am 04.09.2019 11:27
Hallo liebes @Social-Media-Team,
beim gelangweilten Anklicken der aktuellen PSD2-Werbung ist mir folgendes ins Auge gefallen:
Mehr Komfort im Wertpapiergeschäft
Wenn Sie bei einem Besuch im Persönlichen Bereich bereits einmal eine TAN eingegeben haben, ist für weitere Transaktionen zu Ihrem Depot keine erneute TAN-Eingabe erforderlich.
Interpretier ich das richtig, dass im Wertpapiergeschäft in Zukunft nun immer das Verfahren der Session-TAN gilt und man dies nicht ändern kann? D.h. es gibt kein Netz mehr beim Absetzen von Wertpapiergeschäften? Ich habe mich bisher immer darauf verlassen, dass ich in Ordermasken so lange rumklicken kann, wie ich will - solange ich keine TAN eingegeben habe, kann nichts passieren. Das gilt nun wohl nicht mehr?
Danke,
Necoro
Gelöst! Gzum hilfreichen Beitrag.
am 16.09.2019 23:40
@dsmr, wie gesagt ...
@NR schrieb:Und die Bafin meint:
Das iTAN-Verfahren ist darum bis zum 14. September 2019 abzuschaffen, zumindest für die Auslösung elektronischer Fernzahlungen. Für die Beauftragung von Wertpapiergeschäften kann es beispielsweise weiter verwendet werden, da diese nicht vom Anwendungsbereich der PSD 2 erfasst sind.
PSD2, im Bezug auf unsere Depots, gilt also nur für das Login und den Zugriff auf persönliche Daten.
am 17.09.2019 19:57
@Necoro schrieb:Nachtrag: Vom schnellen Blick: PSD2 basiert auf Richtlinie (EU) 2015/2366. Dort in Art. 3 lit. i) sind WP-Geschäfte imho ausgenommen. (Wobei der Satz wieder grottenschlecht formuliert ist... Schachtelung der 'oder's ist unklar, genau wie Rückbezüge wie 'deren')
Der Satz ist in der Tat unklar. Ich denke jedoch, er bezieht sich im wesentlich auf den Handel innerhalb von Börsen o.ä. Es gibt IMO auch keinen offensichtlichen Grund, den Kauf von Wertpapieren durch Verbraucher auszunehmen.
Ganz davon abgesehen ist mir das auch egal. Ich fühle mich schlicht nicht wohl dabei und kann nicht verstehen, warum das jetzt zwangsweise so gehandhabt wird, vor allem, weil es zuvor schon die Wahlmöglichkeit gab. Wenn SMS-TAN die Comdirect zuviel Geld kosten, soll sie dafür halt Gebühren einführen.
am 17.09.2019 20:38
@NR schrieb:@dsmr, wie gesagt ...
@NR schrieb:Und die Bafin meint:
Das iTAN-Verfahren ist darum bis zum 14. September 2019 abzuschaffen, zumindest für die Auslösung elektronischer Fernzahlungen. Für die Beauftragung von Wertpapiergeschäften kann es beispielsweise weiter verwendet werden, da diese nicht vom Anwendungsbereich der PSD 2 erfasst sind.
PSD2, im Bezug auf unsere Depots, gilt also nur für das Login und den Zugriff auf persönliche Daten.
Deine Antwort hat wenig mit der Frage hier zu tun. Der Thread behandelt die Frage Session-TAN oder nicht. Die Bafin redet von ITAN oder PhotoTAN. Selbst wenn ITAN im Aktienhandel weiterhin erlaubt sein sollte, sagt das bezüglich der Session-TAN überhaupt nichts aus.
am 17.09.2019 20:49
Ich sehe halt immer noch kein realistisches Angriffsszenario. Im schlimmsten Fall könnte ein Angreifer alle Wertpapiere verkaufen (der Verkaufserlös würde nur auf dem Verrechnungskonto landen) oder das Kreditkonto ausreizen. Was hätte er davon?
Die comdirect wird halt intern festgestellt haben, dass der überwiegende Anteil der Kunden das Session-TAN-Verfahren bereits nutzt. Warum also noch einen zweiten Codezweig aufrecht erhalten, wenn es gesetzlich nicht vorgeschrieben ist und in der Praxis keine Nachteile mit sich bringt?
am 17.09.2019 20:50
@dsmr schrieb:Der Satz ist in der Tat unklar. Ich denke jedoch, er bezieht sich im wesentlich auf den Handel innerhalb von Börsen o.ä. Es gibt IMO auch keinen offensichtlichen Grund, den Kauf von Wertpapieren durch Verbraucher auszunehmen.
Der Deutung würde ich mich anschließen. Mir ist nur nicht klar, was nun der Course of Action ist.
Die comdirect wirbt auf der PSD2-Infoseite recht offensiv mit Session TAN. Daher glaube ich nicht mehr an einen Lapsus, sondern vermute Kalkül. Vielleicht hegt man die Hoffnung, dass PSD2-gestresste Menschen jetzt in Strömen zur comdirect kommen, weil dort etwas einfacher geworden ist. Den späteren Ärger nimmt man in Kauf.
Wen dem so ist, wird comdirect nicht mea culpa rufen, sondern Zweifel an Sicherheit und Legalität - insbesondere pseudonym aus der Community - einfach ignorieren. Mir fehlt die Fantasie, wie kurzfristig der nötige Druck entstehen sollte. Eine Session-TAN-Greta ist nicht in Sicht. 😉
Der Wechsel zu einem anderen Anbieter erscheint mir immer mehr als praktikabelste Lösung für mich.
am 17.09.2019 20:53
@Tastenhauer schrieb:Ich sehe halt immer noch kein realistisches Angriffsszenario. Im schlimmsten Fall könnte ein Angreifer alle Wertpapiere verkaufen (der Verkaufserlös würde nur auf dem Verrechnungskonto landen) oder das Kreditkonto ausreizen. Was hätte er davon?
Weiter oben (bei mir Seite 5) hatte ich ein recht detailiertes Beispiel, wie ein Angreifer das ganze Geld mit Hilfe einer geeigneten Aktie (mit wenig Liquidität und hohem Spread) über die Börse abziehen kann.
am 17.09.2019 21:03
@NichtDoch schrieb:
Der Wechsel zu einem anderen Anbieter erscheint mir immer mehr als praktikabelste Lösung für mich.
Wobei die Konkurrenz gerade auch nicht sonderlich glänzt. Mir ist das Thema selbst nicht wichtig genug für eine Art von Action, würde aber trotzdem raten, erst einmal abzuwarten bis sich der PSD2-Staub gelegt hat. Mich würde nicht überraschen, wenn die Banken bis Ende des Jahres noch nachjustieren.
am 17.09.2019 21:06
@dsmr schrieb:Deine Antwort hat wenig mit der Frage hier zu tun. Der Thread behandelt die Frage Session-TAN oder nicht. Die Bafin redet von ITAN oder PhotoTAN. Selbst wenn ITAN im Aktienhandel weiterhin erlaubt sein sollte, sagt das bezüglich der Session-TAN überhaupt nichts aus.
... Du hast behauptet, was comdirect mache sei "schlicht illegal" und linkst die PSD 2. Ich linke die Bafin, die klar sagt, dass Wertpapiergeschäfte von der PSD 2 nicht erfasst werden. Wo ist da kein Bezug zu der Frage?
Es geht mir hier nur um Fakten. Es war schon vorher möglich, Wertpapiergeschäfte völlig ohne Tan (auch Session-Tan) durchzuführen (s. z.B. onvista), und es ist auch weiter möglich. That's it. Den Rest überlasse ich euch.
am 18.09.2019 00:19
@NR schrieb:Es geht mir hier nur um Fakten. Es war schon vorher möglich, Wertpapiergeschäfte völlig ohne Tan (auch Session-Tan) durchzuführen (s. z.B. onvista), und es ist auch weiter möglich. That's it.
Kann ja alles sein, es zeigt aber anschaulich wie unsinnig das ganze System mittlerweile ist.
Ein Beispiel:
Wenn ich mich erstmalig (oder erstmalig nach 90 Tagen) einlogge, dann brauche ich dafür eine TAN. Diese gilt gemäß Aussage der comdirect gleichzeitig als Session-TAN. Damit kann ich
Kurz: ich habe also Zugriff auf vertraulichste Daten und kann das große Rad drehen. Alles ohne weitere TAN.
Wenn ich aber auf die PostBox zugreifen will, dann benötige ich immer eine TAN weil in der PostBox stehen ja angeblich vertrauliche Daten.
Da wird also ein Riesenzirkus um das Thema Sicherheit gemacht, aber die wirklich schützenswerten Bereiche bleiben bzw. werden erstmalig frei zugänglich während Banalitäten plötzlich verbarrikadiert werden.
Egal was in irgendwelchen EU-Verordnungen steht, aber das kannst Du keinem Menschen erklären.
am 18.09.2019 00:39
@GetBetter: Will ich gar nicht widersprechen. Es wird vermutlich irgendwelche Gründe geben (gibt es immer), aber es erscheint erstmal wenig konsistent, ja. Und dass bei der Umsetzung ein großer Freiraum besteht, ist jetzt ja auch klar (die codi könnte natürlich für alles und jedes eine Tan verlangen, es hindert sie niemand daran).
Fragt sich nur was daraus folgt. Für mich nichts. Für andere gibt's vielleicht andere Broker. Aber sonst?