Blog

Consorsbank SecurePlus – noch mehr Sicherheit für Ihr Online-Banking

von ‎27.08.2019 11:14 , bearbeitet ‎17.09.2019 10:00
100 Kommentare

Damit Ihr Online-Banking sicher ist und sicher bleibt, prüfen und aktualisieren wir regelmäßig unsere Sicherheitsstandards. Im Zuge der Umsetzung der einheitlichen europäische Richtlinie »PSD2« (Payments Service Directive 2) startet daher am 9. September 2019 unser neues TAN-Verfahren: Consorsbank SecurePlus.

 

Vereinfacht gesagt führt PSD2 einheitliche Standards für digitale Bankgeschäfte ein und macht diese durch zusätzliche Anforderungen beim Zahlungsverkehr noch sicherer. Dazu gehört z. B., dass zukünftig auch beim Login eine TAN verlangt wird. Das neue Consorsbank SecurePlus Verfahren erfüllt alle Anforderungen von PSD2 und bietet Ihnen einen Sicherheitsstandard der neuesten Generation. Es löst sowohl die mobile TAN als auch den bisherigen TAN-Generator ab und bietet zahlreiche Vorteile:

 

  • Geben Sie online oder offline per App jederzeit Aufträge frei.
  • Generieren Sie TANs sowohl im In- wie auch im Ausland.
  • Schützen Sie Ihre TANs effektiv mit PIN oder Fingerabdruck bzw. Gesichtserkennung.

Die Consorsbank SecurePlus App

 

Neben der Consorsbank App für mobiles Banking und Trading gibt es nun die Consorsbank SecurePlus App für die Erzeugung von TANs. Die neue App ist natürlich kostenlos und steht für iOS- wie auch für Android-Geräte weltweit in den jeweiligen App- bzw. Play Stores zur Verfügung. Die Links zum Download finden Sie auf unserer Consorsbank SecurePlus Übersichtsseite, sobald die App verfügbar ist. Den Termin können Sie sich bis dahin vormerken


Zwei Apps, viele Möglichkeiten


Die Apps für Banking und SecurePlus können sowohl auf dem gleichen Gerät installiert werden als auch separat. Wenn Sie also Ihr Banking lieber auf einem Tablet erledigen und die TANs über Ihr Smartphone erzeugen möchten, ist das problemlos möglich. Sind beide Apps auf dem selben Gerät installiert, sparen Sie sich jedoch z. B. das Kopieren und Einfügen der TAN. Ihre Sicherheit ist dabei jederzeit gewährleistet, da Sie sich bei der SecurePlus App separat anmelden müssen.


Einfach und sicher anmelden


Die Anmeldung zur App geht ganz einfach: entweder mit einer klassischen PIN oder je nach Ausstattung Ihres Smartphones bzw. Tablets bequem per Gesichtserkennung oder Fingerabdruck.

 

FaceID_Fingerprint.jpg

 

Zur Erzeugung von TANs stehen Ihnen anschließend in der App zwei Möglichkeiten zur Verfügung. Entweder per Button oder durch Scannen eines QR-Codes. Welche zum Einsatz kommt, hängt davon ab, was Sie tun möchten:

 

1. TANs auf Knopfdruck

 

Beim Login auf der Website oder z. B. zur Bestätigung einer Order melden Sie sich mit PIN, Fingerabdruck oder Gesichtserkennung in der Consorsbank SecurePlus App an und tippen anschließend direkt auf „TAN generieren“. Danach wird Ihnen die TAN angezeigt. Ordern Sie über die Consorsbank App, gelangen Sie von dort mit einem Fingertipp sogar automatisch in die Consorsbank SecurePlus App.

 

TAN.jpg

 

2. QR-TANs per Scan


Wenn Sie zukünftig bei Bestätigungen einen QR-Code sehen, scannen Sie diesen einfach ab. Das ist z. B. bei Überweisungen der Fall. Hier wird ausschließlich der QR-Code zur Erzeugung von TANs eingesetzt, denn dieser enthält unter anderem wichtige Informationen zur Transaktion.

QR_Scan.jpg

 

Noch eine gute Nachricht für alle, die bisher gerne TANs per SMS genutzt hätten, aber über keine deutsche Mobilnummer verfügen: Mit der App können Sie nun völlig unabhängig von Ihrer Telefonnummer TANs erzeugen!

 

So geht's:

 

 

Ab dem 9. September 2019 steht die kostenlose Consorsbank SecurePlus App für Sie zum Download bereit.

 

Consorsbank SecurePlus Generator

 

Falls Sie kein kompatibles Smartphone oder Tablet für die SecurePlus App besitzen, steht Ihnen der kostenpflichtige SecurePlus Generator zur Verfügung.

 


Haben Sie noch Fragen zu Consorsbank SecurePlus?


Ausführliche Anleitungen z. B. zur Aktivierung der App, Download-Links zu den App Stores sowie Antworten auf die meistgestellten Fragen finden Sie auf der Übersichtsseite zu Consorsbank SecurePlus

 

 

Phishing Mails zu PSD 2 im Umlauf

 

Am 14. September 2019 wird die zweite Stufe der Umsetzung der

„EU-Zahlungsdiensterichtlinie (PSD2)“ wirksam. Darin wird Drittanbietern die Möglichkeit gegeben, neue Services anzubieten.

Eine Ergänzung bzw. ein Abgleich von Daten mit der Consorsbank ist in diesem Zusammenhang nicht notwendig. Wir möchten Sie deswegen vor E-Mails warnen, mit denen Betrüger als vermeintliche Drittanbieter Kunden dazu auffordern, Daten in ihrem System zu ergänzen bzw. abzugleichen. Als Vorwand geben die Versender meist die „EU-PSD2-Richtlinie“ an. Es wird in der Regel auf eine problemlose Systemumstellung sowie die Vermeidung von Briefverkehr hingewiesen. Auf diese Weise versuchen die Betrüger an personenbezogene Informationen sowie Zugangsdaten zu kommen. Wir raten Ihnen, diese E-Mails unverzüglich zu löschen und keinesfalls auf angezeigte Links zu klicken, Dateianhänge zu öffnen oder Daten einzugeben. Falls Sie den Anweisungen bereits gefolgt sind bzw. Daten eingegeben haben, empfehlen wir Ihnen, sofort Kontakt mit der Consorsbank (0911/3692030) aufzunehmen. Wir helfen Ihnen dann gerne weiter.

 

Kommentare
von HeliFred
am ‎18.09.2019 18:21

Die obige Datstellung durch Susan zeigt, dass es sich nicht lohnt, hier etwas zu schreiben: Es ändert ja sowieso nichts, die Consorsbank beharrt darauf, alles richtig gemacht zu haben, der Kunde soll sich doch gefälligst daran gewöhnen!

Zur Info:

Ich habe noch einige Konten bei verschiedenen Sparkassen. Dort hat die Umstellung geklappt, OHNE dass irgendetwas verändert werden musste, lediglich gab es ein Update für die App zum Empfang der pushTAN. Bei den Sparkassen kann ich mich einloggen und den Kontostand checken, ohne 2. Faktor.

Auch meine beiden Hombanking-Apps holen nach wie vor - nach einmaliger Eingabe einer pushTAN - die Umsaätze der Sparkassen ab. Bei der Consorsbank gebe ich für 6 Konten

3-4mal eine TAN ein, komfortabel ist anders (aber es ist sicher).

Ich bin jetzt seit mehr als 5 Jahren bei der Consorsbank und habe dort auch ein Depot.

In dieser Zeit war die Consorsbank regelmäßig an einem Wochenende wegen Wartungsarbeiten down. Das gab es bei der Sparkasse noch nie!

 

Insbesondere dass man seitens der Consorsbank die Einwände hier scheinbar einfach ignorieren will, bringt mich dazu, jetzt ernsthaft Alternativen zu prüfen.

Ich würde mich jedenfalls ärgern, wenn ich diese Gängelei auf meinem Geschäftskonto ertragen müsste, mit mehreren Überweisungen täglich.

 

Liebe Consorsbank, ich gebe Euch noch 4 Wochen, wenn ich dann weiter als Kunde nicht ernst genommen werde, versuche ich eine andere Bank.

von GatoMedio
am ‎18.09.2019 20:03

Bisher bin ich noch nicht in den Genuss des SecurePlus Erlebnisses gekommen, will aber schon mal meine Erfahrungen bisher zum Besten geben.

 

Mein Versuch die SecurePlus app auf meinem handy zu installieren scheiterte daran dass diese app nicht mit meinem handy kompatibel ist. Erster negativer Eindruck: Auf welcher Grundlage entscheided Consors welche Geräte bzw. Softwareversionen akzeptabel sind und welche nicht? Und warum gibt es dazu keine Warnung bevor die Kunden sich die Mühe machen eine unmögliche Mission zu erfüllen?

 

Blieb also die Wal TAN Generator oder Tod. Ich habe mich für TAN Generator entschieden. Da ich im Ausland wohne kamen zu den EUR 16,76 für das Gerät noch EUR 50,15 für Versandkosten hinzu. Total 66,91. Die Versandart konnte ich nicht wählen. Es muss FedEx sein. FedEx Sendungen gehen durch den brasilianischen Zoll und der berechnete Zoll + Gebühren von BRL 306,72 Je nach Wechselkurs sind das weitere 65 bis 70 euro. Non könnte man argumentieren dass Consors (oder Kobil) keinen Einfluss auf die brasilianischen Einfuhrzölle haben. Stimmt, aber die "alten" Tan Generatoren kamen in einem Briefumschlag mit der normal Post, ohne Probleme. Und ich habe den Generator nicht bestellt weil der mir noch in meiner Sammlung gefehlt hat. Ich brauche ihn um auf mein Konto zugreifen zu können. Kosten bisher: über 130 euro. 

 

Als nächsten Schritt musste ich dann Consors per Fax den Erhalt des Geräts mitteilen. Daraufhin würde der Generator innerhalb von 48 Stunden freigeschaltet. Heute bekam ich dann, vor Ablauf der Frist, eine E-Mail mit der Nachricht dass die Freistellung erfolgt ist. Ausserdem hiess es darin, "Ihren bisherigen TAN-Generator haben wir gleich für Sie deaktiviert." Das hat mich stutzig gemacht, denn meines Wissens muss der Kunde sich zunächst mit einer "alten" TAN bei Consors einloggen um dann mit der entsprechenden Option den neuen TAN Generator zu aktivieren. Das habe ich auch versucht, aber das System wollte nicht. Es hat mir gesagt meine TAN sei abgelaufen oder ungültig. 

 

Ich habe in der Zwischenzeit Consors über dem Sachverhalt informiert und warte auf eine Lösung. Ich habe auch festgestellt dass ich mich jetzt nicht mehr im Wissen/Blog bereich einloggen kann. Mal sehen ob dieser Bericht durchkommt.

von gre
am ‎23.09.2019 19:11 - zuletzt bearbeitet am ‎24.09.2019 14:24 von

Den kritischen Kommentaren kann ich mich nur anschließen. Hätten sich die Softwareautoren der consorsbank nicht 'mal mit den Kollegen von anderen Banken kurz schließen können. Alle genannten haben kundenfreundlichere Wege für die PSD2-Umsetzung gefunden. Und die genannten Zweifel an der dauerhaften Sicherheit der Impmentierung auf einem Gerät sind groß. Warum werden die Nur-PC-Nutzer vernachlässigt? Warum bleibt nicht der Reserveweg über mobile TAN erhalten? Die jetzige Implementierung des HBCI-Zugriffs ist ein besonderes Schmankerl: Für die Abfrage jedes Unterkontostandes muss man die SecureApp neu bemühen. In der Hoffnung, dass bald Verbesserungen eintreten. Gunter

von HeliFred
am ‎23.09.2019 19:40

Das hängt auch von der Implementierung durch die Software ab:

Wenn ich über finanzblick (dürfte auch für die anderen Programme von Buhl gelten) die Kontostände abrufe, brauche ich für jedes Konto eine TAN, bei MoneyMoney (MacOS) werden alle Konten einer Bank im Block abgefragt, hier reicht (meist) eine TAN.

Allerdings ist letztlich der Verursacher doch die Consorsbank mit der übertriebenen Forderung, jedesmal eine TAN abzufragen. 

Die gesetzliche Forderung ist wohl eine Abfrage in 90 Tagen, für den Abruf des Kontostandes oder sogar für das Schreiben dieses Kommentars eine SecureTAN zu verlangen ist wohl ganz weit über das Ziel hinaus.

Ich konnte auch noch keine Vereinfachung feststellen: Ich muss mich im Programm oder im Browser mit einer TAN legitimieren und dann wenn ich wirklich was machen will (Überweisung) muss ich diese ohnehin noch einmal legitimieren.

 

Auf iOS hat man versucht, das Ganze mit der automatischen Übergabe der TAN etwas komfortabler zu machen (wie das unter Android ist, weiß ich nicht).

Aber: Warum dann nicht Banking- und SecureApp zusammenfassen in einer App?

Dann könnt die TAN ganz komfortabel "unsichtbar" bleiben.

 

Wie auch immer: Es gibt noch viele Hausaufgaben zu machen, die Consorsbank sollte jetzt zumindest umgehend mal ein Umdenken signalisieren, anstatt am Weiterso festzuhalten.

von Audioralf
‎23.09.2019 20:37 , bearbeitet ‎23.09.2019 20:49

Ich habe mich schriftlich beschwert.
Es hieß "Wir haben Ihre Kritik an unser Projektmanagement geleitet. Sobald wir ein Antwort erhalten, werden wir Sie darüber informieren." 
Man hat  die anscheinend sichere Variante umgesetzt, wobei nicht geprüft wird, wann das letzte LogIn erfolgte. Das ist ok, damit das erst einmal funktioniert.  Das tut es ja auch.
Positiv ist auch zu erwähnen, dass man gerootete Geräte nicht ausgeschlossen hat, so wie das die Volksbanken machen.
Die Postbank lässt gerootere Geräte auch zu und bringt nur einen Hinweis, dass eventuell daraus ein Sicherheitsproblem haben könnte. Soweit so gut.

Wenn wir "mehr Komfort" als 2 Stufe nachgeliefert bekommen ist ja alles gut.
Anforderungen für Stufe 2:
Rückmeldung der generierten TAN über das Internet an die Banking-App, die sich einloggen will: Damit wäre auch bei HBCI ein komfortabler LogIn möglich. Ein Eintippen der TAN ist dann auch überflüssig.


Genau das macht die Postbank "Bestsign App". Ebenso funktioniert  der Microsoft Authentificator, an den sich übrigens Paypal anggeschlossen hat. 


Im Fall des Aufrufs von der Consors App soll diese auch offline berechnet werden und übergeben werden (das sollte auch irgendwann einmal funktonieren) Der Sinn erschließt sich mir aber nicht wirklich , da die Banking App ja online sein muß.  

Übergabe an die Zwischenablage für Eingabe auf der Webseite. (ggf. Warnhinweis) 

 

Entfernen der 3 Sekunden Warten nach Generieren der Tan. 

 

Implementierung der 90 Tage Regel. Dabei soll eine Überweisung oder ander TANpflichige Transaktion doch auch genügen den Zähler wieder auf 0 Tage zu setzen. Dann dürfte die Abfrage so gut wie nie kommen. Das scheinen die Volksbanken so zu machen.

 

Man kann es auch so wie die Postbank machen. Es genügt auf der Webseite eine Benutzerkennung einzugeben (die kann man nicht erraten auch wenn man die Kontonummer hat) Dann wird eine Push an das registrierte Phone geschickt. Wenn die App dann nicht sofort mit Fingerabdruck oder PIN geöffnet wird, dann kommt auf der Webseite die Aufforderung zusätzlich das  Passwort für das Konto auszuwählen und dann hat man die Möglichkeit ggf. einen abweichenden Authentifizierungsweg auszuwählen.

 

Vor Ablauf der 5 Minuten soll eine Warmeldung auf der Webseite, die man dann bestätigt, um die Sitzung offen zu halten. 
Lösung des Forums vom LogInZwang mit TAN.

von galileo
am ‎23.09.2019 20:46

Die Webseite steckt voller Fehler. Die Charts lassen sich z.B. nicht mehr auf Absolut umschalten wenn einmal Prozent eingestellt war. Ständig muss man sich neu anmelden. Und dann die TAN bei jeder Anmeldung, muss das sein?

 

Es nervt nur noch!!!

von Robert77
am ‎24.09.2019 14:08

Ich sage nur Artikel 10, AUSNAHMEN VON DER STARKEN KUNDENAUTHENTIFIZIERUNG
DELEGIERTE VERORDNUNG (EU) 2018/389. Vielleicht hilft das den Programmierern.

von Bernie99
am ‎25.09.2019 12:34

Bin seit über 40 Jahren in der Entwicklung von Business-Software tätig und konnten mich leider erst heute mit dem neuen Verfahren bei Consors beschäftigen.

 

Mein Fazit:

 

(1) In jedem Unternehmen, bei dem ich gearbeitet habe, wäre ein Projektleiter sofort entlassen worden, hätte er Kunden einen derartig komplizierten Prozess zugemutet. PSD2 hin oder her: drei andere Banken, bei denen ich Konten habe, haben das Thema absolut schmerzfrei umgesetzt. Es geht also, wenn IT-man nur will/kann ....

 

(2) Suche nach einer Alternative ist eingeleitet ...