PSD II Sammelthread (ab 09/2019)

[geos]

ANZEIGE

wieder ein Phänomen, bei dem ich mich frage, ob es mit PSD II zu tun habe: habe ein BAMS Probeabo bestellt (Leser eines anderen Unterforums hier wissen aus welcher Motivation heraus) und als Zahlungsart meine Santander Visa angegeben. Diese wurde bei der Bestellung auch akzeptiert, d.h. eigentlich müsste der Betrag autorisiert worden sein.
Heute, zehn Tage später, schreibt mir der Kundenservice dass eine Belastung nicht möglich war, und bittet um Überweisung stattdessen. Die Belastung erfolgt bei BAMS immer erst bei/nach tatsächlicher erster Lieferung; in diesem Fall waren da ca. 10 Tage dazwischen. Kann der Umstand, dass die Belastung nicht funktioniert hat, auch etwas mit PSD II zu tun haben? Im Kreditkartenbanking kann ich nichts Auffälliges erkennen; eine Vormerkung sehe ich dort nicht (mehr?).

 

[Kartenzahler007]

wieder ein Phänomen, bei dem ich mich frage, ob es mit PSD II zu tun habe: habe ein BAMS Probeabo bestellt (Leser eines anderen Unterforums hier wissen aus welcher Motivation heraus) und als Zahlungsart meine Santander Visa angegeben. Diese wurde bei der Bestellung auch akzeptiert, d.h. eigentlich müsste der Betrag autorisiert worden sein.
Heute, zehn Tage später, schreibt mir der Kundenservice dass eine Belastung nicht möglich war, und bittet um Überweisung stattdessen. Die Belastung erfolgt bei BAMS immer erst bei/nach tatsächlicher erster Lieferung; in diesem Fall waren da ca. 10 Tage dazwischen. Kann der Umstand, dass die Belastung nicht funktioniert hat, auch etwas mit PSD II zu tun haben? Im Kreditkartenbanking kann ich nichts Auffälliges erkennen; eine Vormerkung sehe ich dort nicht (mehr?).

Mit PSD II dürfte das nichts zu tun zu haben, sondern damit, dass Vormerkungen nur etwa eine Woche aufrechterhalten bleiben.

 

[geos]

wie stellt sich die BAMS dann vor, von der Kreditkarte abbuchen zu können? Das würde sie ja auch weiterhin tun, wenn z.B. die achtwöchige Mindestbezugsdauer abgelaufen und das Abo nicht gekündigt sein sollte. Es sollte also grundsätzlich möglich sein, von einer hinterlegten Kreditkarte einen Betrag für ein Abo immer mal wieder automatisch einzuziehen, oder?

 

[Mojoe]

Habe aktuell dasselbe Problem mit Lesershop24 (Axel Springer Verlag).
Man behauptet, dass eine Abbuchung von der Kreditkarte nicht möglich war und ich nun überweisen soll.
Laut Auskunft meines Kreditkarteninstituts wurde der Betrag für das Abonnement durch Lesershop24 falsch angefragt, nämlich ohne SafeKey Tan Verfahren.
Der Kundenservice von Lesershop24 stellt sich nun dumm und hat angeblich noch nie von der 2-Faktor-Authentifizierung gehört.
Bin am Überlegen, ob ich mir das noch etwas anschaue oder das Abo beenden lasse.

 

[penamba]

wie stellt sich die BAMS dann vor, von der Kreditkarte abbuchen zu können? Das würde sie ja auch weiterhin tun, wenn z.B. die achtwöchige Mindestbezugsdauer abgelaufen und das Abo nicht gekündigt sein sollte. Es sollte also grundsätzlich möglich sein, von einer hinterlegten Kreditkarte einen Betrag für ein Abo immer mal wieder automatisch einzuziehen, oder?

Ja, muss der Händler dann aber entsprechend signalisieren, z.B. als regelmäßige Abbuchung inkl. 2FA-Authentisierung der ersten Abbuchung, als MOTO (mail order/telephone order) oder ähnliches.

Falls nicht, sind Issuer nun verpflichtet, derartige Autorisierungen aus dem EWR abzulehnen.

 

[BR 612]

Heute bei der Deutschen Post eine Internetmarke für 3 € gekauft und dort direkt mit Karte bezahlt. Kein VISA Secure, dabei war es eine neue Karte... Ist sowas denn zulässig? Es handelte sich um die VISA Karte von Vivid Money (die Metallkartennummer, nicht die Online Nummer)

 

[espresso]

Hast du online gekauft und bezahlt?

 

[Hannoveraner]

Internetmarken gibt es nur online.

Jemand hat hier im Forum geschrieben, dass die Einführung von den Mechanismen nach Betrag gestaffelt ist.

 

[penamba]

Eine gestaffelte Einführung in Deutschland ist mir nicht bekannt, aber sowohl Händler als auch Herausgeber dürfen je nach Betrag und eigener Betrugsquote die Authentisierung überspringen (und dafür das Risiko übernehmen).

 

[Hannoveraner]

Das hier könnte einige Fälle erklären:

Für elektronische Transaktionen bis einschließlich 30 EUR ist SCA für bis zu fünf aufeinander folgenden Transaktionen oder einem kumulierten Betrag von 100 EUR nicht erforderlich.

Quelle: https://www.evopayments.eu/service/sicherheit/sicherheit-im-e-commerce/ (Unter Kleinbetragszahlungen zu finden.)

 

[Airsicknessbag]

Die Postbank kündigt an, dass ab dem 11.8. ein Login nur noch mit TAN möglich sein wird. Da sie mTAN nicht mehr anbietet [interessant: der Postbank ist mTAN zu unsicher, der Deutschen Bank nicht], müssen Menschen ohne Smartphone ein Zusatzgerät von SealOne kaufen

So eins habe ich mir jetzt auch zugelegt. Ich bin etwas verstimmt, dass nur zwei Jahre nach dem TAN-Generator, siehe:

der TAN-Generator, den ich mir kaufen muss (wozu ich ja zaehneknirschend aber doch grundsaetzlich bereit bin)

schon wieder ein neues und recht teures (35 Euro) Gerät fällig ist, aber sei's drum.

Nur mal eine Rückfrage dazu: Der Besitz dieses Geräts ist ja nun der zweite Faktor neben dem Wissen der Log-In-Daten, wenn ich das richtig verstehe. Heißt das, dass ich auf das Ding jetzt ebenso aufpassen muss wie auf meine PIN und dass mir, wenn es aus der Wohnung gestohlen wird, der gleiche Fahrlässigkeitsvorwurf gemacht wird wie wenn mir die PIN abhanden kommt? Was dann ja bedeutete, dass ich das Gerät ständig mit mir rumschleppen oder im Haus so sichern müsste (Safe oder so), dass das Online-Banking sehr aufwendig wird. Das wäre beides extrem unpraktikabel.

 

[Funtracer]

Nur mal eine Rückfrage dazu: Der Besitz dieses Geräts ist ja nun der zweite Faktor neben dem Wissen der Log-In-Daten, wenn ich das richtig verstehe.

Nein. Mit "Besitz" sind Dinge gemeint, die du zur Identifikation benutzen kannst, also personengebunden sind: Bankkarte, Dongle etc. Ein TAN-Generator von der Stange qualifiziert sich dafür per se nicht. Was du geheim halten musst, ist die TAN, die du darüber empfängst (und die nach einmaligem Gebrauch oder nach ein paar Minuten von selbst ungültig wird). Die TAN ist im Prinzip der Nachfolger der persönlichen Unterschrift, mit der man im Papierzeitalter Aufträge autorisiert hat, also ein persönliches/biometrisches Merkmal.

 

[geos]

Ein konfigurierter TAN-Generator (also einer mit Geheimnis drin, nicht ein Gerät für ChipTAN) stellt einen Besitz-Faktor da, wenn jeder, der es in die Finger bekommt, damit gültige TANs erzeugen kann. Die TANs sind ja nur der technische Nachweis für den Besitz.

 

[Airsicknessbag]

Ich habe das so verstanden, dass beim TAN-Generator (Chip-Tan) die einzuschiebende Kontokarte der Besitzfaktor ist, und bei BestSign das Seal-One-Gerät als solches. Denn das stöpsele ich an den Computer an, und es wird keine TAN generiert, sondern ich werde nur aufgefordert, per Knopfdruck die Transaktion zu bestätigen. Deshalb tue ich mich ja so schwer, das Seal-One-Ding einfach zu Hause liegen zu lassen - das tue ich ja mit meiner Kontokarte schließlich auch nicht.

Habe ich das falsch verstanden?

 

[geos]

nein, stimmt so.

 

[vlugangst]

[...] das tue ich ja mit meiner Kontokarte schließlich auch nicht. [...]

So macht jeder seins. Ich schlepp mein Kartenalbum jedenfalls nicht mir rum.

Dein Hirn mit der PIN drin haste aber schon immer bei dir, oder?

 

[geos]

für ChipTAN benötigt man keine PIN.

 

[vlugangst]

Äh ja. Aber zur sinnvollen missbräuchlichen Nutzung des Kontos brauche ich die.

 

[geos]

Nicht die Karten-PIN.

 

[vlugangst]

Äh ja. Von der rede ich auch nicht. Es ging doch um Login-Faktoren.

 

[Airsicknessbag]

Ich schlepp mein Kartenalbum jedenfalls nicht mir rum.

Ich auch nicht. Aber die Kontokarte des Haupt-Girokontos (und die Hauptkreditkarte) habe ich immer dabei. Ich denke nicht, dass das atypisches Verhalten ist.

Dein Hirn mit der PIN drin haste aber schon immer bei dir, oder?

Ich weiß nicht, was Du damit meinst. Dass es einem Kriminellen unmöglich wäre, an mein Passwort für das Online-Banking zu kommen?

Im Ergebnis habe ich einfach die Sorge, dass ich den neuen Besitz-Faktor entweder schlechter schütze als den alten und damit Gefahr laufe, mich fahrlässig zu verhalten. Oder ihn gut schütze aber dadurch meinen Zugang erschwere.

 

[vlugangst]

Das sollte der Ideal- und Normalfall sein. Aber natürlich ist nix unmöglich.

 

[selaf]

für ChipTAN benötigt man keine PIN.

Man kann theoretisch eine - von der regulären Karten-PIN unabhängige - ChipTAN-PIN auf der Karte setzen. Siehe Bedienungsanleitung_tanJack_photo_QR_DE.pdf Abschnitt "4.2.4 TAN-Generierung mit Benutzer-PIN". Mir ist aber keine Bank bekannt, die die Karten mit gesetzter PIN ausliefert oder das irgendwie kommuniziert.

 

[BR 612]

Diese PIN habe ich bei meiner Raiba Hochtaunus Girocard problemlos setzen können und nutze das auch zur Absicherung der TAN Generation. Auf die Funktion bin ich erst gekommen, als ich mit dem TAN Generator "rumgespielt" habe und mir alle Funktionen ansehen wollte. Eine kurze Google Recherche brachte dann diese Funktion hervor.

 

[geos]

ANZEIGE

Ein Bekannter musste feststellen, dass er für Onlinebezahlung mit seiner Postbank Visa Kreditkarte nun einen zweiten Faktor benötigt (habt Nachsicht, er ist bereits 80 und bezahlt nur äußerst selten etwas online; in diesem Fall hätten es Bahnfahrkarten sein sollen).
Ist es tatsächlich so, dass die Postbank für Girokonto-Kunden ohne Onlinebanking keine Möglichkeit zur PSD2-konformen Kreditkartenzahlung bietet?
Welche anderen Kreditkarten am Markt wären für solch einen Kunden hilfreich?
Amex Blue vielleicht? Können Neukunden dort immer noch die TAN per SMS und Email erhalten?
Oder die Hanseatic Genialcard Visa? Hätte den Vorteil, dass die Akzeptanz etwas besser wäre und auch bei Fremdwährungen, falls das jemals vorkommen sollte, kein Aufschlag anfällt. Hier erfolgt die Freigabe durch SMS-TAN und statisches Passwort.
Gibt es noch andere Vorschläge für diese Situation?
Es muss eine Karte sein, mit der ein automatischer Ausgleich per Bankeinzug möglich ist. Debitkarten kommen nicht in Frage, da er deswegen nicht ein Konto eröffnen möchte.