kundenfreundliche Banken mit freier Wahl des Tan Verfahrens

[mattes77]

ANZEIGE

Liebe Mituser. Weil immer wieder Diksussionen zum Thema Tan Verfahren in verschiedenen Threads
zum "Anschwellen einer Welle von offtopic Beiträgen" führen (woran ich natürlich auch einen
gewissen Anteil habe), möchte ich einen neuen Thread zu diesem Thema eröffnen.

Es geht hierbei um die Zusammenstellung von Banken, die ihren Kunden weiterhin die Möglichkeit
bieten, "digitales Onlinebanking" am PC durchzuführen, ohne das man sich eine App auf einem
Smartphone oder Tablet installeren muss oder mehr oder weniger zum App Banking "gewungen"
wird.

Dabei soll es auch um die Kosten der Generatoren bzw. der alternativen Verfahren gehen!

Ich beginne einfach mal. (Die Infos, die ich selbst hier teile beruhen auf meinen persönlichen
Erfahrungen bzw. Gesprächen mit dem Kundendienst der Banken, Diskussionen im Bekannten-
kreis oder von den Webseiten der Banken)

- Deutsche Bank (Banking per app Tan oder mittels Photo Tan Generator. Der Generator wird kostenpflichtig im Genostore bestellt!)
- Norisbank (Tochter der Deutschen Bank, Verfahren siehe oben, Generator wird telefonisch betsellt. keine Kosten für den Kunden!!)
- Commerbank (photo tan, m- tan mit 12 ct pro sms, Photo Tan Generator für 29,90 €)
- Comdirect (Marke der Commerzbank, photo tan, m tan nit 9 ct pro sms, Photo Tan Generator für 34,95€)
- Hypovereinsbank (app tan, Generator für 20,90€)
- ING (app tan, Generator für 32 €)
- Targobank (m tan kostenfrei, app tan, Photo Tan generator 24,90€)

Außerdem bieten die meisten Genobanken und Sparkassen ihren Kunden immer noch die Wahlfreiheit. Von daher gibt es zum Glück noch
Lösungen für alle, die einfach keine Lust haben, Banking auf dem Smartphone zu machen!

 

[PixelHopper]

Von daher gibt es zum Glück noch
Lösungen für alle, die einfach keine Lust haben, Banking auf dem Smartphone zu machen!

Wer spricht denn davon, dass du Banking auf dem Smartphone machen musst?
Du kannst es auch ganz normal über die Webseite machen und den Auftrag mit dem Handy freigeben.
Aber wenn man so deine Post-Historie betrachtet, scheint das schon ein alter Hut bei dir zu sein.
--
Um auch kurz etwas produktives zu schreiben: Ich denke, über kurz oder lang werden die TAN-Generatoren bei den Online-Banken verschwinden. Challenger-/Neo-Banken bieten sowas sowieso nicht an.
Vielleicht dann einfach zur lokalen Voba oder Sparkasse gehen. Da kann man sogar zur Not noch diese roten Überweisungsträger einwerfen.

 

[Chemist]

Der Vorteil eines zusätzlich benötigten TAN-Generators erschließt sich mir auch nicht. Ich habe selbst noch nie Online-Banking auf dem Smartphone gemacht, benutze aber regelmäßig das Phone zu Freigabe des Bankings am PC und fand das bisher nicht unbequem.

 

[ArmDoors]

Der Vorteil eines zusätzlich benötigten TAN-Generators erschließt sich mir auch nicht. Ich habe selbst noch nie Online-Banking auf dem Smartphone gemacht, benutze aber regelmäßig das Phone zu Freigabe des Bankings am PC und fand das bisher nicht unbequem.

Der Vorteil ist ganz einfach, dass man ein simples Gerät hat, dass im Zusammenspiel mit dem Smartcard-Chip der Bankkarte eine Transaktion bestätigen kann, aber wenig Angriffsfläche bietet. Es gab z.B. mit Zeus ausgefuchste Trojaner, die sich sowohl auf dem PC als auch auf dem Smartphone der Opfer eingenistet haben und so die gesamte Transaktionskette abhören und manipulieren konnten. Mit einem externen TAN-Generator spielt es (theoretisch) keine Rolle, ob die beiden Geräte kompromittiert sind, da die endgültige Transaktion (mit Kontonummer und Betrag) schlussendlich losgelöst davon überprüft werden kann.

Jeder mag seine Risikoabwägung anders gestalten, aber es ist nicht von der Hand zu weisen, dass PCs wie auch Smartphones einfach anfälliger für Angriffe sind als ein schrömmeliger Mikrocontroller mit LCD-Anzeige und Smartcard-Interface.

 

[pinaba]

Das beste System gibt es bei der comdirect, finde ich:
Es gibt eine offline Smartphone App, die wie ein Photo Tan Generator agiert.

 

[VS007]

Sehe ich das richtig, dass die Alternative im Wesentlichen die Photo TAN ist? Was ist denn der wesentliche Vorteil, den Code nicht mit dem Handy abzufotografieren sondern mit einem dedizierten Gerät?

 

[ArmDoors]

Sehe ich das richtig, dass die Alternative im Wesentlichen die Photo TAN ist? Was ist denn der wesentliche Vorteil, den Code nicht mit dem Handy abzufotografieren sondern mit einem dedizierten Gerät?

Siehe oben. Das dedizierte Gerät hängt nicht am Internet und wird nicht mit mehreren Gigabyte (potentiell, aber ziemlich sicher) fehlerhafter Software betrieben.

Beitrag automatisch zusammengeführt: 03.12.2022

Das beste System gibt es bei der comdirect, finde ich:
Es gibt eine offline Smartphone App, die wie ein Photo Tan Generator agiert.

Meiner Meinung vereinigt das eher die Nachteile beider Welten: ich erhalte das Sicherheitsniveau des Smartphones, aber nur die Bequemlichkeit des TAN-Generators.
Wenn ich mich eh auf Smartphone-OS und die App verlassen muss, kann mir die Bank auch eine Push-Nachricht schicken - da mit der Kamera herumzuwedeln, ist nur Zeitverschwendung.

 

[mattes77]

Ich glaube und hoffe nicht. Beim ING Kundenservice z.B. haben Sie mir bestätigt, dass es weiterhin das Gerät geben wird. Zumindest nach Auffasung
der ING wäre ein Zwang der Kunden zur Smratphone Nutzung rechtlich nicht haltbar!

 

[pinaba]

Meiner Meinung vereinigt das eher die Nachteile beider Welten: ich erhalte das Sicherheitsniveau des Smartphones, aber nur die Bequemlichkeit des TAN-Generators.
Wenn ich mich eh auf Smartphone-OS und die App verlassen muss, kann mir die Bank auch eine Push-Nachricht schicken - da mit der Kamera herumzuwedeln, ist nur Zeitverschwendung.

Der Internetzugang des Freigabesmartphones ist selbstverständlich gekappt, wenn man seine Banktransaktionen am Laptop durchführt.
Eine besonders große Vulnerabilität kann ich bei diesem Setting nicht erblicken.

 

[BR 612]

Ich bin froh, dass ich ein weiteres TAN Verfahren habe. Das Android 13 Update hat mir nämlich mein Smartphone zerschossen, viele Apps sind dauernd abgestürzt. Eine Neuinstallation hätte zwingend zu einem neuen Secure Go Freischaltbrief geführt. Das dauert halt dann 2-3 Tage. Bis dahin hätte ich das TAN Generator Verfahren Sm@rt TAN photo bei der Raiba Hochtaunus in petto gehabt.
Glücklicherweise trat dieser Worst Case nicht ein. Aus irgendeinem Grund hat sich die App "Android System WebView" mit dem Update in den Tiefschlaf geschossen und diese Probleme verursacht.
Klar, die meisten Überweisungen kann man planen, aber es ist trotzdem gut, ein Backup im Hintergrund zu haben, wenn man nicht innerhalb weniger Minuten au dem neuen Handy das wieder einrichten kann ohne Post-Codes oder so.

 

[ArmDoors]

Der Internetzugang des Freigabesmartphones ist selbstverständlich gekappt, wenn man seine Banktransaktionen am Laptop durchführt.
Eine besonders große Vulnerabilität kann ich bei diesem Setting nicht erblicken.

Klar, wenn man sich ein altes Smartphone nur mit der App und Dauer-Flugmodus in den Schrank legen will, geht das natürlich - im Endeffekt hat man sich dann aber auch nur einen recht großen TAN-Generator gebastelt.

Wenn man glaubt, durch das zeitweise kappen der Internetverbindung an seinem normalen Telefon irgendwas grundlegendes zu erreichen, klingt das eher nach Prinzip Hoffnung; ist das Gerät und die App kompromittiert, hat man das Spiel schon verloren.

 

[creasot]

Deutsche Bank (Banking per app Tan oder mittels Photo Tan Generator. Der Generator wird kostenpflichtig im Genostore bestellt!)

SMS-TAN gibt es auch. 0,09 pro TAN. Den TAN-Generator bekommt man auch für kleines Geld auf eBay-Kleinanzeigen.

BTW: Zugang mit Chipkarte stellt die Bank zum 28.02.2023 ein.

 

[AJ44]

Zumindest nach Auffasung
der ING wäre ein Zwang der Kunden zur Smratphone Nutzung rechtlich nicht haltbar!

Die ING legt manche Dinge eh irgendwie für sich fest, siehe (die NICHT) Anzeige der Empfänger IBAN bei eingehenden Überweisungen.
Banken wie C24 oder N26 bieten ausschließlich die Freigabe per Smartphone an. Scheint also durchaus zu klappen würde ich sagenda ist die Auffassung der ING eher haltlos. Früher oder später wird das garantiert überall normal sein, zum Glück. Es ist ja grundsätzlich selbst bei Sparkassen das Standardverfahren, was auch durchaus angenommen wird. Da gibt es wahrscheinlich eher noch die ganz alten die eh noch an den Schalter rennen.

 

[Barquero]

- Deutsche Bank (Banking per app Tan oder mittels Photo Tan Generator. Der Generator wird kostenpflichtig im Genostore bestellt!)

Vielleicht dann einfach zur lokalen Voba oder Sparkasse gehen. Da kann man sogar zur Not noch diese roten Überweisungsträger einwerfen.

Ihr seid mir Sicherheitsexperten...
Der eine bestellt Deutsche Bank Equipment bei den Genossen, der andere hält Lastschriftformulare für Überweisungen.

Das beste System gibt es bei der comdirect, finde ich:
Es gibt eine offline Smartphone App, die wie ein Photo Tan Generator agiert.

Was soll daran gut sein?
Leute, die den TAN-Generator warum auch immer bevorzugen, wollen das Hantieren mit dem Smartphone vermeiden. Und für den physischen TAN-Generator verlangt die Comdirect das Doppelte wie viele Volksbanken und Sparkassen fürs gleiche Modell. Wobei trotzdem nicht gesagt ist, dass die Dinger institutsübergreifend funktionieren.
Und wenn du dann doch Multi-Banking Apps verwendest, kriegst du spätestens ein Problem, wenn du mit der Smartphone-Kamera das eigene Display scannen müsstest...

 

[sol]

Wer spricht denn davon, dass du Banking auf dem Smartphone machen musst?
Du kannst es auch ganz normal über die Webseite machen und den Auftrag mit dem Handy freigeben.

Wenn ich das richtig verstanden habe, möchte die DKB genau diesen Weg gehen.
Die Webseite abschaffen oder nicht mehr weiterpflegen, dafür aber alles über die APP machen.
Also genau den Weg, den viele Neo-Banken von Anfang an eingeschlagen haben.

Übrigens gibt hier bereits eine Seite zu dem Thema

Konten mit physischem zweiten Faktor

Durch die neuen Kontogebühren "musste" ich mich leider von der ING als Zweitkonto verabschieden und überlege nun, wer sie beerben wird. Ein wichtiger Aspekt ist für mich dabei, dass der zweite Faktor für PSD2/TAN unabhängig vom Mobiltelefon sein muss. Der Grund ist folgender: das Zweikonto muss...

www.vielfliegertreff.de

 

[mattes77]

Gegen Onlinebanking auf dem Smartphone sprechen geanu zwei Grünse: Sicherheit und Datenschutz!!!

Vgl. hier:


https://www.kuketz-blog.de/wie-banken-online-banking-durch-apps-unsicher-machen/


oder z.B. hier:

https://www.vice.com/de/article/7xdge9/sicheres-online-banking-mit-chiptan-hacker-erklart


Die Beiträge sind z.t. etwas älter. Mit Sicherheit aber immer noch relevant!

 

[AJ44]

Welche Gefahren siehst du da eigentlich? Jetzt mal ernsthaft. Datenschutz? Genau, die Ausrede für alles…
Es wird von ALLEN bekannten Banken unterstützt, selbst die „alten“ wie Sparkassen und Volksbanken setzen darauf, so gefährlich und unsicher kann es doch gar nicht sein oder meinst du etwas nicht? Wenn wirklich eklatante Gründe dagegen sprechen würden, wäre es gar nicht so verbreitet. Das Smartphone bestimmt einfach seit Jahren mehr und mehr unseren Alltag. Da ist es einfach nur logisch und nachvollziehbar, dass es als „Standard“ angesehen wird so entsprechend auch Bankgeschäfte damit abzuwickeln.
Also, nochmal, wovor hast du da Angst? Das ist reine Panikmache! Nichts anderes!
Die App ansich ist geschützt, die TAN App ist geschützt. Selbst bei Banken ohne weitere TAN App ist es verifiziert und abgesichert. Du siehst da irgendwelche Geister, sorry, nichts anderes.

 

[Chemist]

Gegen Onlinebanking auf dem Smartphone sprechen geanu zwei Grünse: Sicherheit und Datenschutz!!!

Vgl. hier:


https://www.kuketz-blog.de/wie-banken-online-banking-durch-apps-unsicher-machen/


oder z.B. hier:

https://www.vice.com/de/article/7xdge9/sicheres-online-banking-mit-chiptan-hacker-erklart


Die Beiträge sind z.t. etwas älter. Mit Sicherheit aber immer noch relevant!

Und die Banken, die auf Smartphone Banking setzen irren sich alle, nur die beiden Blogger haben recht?

 

[DennyK]

Ein TAN Generator kann ebenfalls wie eine TAN App von Verbrechern mittels Social Hacking „missbraucht“ werden.

Wo gab es denn schon mal echte erfolgreiche Hacking Angriffe auf Banking-Apps und TAN-Apps? Illegales abgreifen von Daten kommt du meist nur vor, wenn der User selbst einen Fehler gemacht hat.

 

[VS007]

Naja, Geister sind es nicht, es ist natürlich ein zusätzliches Angriffsszenario. Allerdings ein extrem aufwändiges und damit unwahrscheinliches. Das ist wie mit dem Einbruchsschutz: Natürlich kann man sich Gedanken darüber machen, ob man über das Dachfenster einsteigen könnte, so lange es aber auch eine Terrassentür gibt ist das der Ort wo ein Einbruch zuerst versucht würde. Übertragen auf Banking: Klar kann ich versuchen zig-fach auditierte Software zu hacken, viel "einfacher" ist aber an beide Faktoren zu kommen. Im Fall PC+TAN-Generator wäre das der Login (lässt sich tatsächlich durch Hacking oder Social Engineering bekommen) und meine Girocard (Habe ich in der Öffentlichkeit dabei, würde es aber wochenlang nicht merken wenn sie mir im Café aus dem Geldbeutel gestohlen würde). Im Fall App wäre das mein Smartphone (würde ich in wenigen Minuten merken, wenn es weg wäre) und meine biometrischen Merkmale (vermutlich mit geheimdienstlichen Mitteln irgendwie möglich). Ich für mich sehe da keinen großen Unterschied bzw. klare Präferenz für die zweite Variante, halte es aber für legitim, wenn auch etwas exzentrisch, das anders zu sehen.

 

[mattes77]

Ich sage auch nicht, dass die Banken grundsätzlich falsch liegen. Es hängt natürlich wieder mit den Kosten zusammen.
Eine "unsichere" Schrott App zu programieren und das Risiko bzw. die Verantwortung auf die Betreiber der App Stores
und / oder die Kunden abzuwälzen ist natrürlich viel bequemer und billiger als wirklich "sichere" Systemen zu implementieren.
Letzlich wird es wie bei der TAN Lsite ausgehen. Die Banken werden erst eimal die Schadensfälle hinnhemen und am Anfang
auch aus Kundensicht für die Kunden regulieren. Auf Dauer aber wird es eine "andere" Lösung geben!

Zum Thema Datenschutz werde ich nichts sagen. Da hier ja anscheinend überwiegend die Auffassunng herrscht, das man
nun einmal für den tollen Nutzen seine Daten an Google bzw. Apple verteilen muss!

 

[ArmDoors]

Im Fall App wäre das mein Smartphone (würde ich in wenigen Minuten merken, wenn es weg wäre) und meine biometrischen Merkmale (vermutlich mit geheimdienstlichen Mitteln irgendwie möglich).

Dein Smartphone muss nicht weg sein, lediglich der Token, den deine App an die Bank sendet, muss kopiert werden - oder das Smartphone dazu bewegt werden, die Informationen weiterzugeben bzw. abzunicken.
Und deine biometrischen Merkmale sind ebenfalls nicht erforderlich, sobald das Smartphone so kompromittiert sind, die werden nämlich nicht an die Bank gesendet, sondern dienen einfach nur der Entsperrung des auf dem Smartphones gespeicherten Tokens. Dein Smartphone-OS entscheidet, ob der FInger passt, dann gibt es die gesicherten Credentials an die App aus. Ist das OS kompromittiert (was regelmäßig passiert), ist diese Sperre nichts wert.

Den gleichen Zyklus hatten wir bei SMS-TAN: "Da kann nichts passieren, das Telefon habe ja nur ich."

Dann kamen Zeus und Co, die sich sowohl auf PC als auch Telefon einnisteten und die beiden Faktoren (PIN und SMS-TAN) zusammenführten. Momentan ist bei den Apps noch Ruhe, aber die Security-Bilanz älterer Android-Versionen ("Das alte Teil reicht für mich, funktioniert doch noch alles, was ich brauche!11") sieht doch recht mau aus.

Beitrag automatisch zusammengeführt: 04.12.2022

Ein TAN Generator kann ebenfalls wie eine TAN App von Verbrechern mittels Social Hacking „missbraucht“ werden.

"Social Engineering" ist eine völlig andere Schublade, die klappt auch mit Papier-Überweisungsträgern und ganz ohne IT. Es gibt genug Fälle, in denen einfach auf gut Glück Rechnungen an Firmenadressen geschickt werden, in der Hoffnung, dass ein überarbeiteter Sachbearbeiter diese einfach überweist.

 

[_wmarco]

Vielleicht auch erwähnenswert: Die Commerzbank z.B. bietet HBCI mit Schlüsseldatei an.
Dabei braucht man dann keine App, aber auch keinen Generator, sondern die Schlüsseldatei (die man einmalig bei der Bank aktivieren muss), sowie das Passwort für die Datei (und eine entsprechende Finanzsoftware wie MoneyMoney natürlich).

 

[creasot]

Dann darf ich einen konkreten Fall vorstellen, nämlich meinen. Mobiles Internet brauche ich schlichtweg nicht, mobil telefonieren - nur in Notfällen unterwegs. Für diese Zwecke habe ich im Auto ein altes Windows 10 Smartphone liegen, das zwar mit nix kompatibel ist, aber immerhin telefonieren, SMSen und passable Fotos schießen kann. Zu Hause habe ich Festnetz, für die Arbeit benutze ich Headset. Vom Internet über Smartphone halte ich nichts, warum auch, wenn auf dem Tisch ein 32" Monitor steht. Und normale volle Tastatur mit großer Maus finde ich irgendwie ergonomischer als winzigen Bildschirm.

Bei Auswahl von der Bank war die Smartphone-Freiheit für mich deshalb immer schon ausschlaggebend. Nicht weil ich Smartphone unsicher finde, sondern rein aus Bequemlichkeit. "Wieso einfach, wenn er auch kompliziert geht" ist nicht mein Motto.

 

[Chemist]

ANZEIGE

Dann darf ich einen konkreten Fall vorstellen, nämlich meinen. Mobiles Internet brauche ich schlichtweg nicht, mobil telefonieren - nur in Notfällen unterwegs. Für diese Zwecke habe ich im Auto ein altes Windows 10 Smartphone liegen, das zwar mit nix kompatibel ist, aber immerhin telefonieren, SMSen und passable Fotos schießen kann. Zu Hause habe ich Festnetz, für die Arbeit benutze ich Headset. Vom Internet über Smartphone halte ich nichts, warum auch, wenn auf dem Tisch ein 32" Monitor steht. Und normale volle Tastatur mit großer Maus finde ich irgendwie ergonomischer als winzigen Bildschirm.

Bei Auswahl von der Bank war die Smartphone-Freiheit für mich deshalb immer schon ausschlaggebend. Nicht weil ich Smartphone unsicher finde, sondern rein aus Bequemlichkeit. "Wieso einfach, wenn er auch kompliziert geht" ist nicht mein Motto.

Auf einem so wenig genutzten Smartphone würde sich aber wahrscheinlich auch nicht so leicht eine Schadsoftware einnisten können, eigentlich ein idealer Platz für ein Online Banking App (Kompatibilität vorausgesetzt)