ANZEIGE
überhaupt nicht. Das ganze lässt sich problemlos auch z.B. mit mTAN umsetzen (ob der Anbieter das jeweils macht, ist eine andere Frage; einige tun's zumindest wie z.B. die Targobank).
ANZEIGE
überhaupt nicht. Das ganze lässt sich problemlos auch z.B. mit mTAN umsetzen (ob der Anbieter das jeweils macht, ist eine andere Frage; einige tun's zumindest wie z.B. die Targobank).
und bei dessen Verlust oder Defekt steht man vor dem gleichen Problem.
Das einzige, das gegen den drohenden Verlust wirklich hilft, ist Redundanz, so wie es z.B. bislang bei der Postbank durch Angabe mehrerer Mobilnummern noch möglich ist. Zweit-SIM wäre auch ein Redundanzansatz, wobei bei Verlust das wenig helfen sollte, da wohl auch mit gesperrt.
Ansonsten kann man natürlich jedes relevante "Besitzstück" auf seine Verlust- und Defektwahrscheinlichkeit (sowie Wiederbeschaffungsdauer und -aufwand, ggfs. verbunden mit obligatorischer Neuanmeldung) abschätzen. Ich fürchte dass ein Smartphone, zumal wenn es nicht nur in der Schublade liegt, da relativ schlecht abschneidet. Beim Smartphone dürfte allein eine (aus welchem Grund auch immer erforderliche) Neuinstallation der relevanten App eine Neuanmeldung dieser erforderlich machen. Die aufwendig das dann ist, hängt von der jeweiligen Bank ab.
ist damit das Erschleichen einer Zweit-/Ersatz-SIM gemeint? Ich hoffe dass dies so stimmt; grundsätzlich ist es allerdings weiter ein Angriffsvektor.
Amex muss übrigens bis September auch noch was nachbessern. In den SafeKey Mitteilungen (die ich übrigens parallel per Email und per SMS erhalte), steht keinerlei Hinweis auf Betrag oder Verwendungszweck/Händler der Transaktion. Das ist jetzt bereits ziemlich schwach.
Ich bin mal gespannt, wie die Postbank das für Kreditkartenkunden ohne Onlinebanking umsetzen wird.
Offenbar gibt es dafür einen separaten Kreditkarten-Online-Service: https://www.postbank.de/privatkunden/3d-secure.html
Zumindest Stand heute wird mTAN dort als eine unterstützte Methode angegeben.
Es ist allerdings unklar, ob dies auch für Kreditkartenkunden mit Postbank Giro, aber ohneOnlinebanking nutzbar ist.
Offenbar gibt es dafür einen separaten Kreditkarten-Online-Service: https://www.postbank.de/privatkunden/3d-secure.html
Zumindest Stand heute wird mTAN dort als eine unterstützte Methode angegeben.
Es ist allerdings unklar, ob dies auch für Kreditkartenkunden mit Postbank Giro, aber ohneOnlinebanking nutzbar ist.
Ja, das und SS7 Hacks - beides nicht mehr möglich meines Wissens.
Zum Thema technische Redundanz: Da wären Brachenstandards wie ChipTAN, QR TAN oder Dynamic Passcode Authentication (DPA), wie in GB wünschenswert. Oder zumindest die Kooperation mit zertifizierten Geräteherstellern wie Reiner SCT. Sprich, dass man zumindest einen universellen TAN-Generator anschaffen kann. Bloß ist das Problem von sehr wenigen und daher wohl eher unrealistisch, dass der Gesetzgeber dahingehend Handlungsbedarf sieht.
Es gibt diese Branchenstandards, z.B. ChipTAN HHD 1.4. Was die einzelne Bank allerdings unterstützt, ist deren Entscheidung. Hier ist übrigens nicht der TAN-Generator das entscheidende Besitzelement, sondern die Girokarte. Die eigene Ausrüstung wie z.B. ChipTAN-Generator kann man natürlich auch redundant auslegen, wenn man sie sonst im Ernstfall nicht rasch genug ersetzen könnte.
Sicher gibt es Branchenstandards, bloß sollten die dann auch verbindlich für die Banken sein. Einen TAN-Generator kann man ja neben dem Smartphone betreiben, das ist dann wohl genug Absicherung. Dass beides gleichzeitig ausfällt oder verloren geht ist ja wahrscheinlich eher unwahrscheinlich.
Fakt ist ja: wenn mein Display den Geist aufgibt (hatte ich Mal), komme ich ohne TAN ja dann nicht mal mehr in's Online Banking um ein neues Gerät zu registrieren. Bin mal gespannt, wie die Banken für solche Fälle vorsorgen. Bei der ING läuft der Login dann über iTAN und stellt im Ernstfall kein Problem dar. Wenn meine Hausbank das nicht genauso gut löst wird mein ING Giro mein Hauptkonto.
Wie soll das z.B. bei pushTAN laufen? Bei den Sparkassen und VR Banken kann immer nur ein Gerät dafür verwendet werden und eine Neuregistrierung dauert Tage, weil erst ein Aktivierungsbrief zugesendet werden muss. Also Handy kaputt = 3 - 5 Tage kein Kontozugriff? Und was ist wenn ich im Ausland bin?
Zuletzt bearbeitet:
Das ist nicht richtig. pushTAN bei den Sparkassen kann mit 2 Geräten umgehen.
Ich finde das System in Thailand charmant
Beim Anlegen eines neuen Kontos und den ersten 2 Überweisungen gibt es eine TAN
danach ist man von dem Nerv befreit
Beim Anlegen eines neuen Kontos und den ersten 2 Überweisungen gibt es eine TAN
danach ist man von dem Nerv befreit
Gibt's (auch) in Nachbarländern von Deutschland so ähnlich schon lange.
Wobei ich da im Detail nur "white-listing" nach Erstüberweisung gesehen habe - und auch nicht weiss, ob das nach PSD II weiterhin Bestand haben wird.
Bei Verfahren wie ChipTAN muss man den TAN-Generator nicht registrieren, sondern die Bankkarte. Wenn das Display seinen Geist aufgibt, kann man also einfach das Gerät wechseln.
Ich vermute übrigens dass die ING die iTAN-Listen nach dem 11.09.2019 nicht mehr zum Anmelden beim Onlinebanking verwenden wird.
Pluscard, die offenbar die Kreditkarten aller (?) Sparkassen sowie einiger sonstiger Banken betreuen, setzen übrigens wohl auf ein Verfahren, das nur mit Hilfe eines (unterstützten) Smartphones funktioniert:
https://www.s-id-check.de (Sparkassen Branding)
https://www.mein-transakt.de (sonstige Banken)
einige Sparkassen unterstützen wohl auch mTAN:
https://www.sparkassen-kreditkarten.de/sicherheit.html
Ich denke dass da bei einigen Kunden ab Herbst noch Überraschungen auftreten werden...
Mastercard hat hier ein paar Infos zu seinem neuen Verfahren inkl. Links zu den Infoseiten einzelner Banken:
https://www.mastercard.de/de-de/privatkunden/produkte-features/features/idcheck.html
https://www.s-id-check.de (Sparkassen Branding)
https://www.mein-transakt.de (sonstige Banken)
einige Sparkassen unterstützen wohl auch mTAN:
https://www.sparkassen-kreditkarten.de/sicherheit.html
Ich denke dass da bei einigen Kunden ab Herbst noch Überraschungen auftreten werden...
Mastercard hat hier ein paar Infos zu seinem neuen Verfahren inkl. Links zu den Infoseiten einzelner Banken:
https://www.mastercard.de/de-de/privatkunden/produkte-features/features/idcheck.html
S
sir_hd
Guest
Betrifft auch Karten von BCS Bayern Card Services. Zumindest in BaWü (und vermutlich in Bayern) sind viele Karten daran angeschlossen. S-ID-Check wird ja von Netcetera ausgegeben und ist keine Eigenentwicklung. Vielleicht wäre das mal eine gute Idee, das in-house zu holen. Die S-ID App is ... eine Katastrophe.
Moment, bedeutet PSD 2 auch Änderungen für Kreditkarten? Wenn man da zwei-Faktor-Authorisierung vorschreibt (für Online-Zahlungen) wäre das schon ziemlich problematisch, vor allem wenn man dann für jede Zahlung bspw. mit Paypal oder Amazon ne TAN bräuchte.
Es würde auch ganz grundsätzlich der weltweit üblichen Funktionsweise von Kreditkarten widersprechen, da dem Wesen nach ja Nummer+Gültigkeitsdatum ausreichen.
Es würde auch ganz grundsätzlich der weltweit üblichen Funktionsweise von Kreditkarten widersprechen, da dem Wesen nach ja Nummer+Gültigkeitsdatum ausreichen.
S
sir_hd
Guest
Naja, diese üblichen Funktionsweisen ändern sich ja damit. PSD II ist ziemlich undurchsichtig und auch die Payment Experten sind sich uneinig. Da wird man sehen müssen, was da September auf uns zurollt. Man muss auch dazu sagen, dass die Bafin das ziemlich genau nimmt. In anderen Ländern wird das ganze eher halbherzig umgesetzt.
Ja, nun unterstützt aber leider nicht jede Bank ChipTAN. Und warum sollte die UNG iTAN für diese Zwecke abschaffen? Dafür ist iTAN weiterhin zulässig.
Aber Kreditkarten sind doch gerade von der Konzeption (eigentlich) auf weltweite Funktion ausgelegt, und wenn die USA usw. nicht mitmachen...
Wäre es auch denkbar dass bei Kreditkarten alles so weiterläuft wie bisher? Weil Mastercard SecureCode und Verified by Visa gibts bereits, aber das wird bei jeder Bank und jeder Kreditkarte völlig unterschiedlich gehandhabt, bei manchen gibts ne SMS-TAN, aber dann auch nur bei bestimmten Vorgängen, aber Mastercard SecureCode gibts dann auch wieder nur als Fenster im Browser was durchläuft ohne dass man irgendwas tun müsste...
Wenn man da groß Verfikationspflichten einführt, wird das zu großen Problemen führen bei der Zahlung mit Kreditkarte im Internet, weil Händler mglw. neue Geräte/Technik/Zugänge brauchen. Und Paypal reibt sich die Hände, weil das sicherlich weitgehend reibungslos gehen wird, insbesondere für die Händler, weil die eben das Geld von Paypal kriegen und nicht von der vorgeschalteten Kreditkarte...
Paypal unterliegt ebenso den Gesetzen; Zahlungen per Paypal müssen auch PSD2 erfüllen.
Visa und MC werden ihre Verfahren umstellen (und zumindest bei MC umbenennen in Mastercard Identity Check). Es wird spannend, mit welchen TAN-Verfahren die einzelnen KK-Herausgeber dies bedienen werden.
Interessant wird auch sein, was Amex macht.
Ich hoffe dass Mitte September zumindest ein Teil meiner Kreditkarten noch für Onlinezahlungen zu gebrauchen sein werden.
Visa und MC werden ihre Verfahren umstellen (und zumindest bei MC umbenennen in Mastercard Identity Check). Es wird spannend, mit welchen TAN-Verfahren die einzelnen KK-Herausgeber dies bedienen werden.
Interessant wird auch sein, was Amex macht.
Ich hoffe dass Mitte September zumindest ein Teil meiner Kreditkarten noch für Onlinezahlungen zu gebrauchen sein werden.
Wenn PP auch TANs einführen muss, könnte das Übel werden. Ich finde ja schon die App-TAN-Verfahren groben Unsinn. Erstens muss man dafür mit dem Handy online sein (was bei meinem nie der Fall ist, wenn ich es nicht gerade aktiv in der Hand halte) aber vor allem kommt da dann so ein Quatsch zustande wie die Registrierung per Brief mit der Post für jedes Gerät, damits auch ja besonders lange braucht.
Dazu hab ich noch üble Dinge von den Apps gehört, wie solche Scherze dass sie das Gerät durchsuchen um nach "Sicherheitsproblemen" zu suchen und dann gerne mal den Dienst verweigern. Oder dass man immer ein aktuelles Android haben muss, nur dummerweise veröffentlichen viele Hersteller Updates nur sporadisch und häufig nach kurzer Zeit gar keine mehr.
Dazu hab ich noch üble Dinge von den Apps gehört, wie solche Scherze dass sie das Gerät durchsuchen um nach "Sicherheitsproblemen" zu suchen und dann gerne mal den Dienst verweigern. Oder dass man immer ein aktuelles Android haben muss, nur dummerweise veröffentlichen viele Hersteller Updates nur sporadisch und häufig nach kurzer Zeit gar keine mehr.
T
Txx
Guest
Mindestens den letzten Satz weiß man aber, entweder holt man sich sofern es einen stört ein Android was relativ lange und konstant Updates liefert (von Samsung habe ich da zumindest in den ersten 1-2 Jahren positives gehört) oder halt iOS, wo es Updates noch Jahre später gibt.
Ich werde mir sicher kein neues Smartphone kaufen nur weil irgendwelche Bank-Apps sonst nicht funktionieren. Abgesehen davon dass ich sowieso höchstens alle 5 Jahre ein neues kaufe und dann auch höchstens 300 Euro ausgebe. Und Apple geht daher auch aus Prinzip nicht, weil da die Preise einfach massiv überzogen sind.
T
Txx
Guest
Tja, bei Apple hast Du aber auch für locker 4 Jahre aktuellste Software, wenn Du lieber günstig kaufst darfst Du Dich eben auch nicht beschweren. You get what you pay for. Aktuelle Software schließt Sicherheitslücken, also ist es mehr als sinnvoll, diese bei sensiblen Apps wie Banking vorauszusetzen.
ANZEIGE
![]()
Überzogen?
Vergessen was Top-NOKIAs und Andere kosteten...
Die billigen (nicht günstigen
) Androiden muss man alle zwei Jahre ersetzen, damit man auf dem aktuellen Software- und damit Sicherheitsstandard ist. Teurer als iPhone und Top-Androiden ist das mit Sicherheit!