abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Der TAN-Wahnsinn bei Consors

Link zum Beitrag wurde kopiert.

Aufsteiger
  • Community Junior
Beiträge: 4
Registriert: 12.09.2019

Kann mir bitte mal Einer klarmachen, was das TAN-Verfahren beim Einloggen jetzt verbessern soll: die Sicherheit ganz bestimmt nicht?

 

Punkt 1: Beispiel: Habe mein Handy verloren/verlegt. Wenn dann Jemand sowohl meine Kontonummer als auch meine Pin kennt, dann kann er eine TAN mobil mit dem Handy abfragen und sich damit Einloggen. Wo ist da das Mehr an Sicherheit als im vorherigen PIN-Verfahren??? Dafür ist der Aufwand ungleich größer.

 

Punkt 2: Wir haben 3 Depots ("Gemeinschaftsdepot" oder wie das heißt). Will jetzt Person A den Depotstand der 3 Depots sehen, wird sie nach einer TAN gefragt, die sie mobil abrufen kann. Allerdings wird diese nur auf das registrierte Handy (z.B. das Handy von Person B) geschickt. Wenn der Besitzer des Handys B gerade am Südpol ist, dann nützt der Person A die dort auflaufende TAN überhaupt nichts. Übrigens lassen sich - selbst in Deutschland - nicht überall SMS empfangen!

 

Punkt 3: Warum braucht man überhaupt eine TAN, wenn man nur eine Übersicht will und keine Aktivitäten (Käufe und Verkäufe für Depot / Überweisungen) tätigt?

 

Punkt 4: Hatten heute mehrfach versucht, eine mobile TAN zu erhalten. Nach einer halben Stunde war noch keine SMS aufgelaufen.

 

Punkt 5: Fingerabdruck-Einloggen (die m.E. einzig sichere Methode) wurde versucht, funktionierte aber nicht!

 

Wir haben uns jetzt entschlossen, diesen Zirkus bei der Consorsbank noch eine Zeitlang mit anzuschauen, dann werden wir unsere Depots auf eine andere Depotbank verlegen (fällt einem nach ca. 15 Jahre Kunde DAB-Bank/Consors doch schwer), denn der Aufwand ist uns doch zu kompliziert, zumal er für uns nicht einleuchtend ist und überhaupt nichts mit einer Sicherheits-Verbesserung zu tun hat.

Die ersten Schritte für einen Wechsel haben wir schon unternommen indem wir uns die Einlogg-Prozeduren anderer Direktbanken ansahen.

 

Ich frage mich, wer auf solche unüberlegten Ideen überhaupt kommt: ein Praktiker kann das ja wohl kaum gewesen sein.

 

Mfg, G.S.

 

 

 

17 Antworten 17

Autorität
Beiträge: 4600
Registriert: 06.02.2015

@Mohrenkopf 

[...] Punkt 4: Hatten heute mehrfach versucht, eine mobile TAN zu erhalten. Nach einer halben Stunde war noch keine SMS aufgelaufen. [...]

Und genau das ist der Nachteil von einer SMS-TAN. Es gibt keine Garantie, dass die TAN direkt ankommt. Hast Du mal das Handy in den Flugmodus versetzt und sicher zu gehen, dass es im Netz registriert ist?

0 Likes

Aufsteiger
  • Community Junior
Beiträge: 4
Registriert: 12.09.2019

Nein, ist leider nichts passiert!

0 Likes

Autorität
Beiträge: 1619
Registriert: 06.01.2017

Bekannterweise ist das Problem meistens 30 cm vor dem Monitor zu lokalisieren Lachende Frau

 

Consorsbank-Generator funktioniert bestens, schnell, übersichtlich und habituell gut (geht in einem kleinen Case mit auf Reisen). Hat alles gut funktioniert. Keine Probleme. Frau (fröhlich)


Aufsteiger
  • Community Junior
Beiträge: 4
Registriert: 12.09.2019

Ist ja toll, geht aber überhaupt nicht auf meine Fragen ein.

0 Likes

Gelegentlicher Autor
Beiträge: 15
Registriert: 21.01.2015
Hier wurde eigentlich schon alles dazu gesagt, vielleicht hilft das weiter bezüglich der Fragen:

https://wissen.consorsbank.de/t5/SecurePlus/TAN-Wahnsinn-beim-Einloggen-Secure-Plus-App/td-p/85949

Autorität
Beiträge: 3828
Registriert: 21.07.2017

Ist ja toll, geht aber überhaupt nicht auf meine Fragen ein.

 

@Mohrenkopf:

Du stellst ja keine Fragen, und wenn, sind sie rhetorischer Natur. Solche beantwortet niemand gern.

0 Likes

Regelmäßiger Autor
Beiträge: 65
Registriert: 09.09.2019

@Mohrenkopf 

die Abschaffung der SMS-TAN war schon notwendig (*). Hauptgrund sehe ich in der mangelhaften Absicherung durch Telefonfirmen. So soll offenbar z.B. Vodafone Anrufern relativ einfach SIM-Ersatzkarten zugeschickt haben (vermutlich, weil sie sich Verfahren wie PostIdent sparen wollten). Damit - und mit per Phishing erbeuteten Bankzugangsdaten - konnten Betrüger Konten abräumen.

(*) das gilt aber nicht für den alten TAN-Generator. Der hätte nicht abgeschafft werden müssen. Im Gegenteil: durch die Vereinigung von Banking-App und TAN-App auf einem Gerät wird die Sicherheit signifikant vermindert.

 

zu Punkt 1: "Wenn dann Jemand sowohl meine Kontonummer als auch meine Pin kennt"

das darf sowieso nie passieren. Aber falls das passieren sollte, ist eben jetzt die SecurePlus-TAN nochmals geschützt (im Gegensatz zu einer SMS-TAN).

Am besten und halbwegs komfortabel ist es übrigens, wenn man ein Handy mit Fingerabdrucksensor hat.

 

Punkt 3: "Warum braucht man überhaupt eine TAN, wenn man nur eine Übersicht will"
da muss wohl der Gesetzgeber nachbessern. Und die Banken müssen diese Programmteile abtrennen.

0 Likes

Aufsteiger
  • Community Junior
Beiträge: 4
Registriert: 12.09.2019

@Confusius:

(1) Die Abschaffung....

Wieso? Das PIN/TAN-Verfahren ist doch gar nicht abgeschafft, sondern völlig sinnlos geworden, da es keine erhöhte Sicherheit bietet: Hat Jemand eine Konto-Nr. und die dazugehörige PIN, dann erzeugt er sich eine TAN und kann völlig beliebig im Konto/Depot schalten und walten.

(2) Zu Ihrem Punkt 1: Natürlich gebe ich Ihnen recht, dass eine Konto-Nr. und eine PIN nicht zusammen verfügbar sein dürfen: aber die Sicherheitsverbesserung sollte ja genau auch für diese Fälle gelten, in denen ein Kontoinhaber, aus welchen Gründen auch immer, beide Kenndaten bekannt gibt (Unachtsamkeit) oder dass beide Kenndaten von einem Hacker abgerufen werden können (Phishing). Der M.E. einzig sinnvolle Weg führt hier ausschließlich über die Fingerabdruckerkennung und nicht über die derzeitige Kontonummer/PIN/TAN-Einloggung! Allerdings scheint es mir, dass viele Handys auf dem Markt diese Fingerabdruckerkennung gar nicht haben - oder täusche ich mich und habe sie bei mir nur nicht gefunden (meine Frau hat sie auf ihrem Handy, aber dort hat sie in Verbindung mit der Consors-App nicht funktioniert!).

 

Weiter: ich hatte gestern morgen ca. 08:30 versucht eine mobile TAN zu bekommen. 4 Stunden später war die immer noch nicht da, so dass ich meinen Versuch aufgab. Ich wundere mich darüber, dass man nicht mal in Betracht zieht, dass es Funklöcher (selbst in Deutschland) gibt. Wir haben an einer Ecke der Küche Handy-Empfang in unserem Wohnzimmer nicht! Und wir kennen in unserer Umgebung etliche Bereiche, in denen Handyempfang selbst im Freien nicht möglich ist (wir leben nicht in MeckPomm sondern in der Nähe von München!).

 

(3) Zu Ihrem Punkt 3: Ist es wirklich der Gesetzgeber oder ist es die eigenmächtige Bank, die hier versagt. Ich verfüge (privat und geschäftlich) über mehrere Konten bei verschiedenen Banken und dort ist immer noch das Verfahren des Einloggens mit Konto/PIN (für Übersichten über die diversen Konten) und die Eingabe einer generierten (nicht mobil generierten!) TAN für Aktivitäten (z.B. Überweisungen) üblich.

Eigentlich hat das auch mit dem TAN-Generator der Consorsbank immer gut funktioniert.

 

Das Problem ist doch das Banking mittels Smartphone!

 

Noch ein Beispiel, das die irre Situation veranschaulicht. Wir haben ein 3er-Depot bei der Consorsbank (z.B. P1=Vater, P2=Mutter, P3=Sohn) und haben dieses Depot immer wieder per Smartphone (über Konto/PIN) aufgerufen, um Entwicklungen in den 3 Depots zu sehen. Durch die neue Umstellung ist uns diese Funktion völlig verloren gegangen: wir wollen von einem Handy (z.B. P3) unser 3er-Depot aufrufen. Jetzt wird eine mobile TAN erzeugt, die aber auf dem Handy von P1 aufläuft. Wenn P1 nicht verfügbar ist, können weder P2 noch P3 das Gemeinschaftsdepot einsehen.

 

Und es gäben noch etliche Kritikpunkte! Wir testen gerade andere depotführende Banken (nach ca. 15 Jahre DAB/Consors schon traurig) auf deren Einlog-Verfahren und sind dann auch bereit unsere Depots zu verlegen.


Gelegentlicher Autor
  • Community Beobachter
  • Community Junior
Beiträge: 9
Registriert: 11.09.2019

@Mohrenkopf

Zu (1), da liegt wohl ein Missverständnis vor. Wenn man Kontonummer und PIN kennt, kann man mit der SecurePlus-App keine TAN erzeugen, da die SecurePlus-App eine eigene PIN hat und da wird man sinnigerweise nicht die Online-Banking-PIN mit einer angehangenen 1 verwenden, sondern etwas ganz anderes.
Zu (2), die Verwendung des Fingerabdrucks ist unter Android sogar eher kritischer als eine starke PIN zu verwenden, denn spinnen wir die Kenntnis eines Diebs des Smartphones mal weiter und er kennt das Entsperrmuster, dann kann er beliebige Fingerabdrücke hinzufügen, die dann von den Apps auch akzeptiert werden.
 
Der alte TAN-Generator hat ja das Problem, dass man nicht sehen kann, welche Aktion man mit einer TAN freigibt. Bei einem Man-In-The-Middle-Angriff hätte man dann eine ganz andere Aktion mit der TAN bestätigt, als man denkt. Mit der SecurePlus-App (und auch per mTAN) kann man immerhin sehen, für welche Überweisung und für welchen Betrag eine TAN erzeugt wird und die SecurePlus-App läuft prinzipiell auch ohne Internet-Verbindung (auch wenn es da im Moment anscheinend noch Probleme gibt), also in sofern besser eine mTAN, die auf Netzverbindung angewiesen ist.
0 Likes
Antworten