An die ConSors Verantwortlichen,
Seit den Anfängen von ConSors bin ich nun schon Kunde (wurde damals sogar mit Aktien belohnt) und begrüße natürlich jede Art von Sicherheit um den Cyberkriminellen keine Angriffsfläche zu bieten.
Aber was Sie hier mit SecurePlus auf den Weg gebracht haben ist einfach nur noch nervig. Grundsätzlich befürworte ich den Umstieg auf einen TAN Generator, entfällt doch das lästige Ändern des Zugangs beim Wechseln der Mobilfunknummer.
Was ich aber überhaupt nicht verstehe und ich denke ich spreche hier für den Großteil ihrer Kunden ist die permanente TAN Abfrage bei jedem Login ohne die Möglichkeit die 8-stellige TAN in die Zwischenablage zu kopieren.
Als Vergleich bietet sich ein Blick auf die Konkurrenz an wo die Login TAN nur in gewissen Abständen erneuert werden muss. Wie Sie wissen erlaubt das PSD2 eine Abfrage innerhalb eines Zeitraums von 90 Tagen und so schlage ich vor das Sie zumindest die erneute TAN Abfrage auf Wochenbasis bzw. Tagesbasis umstellen wenn es die Sicherheitsrichtlinie in Ihrem Haus unbedingt verlangt. Ausserdem bitte ich darum den Copy & Paste Modus für generierte TAN's einzuführen weil Papier und Stift wohl nicht als Alternative im digitalen Zeitalter dienen kann.
Danke ein treuer und ansonsten zufriedener ConSors Kunde
Hallo @Fnetfa,
vielen Dank für Ihre Nachricht.
Ihr Feedback ist für uns sehr wertvoll und gerne nehmen wir Ihre Anmerkungen und Verbesserungsvorschläge in unser zukünftiges Handeln mit auf. An dieser Stelle möchte ich Ihnen jedoch gerne erklären, weshalb wir uns für eine TAN Abfrage bei jedem Login entschieden haben.
Es ist korrekt, dass der der Gesetzgeber eine Abfrage vom 2. Faktor für den reinen Zugriff auf das Girokonto theoretisch auch nur alle 90 Tage erlauben würde.
Der 2. Faktor wäre dann jedoch an unterschiedlichen Stellen dennoch wieder nötig, je nach dem was der Kunde im Online-Banking tun möchte. Die technische Umsetzung wäre damit sehr komplex geworden und hätte die Sicherheit beim Login nicht erhöht.
Damit der Login zukünftig grundsätzlich noch sicherer wird, aber dennoch einfach bleibt, haben wir uns entschieden, den 2. Faktor bei jedem Login abzufragen.
Viele Grüße
CB_Stephanie
Community-Moderatorin
Ihre Darstellung ist schlichtweg falsch, die Eingabe einer TAN für das Login ist ja noch keine Session TAN. Für Überweisungen u.ä. muss weiterhin eine QR-TAN eingegeben werden.
Insofern "erspart" die Login TAN keine einzige weitere TAN Eingabe, denn das würde ja wiederum die PSD2 aushebeln. Hier muss dringend nachgebessert werden, wenn Consors nicht aktiv Kunden vergraulen will. Mit zusätzlicher Sicherheit hat das nichts zu tun!
So wie ich die Richtlinie verstanden habe, darf man ohne eine erfolgte 2FA folgendes nicht:
Um diese Daten zu sehen, muss man sich mit einer zusätzlichen TAN bzw. einem 2. Faktor anmelden. Würde jetzt beim Login keine TAN abgefragt, hat man keinen direkten Zugriff auf oben genannte Daten. Wer sich angemeldet um eine Überweisung zu tätigen oder die Dokumente abzurufen, hat keinen Vorteil durch die fehlende Abfrage der TAN beim Login, da an einem späterem Punkt die TAN abgefragt werden muss. Nach der Eingabe der TAN für die 2FA wird der Kunde wieder nach 5 Minuten Inaktivität abgemeldet.
Es wäre interessant, wie die anderen Banken genau diese Legitimation durchführen. Muss man dort dann nur die TAN eingeben, oder muss man sich komplett neu anmelden um den SCA (Starke Kunden Autentifizierung) gerecht zu werden? Im zweifelsfall entscheidet ein Richter über den (eventuellen) Verstoß gegen das Wettbewerbsrecht und das kann teuer werden.
Die VR-Banken fragen einfach nur in den genannten Fällen nach TANs, also Umsätze kleiner 90 Tage gehen sofort, bei älteren Umsätzen kommt eine Maske mit TAN Eingabe. Auch nicht komplizierter als bei Überweisungen.
Ich vermute, Consors hat es trotz der wirlich langen Übergangsphase (seit Januar 2018!) nicht geschafft, alle notwendigen Funkionen im System einzubauen und sich daher für die "einfache" Lösung entschieden und das Problem auf den Kunden "umgelegt".
... wie die anderen Banken genau diese Legitimation durchführen
Hallo, @immermalanders ,
ich steuere mal zwei Banken bei, :
Die ROTE:
- 2FA zur Anmeldung alle 90 Tage, es sei denn, die Frist wurde durch einen 2FA-pflichtigen Vorgang (s. Deine Aufzählung) zwischendurch erneuert.
- 2FA bedarfsgesteuert, d.h. nur wenn eine PSD2-pflichtige Aktion (s. Deine Aufzählung) ausgeführt wird, ist eine TAN erforderlich
Die ORANJE:
- 2FA bei Zahlungverkehrs-Kontozugang jedesmal zwingend
- so lange der 5-Minuten Time out einen nicht ausgeloggt hat, ist keine weitere 2FA erforderlich
- Depot / Tagesgeld: KEINE 2FA,
Zur Erklärung: ich selbst habe weitere Konten bei Mitbewerbern.
Bei der Fremdbank 1 erfolgt die Login Legitimierung über eine PhotoTAN App die völligst geräuschlos im Hintergrund die benötigte TAN an die Banking App pusht. Kein lästiges Einloggen in die SecurePlus App, generieren einer TAN um dann diese per Kopf bzw. Stift und Zettel an die ConsorsBanking App zu übertragen. Weitere TAN's werden in der Banking App nur bei Kontoverfügungen bzw. sicherheitsrelevanten Belangen benötigt.
Bei der Fremdbank 2 wiederum wird eine erneute Login Freigabe erst nach 90 Tagen fällig. Ich erwähne deshalb "Freigabe" weil man sich hier gleich gegen das Modell ewig langer TAN Nummern entschieden hat und jede Verfügung mittels hauseigener TAN App kinderleicht freigegeben wird.