erledigt.

Wer derart seine Kunden zu gängeln versucht - wie bspw. aktuell beim nachgeraden Erzwingenwollen bestimmter Prozeduren beim Online-Banking, der kann sich gerne seine Einlagen selbst backen ... da hab' ich ganz einfach keinen Bock drauf.

Die "... bedingunglos kostenlose ..." comdirect-Onlinekonto-Variante erweist sich inzwischen in Wahrheit, beinahe von Quartal zu Quartal und über alles betrachtet, als sukzessive unkostentreibende Verhohnepiepelung.

Dazu noch diese (eigentlich fast unehrlichen) Kommunikationsstrategien gegenüber (hinterfragenden) Kunden, dass wechselweise die BaFin, die PSD 2 oder wer weiss sonst noch die eigentlichen Verursacher der (versteckten Neben-) Kosten seien... Man selbst wolle ja nicht unbedingt, man müsse halt leider, leider... Z. B. mittels (sehr) teurem, noch dazu proprietärem Hardwareverkauf so nebenbei weiteren Umsatz aus vorgeblich kostenlosen Angeboten zu generien versuchen. Top!

Da kann ich dann entweder gleich wieder vollständig zur hiesigen Volksbank

zurückwechseln ... oder mir die zwei, drei anderen reinen Onlinebanken anschaun, die de facto wirklich so gut wie kostenlos sind - selbst über alles betrachtet; und dies trotz PSD 2, trotz Multifaktor-Authentifizierung/-Verifizierung und Co.

Warum kann der angebl. "Bank neu denken"-Testsieger nicht tatächlich und ehrlich wenigstens das, was andere können?

Goliath74 · ‎14.04.2019

Ich zahle bei der codi nichts für mein Girokonto, nicht für mein Depot, nichts für meine Tans sondern ich zahle den normalen Preis für eine Order. Das war´s.

@dkb-Kundeviel Spaß bei der Volksbank oder dkb.

comdirect

iTAN geht. photoTAN kommt. FAQ zur Umstellung.