PSD II Sammelthread (ab 09/2019)

[Anonym53868]

ANZEIGE

Für andere ist es der Ansatz einer Lösung für die Sicherheitsproblematik.

Bitte nicht vorschnell verallgemeinern oder missverstehen: Ich schlage nicht vor, dass alle Leute auf App Stores verzichten sollen. Ich war danach gefragt worden, welche Apps ich persönlich für App-TAN benutze. Und das sind genau keine, aus dem genannten Grund.

Nebenbei bemerkt ist es meine Überzeugung, dass ein wirklich sicheres kryptographisches Verfahren nichts an seiner Sicherheit verliert, wenn man es öffentlich macht. Insofern sollte es möglich sein (und wäre in meinen Augen ein echter Sicherheitsgewinn), den Quellcode für eine TAN-App offenzulegen. Damit wäre die Installation über Google und Apple ebenso möglich wie über F-Droid oder eine Portierung für native Unices. Dass die Banken hiervor so große Angst haben, spricht m.E. nicht dafür, dass sie oder die von ihnen beauftragten Dienstleister ihren Verfahren wirklich vertrauen.

Abgesehen davon, dass du damit, an deinem Computer, natürlich auch immer Dritten vertrauen musst.
Das gilt aber auch für das Telefonnetz, über das du ggf. mit deiner Bank telefonierst.

Für mich persönlich ist es allerdings ein gewisser Unterschied, ob ich der Telekom für ein Telefonat vertraue oder Google für einen dauerhaften Zugriff auf ein Smartphone, das ich womöglich noch regelmäßig mitführe.

 

[geos]

genau das ist der Punkt. Es geht hier bei Vertrauen nicht um die Integrität der Software in den Download-Stores (obgleich sich bei Google da auch Fake-Apps finden), sondern es geht darum, dass das Herunterladen, auch von kostenloser Software wie Banking-Apps, nicht ohne Registrierung und Login möglich ist. Das ganze ist inhärent auf Tracking ausgelegt; das ist schließlich auch das Geschäftsmodell.
Gab es dagegen im Rahmen der DSGVO-Einführung letztes Jahr nicht mal eine Klage aus Österreich? Ist da was draus geworden?

 

[geos]

Ich bin mal gespannt, wie die Santander diese Regelung für ihre uralte LidlSuperMasterCard umsetzt.

Wie machen sie es denn bislang bei 3D Secure?

 

[geos]

Was passiert eigentlich bei Curve Zahlungen? Muss man künftig sowohl im stationären Handel, als auch bei online Zahlungen die dahinter liegende (Master/Visa)card über den S-ID-Check o. ä. freigeben? Ist ja im Prinzip nur eine Internet Zahlung für diese Karten...

nein, aus Sicht des Händlers nicht, da bezahlt man mit Curve. Und daher muss allenfalls die Freigabe über Curve erfolgen. Wie Curve das mit der Belastung der nachgelagerten Kreditkarte macht, ist eine andere Frage. Ich vermute mal das grundsätzlich "Abbuchungsermächtigungen" nur bei Erteilung freigegeben werden müssen. Das sollte z.B. auch der Fall sein, wenn ich (was hierzulande wenige Anbieter anbieten) meine Telefonrechnung oder mein Zeitschriftenabonnement per hinterlegter Kreditkarte bezahle.

 

[geos]

Die Postbank kündigt an, dass ab dem 11.8. ein Login nur noch mit TAN möglich sein wird. Da sie mTAN nicht mehr anbietet [interessant: der Postbank ist mTAN zu unsicher, der Deutschen Bank nicht], müssen Menschen ohne Smartphone ein Zusatzgerät von SealOne kaufen, was aber wohl nur für Girokunden funktioniert. Da ich bei der Postbank nur eine alte Sparcard habe, werde ich auf das (ohnehin sehr blutleere) Onlinebanking künftig verzichten.

Die Postbank behauptet nicht, dass es Sicherheitsgründe wären, die eine Einstellung des mTAN-Verfahren erzwängen; sie suggeriert zwar, dass es ursächlich mit PSD II zusammenhänge, behauptet dies aber wohlweislich nirgendwo. In Wahrheit dürften schnöde Kostenreduzierungsüberlegungen dahinterstecken.
Man kann bei der Postbank übrigens (weiterhin) ChipTAN nutzen, auch wenn auch hier die Postbank sich alle Mühe gibt, dem flüchtigen Betrachter den Eindruck zu vermitteln, an "Best Sign" führe kein Weg vorbei.

Wie es mit der Sparcard aussieht, wo ja technisch bedingt kein ChipTAN geht, vermag ich nicht zu sagen.

Spannend wird, was die Postbank bei Kreditkarten-Kunden macht, die kein Onlinebanking verwenden.

 

[geos]

ING hat seit gestern das Einloggen ohne TAN vorzeitig abgedreht. Jetzt ist man wirklich gezwungen, entweder auf mobileTAN oder die App umzusteigen.

Consorsfinanz wollte eben auch für's Login erstmalig eine TAN.

 

[Amic]

Nebenbei bemerkt ist es meine Überzeugung, dass ein wirklich sicheres kryptographisches Verfahren nichts an seiner Sicherheit verliert, wenn man es öffentlich macht. Insofern sollte es möglich sein (und wäre in meinen Augen ein echter Sicherheitsgewinn), den Quellcode für eine TAN-App offenzulegen.

Nicht falsch verstehen: Es geht weniger um die Sicherheit des Verfahrens an sich, als vielmehr um die praktische Sicherheit bei der Verwendung durch den durchschnittlichen Benutzer. Und dazu trägt die Verbreitung in "first-party" Stores bei.

Insofern sollte es möglich sein (und wäre in meinen Augen ein echter Sicherheitsgewinn), den Quellcode für eine TAN-App offenzulegen. Damit wäre die Installation über Google und Apple ebenso möglich wie über F-Droid oder eine Portierung für native Unices.

...bis dann irgendjemand mit einem "Fork" kommt?

Sicher initialisieren muss man das ganze ja auch noch.

Dass die Banken hiervor so große Angst haben, spricht m.E. nicht dafür, dass sie oder die von ihnen beauftragten Dienstleister ihren Verfahren wirklich vertrauen.

Ich denke nicht mal, dass es primär ein Misstrauen in das Verfahren an sich ist.
Erstens untergraben sich Dienstleister damit ihr eigenes Geschäftsmodell, wenn jeder einfach per Source-Code irgendeine App portieren kann.
Zweitens muss man, ob Dienstleister oder Bank dann irgendwelche "Bastler" supporten.

sondern es geht darum, dass das Herunterladen, auch von kostenloser Software wie Banking-Apps, nicht ohne Registrierung und Login möglich ist. Das ganze ist inhärent auf Tracking ausgelegt; das ist schließlich auch das Geschäftsmodell.

Man muss kein Tracking als Geschäftsmodell betreiben, um kostenpflichtig Apps zu verkaufen.
Allerdings muss man User registrieren bzw. deren Daten erfassen, um ordnungsgemäss Steuern abführen zu können.

 

[geos]

Hanseatic möchte zukünftig für's Login ins Kundenkonto eine mTAN und für 3DSecure die Nutzung ihrer App.
http://www.hanseaticbank.de/klarmacher/psd2
http://www.hanseaticbank.de/psd2

 

[falke3]

Nach Mastercard-Richtlinien ist es allerdings nicht erlaubt, keine Nicht-Smartphone-Abhängige TAN-Methode anzubieten (SMS wird sogar ausdrücklich empfohlen):
https://newsroom.mastercard.com/eu/...nder-PSD2-and-SCA-Mastercard-White-Paper2.pdf

To this end, Issuers will have to:
(...)
Offer an alternative authentication method for cardholders without asmartphone. For example, offering an OTP sent via SMS could be a fallbackauthentication method.Issuers should avoid adopting solutions such as card readers or other hardwaretoken generators, which are inconvenient for mobile users, and passwords,which are easy to forget
(...)
Issuers must offer an alternative authentication method for cardholders without a smartphone (e.g., an OTP via SMS).

Wäre ich Kunde bei Hanseatic würde ich sie darauf hinweisen, wenn sie nicht nachgeben an Mastercard melden.

Wenn irgendeine meiner Banken die Nutzung ohne App unmöglich macht, dann geht die Kündigung sofort raus.

 

[VS007]

Hier geht es aber doch um VISA, oder?

 

[falke3]

Hab das nicht rausgesucht, aber es würde mich stark wundern, wenn Visa das groß anders machen würde als MasterCard, weil wenn Visa erlaubt, dass zwingend eine App genutzt werden muss, Mastercard das aber verbietet, wäre das für Visa schon ein enormer Wettbewerbsnachteil (nicht vergessen, grade bei 50+ gibts sicher nen großen Anteil an nicht-Smartphone-Nutzern).

 

[espresso]

Wohl eher in der Gruppe 70+

 

[_AndyAndy_]

Wohl eher in der Gruppe 70+

Alter oder Besitz/Nichtbesitz sind zweitrangige Faktoren. Fehlendes Verständnis für die Funktionsweise von IT ist unter Smartphone-Besitzern aller Altersgruppen leider ziemlich weit verbreitet.

 

[geos]

Wenn irgendeine meiner Banken die Nutzung ohne App unmöglich macht, dann geht die Kündigung sofort raus.

das wird sicher auch so sein, wenn es sich bewahrheitet. Schaun wir also mal, wie es wirklich kommt.
Es ist nicht auszuschließen, dass die Bank (bzw. deren Kommunikationsabteilung) heute noch nicht so genau bescheid weiß oder dass sie bewusst versuchen, die Kunden auf App-Nutzung zu drängen. Schließlich hat die Bank viel Geld für ihre App bezahlt und möchte nun die Früchte davon ernten (und der zuständige Produktmanager oder Vorstand mit tollen Nutzungszahlen glänzen).
Das ist bei der Postbank in der Kommunikation auch so, wo mit allen Mitteln versucht wird, das hauseigene "Bestsign"-TAN-Verfahren dem Kunden aufzudrängen.

 

[geos]

Alter oder Besitz/Nichtbesitz sind zweitrangige Faktoren. Fehlendes Verständnis für die Funktionsweise von IT ist unter Smartphone-Besitzern aller Altersgruppen leider ziemlich weit verbreitet.

genau so, auch wenn das wenige verstehen. Ein "digital native" zu sein oder von anderen so tituliert zu werden, bedeutet nicht, dass man die Mechanismen verseht oder durchblickt, allenfalls dass man sie so für selbstverständlich erachtet, dass man sie tendenziell nicht hinterfragt.

 

[creasot]

Dass keine einzige Bank eines Tages ohne App nicht mehr funktioniert, glaube ich kaum, weil App-Zwang für Geschäftskunden ein absolutes No-Go ist.

 

[geos]

Santander bietet für 3D Secure v2 neben ihrer App auch mTAN + Onlinebanking-PIN an.
https://www.santander.de/privatkunden/service-kontakt/information/psd2/

 

[geos]

Dass keine einzige Bank eines Tages ohne App nicht mehr funktioniert, glaube ich kaum, weil App-Zwang für Geschäftskunden ein absolutes No-Go ist.

und daher frage ich mich auch, an welches Klientel sich Fyrst fichtet.

 

[geos]

Nach Mastercard-Richtlinien ist es allerdings nicht erlaubt, keine Nicht-Smartphone-Abhängige TAN-Methode anzubieten (SMS wird sogar ausdrücklich empfohlen):

und was sagen Anbieter wie z.B. N26 dazu?

 

[creasot]

und daher frage ich mich auch, an welches Klientel sich Fyrst fichtet.

Wahrscheinlich haben sie Freiberufler und One-Man-Show-Gewerbebetreibende in Blick. Sie sind ständig unterwegs, haben kein oder so gut wie kein Personal und führen den Zahlungsverkehr selbst. Sonst ist sogar für kleine Hausmeistereien eine App-Bank keine Option. Immerhin bietet Fyrst Browser-Banking an, aber auch eine Software, die Umsätze speichert und ggf. für den Steuerberater exportiert.

 

[monk]

Bei DKB heute in der Postbox:

1.2 Änderungen bei der Anmeldung ins Internet-Banking:

Auch der Zugang zum Internet-Banking soll mit PSD2 noch sicherer werden. Zusätzlich zu Anmeldename und Passwort kommt daher ein neuer Sicherheitsfaktor hinzu. Das kann die Bestätigung per TAN oder auch über die DKB-Banking-App sein. Wie das genau funktioniert, erfahren Sie im August auf der Seite www.dkb.de/neue-anmeldung. Sobald es soweit ist, senden wir Ihnen eine E-Mail.

Klingt also so, wie wenn auch bei der DKB bei jedem Login die 2FA angefordert wird. Aber neben TAN auch die Möglichkeit besteht, die Banking-App zu "registrieren" und dann wie bei der ING für den Login in der App der Fingerabdruck ausreicht.

 

[VielFahrer]

Bei DKB heute in der Postbox:

1.2 Änderungen bei der Anmeldung ins Internet-Banking:

Auch der Zugang zum Internet-Banking soll mit PSD2 noch sicherer werden. Zusätzlich zu Anmeldename und Passwort kommt daher ein neuer Sicherheitsfaktor hinzu. Das kann die Bestätigung per TAN oder auch über die DKB-Banking-App sein. Wie das genau funktioniert, erfahren Sie im August auf der Seite www.dkb.de/neue-anmeldung. Sobald es soweit ist, senden wir Ihnen eine E-Mail.

Klingt also so, wie wenn auch bei der DKB bei jedem Login die 2FA angefordert wird. Aber neben TAN auch die Möglichkeit besteht, die Banking-App zu "registrieren" und dann wie bei der ING für den Login in der App der Fingerabdruck ausreicht.

Na Danke, wenn ich also in mein Multibanking Programm den Kontorundruf starte werde ich also in Zukunft unzählige APPs, mTANs usw. für 7-9 Geldinstitute eingeben müssen.
Wohlgemerkt nur um die aktuellen Umsatzdaten zu laden. Danke EU!
Automatischer täglicher Kontorundruf hat sich dann auch erledigt.

 

[amerin]

Na Danke, wenn ich also in mein Multibanking Programm den Kontorundruf starte werde ich also in Zukunft unzählige APPs, mTANs usw. für 7-9 Geldinstitute eingeben müssen.
Wohlgemerkt nur um die aktuellen Umsatzdaten zu laden. Danke EU!
Automatischer täglicher Kontorundruf hat sich dann auch erledigt.

Das übernehmen dann wohlwollend Dienstleister gegen Gebühr für Dich via API... Die Lobbyisten waren da.

 

[Xer0]

Mir gefällt diese Abhängigkeit vom Smartphone überhaupt nicht. Passwortmanager, 2FA.

Wenn man da mal keinen Zugriff drauf hat, kann man künftig nicht mal mehr ne Rechnung bezahlen?

 

[VielFahrer]

ANZEIGE

Das übernehmen dann wohlwollend Dienstleister gegen Gebühr für Dich via API... Die Lobbyisten waren da.

Ja ich befürchte sowas auch. Wahrscheinlich sind diese Programme dann auch noch derart schlecht programmiert das man z.B. keine CSV Datein importieren kann, es keine Umsatzbenachrichtigung gibt usw.
Der Hauptprogrammierungsaufwand dieser Programme wird dann sicher darin stecken meine Finanzen zu durchsuchen und zu analysieren und dafür werde ich dann noch monatlich zur Kasse gebeten.