20.12.2019 Umständlicher statt sicherer mit PSD2

Der langsame Tod der SMS-TAN

Heute wollen wir auf die am 14. September dieses Jahres verbindlich gewordene europäische Payment Service Directive PSD2 zurückblicken. Die Auswirkungen auf das Zahlungsverhalten sind stärker als man vorher annahm. Bekannt war vorher nur, dass die TAN-Listen auf Papier ihre Gültigkeit verlieren würden. Hier nun ein Erlebnisbericht einer Leserin unserer Seiten, den wir demnächst auch in unsere Publikation über andere Handy-Probleme einbauen werden.


Die europäische Direktive PSD2 verlangt seit September 2019 von allen Banken und und Zahlungsdienstleistern in der EU, dass sie eine 2-Wegeauthentifizierung einführen. Das bis dahin üblichen Verfahren mit einer TAN Liste ist damit ab diesem Zeitpunkt nicht mehr zulässig.

Das soll Zahlungsvorgänge zusätzlich sicher machen, indem auf einen zweiten Weg die Identität des Handelnden überprüft wird.  Das haben zahlreiche Banken dazu genutzt, ihre Kunden von dem bis dahin üblichen SMS-TAN Verfahren weg zu bekommen. In Briefen wurden die Kunden aufgefordert sich für künftige Zahlungen und Überweisungen eine App herunter zu laden.  Im folgenden möchte ich beschreiben, wie kompliziert und unerfreulich der Wechsel zu dem neuen Zahlungsverfahren sein kann.
 
Als Kundin einer spanischen Bank hatte ich bisher alle Überweisungen und Zahlungsvorgänge über die PC Oberfläche ausgeführt. Bereits seit Anfang September 2019 war die angebotene Oberfläche auf dem PC verändert. Statt des üblichen Menüs gab es drei oder vier Symbole

Die Ausgabe des Kontostandes zeigte nur die letzten 10 Buchungen/Überweisungen und darunter das Wort "mehr" für die Anzeige der 10 davorliegenden Buchungen. Ein Export des Kontostandes war nicht mehr möglich. Vorher war der Export als .cvs (Excel) oder eine Druckausgabe möglich. Auch ein Speichern der Webseite brachte keine Hilfe, da diese nur noch ein Java Skript ohne die Inhalte der angezeigten Seite enthielt.

Auch bei dem Aufruf von Überweisungen gab es Probleme, z.B. mit der Eingabe des Betrages. Der Cursor sprang undefiniert von einer Stelle zur anderen. Dies sehe ich als eine sehr gefährliche Fehlerquelle gerade bei Zahlungsvorgängen an.  Bei der Nutzung von Überweisungsvorlagen wurden viele Daten aus der alten gespeicherten Vorlage nicht übernommen. Lediglich die Kontonummer wurde automatisch eingesetzt aber lange Kunden- oder Referenznummern mussten neu eingegeben werden.

Vom Regen in die Traufe

Oft fragt man sich, ob es denn noch schlimmer kommen kann. Und dann passiert es. Ich wollte einfach mal probieren, künftig Überweisung auf meinem Tablet durchzuführen, da die Oberfläche auf dem PC offensichtlich der auf einem Handy entsprach - schmal, länglich und Symbole statt Textmenus.
 
Ich beschreibe nun den weiteren Vorgang auf einem Android Tablet von Samsung .  Im Google Play Store wird nach der App der Bank gesucht. Es gibt sechs ähnlich aussehende Apps dieser Bank.

Schließlich stelle ich fest, dass es sich um verschiedene Sprachangebote der gleichen Bank handelt. Die deutschsprachige Version wird heruntergeladen.  Nach dem Start der Anwendung sagte diese, dass sie durch eine weitere App, die SignApp, verifiziert werden müsste. Immerhin muss ich diese App nicht im Play Store suchen. Ihr Download ist durch einen Button festgelegt. Auch diese App wird herunter geladen und gestartet. Sie verlangt zuerst die Eingabe der Kundennummer und dann ein neues Passwort.  Sie meldet sich dann bei der Bank an, was nach einigen Malen auch funktioniert. 

Was ich vermute: Die Sign App kontrolliert scheinbar die Korrektheit der installierten Bank-App, so dass diese nun zur Verfügung stehen sollte.
Was ich nicht ahne: Durch das Akzeptieren und Nutzen dieser App kündigt man automatisch das TAN Verfahren über SMS.
 
Nach zwei Fehlversuchen ist auch das Einloggen auf der Bank-App möglich. Die Oberfläche ist genauso schlecht gestaltet wie nach der Programmänderung auch auf dem PC zu sehen war.  Sämtliche Funktionen sind schlechter als vorher, kein Export von Kontoauszügen, keinen Scrollen, keine Möglichkeit der Speicherung von Kontoauszügen, die Betragseingabe ist mystisch - auch hier springt der Cursor hin und her. Ein Ändern von Beträgen ist unmöglich, nur die Neueingabe aller Ziffern beginnend mit der Höchsten bringt Erfolg. 

Das Schlimmste jedoch ist die Tatsache, dass die durch die europäische Direktive PSD2 verlangte Zwei-Wege Authentifizierung eigentlich gar keine ist.  Das Einloggen in die Bank-App und alle weiteren Transaktionen  werden nun durch die Sign App authentifiziert, die aber auf dem gleichen Gerät, in diesem Falle einem Tablet, läuft. Die Sign App bestätigt lediglich die Transaktion und teilt dies "auf einem anderen Weg" - eigentlich nur einer anderen TCP/IP Verbindung auf dem gleichen(!) Ausgangs- wie Endgerät mit.

Der Mensch muss keine TAN mehr von einem Gerät zum anderen übertragen, wie es bei der TAN Liste oder der SMS-TAN verlangt wurde. Die Anforderungen der PSD2 werden unverständlicherweise scheinbar mit dem oben beschriebenen Verfahren bereits erfüllt.  Ein Hack auf dem Gerät würde ein "automatisches Bestätigen" der einen App durch die andere App sicher genauso gut erledigen - ich fühle mich überflüssig und vor allem verunsichert, denn es geht um mein Geld.

Aufgefallen ist mir weiterhin, dass

Da die Installation der Sign App dazu geführt hat, das SMS-TAN Verfahren abzuschalten, bzw. zu kündigen, besteht nun auch keine Möglichkeit mehr Überweisungen allein auf dem PC und mit einem Telefon durchzuführen. Das diskriminiert Inhaber von Gemeinschaftskonten. So ist es dem zweiten Kontoinhaber nicht mehr möglich weiter ein anderes TAN Verfahren zu nutzen. Meine "Begeisterung" hält sich in Grenzen ...

Martina Müller für Aktion FsA

Mehr dazu in unserer Handy-Publikation https://www.aktion-freiheitstattangst.org/de/articles/6365-20180205-das-handy-dein-unbekannter-begleiter.htm
und in weiteren Artikel zu PSD2 https://www.aktion-freiheitstattangst.org/cgi-bin/searchartl.pl?suche=PSD2&sel=meta


Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/36T
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7112-20191220-umstaendlicher-statt-sicherer-mit-psd2.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7112-20191220-umstaendlicher-statt-sicherer-mit-psd2.htm
Tags: #SMS-TAN #Sign-App #Smartphone #Handy #Hacking #Trojaner #EU #PrivacyShield #PSD2 #Kontozugriff #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenskandale #Anonymisierung #Persönlichkeitsrecht #Privatsphäre #Bankdaten #SafeHarbor #Bankdaten/Swift-Abkommen #Scoring
Erstellt: 2019-12-20 11:11:26
Aufrufe: 1035

Kommentar abgeben

Für eine weitere vertrauliche Kommunikation empfehlen wir, unter dem Kommentartext einen Verweis auf einen sicheren Messenger, wie Session, Bitmessage, o.ä. anzugeben.
Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots zu verhindern.

Wir im Web2.0


Diaspora Mastodon Twitter Youtube Tumblr Flickr FsA Wikipedia Facebook Bitmessage FsA Song


Impressum  Datenschutz  Sitemap