DKB Sammelthread

[Kathze]

ANZEIGE

Für "eben mal Checken" ist das Smartphone doch ohnehin das optimale Medium.

...den man ja nicht mehr braucht, nur um "kurz schnell mal zu checken", heutzutage, wo jeder ein Smartphone hat.

Ich verwalte meine Finanzen grundsätzlich am Rechner und würde es auch gerne weiterhin tun. Ich sehe nicht wirklich ein, mich aufs Smartphone drängen zu lassen, nur weil irgendeine Bank meint, die Vorgaben nicht vernünftig umzusetzen.

Klar, es geht halt nicht mehr alles genauso wie vor 10 oder 15 Jahren, wo man nur Kontonummer und fünfstellige (nicht "verlängerbare") PIN benötigt, um sich auf jedem Gerät einloggen zu können.

Da relativierst du nun aber etwas extrem. Es geht mir nicht um "Früher war alles besser! Sicherheit ist doof!", ich erwarte von einer modernen Direktbank lediglich, dass rechtliche Vorgaben korrekt und kundenfreundlich umgesetzt werden und man sich nicht auf Kosten der Usability den einfachsten Ausweg sucht.

 

[Amic]

Da relativierst du nun aber etwas extrem. Es geht mir nicht um "Früher war alles besser! Sicherheit ist doof!", ich erwarte von einer modernen Direktbank lediglich, dass rechtliche Vorgaben korrekt und kundenfreundlich umgesetzt werden und man sich nicht auf Kosten der Usability den einfachsten Ausweg sucht.

Korrekt ist es ja in rechtlicher Hinsicht.

Kundenfreundlich ist es auch, dass ich auf meinem vertrauenswürdigen Gerät nicht jedes Mal 2FA machen muss - was ja keine rechtliche Vorgabe ist, dass es so sein muss. Auch da könnte die Bank es "verlangen".

Kompromiss ist es, wenn man den rechtlichen Rahmen nicht überall bzw. für jeden denkbaren Anwendungsfall ausschöpft.

Kollateralschaden ist es, wenn dein persönlicher Anwendungsfall ("grundsätzlich am Rechner, will mich nichts aufs Smartphone drängen lassen") mit der PSD2 verkompliziert wurde, indem der Handlungsspielraum gerade dafür eben seitens der Bank nicht ausgeschöpft wurde.

 

[Kathze]

Korrekt ist es ja in rechtlicher Hinsicht.

Deswegen sage ich ja korrekt und kundenfreundlich. Man kann es natürlich so machen wie die DKB und einfach bei jedem Login eine 2FA erzwingen. Das ist minimaler technischer Aufwand und man kann sich dafür auf die Schulter klopfen, ja alles rechtlich korrekt umgesetzt zu haben.
Kundenfreundlich ist es hingegen nicht. Das meine ich jetzt ganz objektiv, unabhängig davon, ob man selbst davon betroffen ist, oder nicht.
Und das ist ja noch nicht mal alles. Die peinliche Geschichte dann auch noch als Vorteil verkaufen zu wollen ("einheitliche Nutzererfahrung") bzw. sich als Opfer der pöhsen EU-Richtlinie hinzustellen ("leider" geht es nicht), würde ich schon als dreist bezeichnen.
Da erwarte ich als Kunde einfach mehr von der zweitgrößten deutschen Direktbank. Die aktuelle Umsetzung erinnert eher an irgendeine kleine Volksbank im Hinterland, deren einköpfige IT-Abteilung von den Vorschriften überfordert ist.

 

[geos]

Vielleicht wollte die DKB es ja auch einfach nur sicher machen? Wenn man wirklich 2FA macht, dann macht man es stets (diese Aussage steht nicht im Zusammenhang mit PSD2 und deren rechtlichen Anforderungen, da PSD2 ja Ausnahmen zulässt, z.B. nur alle 90 Tage).
Die Diskussion zeigt, dass für viele Bequemlichkeit vor einer echten 2FA-Implementation geht.

 

[Bejoer]

Vielleicht wollte die DKB es ja auch einfach nur sicher machen? Wenn man wirklich 2FA macht, dann macht man es stets (diese Aussage steht nicht im Zusammenhang mit PSD2 und deren rechtlichen Anforderungen, da PSD2 ja Ausnahmen zulässt, z.B. nur alle 90 Tage).
Die Diskussion zeigt, dass für viele Bequemlichkeit vor einer echten 2FA-Implementation geht.

Es gibt aber auch Conditional Access, das bedeutet, dass Systeme User-verhalten „erlernen“ und dann MFA aktiviert oder nicht.
zum Beispiel:
- Loggt der Benutzer sich immer vom selben Gerät ein
- Loggt der Benutzer sich immer zur selben Zeit ein
- etc.
So kann man MFA aus Gründen der Usability MFA deaktivieren .

Kommt der Benutzer z.B. von einem fremden Gerät oder einer unbekannten IP-Range (z.b. China oder Tor-Netzwerk) so wird MFA zwingend abgefragt.

Die Sicherheit wird dadurch nicht verringert!

Systeme sind lernfähig und kein Hexenwerk einzurichten.

Es ist eher ein Kostenfaktor seitens der Bank, weil so ein Feature bezahlt werden muss.

Aktuell ist es so, dass es seitens der DKB benutzerunfreundlich ist. Sicherheit und Benutzerfreundlichkeit sind immer konträr zueinander, nur bringt es nix dem User etwas aufzuzwingen, denn die Praxis zeigt, dass der Benutzer sich Alternativen suchen wird, weil er nicht gegängelt werden möchte, Sei es die Technik zu umgehen oder letztendlich eine neue Bank suchen.

 

[un_lustig]

Ich habe seit vorgestern ein iphone mit beiden apps eingereichtet...bekomme aber irgendwie eine push notification?
muss ich manuell was machen?

 

[geos]

Die Sicherheit wird dadurch nicht verringert!

dazu lässt sich so pauschal keine Aussage treffen; eine solche Aussage kann allenfalls ein Ergebnis einer konkreten Risikobetrachtung sein. Je nach angenommenem Bedrohungsszenario trifft sie zu oder eben nicht.

Mir geht es hier übrigens nicht darum, die Designentscheidungen der DKB zu verteidigen, das könnte ich gar nicht (und ja, natürlich dürften Kostenaspekte in irgend einer Form da eine Rolle gespielt haben, wie bei jeder Geschäftsentscheidung).
Ich möchte darauf hinweisen, dass wenn ein Produkt als 2FA angepriesen wird, man davon ausgehen darf und muss, dass es immer 2FA ist (wie erwähnt lässt die PSD2 eben Ausnahmen zu, in denen keine 2FA zum Einsatz kommt).
Der Hinweis auf abspenstige Kunden, die sich gegängelt fühlen, unterstreicht (ganz wertfrei) meine These, dass es für viele Kunden mehr auf Bequemlichkeit als auf 2FA ankommt.

 

[ponyhofinsasse]

...
Der Hinweis auf abspenstige Kunden, die sich gegängelt fühlen, unterstreicht (ganz wertfrei) meine These, dass es für viele Kunden mehr auf Bequemlichkeit als auf 2FA ankommt.

Auch wenn ich (noch) nicht abspenstig bin, natürlich steht der Komfort an erster Stelle,
insbesondere dann, wenn der gegenüberstehende Sicherheitsgewinn (für mich/den Kunden) marginal ist.
Aber ist ja nichts Neues das man dem Bürger irgendeinen Unsinn als Sicherheitsgewinn verkaufen will.
Flughäfen sind auch so ein schönes Beispiel

 

[justAnotherUser]

Ich möchte darauf hinweisen, dass wenn ein Produkt als 2FA angepriesen wird, man davon ausgehen darf und muss, dass es immer 2FA ist (wie erwähnt lässt die PSD2 eben Ausnahmen zu, in denen keine 2FA zum Einsatz kommt).

Nach Implementierung der 90-Tage-Regel dem User die Möglichkeit zu geben, auf eigenen Wunsch darauf zu verzichten und bei jedem Login 2FA durchzuführen, solltes das geringste Problem sein.

 

[geos]

Technisch sicher eher gering, aber eben recht erklärungsbedürftig und von Seiten der Haftungsfrage auch spannend. Haftet der Kunde in größerem Umfang, wenn er 2FA nur alle 90 Tage wählt? Ich vermute dass eine solche Wahlmöglichkeit für den Anbieter zu kompliziert zu kommunizieren wäre. Aber gut, wir werden sehen; bislang gibt es zumindest keinen Anbieter, der dem Kunden eine solche Wahl ließe.

 

[justAnotherUser]

Welcher Schaden soll denn entstehen? Überweisungen und Wertpapieraufträge bedürfen nicht erst seit PSD2 eines zweiten Faktors.

 

[geos]

Wenn es keine Schadensmöglichkeit gäbe und somit das Risiko bei null läge, wäre 2FA für's Login vollkommen sinnfrei. Wie man das Schadenspotenzial bewertet, ist wie gesagt Ergebnis einer Risikoanalyse. Das kann man nicht pauschal beantworten. Es kann durchaus sein, dass der mögliche Schaden in vielen Fällen vernachlässigbar ist; pauschal gilt das aber nicht. Daher muss sich die Bank mit diese Frage befassen, falls sie dem Kunden eine solche Wahlmöglichkeit anbieten wollte.

Vertraulichkeit ist übrigens auch ein schützenswertes Gut, bei deren Verletzung ein Schaden entsteht.

 

[frogger321]

Hab die DKB mal angeschrieben, ob es nicht eine Möglichkeit gäbe, die 90 Tage wie bei anderen Banken zu implementieren.
Die Antwort wird wohl blabla und negativ sein. Aber wenn es genügend Kunden anmerken, ergibt sich vllt was..

 

[sparfux]

Technisch sicher eher gering, aber eben recht erklärungsbedürftig ...

"Erklärungsbedürftig" ist doch eine Ausrede par excellence!

Ich habe gerade etwas bei Aliexpress gekauft und mit der DKB VISA bezahlt: Es kam eine Sicherheitsabfrage im Bezahlprozess (was ja voll OK ist). Aber statt mir einfach eine SMS zu schicken oder von mir aus auch eine App-TAN ging es über folgende Prozedur:

1. Einen kaum sichtbaren Link in der Sicherheitsabfrage klicken, der zum DKB Onlinebanking weiterleitet
2. Dort mit Anmeldename und Passwort einloggen
3. Handy holen
4. Handy entsperren
5. DKB Tan-to-go App starten
6. Mit Fingerabdruck idendifizieren
7. Code merken
8. Code im Webbrowser eintragen und weiter klicken
9. Weiterleitung auf Seite mit neuer Tan-to-go Anforderung um Zugriff auf den Sicherheitscode zu bekommen
10. Wieder Tan-to-go App aufrufen (Handy war noch entsperrt)
11. Neue TAN im Browser eintragen und weiter klicken
12. Endlich! Der Sicherheitscode ist sichtbar. Code kopieren
13. Code beim Kaufvorgang eintragen und weiter klicken
14. Endlich geschafft!
Wow super sicher und überhaupt nicht erklärungsbedürftig im Gegensatz zu der 90-Tage-Regel ... Ich bin begeistert.

 

[sir_hd]

"Erklärungsbedürftig" ist doch eine Ausrede par excellence!

Ich habe gerade etwas bei Aliexpress gekauft und mit der DKB VISA bezahlt: Es kam eine Sicherheitsabfrage im Bezahlprozess (was ja voll OK ist). Aber statt mir einfach eine SMS zu schicken oder von mir aus auch eine App-TAN ging es über folgende Prozedur:

1. Einen kaum sichtbaren Link in der Sicherheitsabfrage klicken, der zum DKB Onlinebanking weiterleitet
2. Dort mit Anmeldename und Passwort einloggen
3. Handy holen
4. Handy entsperren
5. DKB Tan-to-go App starten
6. Mit Fingerabdruck idendifizieren
7. Code merken
8. Code im Webbrowser eintragen und weiter klicken
9. Weiterleitung auf Seite mit neuer Tan-to-go Anforderung um Zugriff auf den Sicherheitscode zu bekommen
10. Wieder Tan-to-go App aufrufen (Handy war noch entsperrt)
11. Neue TAN im Browser eintragen und weiter klicken
12. Endlich! Der Sicherheitscode ist sichtbar. Code kopieren
13. Code beim Kaufvorgang eintragen und weiter klicken
14. Endlich geschafft!
Wow super sicher und überhaupt nicht erklärungsbedürftig im Gegensatz zu der 90-Tage-Regel ... Ich bin begeistert.

Das liegt aber ganz an dir. Du hättest doch einfach Verified by Visa in der Banking App freischalten können.

Das geht dann so: Ein Klick auf die Push, fertig.

EDIT: Wenigstens bietet die DKB noch ein weiteres Verfahren als Backup. Bei der Sparkasse wärst du jetzt völlig aufgeschmissen. Vielerorts geht 3D Secure nur über die S-ID-App.

 

[sparfux]

Das liegt aber ganz an dir. Du hättest doch einfach Verified by Visa in der Banking App freischalten können.

Ich habe aber nicht auf dem Handy gekauft sondern auf dem PC. Dann kommt die Sicherheitsabfrage auch am PC und nicht am Handy.

Oder wie hilft mir die Banking-App des Handys wenn ich am PC was kaufe?

... und wie dem auch sei: Es liegt trotzdem nicht an mir sondern an der Impelementierung der DKB! Deshalb würde ich nie und nimmer die DKB als Hauptkonto verwenden.

Ich habe sie hier nur verwendet, weil die DKB den Ruf hat, bei Chargebacks recht kulant zu sein. Nur für den Fall, dass es bei der Chinabestellung Ärger gibt.

 

[Tapsi]

Natürlich liegt es an Dir

Man kann sich das Leben auch schwerer machen als es ist.

Vielleicht mal Verified by Visa Visa aktivieren und lesen, anstatt andauernd nur zu meckern und die Schuld von sich zu weisen: https://www.dkb.de/info/sicherheit/visa-secure/
Ist bei vielen anderen Banken übrigens nicht anders, außer dass es bei fehlender Aktivierung gar nicht mehr funktioniert.

Die DKB hat aber ganz besonders leseunwillige Kunden.

 

[markus001]

Schon Lustig wie die Leute die Schuld immer bei anderen suchen, nur weil sie scheinbar technisch unfähig sind.

 

[Tommy II.]

Apropos technisch unfähig: bei mir funktioniert das auch nicht so richtig. Jetzt habe ich auf dem Handy nachgesehen: „Banking App Verfahren auf einem anderen Gerät aktiviert „

als zweites Gerät habe ich das iPad, dort ist zu finden „ Banking App Verfahren auf einem anderen Gerät aktiviert „

Mehr als diese beiden Geräte habe ich nicht in Gebrauch .

 

[monk]

Apropos technisch unfähig: bei mir funktioniert das auch nicht so richtig. Jetzt habe ich auf dem Handy nachgesehen: „Banking App Verfahren auf einem anderen Gerät aktiviert „

als zweites Gerät habe ich das iPad, dort ist zu finden „ Banking App Verfahren auf einem anderen Gerät aktiviert „

Mehr als diese beiden Geräte habe ich nicht in Gebrauch .

Dieses Problem hatte ich mit meinem alten Gerät (Samsung Galaxy Note 8) auch immer, wenn ich im WLAN war. Musste dann vorher ins mobile Internet und einige Minuten warten, dann war es wieder auf grün.

Mit dem Galaxy Note 10+ geht es jetzt wieder einwandfrei.

 

[sir_hd]

Apropos technisch unfähig: bei mir funktioniert das auch nicht so richtig. Jetzt habe ich auf dem Handy nachgesehen: „Banking App Verfahren auf einem anderen Gerät aktiviert „

als zweites Gerät habe ich das iPad, dort ist zu finden „ Banking App Verfahren auf einem anderen Gerät aktiviert „

Mehr als diese beiden Geräte habe ich nicht in Gebrauch .

Einfach auf deinem Gerät aktivieren, dann wird das an dem anderen Gerät deaktiviert. 3D Secure geht bei einigen Banken nur an einem verifizierten Gerät.

 

[sparfux]

Schon Lustig wie die Leute die Schuld immer bei anderen suchen, nur weil sie scheinbar technisch unfähig sind.

Das ist schon OK. Sagen wir es einfach so: Ich bin zu dumm und zu faul für die DKB.

 

[sir_hd]

Das ist schon OK. Sagen wir es einfach so: Ich bin zu dumm und zu faul für die DKB.

Dumm oder faul würde ich das nicht nennen. Es ist aber durchaus so, dass eine Direktbank in jeglicher Hinsicht mehr Einsatz und Eigeninitiative von seinen Kunden erfordert. Ich persönlich habe zB keine Probleme mich bei Änderungen bei Apps, Sicherheitsverfahren etc anzupassen.

Die Direktbanken leiden aber schon etwas unter Kunden, die nur wegen den Preisvorteilen dahin wechseln aber dann eine persönliche Betreuung in diesen Fragen verlangen. Das unterstelle ich dir nicht, aber mich nerven schon die ganzen Leute die in den Foren und sozialen Netzwerken wegen der ach so blöden DKB schimpfen weil irgendetwas nicht mehr klappt, man selbst aber etliche Mails und Infoseiten der DKB über Monate bzgl der TAN2go/iTAN Umstellung oder anderen Themen ignoriert hat.

Das ich meine Bankverbindung selbst führen und verwalten kann, empfinde ich dagegen als eine riesige Freiheit.

 

[penamba]

Wurden bei der DKB vorgemerkte Umsätze mit einer Kreditkarte immer schon nur unter Angabe der Händlerkategorie, aber nicht des Händlernamens angeführt?

Ich glaube mich zu erinnern, dass früher auch die Händlernamen angezeigt wurden.

 

[monk]

ANZEIGE

Wurden bei der DKB vorgemerkte Umsätze mit einer Kreditkarte immer schon nur unter Angabe der Händlerkategorie, aber nicht des Händlernamens angeführt?

Ich glaube mich zu erinnern, dass früher auch die Händlernamen angezeigt wurden.

Händlername nur in der Push. Im Online-Banking nur die Kategorie.