abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

SecurePlus - Zukunft der TAN-Verfahren

Link zum Beitrag wurde kopiert.

Regelmäßiger Autor
Beiträge: 24
Registriert: 09.10.2015

Guten Tag,

leider finde ich die heute angekündigten Änderungen im Bezug auf SecurePlus wenig aufschlussreich (neuer Link: https://www.consorsbank.de/ev/Service-Beratung/secureplus). Wenn ich das richtig verstanden habe, schafft die Consorsbank das bisherige SMS-Tan Verfahren ab und führt als Ersatz diese neue App ein. Die App gibt es wohl ab 9. September, die angekündigten AGB-Änderungen (und damit der Wegfalll von SMS-Tan?) greifen ab dem 14. September. Das sind keine 8 Wochen mehr, daher möchte ich möglichst bald folgende Fragen geklärt wissen, damit ich einen ggf. für mich nötig werdenden Kontoumzug organisieren kann:

 

  1. Ich nutze ein gerootetes Android Smartphone. Warum ich das gerootet habe geht die Bank eigentlich nichts an, aber es gibt genug Banken, die ihre Apps nicht auf gerooteten Geräten laufen lassen. Kann man die neue SecurePlus App auf gerooteten Geräten nutzen?
  2. Was ist, wenn sich am 9. September herausstellt, dass die neue App nicht auf meinem Gerät läuft? Wie lange habe ich Zeit, bevor SMS-Tan nicht mehr geht? Ohne funktionierendes Tan-Verfahren ist ja ab 14.9. dank PSD2 wohl nichteinmal mehr die Umsatzanzeige verfügbar, das wäre bei einem Zahlungsverkehrskonto extremst ärgerlich.
  3. Apps schön und gut, aber ein Smartphone kann immer mal kaputt gehen. Wird es eine Möglichkeit geben, kurzfristig wieder ans Konto zu kommen, also ohne auf einen neuen Brief warten zu müssen? Ein praktikables und von anderen Banken auch so umgesetztes Beispiel wäre hier, wenn man eine Aktivierungsgrafik daheim im Tresor liegen hat, mit der man in Verbindung mit der Onlinebanking-Pin jederzeit ein neues Gerät aktivieren kann.

 

Vielen Dank im Voraus für die Klärung der Fragen!

 

Edit: Bereits zusammengetragene Informationen:

  • Der Hardware Generator (SecurePlus Generator) kostet 23,90€  inkl. Versand (Quelle)
  • Die Consorsbank kocht zumindest bei dem kostenpflichtigen Hardware-Gerät ihr eigenes Süppchen und ist mit nichts anderem kompatibel (Quelle). Damit ist anzunehmen, dass die App-basierte Lösung auch nicht mit der photo-TAN von der großen gelben Bank kompatibel ist.
  • Einige weitere Infos sind in dieser Antwort
507 Antworten 507

Autorität
Beiträge: 3865
Registriert: 21.07.2017

@Koelle :

Es lag auch gar nicht in meiner Absicht, diese Frage zu beantworten.

 

Mein Beitrag ist ein schlichter Hinweis darauf, dass im Ernstfall das Haftungsrisiko bei Dir und nicht bei der Bank liegt, weil Du gegen die AGB verstossen hast.

0 Likes

Regelmäßiger Autor
Beiträge: 24
Registriert: 09.10.2015

@immermalanders HBCI ist ein offenes Protokoll. Ich kann mir die Software also auch einfach selbst schreiben. Natürlich gibt es auch Drittanbieter, die mir solche Software verkaufen. Aber die sind ja nicht Drittanbieter im Sinne des PSD2 Gesetzes. Es gilt die beiden Schnittstellen zu unterscheiden:

  • PSD2-Schnittstelle: Ich erlaube einem Drittanbieter, auf mein Konto zuzugreifen. Dann kontaktiert ein Server des Drittanbieters die Bank und ruft Umsätze ab oder löst Zahlungen aus. Dabei hat der Drittanbieter Zugriff auf die Umsätze der letzten 90 Tage. Das muss ich selbstverständlich per starker Kundenauthentifizierung erlauben, jedoch wird das so gelöst, dass der Drittanbieter meine Onlinebanking-Zugangsdaten nicht erhält. Der Drittanbieter leitet mich stattdessen zu meiner Bank weiter, ich logge mich bei der Bank ein und bestätige, dass ich diesem Drittanbieter den Zugriff erlauben möchte. Außerdem benötigt der Drittanbieter eine Lizenz von der BaFin (oder der Bankaufsicht eines anderen EU-Landes).
    Beispiel 1: Ein Drittanbieter stellt eine Art Haushaltsbuch bereit, wo ich Umsätze von all meinen Konten bei verschiedenen Banken einsehen kann, und zwar über die Cloud von verschiedenen Geräten aus. Die Daten werden also beim Drittanbieter gespeichert. Da der Anbieter hier laufende Kosten zum Betrieb seiner Server hat, werde ich diese Dienstleistung wohl per Abo bezahlen müssen (oder der Anbieter verkauft meine Daten - irgendwovon muss er ja leben).
    Beispiel 2: Ein Drittanbieter fungiert als Sofortzahlungsdienstleister. Ich löse über diesen Anbieter eine Überweisung aus, und der Anbieter bestätigt dem Händler, dass die Ware bezahlt wurde. Das dürfte dem ein oder anderen bekannt vorkommen, da gibt es so ein TÜV-geprüftes System, das "Sofort" im Namen hat. Aber bei diesem aktuell noch verwendeten System muss ich dem Drittanbieter meine Onlinebanking-Zugangsdaten überlassen, der loggt sich dann in meinem Namen bei der Bank ein und macht das. Das verstößt gegen die AGB der meisten Banken! Mit der PSD2-Schnittstelle gibt es künftig eine legale und sichere Möglichkeit, das umzusetzen, weil die Zugangsdaten nicht an den Drittanbieter herausgegegeben werden müssen.
  • HBCI/FinTS-Schnittstelle: Eine Software (dich ich mir selbst programmiert habe oder irgendwo gekauft habe) läuft auf meinem eigenen Computer. Die Software kommuniziert mit der Bank. Dazu gebe ich in der Software meine Zugangsdaten zum Onlinebanking und ggf. auch eine TAN ein. Hier muss sich niemand von der Bankaufsicht lizenzieren lassen und ein etwaiger Verkäufer der Software muss auch keine Server bereitstellen. Daher wird eine solche Software in der Regel einen einmaligen Preis kosten. Niemand fremdes erhält Zugriff auf meine Umsätze, alles läuft komplett auf meinem eigenen Computer. Ich kann mir das wie gesagt auch einfach selbst programmieren, ich brauche dazu keine Lizenz der BaFin. An die PSD2-Schnittstelle komme ich selbst nicht ran, da ich ja keine eigene BaFin-Lizenz habe.
    Beispiel: Eine Buchhaltungssoftware auf meinem Computer ruft die Umsätze ab und hilft mir, den Überblick über meine Finanzen zu behalten. Es ist nur mein eigener Computer und die Bank daran beteiligt, niemand sonst sieht die Daten.

 

Jetzt zu den unterschiedlichen TAN-Anforderungen:

  • Bei der Verwendung der PSD2-Schnittstelle gestatte ich dem Drittanbieter den Zugriff auf mein Konto. Dazu muss ich für die Erlaubnis am Anfang und dann spätestens alle 90 Tage zur Erneuerung der Erlaubnis eine TAN eingeben. Zusätzlich wird immer eine TAN abgefragt, wenn eine Überweisung ausgelöst werden soll (wobei das Gesetz hier vorsieht, dass man eine Whitelist von Empfängern anlegen kann, für die keine gesonderte TAN erforderlich ist).
  • Beim Login auf der Website der Bank muss spätestens alle 90 Tage eine TAN abgefragt werden. Wenn keine TAN abgefragt wird, dürfen mir nur Umsätze der letzten 90 Tage angezeigt werden. Sobald ich z.B. im Online-Archiv einen älteren Kontoauszug oder ein anderes wichtiges Dokument abrufen möchte, muss eine TAN abgefragt werden, wenn sie nicht schon beim Login abgefragt wurde. Für Überweisungen muss logischerweise auch eine TAN abgefragt werden.
    Die Bank kann aber auch einfach entscheiden, bei jedem Login eine TAN abzufragen. Dann erspart sie sich, diese eingeschränkte Ansicht (Online-Archiv) umzusetzen und muss auch nicht mitzählen, vor wie viel Tagen das letzte Mal eine TAN eingegeben wurde.
  • Bei Verwendung der HBCI-Schnittstelle gelten die gleichen Regeln wie bei Verwendung der Bank-Website. Mindestens alle 90 Tage eine TAN zum Abfragen der Umsätze und wenn keine TAN abgefragt wurde, dann sind nur Umsätze der letzten 90 Tage einsehbar. Auch hier kann die Bank aber einfach jedes Mal eine TAN verlangen, das wäre halt nur insofern doof, dass die Benutzung der oben genannten Buchhaltungssoftware etwas umständlicher wird. Weil stell dir vor, dass ich da 10 Konten unterschiedlicher Banken drin habe. Wenn jetzt alle jedes Mal eine TAN wollen, dann muss ich mich zum Abruf der Umsätze durch 10 verschiedene Apps oder Geräte quälen und die einzelnen TANs eingeben. Viel komfortabler wäre es, wenn das nur alle 90 Tage nötig wird. Bislang konnten wir ja auch ohne TAN unsere Umsätze abrufen und niemand hat sich daran gestört, so mega unsicher kann das also nicht sein...

Autorität
Beiträge: 4638
Registriert: 06.02.2015

@Sebastian256 

Ich habe nicht geschrieben, dass der Anbieter der Homebanking-Software nach dem PSD2 ein Drittanbieter ist. Und oben steht beim Begriff "Drittanbieter" direkt dabei, was damit gemeint ist. So wie ich das sehe, muss der Anbieter (bzw. Programmierer) der Homebanking-Software (HBCI/FinTS) dafür sorgen, dass die Software den gesetzlichen Vorgaben entspricht.

 

0 Likes

Regelmäßiger Autor
Beiträge: 24
Registriert: 09.10.2015

@immermalanders die Software selbst hat da keinen Einfluss drauf. Die gibt die Zugangsdaten einfach an die Bank weiter. Wenn die Bank nun die Umsätze rausrückt, dann kann die Software die Umsätze direkt verarbeiten. Wenn die Bank jedoch eine TAN abfragt, dann muss die Software mich nach dieser TAN fragen, damit sie die der Bank geben kann, um dann wiederum die Umsätze laden zu können. Die Einhaltung der gesetzlichen Vorgaben stellt also die Bank sicher, indem oft genug die TAN abgefragt wird. Die Bank kann dabei selbst entscheiden, ob alle 90 Tage eine TAN eingefordert wird oder jedes Mal oder irgendwas dazwischen. Daher möchte ich ja von der Consorsbank wissen, wie die das handhaben werden. Die Software muss halt damit rechnen, dass nun schon beim Abfragen der Umsätze eine TAN eingefordert wird. Wenn die Software das nicht kann, dann wird sie am 14.9. einfach abstürzen oder irgendwelche Fehler anzeigen.

0 Likes

Community Manager
Beiträge: 393
Registriert: 14.01.2014

Liebe Community, 

 

vielen Dank für eure wertvollen Beiträge, Informationen und Fragen. Ich selbst kann leider nicht alle Antworten ohne interne Rückfrage liefern und habe ich mich gerne noch einmal mit meinen Kollegen zusammengesetzt. Ich freue mich sehr darüber, dass auch ich hier noch so einiges lernen kann. Smiley (fröhlich)

 

 

Aktivierungsbrief
Der Aktivierungscode gilt ab Erzeugung 28 Tage. Das Ablaufdatum ist im Aktivierungsbrief mit angegeben. Dabei wird jeder Code explizit für die Aktivierung eines Gerätes erzeugt und ist somit nach der Verwendung nicht mehr gültig.

 

Legitimation
Eine telefonische Kontostands- bzw. Umsatzabfrage über die Kundenbetreuung kann nach erfolgreicher Legitimation über die Online-PIN (1-Faktor) erfolgen. Der Auftrag für eine Überweisung ist abhängig davon, ob ein Referenzkonto eingerichtet ist.

Ohne Referenzkonto ist eine stärkere Legitimation (2-Faktoren) erforderlich, sprich die zusätzliche Angabe einer TAN.

 

Ist beides nicht möglich, kann die Überweisung schriftlich per Post oder Fax, mit gültiger Unterschrift, in Auftrag gegeben werden.

 

Gerootete / gejailbreakte Endgeräde
Die Consorsbank unterbindet die Nutzung über diese Geräte aktuell nicht.

Diese Information bezieht sich auf den Status Quo und stellt keine Aussage zu einer zukünftigen Nutzung dar.

 

Die von der Consorsbank zur Verfügung gestellten Apps für iOS und Android wurden auf „gerooteten“ bzw. „gejailbreakten“ Geräten NICHT getestet. Die gegebenen Hinweise in Bezug auf die AGB haben Bestand.


HBCI
Lieber @Sebastian256, ich danke dir für die detaillierte Klarstellung der Fakten. Aus deinen Beiträgen heraus wird klar, dass dieses Thema nicht trivial ist. Gerne habe ich zu den einzelnen Punkten Informationen eingeholt.

Vorschau
Bei der Verwendung der PSD2-Schnittstelle gestatte ich dem Drittanbieter den Zugriff auf mein Konto. Dazu muss ich für die Erlaubnis am Anfang und dann spätestens alle 90 Tage zur Erneuerung der Erlaubnis eine TAN eingeben. Zusätzlich wird immer eine TAN abgefragt, wenn eine Überweisung ausgelöst werden soll (wobei das Gesetz hier vorsieht, dass man eine Whitelist von Empfängern anlegen kann, für die keine gesonderte TAN erforderlich ist).

Bei der Consorsbank ist eine solche Whitelist vorerst nicht vorgesehen.

 

 

Vorschau
Beim Login auf der Website der Bank muss spätestens alle 90 Tage eine TAN abgefragt werden. Wenn keine TAN abgefragt wird, dürfen mir nur Umsätze der letzten 90 Tage angezeigt werden. Sobald ich z.B. im Online-Archiv einen älteren Kontoauszug oder ein anderes wichtiges Dokument abrufen möchte, muss eine TAN abgefragt werden, wenn sie nicht schon beim Login abgefragt wurde. Für Überweisungen muss logischerweise auch eine TAN abgefragt werden.
Die Bank kann aber auch einfach entscheiden, bei jedem Login eine TAN abzufragen. Dann erspart sie sich, diese eingeschränkte Ansicht (Online-Archiv) umzusetzen und muss auch nicht mitzählen, vor wie viel Tagen das letzte Mal eine TAN eingegeben wurde.

In der Tat wurde hier die Entscheidung getroffen, bei jedem Konto-Login über Webseite, Apps und HBCI eine TAN abzufragen.

 

 

Vorschau
Bei Verwendung der HBCI-Schnittstelle gelten die gleichen Regeln wie bei Verwendung der Bank-Website. Mindestens alle 90 Tage eine TAN zum Abfragen der Umsätze und wenn keine TAN abgefragt wurde, dann sind nur Umsätze der letzten 90 Tage einsehbar. Auch hier kann die Bank aber einfach jedes Mal eine TAN verlangen, das wäre halt nur insofern doof, dass die Benutzung der oben genannten Buchhaltungssoftware etwas umständlicher wird. Weil stell dir vor, dass ich da 10 Konten unterschiedlicher Banken drin habe. Wenn jetzt alle jedes Mal eine TAN wollen, dann muss ich mich zum Abruf der Umsätze durch 10 verschiedene Apps oder Geräte quälen und die einzelnen TANs eingeben. Viel komfortabler wäre es, wenn das nur alle 90 Tage nötig wird. Bislang konnten wir ja auch ohne TAN unsere Umsätze abrufen und niemand hat sich daran gestört, so mega unsicher kann das also nicht sein...

Auch hier ist es so, dass bei jedem Login die Eingabe einer TAN erforderlich ist. Insofern kann sich die Nutzung mehrere Konten über eine HBCI-Schnittstelle tatsächlich komplexer gestalten.

 

 

Soweit für den Moment. Und auch hier gerne noch einmal den Hinweis auf unsere Informationsseite zum SecurePlus Verfahren.

 

Viele Grüße aus Nürnberg

Michael Herbst

Community Manager


Aufsteiger
  • Community Junior
Beiträge: 2
Registriert: 01.08.2019
Das Handy nur für Bankgeschäfte zu Nutzen verschlimmert die Unsicherheit der Methode mTAN nur noch. In den mesiten Fällen besorgen sich die Täter eine Ersatz-SIM-Karte um an die TANs zu gelangen. Wird das Handy nur temporär genutzt fällt dies umso später auf und Rückbuchungen sind im Fall der Fälle nicht mehr möglich.
0 Likes

Gelegentlicher Autor
Beiträge: 18
Registriert: 06.09.2016

Hallo Consorsbank,

 

muss das Handy für die SecurePlus App über einen gültigen Mobilfunkvertrag verfügen oder genügt auch ein Handy, das zuhause auf dem Tisch liegt und nur über WLAN ins Netz geht?


Moderator
Beiträge: 736
Registriert: 27.06.2019

Liebe Community,

da wir einige weitere Fragen zu der Nutzung von gerooteten Geräten erhalten haben, möchte ich das Thema hier noch einmal aufgreifen.

Die Consorsbank SecurePlus App wurde für iOS und Android Geräte entwickelt und von Apple bzw. Google für die jeweiligen App Stores freigegeben. Eine Nutzung auf gerooteten Geräten ist nicht vorgesehen. Die SecurePlus App wurde weder dafür konzipiert noch entsprechend getestet.

Viele Grüße

CB_Stephanie
Community-Moderatorin

0 Likes

Autorität
Beiträge: 3865
Registriert: 21.07.2017

Hallo, @mars ,

weil diese Frage wohl weit unter der Schwelle liegt, bei der die. die es besser wissen, überhaupt zu denken beginnen, versuche ich eine Erklärung, wohlgemerkt von greenhorn zu greenhorn.

 

Was mit dem tablet - ohne SIM-Karte - geht, sollte mit Deinem Handy - ohne Vertrag und SIM-Karte - auch funktionieren, das passende Betriebssystem vorausgesetzt.

Da die App sowohl online als auch offline arbeitet, bedarf sie wohl keiner Verbindung nach ausserhalb des Gerätes, um eine TAN zu generieren.

0 Likes

Community Manager
Beiträge: 393
Registriert: 14.01.2014

Hallo @Mars,

hallo @stocksour

 

richtig, grundsätzlich ist ein gültiger Mobilfunkvertrag für die Nutzung der SecurePlus App über ein bereits aktiviertes Smartphone nicht notwendig.
Der Gebrauch der SecurePlus App ist sowohl online als auch offline möglich.

 

Der Aspekt der Aktivierung muss bei dieser Frage jedoch gesondert beachtet werden.

Ein gültiger Mobilfunkvertrag ist dann notwendig, wenn die erstmalige Umstellung auf die SecurePlus App über das mTAN-Verfahren erfolgt, um das Endgerät zu verifizieren.
Alternativ kann hierzu auch die Aktivierung über den bisherigen TAN-Generator oder einen angeforderten Aktivierungsbrief erfolgen.  
 

Viele Grüße aus Nürnberg

Michael Herbst

Community Manager

Antworten