Community

Antworten
stocksour
Enthusiast
Beiträge: 950
Registriert: 21.07.2017
Nachricht 61 von 453 (2.184 Ansichten)

Re: Betreff: SecurePlus - Zukunft der TAN-Verfahren

@Koelle :

Es lag auch gar nicht in meiner Absicht, diese Frage zu beantworten.

 

Mein Beitrag ist ein schlichter Hinweis darauf, dass im Ernstfall das Haftungsrisiko bei Dir und nicht bei der Bank liegt, weil Du gegen die AGB verstossen hast.

Antworten
0 Likes
Sebastian256
Regelmäßiger Autor
Beiträge: 24
Registriert: 09.10.2015
Nachricht 62 von 453 (3.805 Ansichten)

Re: Betreff: SecurePlus - Zukunft der TAN-Verfahren

@immermalanders HBCI ist ein offenes Protokoll. Ich kann mir die Software also auch einfach selbst schreiben. Natürlich gibt es auch Drittanbieter, die mir solche Software verkaufen. Aber die sind ja nicht Drittanbieter im Sinne des PSD2 Gesetzes. Es gilt die beiden Schnittstellen zu unterscheiden:

  • PSD2-Schnittstelle: Ich erlaube einem Drittanbieter, auf mein Konto zuzugreifen. Dann kontaktiert ein Server des Drittanbieters die Bank und ruft Umsätze ab oder löst Zahlungen aus. Dabei hat der Drittanbieter Zugriff auf die Umsätze der letzten 90 Tage. Das muss ich selbstverständlich per starker Kundenauthentifizierung erlauben, jedoch wird das so gelöst, dass der Drittanbieter meine Onlinebanking-Zugangsdaten nicht erhält. Der Drittanbieter leitet mich stattdessen zu meiner Bank weiter, ich logge mich bei der Bank ein und bestätige, dass ich diesem Drittanbieter den Zugriff erlauben möchte. Außerdem benötigt der Drittanbieter eine Lizenz von der BaFin (oder der Bankaufsicht eines anderen EU-Landes).
    Beispiel 1: Ein Drittanbieter stellt eine Art Haushaltsbuch bereit, wo ich Umsätze von all meinen Konten bei verschiedenen Banken einsehen kann, und zwar über die Cloud von verschiedenen Geräten aus. Die Daten werden also beim Drittanbieter gespeichert. Da der Anbieter hier laufende Kosten zum Betrieb seiner Server hat, werde ich diese Dienstleistung wohl per Abo bezahlen müssen (oder der Anbieter verkauft meine Daten - irgendwovon muss er ja leben).
    Beispiel 2: Ein Drittanbieter fungiert als Sofortzahlungsdienstleister. Ich löse über diesen Anbieter eine Überweisung aus, und der Anbieter bestätigt dem Händler, dass die Ware bezahlt wurde. Das dürfte dem ein oder anderen bekannt vorkommen, da gibt es so ein TÜV-geprüftes System, das "Sofort" im Namen hat. Aber bei diesem aktuell noch verwendeten System muss ich dem Drittanbieter meine Onlinebanking-Zugangsdaten überlassen, der loggt sich dann in meinem Namen bei der Bank ein und macht das. Das verstößt gegen die AGB der meisten Banken! Mit der PSD2-Schnittstelle gibt es künftig eine legale und sichere Möglichkeit, das umzusetzen, weil die Zugangsdaten nicht an den Drittanbieter herausgegegeben werden müssen.
  • HBCI/FinTS-Schnittstelle: Eine Software (dich ich mir selbst programmiert habe oder irgendwo gekauft habe) läuft auf meinem eigenen Computer. Die Software kommuniziert mit der Bank. Dazu gebe ich in der Software meine Zugangsdaten zum Onlinebanking und ggf. auch eine TAN ein. Hier muss sich niemand von der Bankaufsicht lizenzieren lassen und ein etwaiger Verkäufer der Software muss auch keine Server bereitstellen. Daher wird eine solche Software in der Regel einen einmaligen Preis kosten. Niemand fremdes erhält Zugriff auf meine Umsätze, alles läuft komplett auf meinem eigenen Computer. Ich kann mir das wie gesagt auch einfach selbst programmieren, ich brauche dazu keine Lizenz der BaFin. An die PSD2-Schnittstelle komme ich selbst nicht ran, da ich ja keine eigene BaFin-Lizenz habe.
    Beispiel: Eine Buchhaltungssoftware auf meinem Computer ruft die Umsätze ab und hilft mir, den Überblick über meine Finanzen zu behalten. Es ist nur mein eigener Computer und die Bank daran beteiligt, niemand sonst sieht die Daten.

 

Jetzt zu den unterschiedlichen TAN-Anforderungen:

  • Bei der Verwendung der PSD2-Schnittstelle gestatte ich dem Drittanbieter den Zugriff auf mein Konto. Dazu muss ich für die Erlaubnis am Anfang und dann spätestens alle 90 Tage zur Erneuerung der Erlaubnis eine TAN eingeben. Zusätzlich wird immer eine TAN abgefragt, wenn eine Überweisung ausgelöst werden soll (wobei das Gesetz hier vorsieht, dass man eine Whitelist von Empfängern anlegen kann, für die keine gesonderte TAN erforderlich ist).
  • Beim Login auf der Website der Bank muss spätestens alle 90 Tage eine TAN abgefragt werden. Wenn keine TAN abgefragt wird, dürfen mir nur Umsätze der letzten 90 Tage angezeigt werden. Sobald ich z.B. im Online-Archiv einen älteren Kontoauszug oder ein anderes wichtiges Dokument abrufen möchte, muss eine TAN abgefragt werden, wenn sie nicht schon beim Login abgefragt wurde. Für Überweisungen muss logischerweise auch eine TAN abgefragt werden.
    Die Bank kann aber auch einfach entscheiden, bei jedem Login eine TAN abzufragen. Dann erspart sie sich, diese eingeschränkte Ansicht (Online-Archiv) umzusetzen und muss auch nicht mitzählen, vor wie viel Tagen das letzte Mal eine TAN eingegeben wurde.
  • Bei Verwendung der HBCI-Schnittstelle gelten die gleichen Regeln wie bei Verwendung der Bank-Website. Mindestens alle 90 Tage eine TAN zum Abfragen der Umsätze und wenn keine TAN abgefragt wurde, dann sind nur Umsätze der letzten 90 Tage einsehbar. Auch hier kann die Bank aber einfach jedes Mal eine TAN verlangen, das wäre halt nur insofern doof, dass die Benutzung der oben genannten Buchhaltungssoftware etwas umständlicher wird. Weil stell dir vor, dass ich da 10 Konten unterschiedlicher Banken drin habe. Wenn jetzt alle jedes Mal eine TAN wollen, dann muss ich mich zum Abruf der Umsätze durch 10 verschiedene Apps oder Geräte quälen und die einzelnen TANs eingeben. Viel komfortabler wäre es, wenn das nur alle 90 Tage nötig wird. Bislang konnten wir ja auch ohne TAN unsere Umsätze abrufen und niemand hat sich daran gestört, so mega unsicher kann das also nicht sein...
immermalanders
Autorität
Beiträge: 2927
Registriert: 06.02.2015
Nachricht 63 von 453 (3.783 Ansichten)

Re: Betreff: SecurePlus - Zukunft der TAN-Verfahren

@Sebastian256 

Ich habe nicht geschrieben, dass der Anbieter der Homebanking-Software nach dem PSD2 ein Drittanbieter ist. Und oben steht beim Begriff "Drittanbieter" direkt dabei, was damit gemeint ist. So wie ich das sehe, muss der Anbieter (bzw. Programmierer) der Homebanking-Software (HBCI/FinTS) dafür sorgen, dass die Software den gesetzlichen Vorgaben entspricht.

 

Antworten
0 Likes
Sebastian256
Regelmäßiger Autor
Beiträge: 24
Registriert: 09.10.2015
Nachricht 64 von 453 (3.764 Ansichten)

Re: Betreff: SecurePlus - Zukunft der TAN-Verfahren

@immermalanders die Software selbst hat da keinen Einfluss drauf. Die gibt die Zugangsdaten einfach an die Bank weiter. Wenn die Bank nun die Umsätze rausrückt, dann kann die Software die Umsätze direkt verarbeiten. Wenn die Bank jedoch eine TAN abfragt, dann muss die Software mich nach dieser TAN fragen, damit sie die der Bank geben kann, um dann wiederum die Umsätze laden zu können. Die Einhaltung der gesetzlichen Vorgaben stellt also die Bank sicher, indem oft genug die TAN abgefragt wird. Die Bank kann dabei selbst entscheiden, ob alle 90 Tage eine TAN eingefordert wird oder jedes Mal oder irgendwas dazwischen. Daher möchte ich ja von der Consorsbank wissen, wie die das handhaben werden. Die Software muss halt damit rechnen, dass nun schon beim Abfragen der Umsätze eine TAN eingefordert wird. Wenn die Software das nicht kann, dann wird sie am 14.9. einfach abstürzen oder irgendwelche Fehler anzeigen.

Antworten
0 Likes
CB_Michael
Community Manager
Beiträge: 354
Registriert: 14.01.2014
Nachricht 65 von 453 (3.550 Ansichten)

Re: Betreff: SecurePlus - Zukunft der TAN-Verfahren

Liebe Community, 

 

vielen Dank für eure wertvollen Beiträge, Informationen und Fragen. Ich selbst kann leider nicht alle Antworten ohne interne Rückfrage liefern und habe ich mich gerne noch einmal mit meinen Kollegen zusammengesetzt. Ich freue mich sehr darüber, dass auch ich hier noch so einiges lernen kann. Smiley (fröhlich)

 

 

Aktivierungsbrief
Der Aktivierungscode gilt ab Erzeugung 28 Tage. Das Ablaufdatum ist im Aktivierungsbrief mit angegeben. Dabei wird jeder Code explizit für die Aktivierung eines Gerätes erzeugt und ist somit nach der Verwendung nicht mehr gültig.

 

Legitimation
Eine telefonische Kontostands- bzw. Umsatzabfrage über die Kundenbetreuung kann nach erfolgreicher Legitimation über die Online-PIN (1-Faktor) erfolgen. Der Auftrag für eine Überweisung ist abhängig davon, ob ein Referenzkonto eingerichtet ist.

Ohne Referenzkonto ist eine stärkere Legitimation (2-Faktoren) erforderlich, sprich die zusätzliche Angabe einer TAN.

 

Ist beides nicht möglich, kann die Überweisung schriftlich per Post oder Fax, mit gültiger Unterschrift, in Auftrag gegeben werden.

 

Gerootete / gejailbreakte Endgeräde
Die Consorsbank unterbindet die Nutzung über diese Geräte aktuell nicht.

Diese Information bezieht sich auf den Status Quo und stellt keine Aussage zu einer zukünftigen Nutzung dar.

 

Die von der Consorsbank zur Verfügung gestellten Apps für iOS und Android wurden auf „gerooteten“ bzw. „gejailbreakten“ Geräten NICHT getestet. Die gegebenen Hinweise in Bezug auf die AGB haben Bestand.


HBCI
Lieber @Sebastian256, ich danke dir für die detaillierte Klarstellung der Fakten. Aus deinen Beiträgen heraus wird klar, dass dieses Thema nicht trivial ist. Gerne habe ich zu den einzelnen Punkten Informationen eingeholt.

Spoiler
Bei der Verwendung der PSD2-Schnittstelle gestatte ich dem Drittanbieter den Zugriff auf mein Konto. Dazu muss ich für die Erlaubnis am Anfang und dann spätestens alle 90 Tage zur Erneuerung der Erlaubnis eine TAN eingeben. Zusätzlich wird immer eine TAN abgefragt, wenn eine Überweisung ausgelöst werden soll (wobei das Gesetz hier vorsieht, dass man eine Whitelist von Empfängern anlegen kann, für die keine gesonderte TAN erforderlich ist).

Bei der Consorsbank ist eine solche Whitelist vorerst nicht vorgesehen.

 

 

Spoiler
Beim Login auf der Website der Bank muss spätestens alle 90 Tage eine TAN abgefragt werden. Wenn keine TAN abgefragt wird, dürfen mir nur Umsätze der letzten 90 Tage angezeigt werden. Sobald ich z.B. im Online-Archiv einen älteren Kontoauszug oder ein anderes wichtiges Dokument abrufen möchte, muss eine TAN abgefragt werden, wenn sie nicht schon beim Login abgefragt wurde. Für Überweisungen muss logischerweise auch eine TAN abgefragt werden.
Die Bank kann aber auch einfach entscheiden, bei jedem Login eine TAN abzufragen. Dann erspart sie sich, diese eingeschränkte Ansicht (Online-Archiv) umzusetzen und muss auch nicht mitzählen, vor wie viel Tagen das letzte Mal eine TAN eingegeben wurde.

In der Tat wurde hier die Entscheidung getroffen, bei jedem Konto-Login über Webseite, Apps und HBCI eine TAN abzufragen.

 

 

Spoiler
Bei Verwendung der HBCI-Schnittstelle gelten die gleichen Regeln wie bei Verwendung der Bank-Website. Mindestens alle 90 Tage eine TAN zum Abfragen der Umsätze und wenn keine TAN abgefragt wurde, dann sind nur Umsätze der letzten 90 Tage einsehbar. Auch hier kann die Bank aber einfach jedes Mal eine TAN verlangen, das wäre halt nur insofern doof, dass die Benutzung der oben genannten Buchhaltungssoftware etwas umständlicher wird. Weil stell dir vor, dass ich da 10 Konten unterschiedlicher Banken drin habe. Wenn jetzt alle jedes Mal eine TAN wollen, dann muss ich mich zum Abruf der Umsätze durch 10 verschiedene Apps oder Geräte quälen und die einzelnen TANs eingeben. Viel komfortabler wäre es, wenn das nur alle 90 Tage nötig wird. Bislang konnten wir ja auch ohne TAN unsere Umsätze abrufen und niemand hat sich daran gestört, so mega unsicher kann das also nicht sein...

Auch hier ist es so, dass bei jedem Login die Eingabe einer TAN erforderlich ist. Insofern kann sich die Nutzung mehrere Konten über eine HBCI-Schnittstelle tatsächlich komplexer gestalten.

 

 

Soweit für den Moment. Und auch hier gerne noch einmal den Hinweis auf unsere Informationsseite zum SecurePlus Verfahren.

 

Viele Grüße aus Nürnberg

Michael Herbst

Community Manager

Jay_Be
Aufsteiger
Beiträge: 2
Registriert: 01.08.2019
Nachricht 66 von 453 (3.496 Ansichten)

Betreff: SecurePlus - Zukunft der TAN-Verfahren

Das Handy nur für Bankgeschäfte zu Nutzen verschlimmert die Unsicherheit der Methode mTAN nur noch. In den mesiten Fällen besorgen sich die Täter eine Ersatz-SIM-Karte um an die TANs zu gelangen. Wird das Handy nur temporär genutzt fällt dies umso später auf und Rückbuchungen sind im Fall der Fälle nicht mehr möglich.
Antworten
0 Likes
mars
Gelegentlicher Autor
  • Kommentator
  • Community Junior
  • Community Beobachter
  • Community Junior
  • Community Junior
Beiträge: 19
Registriert: 06.09.2016
Nachricht 67 von 453 (3.345 Ansichten)

Betreff: SecurePlus - Zukunft der TAN-Verfahren

Hallo Consorsbank,

 

muss das Handy für die SecurePlus App über einen gültigen Mobilfunkvertrag verfügen oder genügt auch ein Handy, das zuhause auf dem Tisch liegt und nur über WLAN ins Netz geht?

Highlighted
CB_Stephanie
Moderator
Beiträge: 190
Registriert: 27.06.2019
Nachricht 68 von 453 (3.330 Ansichten)

Re: Betreff: SecurePlus - Zukunft der TAN-Verfahren

Liebe Community,

da wir einige weitere Fragen zu der Nutzung von gerooteten Geräten erhalten haben, möchte ich das Thema hier noch einmal aufgreifen.

Die Consorsbank SecurePlus App wurde für iOS und Android Geräte entwickelt und von Apple bzw. Google für die jeweiligen App Stores freigegeben. Eine Nutzung auf gerooteten Geräten ist nicht vorgesehen. Die SecurePlus App wurde weder dafür konzipiert noch entsprechend getestet.

Viele Grüße

CB_Stephanie
Community-Moderatorin

Antworten
0 Likes
stocksour
Enthusiast
Beiträge: 950
Registriert: 21.07.2017
Nachricht 69 von 453 (3.267 Ansichten)

Betreff: SecurePlus - Zukunft der TAN-Verfahren

Hallo, @mars ,

weil diese Frage wohl weit unter der Schwelle liegt, bei der die. die es besser wissen, überhaupt zu denken beginnen, versuche ich eine Erklärung, wohlgemerkt von greenhorn zu greenhorn.

 

Was mit dem tablet - ohne SIM-Karte - geht, sollte mit Deinem Handy - ohne Vertrag und SIM-Karte - auch funktionieren, das passende Betriebssystem vorausgesetzt.

Da die App sowohl online als auch offline arbeitet, bedarf sie wohl keiner Verbindung nach ausserhalb des Gerätes, um eine TAN zu generieren.

Antworten
0 Likes
CB_Michael
Community Manager
Beiträge: 354
Registriert: 14.01.2014
Nachricht 70 von 453 (3.262 Ansichten)

Re: Betreff: SecurePlus - Zukunft der TAN-Verfahren

Hallo @Mars,

hallo @stocksour

 

richtig, grundsätzlich ist ein gültiger Mobilfunkvertrag für die Nutzung der SecurePlus App über ein bereits aktiviertes Smartphone nicht notwendig.
Der Gebrauch der SecurePlus App ist sowohl online als auch offline möglich.

 

Der Aspekt der Aktivierung muss bei dieser Frage jedoch gesondert beachtet werden.

Ein gültiger Mobilfunkvertrag ist dann notwendig, wenn die erstmalige Umstellung auf die SecurePlus App über das mTAN-Verfahren erfolgt, um das Endgerät zu verifizieren.
Alternativ kann hierzu auch die Aktivierung über den bisherigen TAN-Generator oder einen angeforderten Aktivierungsbrief erfolgen.  
 

Viele Grüße aus Nürnberg

Michael Herbst

Community Manager