• Dieses Forum dient dem Erfahrungsaustausch und nicht dem (kommerziellen) Anbieten von Incentives zum Abschluss einer neuen Kreditkarte.

    Wer sich werben lassen möchte, kann gerne ein entsprechendes Thema im Bereich "Marketplace" starten.
    Wer neue Karteninhaber werben möchte, ist hier fehl am Platz. Das Forum braucht keinen Spam zur Anwerbung neuer Kreditkarteninhaber.

    Beiträge, bei denen neue Kreditkarteninhaber geworben werden sollen, werden ohne gesonderte Nachricht in beiden Foren entfernt.

    User, die sich zum Werben neuer Kreditkarteninhaber neu anmelden, werden wegen Spam direkt dauerhaft gesperrt. User, die an anderer Stelle im Forum mitdiskutieren, sich aber nicht an diese Regeln halten, müssen mit mindestens 7 Tagen Forenurlaub rechnen.

PSD II Sammelthread (ab 09/2019)

ANZEIGE
S

sir_hd

Guest
ANZEIGE
Bekanntlich wird demnächst die Umsetzung der zweite Stufe der "Payment Services Directive" gefordert, was einige Institute vor große Herausforderungen stellt... Nicht jeder wird pünktlich fertig.

Für Bankkunden ist der wichtigste Punkt, dass sämtliche Legitimationen bzw. Zahlvorgänge mit einem zweiten Faktor abgesichert werden müssen (Auswahl aus Besitzelemente - z.B. eine Karte oder ein Gerät, "Seins"elemente - z.B. biometrische Daten, Wissenselemente - z.B. Passwort, ...). Das wird bei Zahlungen einer physischen Karte via NFC in Zukunft auch ein Knackpunkt sein. Manche Banken haben auf neuen Karten eine Oberzahl an möglichen Zahlvorgängen (z.B. 5x per NFC, dann mind. 1x per PIN + Karte stecken) oder eine maximale Transaktionssumme, bis die Karte erneut bestätigt werden muss.
Übrigens könnte dies, so meine Einschätzung, ein großer Gewinn für die mobilen Bezahlsysteme Apple und Google Pay sein, da immer eine 2-Faktor-Authentifizierung durchgeführt wird.

Damit wir das Thema und Fragen dazu gut bündeln können, schlage ich vor einen Sammelthread hierzu zu eröffnen.

Die Deutsche Bank hat heute den Start gemacht und eine umfassende Infoseite für Kunden zur Verfügung gestellt:
-> https://www.deutsche-bank.de/pk/lp/psd2.html?kid=e.0113.41.04
Ab 11.09.2019 kann man nur noch mit einer TAN ins Banking und Kreditkartenzahlungen werden immer über eine TAN bestätigt - dazu wird die photoTAN App mit biometrischer/PS Sicherung aufgerüstet und bekommt Push.
 
Zuletzt bearbeitet:
S

sir_hd

Guest
Nur noch, oder alle 90 Tage 1x TAN?

Das kommt auf die Bank darauf an. Die Deutsche Bank wird beim Webbrowser jedes mal eine TAN verlangen, bei mobilen Geräten (App) kann ein Token mit einer TAN aktiviert werden, damit künftig mit biometrischer Anmeldung eingeloggt werden kann.

Die DKB möchte wohl eine 90 Tage Regel einführen, aber Details sind da auch noch nicht bekannt.

Die ING hat ja diese Bastellösung mit einer Kombi aus zwei Passwörtern in zwei Verfahren + Bestätigung über die Banking App - jedes Mal.
 
D

DermitdemGolftanzt

Guest
[...] Kreditkartenzahlungen werden immer über eine TAN bestätigt - dazu wird die photoTAN App mit biometrischer/PS Sicherung aufgerüstet und bekommt Push.

Soweit ich das sehe geht es dabei aber nur um Online-Umsätze, an der Supermarktkasse braucht man nicht Karte + Smartphone.
 
  • Like
Reaktionen: 1 Person
S

sir_hd

Guest
Soweit ich das sehe geht es dabei aber nur um Online-Umsätze, an der Supermarktkasse braucht man nicht Karte + Smartphone.

Selbstverständlich, das wäre sonst wirklich arg dämlich ;-)

Was du aber an der Kasse eben brauchst: Karte (Besitzelement) + PIN (Wissenselement) oder etwa Smartphone (Besitzelement + tokenisierte Karte) + Gesicht/Fingerabdruck (Seienselement). Eine Mischung aus Karte und "Seienselement" wäre z.B. dieser Feldversuch: https://www.it-finanzmagazin.de/pil...biometrische-bezahlkarte-fingerabdruck-91082/ - NatWest in UK führt einen solchen auch schon eine Weile durch. Irgendwie dämlich: Man muss in die Filiale latschen um seinen Fingerabdruck zu hinterlegen und wir wissen auch, dass die Sensoren bei veränderter Haut (Kälte/Hitze, Schmutz, Abnutzung der Haut) nicht mehr zuverlässig funktionieren. Da ist double klick, Face ID und per NFC ran halten deutlich einfacher.

Das ging ja bisher eher so: Kreditkartennummer angeben, meist noch CVC code und teilweise wurde nicht mal der Name gegengeprüft. So gesehen macht dieser 2-Faktor bei Online deutlich mehr Sinn. Auch hier hätte z.B. Apple Pay den Vorteil, dass du keine Kartendaten eingeben musst und auch sonst nicht mit PINS/TANS etc. hantieren musst, sondern einfach per biometrischen Daten bzw. Code des Geräts die Zahlung direkt In-App bestätigen kannst.

Übrigens, für wen es interessant ist, wird die Apple Watch PSD II konform sein. Beim anlegen der Uhr Legitimiert man sich per Gerätepasswort und anschließend findet ja eine Pulsmessung statt. Sobald die Uhr abgenommen wird, wird die Uhr gesperrt. Das scheint laut Regulatoren keine Probleme zu verursachen.
 
Zuletzt bearbeitet:
F

flopower1996

Guest
Die ING hat ja diese Bastellösung mit einer Kombi aus zwei Passwörtern in zwei Verfahren + Bestätigung über die Banking App - jedes Mal.

Die ING-Lösung ist schrecklich. Warum macht man ein Passwort, dann eine Zahlenkombi + noch der Bestätigung übers Handy. Und das jedes Mal, wenn ich mich einloggen will. Das ist unverhältnismäßig. Würden sie die Zahlenkombi weg lassen oder die Bestätigung übers Handy wenigstens an eine Browserbindung knüpfen, wäre es halb so schlimm. Aber so...
 
S

sir_hd

Guest
Die ING-Lösung ist schrecklich. Warum macht man ein Passwort, dann eine Zahlenkombi + noch der Bestätigung übers Handy. Und das jedes Mal, wenn ich mich einloggen will. Das ist unverhältnismäßig. Würden sie die Zahlenkombi weg lassen oder die Bestätigung übers Handy wenigstens an eine Browserbindung knüpfen, wäre es halb so schlimm. Aber so...

Dito. Ist auch ein Grund, warum das Konto inzwischen auf der Abschussliste ist. Wenn die wirklich (scheinen ja jetzt zurückzurudern, wenigstens Schreibrechte für Drittanbietersoftware zu erlauben) FinTS bzw. HBCI abschalten, dann gute Nacht. Weiß jetzt immerhin, was ich an Banken wie Deutsche Bank, DKB oder - haltet euch fest - Sparkasse habe.

Weiß eigentlich jemand etwas von den FinTechs? Die scheinen da wirklich bisher noch nichts zu machen. Einzig bunq hat eine vollwertige Banking API zur Verfügung gestellt, die auch PSD II konform ist. N26, Revolut (hat eine kleine API), Monese etc. haben alle noch keinen Zugang. Schon mau.
 

madkai

Aktives Mitglied
08.03.2017
104
19
Die DKB möchte wohl eine 90 Tage Regel einführen, aber Details sind da auch noch nicht bekannt.
Das klingt bei der DKB auf Twitter aber anders:
"Bei jeder Kontenabfrage muss dann eine 2FA gemacht werden"
https://twitter.com/DKB_RegTech/status/1141621520835518465

Und es gibt noch diese Aussage:

"Fast sämtliche großen deutschen Privatbanken werden ohne die 90 Tage Ausnahme an den Start gehen."
https://twitter.com/DKB_RegTech/status/1141952325583560704
 
  • Like
Reaktionen: monk

loennermo

Erfahrenes Mitglied
01.09.2017
1.338
592
Die ING hat ja diese Bastellösung mit einer Kombi aus zwei Passwörtern in zwei Verfahren + Bestätigung über die Banking App - jedes Mal.

Bislang (!) fand ich die ING Lösung nicht verkehrt. Ich kenne mich zwar damit nicht wirklich aus, würde aber denken, dass die bisherige Lösung schon deutlich sicherer war als nur Konto-Nr. und Pin.

Die neue Lösung ist allerdings dann nicht mehr der Brüller. Bislang klicke ich immer auf "überspringen" und hoffe, dass sich da bis zum September noch was ändert.

However - die ING ist die einzige Bank in meinem Portfolio die bislang überhaupt (zumindest für mich als Kunden sichtbar) was gemacht hat.
 

amerin

Erfahrenes Mitglied
26.07.2014
2.278
4
Streit
Das kommt auf die Bank darauf an. Die Deutsche Bank wird beim Webbrowser jedes mal eine TAN verlangen, bei mobilen Geräten (App) kann ein Token mit einer TAN aktiviert werden, damit künftig mit biometrischer Anmeldung eingeloggt werden kann.
Bei Marke Postbank ebenfalls immer TAN-Login: http://postbank.de/neuer-login

1822direkt / Fraspa schreibt, dass iTAN bestehen bleibt, außer man hat ein Zahlungskonto (Giro).

Zu HBCI / FinTS weiß niemand bescheid :doh:
 
S

sir_hd

Guest

creasot

Erfahrenes Mitglied
14.04.2019
618
349
iTAN ist nur für Zahlungsvorgänge verboten. Für Stammdatenänderung oder Aufträge für nichtzahlende Konten wie Sparkonto ist iTAN sehr wohl zulässig. Deshalb warnen alle Banken davor, TAN-Listen zu entsorgen.

1822direkt hat alle drei TAN-Verfahren für FinTS offiziell freigegeben. mTAN ist leider kostenpflichtig, beide Smartphone-Optionen hingegen kostenlos. ING schaltet HBCI ab, das ist der Grund, warum ich mein Konto dort gekündigt habe. Ein Android-Gerät extra kaufen, für jede Bank ein App installieren und ständig hin und her springen - das sehe ich nicht ein. Ich finde das Banking-Programm super. Es ist mir um Vielfaches wichtiger, als irgendeine ING.

Und ja, die Targobank will bei jedem Login TAN abfragen. So wie ich verstehe, sind reine Kreditkartenkunden eine Ausnahme, weil Kreditkartenkonten keine Zahlkonten sind.

P.S. Interessant, was mit PayPal passieren wird.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: 1 Person
S

sir_hd

Guest
iTAN ist nur für Zahlungsvorgänge verboten. Für Stammdatenänderung oder Aufträge für nichtzahlende Konten wie Sparkonto ist iTAN sehr wohl zulässig. Deshalb warnen alle Banken davor, TAN-Listen zu entsorgen.
(...). ING schaltet HBCI ab, das ist der Grund, warum ich mein Konto dort gekündigt habe. (...)

Ja, bei ING wird die iTAN Liste künftig dazu dienen, die Banking App auf Geräten zu Legitimieren (sofern kein anderes Gerät bereits verknüpft ist).

Die PSD II Regelungen hatten eine gute Absicht, aber so wird das ein chaos. Banking Software wird bei vielen Banken bei jedem Kontoabruf eine TAN abfragen, was bei >3/4 Girokonten und entsprechend einigen Kreditkarten zu einem "Eingabechaos" wird.
 

geos

Erfahrenes Mitglied
23.02.2013
10.464
4.786
Für Kreditkartenzahlungen wird bei der DB nach deren Angabe wohl 3D Secure verpflichtend, das anscheinend über mTAN realisiert wird. Da frage ich mich, in wieweit das eine Zweifaktorauthentisierung darstellt, wo doch beides Besitzfaktoren sind (Besitz der Kreditkarte und Besitz der SIM). Oder gelten die KK-Daten als "Wissen"?
 

geos

Erfahrenes Mitglied
23.02.2013
10.464
4.786
Danke, diese Angaben sind sehr informativ und gehen auf einige Fragen ein. Insbesondere:
"Für alle Zahlungen mit Ihrer Kreditkarte in europäischen Online-Shops ist ab dem ab 14. September 2019 eine Legitimation über „Mastercard® Identity Check™“ beziehungsweise „Visa Secure“ verpflichtend. Die bisherigen Sicherheitsprogramme „Verified by Visa“ und „Mastercard 3DSecure“ werden damit abgelöst."
Das sollte für alle Kreditkarte gelten. Fragt sich, was Amex macht, vermutlich auch eine Änderung (ob die mit einer Umbenennung einhergeht, ist dann nur eine Frage der Kommunikation).

Für die Santander Bank wird dies wie folgt implementiert: "besteht die Möglichkeit, weiterhin eine mobileTAN als Sicherheitsfaktor zu verwenden. Die mobileTAN gilt zusammen mit der Mobilnummer / SIM-Karte als Sicherheitsmerkmal der Kategorie Besitz (siehe unter Punkt 2). Anders als bisher gilt die Prüfziffer (PAN) auf Ihrer Kreditkarte ab 14. September 2019 nicht mehr als Sicherheitsmerkmal. Deshalb müssen Sie bei Nutzung der mobileTAN für Kreditkartenzahlungen zusätzlich Ihre Online Banking-PIN (Sicherheitsmerkmal Wissen, siehe unter Punkt 2) eingeben, um die gesetzlichen Anforderungen an eine starke Kundenauthentifizierung zu erfüllen."
und folglich:
"Ohne Nutzung der Online Banking-Zugangsdaten (PIN/mobileTAN) ist die Nutzung Ihrer Kreditkarte im Internet ab 14. September 2019 stark eingeschränkt."

Damit ist das zumindest eine funktionierende Lösung. Dass man für die Autorisierung von Zahlungen dieselbe PIN verwendet wie für's Onlinebanking, ist unter Sicherheitsgesichtspunkten natürlich eher schlecht. Zwei unterschiedliche PINs hat die Santander Bank ihren Kunden wohl nicht zumuten wollen.

Die Beauftragung von mTAN geht aktuell zumindest bei der Santander Bank ausschließlich über ein Papierformular. Das hat sich seit Einführung nicht geändert. https://www.modern-banking.de/n/0807231.htm Zumindest damals wurden pro SMS 9 Cent berechnet. Im aktuellen Preisverzeichnis vom 17.05.2019 stehen allerdings 0,00 € pro SMS.


Ich bin gespannt, wie andere Kreditkartenanbieter das Thema umsetzten werden. Bis September werden wir hier vielleicht eine Tabelle haben. Jedenfalls wird es gut sein, ein paar KK in der Hinterhand zu haben, da ich fürchte, dass es nicht bei jedem Anbieter mit jedem Onlinehändler auf Anhieb funktionieren wird.
 
Zuletzt bearbeitet:

Olaf Berlin

Erfahrenes Mitglied
08.01.2018
1.142
27
Dieses 2-Faktor-Gedöns bedeutet ja quasi Smartphone Zwang und, gerade für Leute mit mehreren oder vielen Konten und Karten, ein Horrorszenario wenn das Handy mal kaputt ist oder verloren geht. Ich habe mir schon ein Tablet bestellt als Fallback. Dazu noch der Komfortverlust, echt bescheiden...
 

_AndyAndy_

Erfahrenes Mitglied
07.07.2010
6.008
633
.de
Das kommt auf die Bank darauf an. Die Deutsche Bank wird beim Webbrowser jedes mal eine TAN verlangen, bei mobilen Geräten (App) kann ein Token mit einer TAN aktiviert werden, damit künftig mit biometrischer Anmeldung eingeloggt werden kann.

Die DKB möchte wohl eine 90 Tage Regel einführen, aber Details sind da auch noch nicht bekannt.

Die ING hat ja diese Bastellösung mit einer Kombi aus zwei Passwörtern in zwei Verfahren + Bestätigung über die Banking App - jedes Mal.

Ich habe deshalb bei ING von Banking2Go auf mTAN umgestellt und Feedback an die Bank geschrieben. PIN + Key + Freigabe per App ist ein Overkill. Dummerweise kann man bei ING, im Unterschied zu 1822 etwa, mit mTAN die App gar nicht benutzen. Brrr.
 

_AndyAndy_

Erfahrenes Mitglied
07.07.2010
6.008
633
.de
Dieses 2-Faktor-Gedöns bedeutet ja quasi Smartphone Zwang und, gerade für Leute mit mehreren oder vielen Konten und Karten, ein Horrorszenario wenn das Handy mal kaputt ist oder verloren geht. Ich habe mir schon ein Tablet bestellt als Fallback. Dazu noch der Komfortverlust, echt bescheiden...

Bei mTAN reicht ja ein normales Handy. Einige Banken bieten darüber hinaus TAN-Generatoren an.
 

Olaf Berlin

Erfahrenes Mitglied
08.01.2018
1.142
27
Bei mTAN reicht ja ein normales Handy. Einige Banken bieten darüber hinaus TAN-Generatoren an.

Ja, bloß mTAN verschwindet ja sukzessive und/oder ist/wird kostenpflichtig, wenn auch letzteres einmalig im Schadensfall verschmerzbar wäre. Aber mTAN bringt einem ja auch nichts wenn das Handy weg ist. Und wer will schon seinen Schreibtisch mit 5 verschiedenen TAN-Genaratoren dekorieren? Sind ja auch nicht umsonst, dann lieber ein zweites Handy/Tablet.
 

falke3

Erfahrenes Mitglied
01.02.2018
917
903
Wenn sie denn wirklich die TAN-freie Liste machen, wäre das sogar mal ne sinnvolle Neuerung. Da setzt man dann alle IBANs drauf, an die man regelmäßig überweist und braucht dann in den meisten Fällen gar keine TAN mehr.

Man sollte natürlich auf die Liste beliebig viele und alle IBANs draufsetzen können (und beim draufsetzen braucht man ne TAN, danach nicht mehr).

Weil wenn bspw. ausländische IBANs nicht auf die Liste können, wär das natürlich großer Blödsinn. Wäre das eigentlich nach EU-Recht überhaupt legal?
 

creasot

Erfahrenes Mitglied
14.04.2019
618
349
Ja, bloß mTAN verschwindet ja sukzessive und/oder ist/wird kostenpflichtig
Nicht gerade wenige Banken schaffen auch mTAN ab, weil das Verfahren als unsicher gilt. Die Kosten von 0,09€ pro Überweisung kann man schon verdauen, ist doch billiger, als ein Secoder für 70€ oder TAN-Generator für 20€. Irgenein altes Handy kann man schon finden.
 

Olaf Berlin

Erfahrenes Mitglied
08.01.2018
1.142
27
ANZEIGE
Nicht gerade wenige Banken schaffen auch mTAN ab, weil das Verfahren als unsicher gilt. Die Kosten von 0,09€ pro Überweisung kann man schon verdauen, ist doch billiger, als ein Secoder für 70€ oder TAN-Generator für 20€. Irgenein altes Handy kann man schon finden.

Solange 2 Geräte beteiligt sind ist mTAN sehr sicher, die SIM Karten Masche funktioniert seit Ewigkeiten nicht mehr. Und ja, als Fallback finde ich Kosten für mTAN verschmerzbar. Sagte ich ja schon. mTAN hat aber wieder den Nachteil, dass App-Überweisungen damit nicht funktionieren. Außer auf bei der Consorsbank - auf eigene Gefahr.