Ich muss leider dieses alte Thema wiederbeleben - die Session-TAN hat aus meiner Sicht gravierende sicherheitstechnische Nachteile.
Ich nutze Foto-TAN mit so einem extra Gerät(Cronto). Dieses habe ich in den letzten Jahren lediglich benötigt um Überweisungen bzw. Order auszuführen (also alle 2 Wochen). Ansonsten war/ist es sicher verwahrt.
Sicherheitsproblem 1: Photo-TAN beim Login erforderlich
Entweder a) die Bedienung wird deutlich umständlicher (sichere Verwahrung ist aufwendig), b) Gerät wird zugriffsbereit verwahrt oder c) zugunsten einfacher Bedienung kompletter Wechsel auf Handy. Wobei c) zum GAU wird wenn das Banking über das gleiche Handy abgewickelt wird, dann wird die Zwei-Faktor-Authentifizierung zur Einfaktor-Authentifizierung.
Sicherheitsproblem 2: Session-TAN
Folge finanziell wirksame Buchungen können ohne weitere Freigabe erfolgen. Mein Foto-TAN Gerät zeigt mir in einem Display an was ich gerade Freigebe. Das wird komplett umgangen, diese Buchungen (Order) werden ohne erneute Anzeige und Bestätigung ausgeführt. Warum? Der Komfortgewinn ist minimal, es liegt alles bereit was man braucht - da man es breits für den Login benötigt hat. (Gibt es die Sorge die Kunden von Trades abzuhalten?)
Zusammengefasst macht der (vermeitlich) hohe Schutz den Lesezugriff unkomfortabel, wodurch die Schutzmaßnahmen auf Kundenseite errodieren und den Schreib-Zugriff gibt es im gleich mit dazu.
Das Argument, das hier entgegengehalten wird: "Das ist ja alles nicht so schlimm, man kann ja keine Überweisungen tätigen", gilt aus meiner Sicht auch nur eingeschränkt. Man kann auch mit Wertpapiertransaktionen den Kontostand dauerhaft auf 0 bringen.
Aus meiner Sicht besteht hier dringend Nachbesserungsbefarf. Mir ist bewusst, dass ein Teil des Problems vom Gesetzgeber verursacht ist. Was möglich ist, muss angepasst werden kann (Session-TAN muss deaktivierbar sein).
, da die Comdirect bis heute keinen Sammeldownload anbietet.
