Dann setzt bitte die Richtlinie mit 90 Tage um. Ich muss um hier antworten zu können eine Tan generieren. 

Ich kann das alles verstehen, wenn man Geld überweisen muss oder Aktien kaufen möchte, aber nicht, wenn ich mein Kontostand oder Depotstand sehen möchte. 

Ich habe gerade bei PayPal nochmal nachgeschaut. Da muss ich absolut nichts machen. Nichtmal einloggen. Name und Passwort sind gespeichert und ich bin sofort drin. 

Paypal Sitzt in Luxemburg.

Das Luxemburgische PSD2 Einführungsgesetz und die Unterschiede zu Deutschland kenne ich nicht.

Der Vergleich hinkt. Wer Sicherheit ernst nimmt hat übrigens auch bei Paypal schon längst 2FA aktiviert.
2FA ist der defacto Standard für alle kritischen Zugänge im Web (selbst Google, Facebook, Steam, Aplle/iCloud, Dropbox) , nur ewiggestrige deutsche Technikverweigerer regen sich über sowas noch auf.

edit:

Hier nähere Hintergründe zu Paypal, wenn auch Offtopic:

https://www.internetworld.de/technik/payment/zwei-faktor-authentifizierung-paypal-co-planen-1723764....

[...]

Bei PayPal kommt es auf die Zahlart dahinter an

Hallo @CB_Stephanie , danke dass Sie sich beteiligen.

> "Die technische Umsetzung wäre damit sehr komplex geworden"

Mit anderen Worten: die Umsetzung ist für die IT-Abteilung im Moment zu schwierig.

Dann bleibt zu hoffen, dass das in naher Zukunft (ohne den aktuellen Zeitdruck) doch noch gelöst wird.

(Andere Banken konnten es ja auch)

ja das kann ja sein, aber warum wird einfach nur alles abgewunken. Wer hat denn in der EU eine Lobby, oder kann da mal sagen das was ihr vorhabt ist Schwachsinn. Oder kann mir bitte jemand den EU Ausschuss nennen oder den zuständigen Mnister an den ich meine Beschwerde richten kann. Soll ich das Problem etwa meinem Abgeordneten schildern ? der Kennt diese EU Richtlinie vermutlich nicht einmal.

Was sind das für Sicherheitsaspekte, mein PC wird doch auch nach 15 Minuten ausgeloggt. Es kommt doch eh niemand an mein PC und mein Handy ist auch mit Fingerprint und Pin gesichert das schaltet sich doch eh nach 30 Sekunden aus. Mittlerweile muss ich beim arbeiten mit PC und Apps 20 mal Passwörter und TANS eingeben um überhaupt noch arbeiten zu können. Das nächste mal wird noch eine TAN beim bedienen der Maus gefordert, oder bevor ich telefonieren will. Und wer länger als 5 Minuten nix am telefon sagt weil der andere spricht wird ausgeloggt oder wie

In der Tat haben andere Banken die Anforderung an die Entwicklung so gestaltet, dass die TAN nicht jedesmal abgefragt wird.
Vielleich hat man bei Consors gedacht, wir machen es erst mal einfach und der Kunde wird sich schon daran gewöhnen. Man hat etwas Geld bei de Entwicklung gespart.
Sicherlich gehen die Wogen derzeit hoch, aber die ständige Authentifizierung bringt auch neue Probleme, die vorallem Personalkosten beim Support verursachen.
Da ich überwiegend mit HBCI arbeite und auch dafür eine App habe, werde ich Überweisungen erst einmal über meine andere Bank machen. HBCI geht zwar mit "Banking4" (Subsembly), aber ich kann kein QR Scannen wenn ich alles vom Smartphone machen will. 
Das macht das Consorbanking mit der Integration der SecureID schon deutlich besser, aber für den schnellen Blick aufs Konto ist das einfach zu lästig jedes mal die TAN einzugeben. Das sollte dringend nachgebessert werden.

Hallo Stephanie,

für mich klingt es logisch, den zweiten Faktor an den Stellen nur alle 90 Tage abzufragen, an denen kein erhöhtes Risiko besteht (z.B. beim Abruf der Kontodaten). Deshalb hat wohl auch der Gesetzgeber eine solche Möglichkeit vorgesehen. Dass es für kritische Dinge wie beispielsweise eine Auftragsvergabe einer weiteren TAN bedarf, steht ausser Frage.

Was die Consors-App betrifft würde ich mich interessieren, wieso hier keine Geräteverknüpfung hergestellt wurde - soweit ich weiss, machen das andere Banken derzeit so. 

Ein Gewinn an Sicherheit beim Login über den Desktoprechner und Authentifizierung über eine 2FA über das Handy kann ich nachvollziehen. Wo liegt jedoch der Sicherheitsgewinn wenn man auf dem Smartphone mit Consorsbank-App und SecurePlus-App unterwegs ist?

Die Logoutzeit von 5 Minuten macht für mich durchaus Sinn (z.B. auf Desktoprechnern, die auch mal eine Weile unbeaufsichtigt sind). Auf Smartphones jedoch, sollte ein Entsperren über den Fingerabdruck genügen.

Man kann sich darüber streiten, ob die Vorgaben durch den Gesetzgeber sinnvoll sind oder man das Thema Sicherheit besser in die Verantwortung der Institute gegeben hätte.

Ich denke, dass trotzdem genügend Spielraum bleibt eine kundenfreundliche Lösung zu schaffen - ich hoffe, dass Ihr Unternehmen diese Lektion gelernt hat.

Grüße aus dem schönen Steinau

Christian Volk

@Audioralf "Vielleich hat man bei Consors gedacht, wir machen es erst mal einfach und der Kunde wird sich schon daran gewöhnen. Man hat etwas Geld bei de Entwicklung gespart."

so ist es wohl. Mich erinnert das an das Chaos bei der Umsetzung der DSGVO. Da haben viele Firmen (aufgeschreckt durch ihre Datenschutzbeauftragten, die auch nicht so recht wussten, was zu tun ist) einfach mal in vorauseilendem Gehorsam alle Vorschriften übererfüllt. So nach dem Motto: "bevor wir für irgendetwas haftbar gemacht werden können, drehen wir die Schrauben halt mal richtig an. Der Kunde wird's schon hinnehmen."