Informationen zu Sebastian256

@immermalanders zum Login und für andere Aktionen, die nichts mit einem Zahlungsvorgang zu tun haben (Freistellungsauftrag, Freischaltung SecurePlus, ...), muss keine IBAN oder Betrag verifiziert werden, gibt es dann ja auch nicht. Wahrscheinlich muss man dann den oberen Button in der App (siehe Screenshot) drücken. Alternativ kann die Bank natürlich auch einen QR-Code erzeugen, der dann Daten beinhaltet wie "Freistellungsauftrag über 801€ ab 1.1.2019 bis auf Widerruf", damit man das in der App nochmal prüfen kann, aber rechtlich wäre es von Seiten der PSD2 nicht erforderlich. Für diese Fälle darf die Bank auch nach dem 14. September noch andere Verfahren einsetzen, außer dem bereits erwähnten TOTP Verfahren oder dem damit verwandten HOTP wäre beispielsweise auch eine APPLI-1 TAN aus dem alten TAN-Generator rechtlich gesehen noch Ok. Aber ich kann mir ehrlich gesagt nicht vorstellen, dass die Consorsbank noch weitere App-basierte Verfahren anbietet, die dann nur für diese speziellen Fälle funktionieren. Wäre irgendwie seltsam, bringt für die Bank nur zusätzliche Kosten und keine Vorteile mit sich. Das einzige, was denkbare wäre, ist eine gewisse Übergangsfrist für den alten TAN-Generator, damit man damit zumindest die SecurePlus App oder den neuen Generator noch nach dem 14. September aktivieren kann. Aber zur Freigabe von Überwisungen darf der alte Generator wie bereits erwähnt dann nicht mehr verwendet werden (berücksichtigt nur Empfänger, nicht jedoch den Betrag der Überweisung). ... Mehr anzeigen

@5CeZ8: (Hoffentlich ist der Name nicht auch dein Onlinebanking-Pin - ansonsten Pin sofort ändern)   Andere Apps gehen nicht, das hat einer der Moderatoren schon geschrieben. Es würde auch nicht dem Gesetz entsprechen, denn zur Freigabe einer Überweisung muss Empfänger (IBAN) und Betrag mit einbezogen werden. Mit der App von der Consorsbank scannt man daher einen QR-Code, wo diese Daten drin stehen, und die App errechnet aus den Daten und einem gerätebezogenen geheimen Wert dann die TAN. Die 2FA Apps für Google, Amazon & Co berechnen aus einem geheimen Wert und der aktuellen Uhrzeit alle 30 Sekunden eine neue TAN, die wäre dann aber unabhängig von irgendwelchen Überweisungsdaten und damit unzulässig. Man will ja vermeiden, dass z.B. ein böses Browserplugin deine Kommunikation mit der Bank manipuliert. Jeder Werbeblocker manipuliert die Darstellung von Websites (zum Entfernen der Werbung). Aber genausogut könnte das Plugin beim Abschicken der Überweisung noch schnell die IBAN und den Betrag verändern und dir trotzdem die erwartete Bestätigungs-Seite anzeigen. Du gibst die Überwisung dann per TAN frei und der Betrüger, der das Browser-Plugin geschrieben hat, freut sich über dein Geld. Daher stehen die Daten ja auch in der SMS für mTAN drin und künftig dann in der App der Consorsbank, damit spätestens hier die Manipulation dann auffällt und du die Überweisung eben nicht freigibst. Deshalb ist es auch so wichtig, die angezeigten Daten in der SMS bzw. dann in der SecurePlus App unbedingt zu überprüfen. ... Mehr anzeigen

@Mirko1985 "Diese kundenunfreundliche Umsetzung der PSD2 durch die Banken ist mir unbegreiflich. Warum bei jedem Login eine TAN abfragen wenn die PSD2 lediglich alle 90 tage vorschreibt?"   Ich tippe drauf, dass das zwei Gründe hat. Der eine ist ganz banal: Es ist einfacher, jedes Mal zu fragen. Dann muss man keinen Mechanismus einbauen, der mitzählt, wie lange die letzte Abfrage schon zurück liegt. Das Gesetz ist zwar schon ewig beschlossen, aber wie immer (siehe zuletzt das DSGVO Debakel bei vielen Firmen) wird alles auf den allerletzten Drücker gemacht. Da bleibt dann keine Zeit mehr, für eine vernünftige Lösung. Eine andere Bank schaltet HBCI einfach komplett ab, weil die es nicht mehr rechtzeitig hinbekommen haben, ihr System anzupassen. Schlimmer geht also immer. Gestützt wird das vom zweiten Grund: Als Bank bringt es einem ja eher Nachteile, wenn die Kunden Multibanking Programme verwenden. Auf der eigenen Website und in der eigenen App können Banken Angebote unterbringen (Depot, Tagesgeld, Kredit, wasauchimmmer). Wenn ich mit meiner Bank nur über die HBCI-Schnittstelle kommuniziere, erreichen mich solche Anzeigen nicht und ich habe auch keinerlei Bindung an die Bank. Die Umsätze verwalte ich sonstwo und nach einem Bankwechsel ist alles noch so wie davor, nur die IBAN ist halt anders. Die Bank will doch, dass man sich an die eigene Benutzungsoberfläche gewöhnt, damit man nicht leichtfertig wechselt. Schau dir zum Beispiel den Finanzplaner der Consorsbank an. Das ist ein einfaches Instrument der Kundenbindung. Wer das nutzt, wird die Bank nicht mehr so einfach wechseln. In der eigenen App kann die Bank es super komfortabel gestaltet: Das Gerät deckt den Besitz-Faktor ab und der Fingerabdruck die Inhärenz. Da dauert für mich der Login nur eine Sekunde. Wenn ich jedoch eine Multibanking App verwenden will, dann muss ich beim Abfragen der Umsätze aus der App raus, rein in die SecurePlus App, mir dort die TAN merken, zurück in die Multibanking App und die gemerkte TAN eingeben. Viel umständlicher. Hier ist ganz klar das hauseigene Produkt (App der Consorsbank) im Vorteil und man kann die Benachteiligung der Konkurenz ganz leicht mit der PSD2 begründen. Das ist der Punkt, der mich an der PSD2 Richtlinie am meisten nervt. Da war sicherlich eine Lobby mit am Werk, bei der Banken und Finanzdienstleister mit Abo-Produkten profitieren. Die PSD2-Schnittstelle ist ja eben kein Ersatz für HBCI und wird sich wohl nur mit Abo-Produkten nutzen lassen (oder wenn der Anbieter meine kompletten Finanzdaten nimmt und daraus Geld erwirtschaftet - auch keine gute Vorstellung). ... Mehr anzeigen

Bitte kommt zum eigentlichen Thema zurück.   Mein Thread hier hat inzwischen schon 13 Seiten, da findet man ja kaum noch die relevanten Antworten und offene Fragen werden von den Moderatoren übersehen.   Offen ist zum Beispiel noch, wer der Ansprechpartner bei Problemen mit dem SecurePlus Generator ist. Die Bank oder der Hersteller? Und kann man da die Batterien wechseln oder wird das Teil Elektroschrott, wenn sie leer sind? Vermutlich braucht so ein QR-Code Scanner auch deutlich mehr Strom als der alte TAN-Generator, er wird also nicht ewig halten, zumal man ja schon für jeden Login den zweiten Faktor brauchen wird und nicht wie bisher nur bei Zahlungsvorgängen. ... Mehr anzeigen

@immermalanders die Software selbst hat da keinen Einfluss drauf. Die gibt die Zugangsdaten einfach an die Bank weiter. Wenn die Bank nun die Umsätze rausrückt, dann kann die Software die Umsätze direkt verarbeiten. Wenn die Bank jedoch eine TAN abfragt, dann muss die Software mich nach dieser TAN fragen, damit sie die der Bank geben kann, um dann wiederum die Umsätze laden zu können. Die Einhaltung der gesetzlichen Vorgaben stellt also die Bank sicher, indem oft genug die TAN abgefragt wird. Die Bank kann dabei selbst entscheiden, ob alle 90 Tage eine TAN eingefordert wird oder jedes Mal oder irgendwas dazwischen. Daher möchte ich ja von der Consorsbank wissen, wie die das handhaben werden. Die Software muss halt damit rechnen, dass nun schon beim Abfragen der Umsätze eine TAN eingefordert wird. Wenn die Software das nicht kann, dann wird sie am 14.9. einfach abstürzen oder irgendwelche Fehler anzeigen. ... Mehr anzeigen

@immermalanders HBCI ist ein offenes Protokoll. Ich kann mir die Software also auch einfach selbst schreiben. Natürlich gibt es auch Drittanbieter, die mir solche Software verkaufen. Aber die sind ja nicht Drittanbieter im Sinne des PSD2 Gesetzes. Es gilt die beiden Schnittstellen zu unterscheiden: PSD2-Schnittstelle: Ich erlaube einem Drittanbieter, auf mein Konto zuzugreifen. Dann kontaktiert ein Server des Drittanbieters die Bank und ruft Umsätze ab oder löst Zahlungen aus. Dabei hat der Drittanbieter Zugriff auf die Umsätze der letzten 90 Tage. Das muss ich selbstverständlich per starker Kundenauthentifizierung erlauben, jedoch wird das so gelöst, dass der Drittanbieter meine Onlinebanking-Zugangsdaten nicht erhält. Der Drittanbieter leitet mich stattdessen zu meiner Bank weiter, ich logge mich bei der Bank ein und bestätige, dass ich diesem Drittanbieter den Zugriff erlauben möchte. Außerdem benötigt der Drittanbieter eine Lizenz von der BaFin (oder der Bankaufsicht eines anderen EU-Landes). Beispiel 1: Ein Drittanbieter stellt eine Art Haushaltsbuch bereit, wo ich Umsätze von all meinen Konten bei verschiedenen Banken einsehen kann, und zwar über die Cloud von verschiedenen Geräten aus. Die Daten werden also beim Drittanbieter gespeichert. Da der Anbieter hier laufende Kosten zum Betrieb seiner Server hat, werde ich diese Dienstleistung wohl per Abo bezahlen müssen (oder der Anbieter verkauft meine Daten - irgendwovon muss er ja leben). Beispiel 2: Ein Drittanbieter fungiert als Sofortzahlungsdienstleister. Ich löse über diesen Anbieter eine Überweisung aus, und der Anbieter bestätigt dem Händler, dass die Ware bezahlt wurde. Das dürfte dem ein oder anderen bekannt vorkommen, da gibt es so ein TÜV-geprüftes System, das "Sofort" im Namen hat. Aber bei diesem aktuell noch verwendeten System muss ich dem Drittanbieter meine Onlinebanking-Zugangsdaten überlassen, der loggt sich dann in meinem Namen bei der Bank ein und macht das. Das verstößt gegen die AGB der meisten Banken! Mit der PSD2-Schnittstelle gibt es künftig eine legale und sichere Möglichkeit, das umzusetzen, weil die Zugangsdaten nicht an den Drittanbieter herausgegegeben werden müssen. HBCI/FinTS-Schnittstelle: Eine Software (dich ich mir selbst programmiert habe oder irgendwo gekauft habe) läuft auf meinem eigenen Computer. Die Software kommuniziert mit der Bank. Dazu gebe ich in der Software meine Zugangsdaten zum Onlinebanking und ggf. auch eine TAN ein. Hier muss sich niemand von der Bankaufsicht lizenzieren lassen und ein etwaiger Verkäufer der Software muss auch keine Server bereitstellen. Daher wird eine solche Software in der Regel einen einmaligen Preis kosten. Niemand fremdes erhält Zugriff auf meine Umsätze, alles läuft komplett auf meinem eigenen Computer. Ich kann mir das wie gesagt auch einfach selbst programmieren, ich brauche dazu keine Lizenz der BaFin. An die PSD2-Schnittstelle komme ich selbst nicht ran, da ich ja keine eigene BaFin-Lizenz habe. Beispiel: Eine Buchhaltungssoftware auf meinem Computer ruft die Umsätze ab und hilft mir, den Überblick über meine Finanzen zu behalten. Es ist nur mein eigener Computer und die Bank daran beteiligt, niemand sonst sieht die Daten.   Jetzt zu den unterschiedlichen TAN-Anforderungen: Bei der Verwendung der PSD2-Schnittstelle gestatte ich dem Drittanbieter den Zugriff auf mein Konto. Dazu muss ich für die Erlaubnis am Anfang und dann spätestens alle 90 Tage zur Erneuerung der Erlaubnis eine TAN eingeben. Zusätzlich wird immer eine TAN abgefragt, wenn eine Überweisung ausgelöst werden soll (wobei das Gesetz hier vorsieht, dass man eine Whitelist von Empfängern anlegen kann, für die keine gesonderte TAN erforderlich ist). Beim Login auf der Website der Bank muss spätestens alle 90 Tage eine TAN abgefragt werden. Wenn keine TAN abgefragt wird, dürfen mir nur Umsätze der letzten 90 Tage angezeigt werden. Sobald ich z.B. im Online-Archiv einen älteren Kontoauszug oder ein anderes wichtiges Dokument abrufen möchte, muss eine TAN abgefragt werden, wenn sie nicht schon beim Login abgefragt wurde. Für Überweisungen muss logischerweise auch eine TAN abgefragt werden. Die Bank kann aber auch einfach entscheiden, bei jedem Login eine TAN abzufragen. Dann erspart sie sich, diese eingeschränkte Ansicht (Online-Archiv) umzusetzen und muss auch nicht mitzählen, vor wie viel Tagen das letzte Mal eine TAN eingegeben wurde. Bei Verwendung der HBCI-Schnittstelle gelten die gleichen Regeln wie bei Verwendung der Bank-Website. Mindestens alle 90 Tage eine TAN zum Abfragen der Umsätze und wenn keine TAN abgefragt wurde, dann sind nur Umsätze der letzten 90 Tage einsehbar. Auch hier kann die Bank aber einfach jedes Mal eine TAN verlangen, das wäre halt nur insofern doof, dass die Benutzung der oben genannten Buchhaltungssoftware etwas umständlicher wird. Weil stell dir vor, dass ich da 10 Konten unterschiedlicher Banken drin habe. Wenn jetzt alle jedes Mal eine TAN wollen, dann muss ich mich zum Abruf der Umsätze durch 10 verschiedene Apps oder Geräte quälen und die einzelnen TANs eingeben. Viel komfortabler wäre es, wenn das nur alle 90 Tage nötig wird. Bislang konnten wir ja auch ohne TAN unsere Umsätze abrufen und niemand hat sich daran gestört, so mega unsicher kann das also nicht sein... ... Mehr anzeigen

Lieber @CB_Michael,   vielen Dank für das zeitnahe Beschaffen dieser Informationen. Insbesondere die zweimonatige Übergangsfrist, mit der alle die noch keins der neuen Verfahren aktiviert haben ihr Konto per mTAN noch bis zum 15. November nutzen können, finde ich sehr fair. Das gibt eine gewisse Planungssicherheit, falls das mit der App nicht so klappt wie erhofft. Bitte verkürzt diesen Zeitraum daher nicht doch noch.   Für mich haben sich noch folgende Rückfragen ergeben:   Aktivierung eines neuen Gerätes ohne verifiziertes Verfahren Besteht die Möglichkeit, sich einen Aktivierungsbrief auf Vorrat anzufordern und daheim in den Tresor zu legen? Also für den Fall, dass ich nur ein einziges kompatibles Gerät habe und das mal zurückgesetzt werden muss, ohne dass vorher ein anderes Gerät aktiviert werden kann. Hierzu wäre es gut zu wissen, ob der Aktivierungsbrief mehrmals verwendet werden kann und ob er eine unbegrenzte zeitliche Gültigkeit hat. Beispielsweise bei der Commerzbank gilt der photoTAN Aktivierungsbrief zeitlich unbegrenzt und kann beliebig oft zur Aktivierung eines neuen Geräts verwendet werden. Falls dies bei der Consorsbank nicht möglich ist würde mich interessieren, wie ich auf mein Konto zugreifen kann, bis der Aktivierungsbrief bei mir angekommen ist. Kann ich in dieser Zeit ausnahmsweise den telefonischen Kundendienst nutzen, um meine Umsätze abzufragen und ggf. eine Überweisung in Auftrag zu geben?   TAN Anforderung von HBCI Anwendungen HBCI ist nicht für Drittanbieter gedacht, sondern für die direkte Kommunikation von Software auf meinem Rechner mit der Bank. Daher muss ich auch keinem Drittanbieter eine Zustimmung erteilen (das wäre bei der PSD2-Schnittstelle der Fall, die ich hier aber ausdrücklich nicht meine). Stattdessen gebe ich in meiner Software die Zugangsdaten zum Onlinebanking ein. Selbstverständlich muss die Software dann die TAN-Abfrage beim Abruf der Umsätze hinbekommen, das ist ja ab Mitte September neu im Vergleich zum aktuellen Zustand. Meine Frage war, ob die Consorsbank diese Abfrage einer TAN dann bei jedem Abruf der Umsätze verlangt, oder nur alle 90 Tage. Das Gesetz fordert, dass die TAN mindestens alle 90 Tage angefordert wird. Manche Banken haben durchblicken lassen, dass sie jedes Mal die TAN abfragen werden (erfüllt ja die Vorgabe und ist leicht zu programmieren), anderen Banken ist der Komfort etwas wichtiger und sie nutzen die Zeitspanne voll aus und fordern nur alle 90 Tage eine TAN an. Ich würde mich freuen, wenn Sie diese Information noch nachliefern können.   Gerootete Android-Geräte Leider haben Sie etwas um den heißen Brei herum geredet, aber vielleicht war meine Frage auch ungünstig formuliert. Deshalb versuche ich es erneut: Beinhaltet die SecurePlus App der Consorsbank Maßnahmen, die den Einsatz der App auf gerooteten Geräten verhindern sollen, zum Beispiel das SafetyNet von Google?   Vielen Dank! ... Mehr anzeigen

Session-TAN zur Freigabe von Überweisungen wird nicht gehen, weil die neue gesetzliche Regelung vorsieht, dass jeder Zahlungsvorgang einzeln freigegeben werden muss und dabei der Empfänger und der Betrag mit einbezogen werden müssen (siehe § 55 Abs 2 des Gesetz zur Umsetzung der Zweiten Zahlungsdienstrichtlinie).   Fürs Trading spielt die PSD2 keine Rolle, was genau die Consorsbank da macht kann vielleicht einer der Moderatoren sagen. ... Mehr anzeigen

Für mich sind noch folgende Fragen offen und sollten möglichst noch diesen Monat geklärt werden: Funktioniert die SecurePlus App auf gerooteten Android-Geräten? Kann die SecurePlus App auch mit Custom Roms verwendet werden? (Natürlich werdet ihr hier Funktions-Garantie geben, aber ihr könnt ja durchblicken lassen, ob man das aktiv verhindern will oder nicht) Wie gestaltet sich der Vorgang zur Aktivierung der SecurePlus App auf einem neuen Gerät, wenn man noch ein eingerichtetes Gerät bzw. den SecurePlus Generator zur Verfügung hat? (z.B. neues Smartphone gekauft, aber das alte geht noch) Kann ich das dann in wenigen Minuten einfach selbst erledigen und mit einer TAN vom alten Gerät freigeben? Wie gestaltet sich der Vorgang zur Aktivierung eines neuen Geräts, wenn man kein eingerichtetes Gerät mehr hat und auch keinen SecurePlus Generator gekauft hat? (z.B. zurücksetzen des Smartphones auf Werkseinstellungen) Muss ich da dann tagelang auf einen Brief warten und komme in der Zeit nicht an mein Konto? Oder schafft die Telefon-Hotline hier kurzfristig Abhlfe und kann das neue Gerät sofort aktivieren? Bis wann kann ich mein Konto mit dem alten mobileTAN Verfahren im vollen Umfang nutzen (also auch Überweisungen tätigen), wenn ich am 9. September feststelle, dass die App wider Erwarten bei mir nicht funktioniert und ich mir aber auch keinen SecurePlus Generator kaufen möchte? Anders gefragt, wie lange habe ich Zeit für einen Kontoumzug zu einer anderen Bank, wenn mir das SecurePlus-Verfahren am 9. September nicht zusagt? (Eine Einführung des neuen Verfahrens nicht so ultra knapp vor der PSD2-Deadline wäre sicherlich hilfreich gewesen...) Wird bei der Verwendung der HBCI/FinTS 3.0 Schnittstelle jedes Mal beim Abrufen der Umsätze eine TAN gefordert, oder nur alle 90 Tage (das gesetzlich geforderte Intervall). Bitte nicht mit der PSD2-Schnittstelle verwechseln, weil die setzt ja voraus, dass ein zertifizierter Dienstleister zwischengeschaltet ist und die Daten auch mitlesen kann. Mir geht es darum, mit einer Homebanking-Software (z.B. Banking4) die Kontoumsätze direkt von meinem Computer aus abzurufen, ohne dass ein externer Dienstleister im Spiel ist. Dafür kann die PSD2-Schnittstelle nicht verwendet werden.     Zu guter Letzt eine Art offener Brief an die Consorsbank: Es ist klar, dass mit der PSD2 eine Umstellung nötig war. Der alte Generator entspricht nicht mehr den gesetzlichen Anforderungen. Das TAN-Verfahren per SMS ist kostspielig für die Bank und auch nicht ganz so sicher und zuverlässig wie die anderen Alternativen. Aber dennoch finde ich, dass die Umstellungen bei der Consorsbank etwas unglücklich verläuft. Die Gründe sind: der Zeitpunkt. Als Kunde mit Hauptgirokonto ist es besonders wichtig, dass jederzeit Zugriff darauf besteht. Sie haben den Umstellungszeitpunkt exakt 5 Tage vor die PSD2 Deadline gelegt. Ab dem 14. September darf z.B. der alte TAN-Generator nicht mehr verwendet werden. Ich hätte mich als Kunde gerne schon vorher mit dem System vertraut gemacht. Komme ich mit der SecurePlus App zurecht, bzw. läuft die überhaupt auf meinem Smartphone? Benötige ich vielleicht doch den SecurePlus Generator? Ich male mir gerade ein Szenario aus, bei dem ich mich am 14. September einloggen möchte, das Onlinebanking fragt wie gesetzlich vorgesehen bereits beim Login nach einer TAN, aber ich habe kein funktionierendes TAN-Verfahren mehr weil die App nicht auf meinem gerooteten Smartphone läuft, der alte Generator per Gesetz nicht mehr verwendet werden darf und mobileTAN schon abgeschaltet wurde. So habe ich von heute auf morgen keinen Zugriff mehr auf mein Hauptgirokonto - eine Horrorvorstellung. Daher hoffe ich, dass zumindest für mobileTAN eine mehrwöchige Übergangsfrist bis mindestens Ende Oktober angeboten wird. Das wäre ja auch mit den neuen gesetzlichen Regelungen vereinbar. Das alles hätte sich vermeiden lassen, wenn man beispielsweise schon im Juli das neue SecurePlus Verfahren parallel zu den alten TAN-Verfahren eingeführt hätte und die alten Verfahren dann zum 14. September abschaltet. Schauen Sie doch mal, wie es die Postbnak gemacht hat. Da gibt es seit Monaten das neue Verfahren, nämlich deren BestSign App. Die alte mobileTAN wird jetzt im August eingestellt. Da hatten die Kunden lange genug Zeit, das neue Verfahren auszuprobieren und ggf. die Bank zu wechseln, wenn es einem nicht passt. Bei der Consorsbank hingegen werden wir ins kalte Wasser geworfen. Letztendlich sollten Sie auch an die Sicherheit Ihrer Kunden denken! Wer hindert mich daran, schon jetzt eine App mit dem Namen "Consorsbank SecurePlus" in den Play Store zu stellen? Ich wette, dass etliche Kunden die dann installieren würden, weil die echte App noch nicht verfügbar ist und meine gefaälschte App damit der einzige Suchtreffer ist. Und wer würde schon Verdacht schöpfen, wenn die neu installierte App die Zugangsdaten zum Onlinebanking abfragt. Das ist doch eine Einladung für Phishing! (Gleichzeitig damit das Appell an alle Kunden, extremst vorsichtig zu sein und am besten nur Apps zu installieren, die von der offiziellen Consorsbank-Website verlinkt wurden. Niemals nur einem App-Namen vertrauen!) die Wahl der Technik. Die TAN-Lösung muss ja letztendlich den "Besitz" Faktor überprüfen. Das kann dann durch die Abfrage einer Pin oder eines Fingerabdrucks um den geforderten zweiten Bereich ergänzt werden. Für den Besitz-Faktor stehen verschiedene Methoden zur Verfügung. 1) Die von Ihnen wohl präferierte Methode per App. Das ist toll für alle, die ein Smartphone haben und bereit sind, diesem die Banksicherheitstechnik anzuvertrauen. Aber es gibt auch genug Menschen, die kein Smartphone haben oder keine Bank-Sachen auf dem Smartphone wollen. Dann bleibt nur Alternative 2) ein Hardware-Gerät. Hier gibt es am Markt verschiedene Varianten. Über viele Banken hinweg verbreitet ist das chipTAN Verfahren mit der Girocard und einem Lesegerät. Das gibt es sowohl in der altmodischen Flickercode-Variante als auch moderner über QR-Code oder sogar Bluetooth. Der Vorteil hierbei ist ganz klar, dass das Gerät nicht Kunden- oder Bankgebunden ist. Man kann sich in einem Mehrpersonenhaushalt wunderbar ein Gerät teilen, jeder steckt dann einfach seine persönliche Karte rein und es funktioniert. Nach einem Bankwechsel kann man das Teil auch weiter verwenden, ohne dass es Elektroschrott wird. Was die Consorsbank anbietet ist ein Gerät, welches selbst durch die Seriennummer personengebunden wird. Somit entfällt das Einstecken einer Karte, aber es braucht jeder ein eigenes Gerät und kann es auch nur für die eine Bank nutzen. Das ist als Kunde mehrerer Banken oder in einem Haushalt mit mehreren Consorsbank-Kunden etwas unnötig. Wenn ich von der Consorsbank weg wechseln möchte, habe ich anschließend ein nicht mehr benutzbares Gerät rumliegen, das mich anfangs mal 24€ gekostet hat. Das sieht auf den ersten Blick nicht sonderlich attraktiv aus. die Art der Kommunikation. Die E-Mail und die dazugehörige Aktionsseite lässt viele Fragen offen, wie Sie auch den Beiträgen im Forum entnehmen können. Für mich klingt das wie "Lieber Kunde, wir ändern etwas essentielles, nämlich wie du zukünftig Zugang zu deinem Konto hast, aber verraten dir noch nichts genaues. Keine Panik, es sind noch ganze eineinhalb Monate bis hin. Deine Personalabteilung nimmt doch bestimmt auch noch am 20. September eine geänderte Bankverbindung für das September-Gehalt entgegen, wenn dir dann auffällt, dass du dein Girokonto nicht mehr nutzen kannst." Klar, das mag jetzt etwas überspitzt klingen, aber insgesamt erweckt das einfach nur den Eindruck, als wisse die Bank nicht, was sie da tut. Warum kann man keine ausführliche Informationsseite vorbereiten und die dann gleichzeitig mit der App freigeben, und zwar mindestens zwei Monate bevor die alten Verfahren deaktiviert werden? Nicht ohne Grund steht ja in den AGB, dass die Bank nur mit einer Frist von mindestens zwei Monaten kündigen kann, das ist ja ungefähr der Zeitraum, den ein Kunde für einen geregelten Wechsel benötigt. Und diese häppchenweise Herausgabe von Informationen ist wie oben schon erwähnt eine einladung für Kriminelle, die eine gefälschte App unters Volk bringen, noch bevor die echte verfügbar ist. Schon allein deswegen macht man sowas nicht. Das Kind hier ist hier schon in den Brunnen gefallen, aber es wäre super hilfreich, wenn noch vor Monatsende alle offenen Fragen (siehe oben) verbindlich geklärt werden. Ich muss mich auf meine Bank verlassen können, da kann ich es nicht gebrauchen dass der 14. September immer näher rückt und nicht geklärt ist, ob ich dann mein Konto noch benutzen kann.   An die anderen Kunden eine Bitte: Bleibt sachlich. Ich selbst stehe dem ganzen auch sehr kritisch gegenüber und schaue mich auch schon um, zu welcher Bank ich wechseln könnte, aber eigentlich bin ich bei der Consorsbank weil mich das Angebot bislang überzeugt hat. Wenn es mich nach den Änderungen nicht mehr überzeugt, dann kann ich ja wechseln. Aber leider Gottes kann ich noch nicht einschätzen, ob mich das Angebot noch überzeugt, weil die nötigen Informationen nicht vorliegen. Die Moderatoren, die uns teils mit Höflichkeitsfloskeln hinhalten, machen bestimmt das beste aus dem, was sie an Infos von den Verantwortlichen bekommen. Macht denen bitte nicht noch mehr Arbeit, die sollen versuchen, alle Fragen so umfangreich wie möglich zu beantworten und sich nicht mit aus dem Ruder gelaufenen Beiträgen rumärgern müssen. ... Mehr anzeigen

Relevanter Beitrag: https://wissen.consorsbank.de/t5/Girokonto-Zahlungsverkehr/Tangenerator-und-Finanzmanager/m-p/84684/highlight/true#M7007 ... Mehr anzeigen

@Ano_Nymer mit "altem Generator" meine ich diesen hier. Wie du der Anleitung entnehmen kannst werden die transaktionsbezogenen TANs (APPLI2) nur auf Basis der Kontonummer, aber ohne Berücksichtigung des Betrags berechnet. Das widerspricht § 55 Abs 2 des Gesetz zur Umsetzung der Zweiten Zahlungsdienstrichtlinie. MobileTAN (also SMS) ist damit voll und ganz vereinbar, in der Nachricht steht ja Empfänger und Betrag drin. Wenn du die übermittelte TAN im Onlinebanking eingibst zeigst du, dass du Zugang zur SIM-Karte für diese Mobilfunknummer hast (Faktor "Besitz"). Die Consorsbank schafft es höchstwahrscheinlich einfach wegen den SMS-Kosten ab und nimmt die aktuelle Situation zum Anlass, weil die Systeme bzgl. der alten Generatoren eh überarbeitet werden müssen. Die HHD 1.4 Generatoren anderer Banken zeigen dir Empfänger und Betrag an, erst wenn du beides bestätigt hast werden die Daten an den Chip auf deiner Girocard weitergeleitet, der dann die TAN berechnet, die das Gerät dir anzeigt. Damit ist das eine gültige Methode für den Faktor "Besitz" (physikalischer Zugang zur Girocard). Zusätzlich muss dann z.B. noch eine Pin abgefragt werden, um den Bereich "Wissen" mit abzudecken. Bei der neuen Lösung der Consorsbank wird sicherlich sowohl der Betrag als auch der Empfänger abgefragt werden, und zumindest in der App hat man dann ja die Wahl neben "Besitz" als zweiten Faktor entweder "Wissen" (Entsperrung per Pin) oder "Inhärenz" (Entsperrung per Fingerabdruck) zu wählen.   @Hawkwind So eine TAN-Anwendung für Windows Computer ist mir bislang noch nicht über den Weg gelaufen. Mir wäre das ehrlich gesagt zu unsicher. Letztendlich soll das ja den Faktor "Besitz" abbilden, d.h. solange du das Gerät mit der eingerichteten App bei dir hast, kann niemand anderes TANs generieren. Bei iOS und Android wird dafür auf einem speziell geschützten Speicherplatz ein geheimer Schlüsselwert abgelegt, den nur die entsprechende App abrufen kann und der sich auch nicht backuppen lässt. Bei Windows Computern ist das nicht so ohne weiteres möglich. Wer hindert mich daran, die komplette Festplatte zu klonen? Dann hast du nach wie vor das Gerät bei dir, aber ich habe eine lauffähige Kopie. Das geht ja bei den mobilen Platformen eben nicht (wegen dem speziell geschützten Speicherbereich). Wie es bei Windows Phone aussieht weiß ich leider nicht, damit habe ich mich noch nicht beschäftigt. ... Mehr anzeigen

@Ano_Nymer die von dir zitierte Aussage stammt von @CB_Susan auf Seite 1 Nachricht 9 in diesem Thread. Ich gehe lieber erst mal pessimistisch davon aus, dass "Übergangsfrist bis Oktober" heißt, dass die Frist am 1.10. vorbei ist und danach ohne das neue Verfahren nichts mehr geht.   @Patrick91 "Nach meinem Kenntnisstand ist das bisherige Verfahren über den "externen" TAN-Generator bisher das sicherste Verfahren." -> Der alte Generator ist nicht sicher genug, um die Vorgaben der PSD2 zu erfüllen und darf daher ab Mitte September nicht mehr verwendet werden. Zur Freigabe von Transaktionen brauchst du eine Bestätigung, die die IBAN und den Betrag enthält. Der alte Generator benutzt aber nur die letzten paar Stellen der IBAN zum Generieren der TAN. Ein einfaches Browserplugin könnte so den Betrag verändern, ohne dass du das merkst. Du denkst, du überweist 1€ für irgendeine Software, dabei wird aber dein komplettes Konto leer geräumt. Daher musste auf jeden Fall etwas neues her. Ob die komplett eigene Lösung der Consorsbank wirklich die beste Lösung hierfür ist, oder ob man nicht doch besser das eh schon weit verbreitete genauso sichere  chipTAN Verfahren umsetzen hätte können, sei mal dahin gestellt. ... Mehr anzeigen

@immermalanders genau das wird einer der Gründe sein, warum die Consorsbank eben nicht den HHD 1.4 Standard umsetzt, sondern eine eigene Lösung geschaffen hat.   Vorteile der Consorsbank-Lösung für uns Kunden: Login zum Onlinebanking unabhängig von irgendwelchen Karten z.B. für reine Depot-Kunden oder wenn einem der Geldbeutel mitsamt Kontokarte geklaut wurde Etwas bequemer in der Handhabe, da man nicht ständig die Karte in ein Gerät stecken muss und danach wieder in den Geldbeutel packen sollte.   Nachteile für uns Kunden: Wer die App nicht nutzen will oder kann, muss sich ein Gerät für knapp 24€ (19,95€ + 3,95€ Versand) zulegen Das Gerät ist nur für die Consorsbank nutzbar, wer also noch weitere Konten bei anderen Banken hat, die chipTAN benutzen, braucht dann mehrere Geräte Es gibt zum jetzigen Zeitpunkt noch keinerlei Erfahrungswerte mit dem neuen Verfahren und da es erst 5 Tage vor Inkrafttreten der PSD2 und der neuen AGB nutzbar wird, bleibt wenig Zeit, um vielleicht noch zu einer anderen Bank zu wechseln wenn das neue Verfahren einem nicht zusagt. Daher entweder jetzt schon wechseln Oder vielleicht sehr stressig kurzfristig innerhalb von wenigen Tagen, wenn man das neue Verfahren am 9. September nicht mag Oder man beißt in den sauren Apfel und kauft sich das Gerät, wenn das mit der App nicht klappt ... Mehr anzeigen

Es sind einfach zwei komplett verschiedene Ansätze. Bei HHD 1.4 gibt es ein allgemein verfügbares Gerät. Das selbst enthält keinerlei personalisierte Informationen. In dieses Gerät steckt man seine EC-Karte (Girocard) rein, oder eine andere Karte die so einen Chip enthält. Was das Gerät dan macht, ist irgendwelche Daten (z.B. IBAN und Betrag) an den Chip zu senden, der Chip berechnet dann daraus eine TAN die das Gerät anzeigt. Daher auch der Name chipTAN. Hier ist der Chip auf der Karte personalisiert, jeder Kunde hat ja eine eigene Karte und man hat bei verschiedenen Banken auch verschiedene Karten. Das selbe Gerät kann also abwechselnd mit verschiedenen Karten verwendet werden.   Was die Consorsbank wohl einführen wird ist ein anderer Ansatz: Hier wird auf dem Gerät bzw. in der App ein geheimer Schlüsselwert gespeichert. Damit ist das Gerät selbst personalisiert, es muss keine Karte eingesteckt werden. Wahrscheinlich kann man es zurücksetzen und dann für ein anderes Consorsbank-Konto einrichten (z.B. wenn man das eigene Consorsbank-Konto schließt und das gekaufte Gerät an jemand anderen weiter geben möchte). Aber solange es aktiviert ist sollte das Gerät auch im eigenen Besitz bleiben, denn es stellt den Sicherheitsfaktor "Besitz" dar. Genauso wie du nicht den Chip einer EC-Karte kopieren kannst, sollte es nicht möglich sein, einen eingerichteten SecurePlus TAN-Generator oder die Daten der App kopieren zu können. ... Mehr anzeigen

@odirk Es gibt so eine Bank mit sehr vielen Filialen und rotem S-förmigen Logo. In einigen Regionen Deutschlands bieten die noch SMS als TAN-Verfahren an, aber halt wie gesagt kostenpflichtig. In Zukunft wird man aber auch schon für das blose Abrufen der Umsätze eine TAN brauchen (mindestens alls 90 Tage, so will es die PSD2). Ganz billig ist der Spaß also nicht, zumal bei der erwähnten Bank in der Regel auch Kontoführungsgebühren anfallen.   @immermalanders Ja, den Hinweis und generell die AGB der Consorsbank kenne ich. Die Frage zielte mehr darauf ab, wie die technisch damit umgehen. Letztendlich will ich für den Fall vorbereitet sein, dass man hier jetzt verspricht, dass es auf gerooteten Geräten geht, dann aber am 9. September das böse Erwachen kommt. Um das Haupt-Girokonto mit dutzenden Umsätzen jeden Monat zu einer anderen Bank umzuziehen brauche ich länger als 5 Tage oder die bereits in Aussicht gestellte Übergangsfrist von gut zwei Wochen (bis Oktober). Wenn ich den neuen AGB dann widerspreche müsste ich ja eigentlich noch zwei Monate Zeit haben, bis die von der Consorsbank daraufhin ausgesprchene Kündigung wirksam wird (siehe alte AGB B. I. 19) ... Mehr anzeigen

@odirk "Was spricht denn überhaupt gegen das mTan-Verfahren?" -> Kosten fürs Verschicken der SMS. Viele Banken verlangen da inzwischen auch Geld, also z.B. 9ct pro verschickte TAN. Andere schaffen es einfach ab.   @SCHLUMPFINE777 "Wann wird die TAN aus einem QR Code erzeugt und wann per "Knopfdruck"?" -> Ich tippe mal drauf, dass der QR Code bei transaktionsbezogenen Vorgängen wo es Empfänger, Betrag, IBAN gibt zum Einsatz kommt. Dann wird man diese Transaktionsdaten in der App / auf dem Gerät bestätigen müssen. Für andere Vorgänge (z.B. Freistellungsauftrag oder der von der PSD2 demnächst geforderten TAN beim Login) gibt es ja keine solche Daten, da kommt dann wohl das "Knopfdruck"-Verfahren zum Einsatz. Zumindest ist das aktuell beim alten Generator so unterschieden (APPL1 vs. APPL2). "Kann ich die App mit einem alphanumerischen Passwort sichern oder nur mit einer numerischen PIN (wie viele Stellen)?" -> Das dürfte hier relativ unrelevant sein. Die App-Pin ist ja lediglich ein zusätzlicher Schutz. Ein Smartphone-Dieb muss ja erst noch das Gerät selbst entsperren, und damit hätte er auch schon Zugriff auf die per SMS verschickten mobileTANs im jetzigen Verfahren. Wichtiger wäre, die Pin fürs Onlinebanking endlich mal länger als 5 Zeichen zu machen.   @Ano_Nymer "warum gibt es zwar für Smarthpones Apps, wohl aber keine Anwendung für den Windows-PC (und Linux - das wär's natürlich)!" -> Die mobilen Platformen (Android/iOS) erlauben es, die einzelnen Apps viel besser voneinander abzuschotten und haben auch einen speziell gesicherten Speicherbereich, auf dem geheime Daten abgelegt werden können. Unter Windows und Linux ist es deutlich schwieriger bis unmöglich, eine Anwendung derart zu schützen. Aus der offline Funktionsweise lässt sich ableiten, dass die App bei der Aktivierung intern wohl ein Schlüsselpaar generiert, wobei der öffentliche Teil auf den Consorsbank-Server geladen wird und der private Teil sicher im Smartphone verstaut wird, nochmal geschützt mit der App-Pin bzw. der Fingerabdruck/Face-ID Komponente des Betriebssystems. Um eine Transaktion freizugeben, müssen die Daten dann mit dem geheimen Schlüssel signiert werden. Das macht natürlich die App für dich, sobald du die Daten bestätigt hast. Du erfüllst damit den Sicherheitsfaktor "Besitz", d.h. du hältst das eingerichtete Smartphone physisch in deiner Hand. Sollte dieser geheime Schlüssel irgendwie ausgelesen werden können, dann kann jeder der ihn hat beliebig Transaktionen für dein Konto freigeben, auch ohne dein Smartphone zu haben. Der Besitz-Faktor wäre somit umgangen. Es ist also absolut wichtig, dass der Teil geheim bleibt und niemals ausgelesen werden kann. ... Mehr anzeigen

@CB_Susan: Danke für die bisherigen Antworten (auch aus den anderen Threads). Ich habe mal ein paar wertvolle Infos in den eingangspost hinein editiert, in der Hoffnung, dass es für alle etwas übersichtlicher bleibt.   Dann bin ich mal gespannt auf die Antwort des Sicherheitsfachbereiches. Fällt diese negativ aus, steht für mich definitiv ein Bankwechsel an, da ich nicht bereit bin, 24€ für ein Gerät auszugeben, das mit keiner anderen Bank kompatibel ist.   Dass man die SecurePlus App auf drei Geräten installieren (Sie meinen wohl eher aktivieren) kann, ist eine gute Sache. Dann kann ich es mir noch als Backup auf dem Tablet einrichten, für den Fall dass das Smartphone mal defekt ist oder einfach neu eingerichtet werden muss. Dennoch wäre gut zu wissen, ob man neue Geräte jederzeit selbst aktivieren kann oder ob man dazu auf einen frisch verschickten Brief warten muss. Es ist kein all zu seltenes Szenario, dass man sein (einziges) Smartphone auf Werkseinstellungen zurücksetzt und dann die App neu einrichten muss. Da kann dann auch nicht davon ausgegenagen werden, dass noch ein aktiviertes TAN-Verfahren zur Verfügung steht. Das ist ja beim Zurücksetzen auf Werkseinstellungen verschwunden.   Bei der Aussage "Für beide TAN-Verfahren gibt es eine Übergangsfrist. Der Login wird bis Oktober 2019 noch mit dem bisherigen Verfahren möglich sein." möchte ich nochmal nachhaken. Heißt das, dass wenn ich weder ein kompatibles Smartphone noch dieses teure Hardware-Gerät habe, ich trotzdem mein Konto vollwertig nutzen kann (Umsatzabfrage und Transaktionen auslösen) bis mindestens zum 30.09.2019?   Wie gehen Sie eigentlich mit Kunden um, die am 9. September feststellen, dass die App nicht den persönlichen Bedürfnissen entspricht und die dann noch vor dem 14. September den angebotenen AGB-Änderungen widersprechen? Dürfen die dann weiterhin die TAN-Verfahren aus den alten AGB nutzen, bis das Konto mit der Frist von mindestens zwei Monaten (also Mitte November) Ihrerseits gekündigt wurde? ... Mehr anzeigen

Noch ein Beitrag, dieses mal wohl die engültige Absage für jedwede bankübergreifend kompatible Lösungen: "Ein TAN-Generator von einer anderen Bank, ist aus Gründen der Sicherheit nicht zulässig." ... Mehr anzeigen

Aufgrund dieses Beitrags würde ich vermuten, dass der TAN-Generator von der Consorsbank ohne das Einstecken einer Chipkarte funktioniert (sonst könnte man sich den Generator ja mit mehreren Personen teilen und bräuchte nur die personalisierte Chipkarte einstecken). Damit kann es also kein HHD sein. ... Mehr anzeigen

@MaierM: Klar, wenn das gesamte Smartphone mit SIM weg ist, dann ist das natürlich besonders ärgerlich und man muss auf die neue SIM vom Mobilfunkanbieter warten. Einige andere Banken bieten noch Chip-TAN an. Da steckt man seine Girocard in so ein Gerät und der Chip auf der Karte kann dann die TAN in Abhängigkeit von den Überweisungsdaten erzeugen. Für die tägliche Nutzung nicht sonderlich komfortabel, aber sehr viel sicherer als die iTAN-Liste und damit eine prima Notfall-Lösung um z.B. die eigentlich favorisierte TAN-App auf dem neuen Smartphone freizuschalten. Der Clou daran ist, dass das Chip-TAN Lesegerät über verschiedene Banken hinweg kompatibel ist. Dann reicht in einem Mehrpersonenhaushalt mit vielen Konten bei verschiedenen Banken ein einziges solches Gerät, um handlungsfähig zu bleiben. Aber wie es aussieht, geht die Consorsbank hier einen anderen Weg, ähnlich der PhotoTAN Lösung wie man sie von ein paar anderen Banken kennt. Schade, weil ich möchte mir eigentlich nicht für jede Bank einzeln ein Gerät anschaffen müssen. Aber mal schauen, was das CB-Team antwortet, wenn der Aktivierungsbrief unbegrenzt gültig ist und man so einfach ein altes Smartphone aus der Schublade nehmen und einrichten kann, dann wäre das ja schon ausreichend. ... Mehr anzeigen