Entgegen der Ankündigungen von Consors war bereits am 08.09. eine Überweisung auf mein Referenzkonto ohne SecurePlus-TAN nicht mehr möglich. Der von Consors genannte Termin war jedoch erst der 09.09., und die PSD2 tritt sogar erst am 14.09. in Kraft. Zudem war bei Consors auch von einer Übergangsfrist bis Ende Oktober die Rede, bis zu deren Ablauf ein Nutzen der Webseite noch mit dem alten DigiPass-TAN-Generator möglich sein sollte. Dabei gäbe es bei der Freigabe von Überweisungen durchaus Spielraum seitens der Consorsbank: Bis 30 EUR ist eine starke Kundenauthentifizierung (SCA) mittels SecureApp durch PSD2 nicht verpflichtend, bis 500 EUR existiert eine Grauzone, innerhalb derer die Bank anhand von Risikobewertungen eine Transaktion auch ohne SCA genehmigen kann. Darüber hinaus wäre die Genehmigung einer Transaktion ohne SCA an Zahlungsempfänger auf einer Whitelist ebenfalls PSD2-konform. Wäre hier also nicht eine kundenfreundliche Umsetzung dieser Ausnahme in Bezug auf die Referenzkonten seitens Consors möglich gewesen? Übrigens: Eine mittels DigiPass über APPLI-2 dynamisch erzeugte TAN war bereits spezifisch für eine Transaktion. Der von CB_Stephan postulierte Sicherheitsgewinn durch "die allgemeine Vorgabe, dass zukünftig eine TAN nur zu einem einzigen Auftrag passen darf", ist also keiner, da dies bereits mit dem alten TAN-Generator gegeben war. PSD2-konform ist der DigiPass 270 aus einem anderen Grund: Die Kontrolle der relevanten Transaktionsdaten (IBAN und Betrag) ist auf diesem Gerät nicht möglich. Diese Kontrollmöglichkeit ist aber kein Sicherheitsgewinn per se, da sie nur wirkt, wenn der Anwender (=Kontoinhaber) sie auch in Anpsruch nimmt. In der Vergangenheit ist es in Betrugsfällen bei Vernachlässigung dieser Sichtkontrolle dementsprechend auch zur vollen Belastung des Kontoinhabers gekommen. Der gegenüber dem DigiPass mögliche Sicherheitsgewinn geht hier also mit einer Prüfpflicht des Kontoinhabers einher und ist somit nur für die Bank garantiert. Analog gäbe es auch Ausnahmen für die umständliche Anmeldung: Die PSD2 sieht einen eingeschränkter Zugang zum Konto auch ohne Prüfung eines zweiten Faktors vor. Dieser kann nachgefordert werden, wenn eine SCA-pflichtige Aktion eingeleitet werden soll. Ich melde mich z.B. oft nur an, um meine Watchlists durchzugehen und vielleicht aktuelle Kontobewegungen zu prüfen. Das wäre kundenfreundlich auch ohne ständiges Abfragen des zweiten Faktors möglich gewesen. Schade, Consorsbank, dass ihr hier eure Kunden bei der Umsetzung von PSD2 etwas vernachlässigt habt. Vielleicht holt ihr das ja noch nach.
... Mehr anzeigen
