comdirect

Hallo @Potzblitz9,

wir sind uns dieser Problematik bewusst und werden deshalb zusätzlich zu den schon vorhandenen TAN-Verfahren noch photoTAN-Push anbieten. Dann kannst du Apps von Drittanbietern nutzen, ohne mit der mobileTAN arbeiten zu müssen.

Viele Grüße

Philipp

Also ich möchte eigentlich gerne mit der mobileTAN arbeiten, denn es ist der einzige wirklich gut funktionierende Ersatz für die iTAN. Was daran stört ist lediglich eure inakzeptable Preisgestaltung und damit einhergehend die völlig überzogene und unnötige Flut von TAN-Abfragen.

Zur Zeit laufen bei mir fast jeden Tag in der Postbox die nutzlosen und überflüssigen Meldungen ein, dass Daueraufträge "gelöscht" wurden. Das liegt daran, dass sich nunmal das Jahresende nähert und Daueraufträge für kommunale Gebühren, Strom, Wasser etc. ganz normal und geplant zum letzten Mal ausgeführt werden. Wenn ihr schon solche Meldungen verschickt, gibt es aber keinerlei Grund, jedes Mal eine TAN dafür zu verlangen, dass die Postbox aufgesucht wird, weil dort so eine Meldung eingetroffen ist. Anderes Beispiel, gestern war die Aufforderung in der Postbox, die persönlichen Daten zu bestätigen. Eine TAN war dafür erforderlich, dass die Postbox besucht wurde, um die Meldung zu sehen, und eine weitere TAN soll dann noch für Bestätigung eingeben werden, dass sich an den persönlichen Daten nichts geändert hat. Einen Teufel werde ich tun. Warum stellt ihr diesen ganzen Unfug nicht ab? Eine Notwendigkeit dafür gibt es nicht, der Zugang zur Postbox muss nicht besonders geschützt werden. Der Zugang zu den persönlichen Daten oder den Steuerdaten wird übrigens nicht durch eine TAN-Abfrage blockiert, die darf jeder Hacker sehen, nur die Bestätigung, dass sich nichts geändert hat, soll 9 ct. kosten. Das ist alles nur noch absurdes Theater.

Um es wieder einmal in Erinnerung zu rufen, die "starke Authentifizierung" ist vorgeschrieben für Zahlungsverkehrsaufträge, für den Abruf von Kontoauszügen und anderen Zahlungsdokumenten, die älter als 90 Tage sind, und einmal alle 90 Tage für das login. Für alles andere könnte, wenn eine TAN überhaupt abgefragt werden muss, sogar die iTAN weiter verwendet werden. Es gibt Banken, die machen auch das. Funktioniert prima und ist kundenfreundlich.

Das wird sich durch eine Push-TAN-Lösung via App nur geringfügig bessern, auch diese Verfahren leiden darunter, dass sie nicht praktikabel sind.

 Hallo @RRRRRR,

ich leite deine Anregungen gerne an meine Kollegen in der Fachabteilung weiter.

Deine Annahme, dass der Zugang zur PostBox oder zu persönlichen Daten nicht durch die Eingabe eines zweiten Faktors geschützt werden muss, ist nicht richtig. Persönliche Daten - und die finden sich sowohl in deiner PostBox als auch in deinen Stammdaten - sind gemäß PSD2-Vorgabe durch einen zweiten Faktor zu sichern.

Wenn du ohne Eingabe einer TAN auf z. B. deine Stammdaten oder steuerlichen Daten * zugreifen kannst, dann kann es nur daran liegen, dass eine Session-TAN wirksam ist, die z. B. in derselben Session zuvor durch den Zugriff auf die PostBox aktiviert worden ist.

Gruß aus Quickborn

Erik

* Danke für den Hinweis an @Necoro !

---

@SMT_Erik  schrieb:

Wenn du ohne Eingabe einer TAN auf z. B. deine Stammdaten oder steuerlichen Daten zugreifen kannst, dann kann es nur daran liegen, dass eine Session-TAN wirksam ist, die z. B. in derselben Session zuvor durch den Zugriff auf die PostBox aktiviert worden ist.

---

Hallo @SMT_Erik,

auf die steuerlichen Daten kann immer ohne TAN zugegriffen werden, inkl. der vollständigen Historie der Steuerumsätze. Hat ja soweit auch erstmal nix mit Zahlungsverkehr zu tun.

Bei den persönlichen Daten wird aber in der Tat eine TAN abgefragt.

Gruß,
Necoro

Es kann sein, dass ich nur deshalb ohne (weitere) TAN zu den Stammdaten gekommen bin, weil ich die TAN schon brauchte, um in die Postbox zu kommen. Aber wenn hier ansonsten noch eine überflüssige und kostenpflichtige TAN abgefragt wird, macht es das nicht besser, sondern schlechter.

Was ich oben geschrieben habe, ist die offizielle Linie der BAFin und die ist das Maß der Dinge für das Bankwesen. Außerdem machen das 98% der Banken in Deutschland so, einschließlich aller Genossenschaftsbanken und Sparkassen. Dass comdirect und ein paar wenige andere meinen, es anders machen zu müssen, erinnert an den Geisterfahrer, der im Radio die Warnung vor einem Geisterfahrer auf seiner Fahrtroute hört und sich bitter beschwert, dass es Tausende Geisterfahrer sind und nicht nur einer.

Aber macht von mir aus, was ihr wollt, dann verliert ihr eben Kunden.

Es doch völlig absurd, wie die comdirect die PSD2 interpretiert: Wenn ich eine Überweisung mit TAN ausführe und in derselben Session noch den Kontoauszug abrufen will, braucht ich nochmal eine TAN. Ruft man dagegen erst den Kontoauszug ab, dann aktiviert man das Session-TAN Verfahren, das dann zwar für den Wertpapierhandel gilt, nicht aber für Überweisungen.

Wie @RRRRRR schon richtig schreibt, die comdirect ist hier als Geisterfahrer unterwegs, es gibt in Deutschland knapp 900 genossenschaftliche Banken, bei denen man sich "frei" im Onlinebanking bewegen kann und nur alle 90 Tage und bei Abruf von Umsätzen, die länger als 90 Tage zurückliegen eine TAN eingeben muss. Außerdem spammt die comdirect bei aktiven Tradern weiterhin die Postbox mit Kosteninformationen zu, die kein Mensch liest - bei den VR Banken wird die Kosteneinformation direkt per Link bei der Orderaufgabe bereitsgestellt - auch das scheint ja rechtskonform zu sein. Damit bleibt die elektronische Postbox den wirklich wichtigen Mitteilungen vorbehalten, die man dann auch nicht übersieht.

---

@Necoro  schrieb:

---

auf die steuerlichen Daten kann immer ohne TAN zugegriffen werden, inkl. der vollständigen Historie der Steuerumsätze [...]

---

In der Tat, auf die Steuerdaten inklusive Steueridentifikationsnummer

kann ohne TAN-Eingabe zugegriffen werden.

Ich muss sagen, das ist nicht ganz konsequent, ich würde auch diese

Daten als schützenswert halten und daher mit einer TAN-Abfrage absichern.

---

@einekundin  schrieb:
Ich muss sagen, das ist nicht ganz konsequent, ich würde auch diese

Daten als schützenswert halten und daher mit einer TAN-Abfrage absichern.

---

Und ich würde sagen, nein, um Himmels Willen nicht noch eine überflüssige TAN-Abfrage, nachdem ich bereits eingeloggt bin.

Allerdings muss ich Dir natürlich Recht geben. Wenn man dauernde TAN-Eingaben gut findet: Konsequent isses nicht.