Der langsame Tod der SMS-TAN

Heute wollen wir auf die am 14. September dieses Jahres verbindlich gewordene europäische Payment Service Directive PSD2 zurückblicken. Die Auswirkungen auf das Zahlungsverhalten sind stärker als man vorher annahm. Bekannt war vorher nur, dass die TAN-Listen auf Papier ihre Gültigkeit verlieren würden. Hier nun ein Erlebnisbericht einer Leserin unserer Seiten, den wir demnächst auch in unsere Publikation über andere Handy-Probleme einbauen werden.

Die europäische Direktive PSD2 verlangt seit September 2019 von allen Banken und und Zahlungsdienstleistern in der EU, dass sie eine 2-Wegeauthentifizierung einführen. Das bis dahin üblichen Verfahren mit einer TAN Liste ist damit ab diesem Zeitpunkt nicht mehr zulässig.

Das soll Zahlungsvorgänge zusätzlich sicher machen, indem auf einen zweiten Weg die Identität des Handelnden überprüft wird.  Das haben zahlreiche Banken dazu genutzt, ihre Kunden von dem bis dahin üblichen SMS-TAN Verfahren weg zu bekommen. In Briefen wurden die Kunden aufgefordert sich für künftige Zahlungen und Überweisungen eine App herunter zu laden.  Im folgenden möchte ich beschreiben, wie kompliziert und unerfreulich der Wechsel zu dem neuen Zahlungsverfahren sein kann.
 
Als Kundin einer spanischen Bank hatte ich bisher alle Überweisungen und Zahlungsvorgänge über die PC Oberfläche ausgeführt. Bereits seit Anfang September 2019 war die angebotene Oberfläche auf dem PC verändert. Statt des üblichen Menüs gab es drei oder vier Symbole

• ein Euro Zeichen gefolgt von einem = für die Ausgabe das Kontostandes,
• ein Euro Zeichen gefolgt von einem Pfeil für Überweisungen,
• ein Brief Couvert für den Zugang zum Postfach

Die Ausgabe des Kontostandes zeigte nur die letzten 10 Buchungen/Überweisungen und darunter das Wort "mehr" für die Anzeige der 10 davorliegenden Buchungen. Ein Export des Kontostandes war nicht mehr möglich. Vorher war der Export als .cvs (Excel) oder eine Druckausgabe möglich. Auch ein Speichern der Webseite brachte keine Hilfe, da diese nur noch ein Java Skript ohne die Inhalte der angezeigten Seite enthielt.

Auch bei dem Aufruf von Überweisungen gab es Probleme, z.B. mit der Eingabe des Betrages. Der Cursor sprang undefiniert von einer Stelle zur anderen. Dies sehe ich als eine sehr gefährliche Fehlerquelle gerade bei Zahlungsvorgängen an.  Bei der Nutzung von Überweisungsvorlagen wurden viele Daten aus der alten gespeicherten Vorlage nicht übernommen. Lediglich die Kontonummer wurde automatisch eingesetzt aber lange Kunden- oder Referenznummern mussten neu eingegeben werden.

Vom Regen in die Traufe

Oft fragt man sich, ob es denn noch schlimmer kommen kann. Und dann passiert es. Ich wollte einfach mal probieren, künftig Überweisung auf meinem Tablet durchzuführen, da die Oberfläche auf dem PC offensichtlich der auf einem Handy entsprach - schmal, länglich und Symbole statt Textmenus.
 
Ich beschreibe nun den weiteren Vorgang auf einem Android Tablet von Samsung .  Im Google Play Store wird nach der App der Bank gesucht. Es gibt sechs ähnlich aussehende Apps dieser Bank.

• Welches ist die richtige?
• Kann jeder App-Programmierer einfach dort eine "Banking-App" einstellen?
• Wer prüft, ob es sich wirklich um die Software der Bank handelt?
• Warum sind Smartphone Apps nicht von den Plattformen der Firmen runterladbar, die für sie verantwortlich sind?

Schließlich stelle ich fest, dass es sich um verschiedene Sprachangebote der gleichen Bank handelt. Die deutschsprachige Version wird heruntergeladen.  Nach dem Start der Anwendung sagte diese, dass sie durch eine weitere App, die SignApp, verifiziert werden müsste. Immerhin muss ich diese App nicht im Play Store suchen. Ihr Download ist durch einen Button festgelegt. Auch diese App wird herunter geladen und gestartet. Sie verlangt zuerst die Eingabe der Kundennummer und dann ein neues Passwort.  Sie meldet sich dann bei der Bank an, was nach einigen Malen auch funktioniert. 

Was ich vermute: Die Sign App kontrolliert scheinbar die Korrektheit der installierten Bank-App, so dass diese nun zur Verfügung stehen sollte.
Was ich nicht ahne: Durch das Akzeptieren und Nutzen dieser App kündigt man automatisch das TAN Verfahren über SMS.
 
Nach zwei Fehlversuchen ist auch das Einloggen auf der Bank-App möglich. Die Oberfläche ist genauso schlecht gestaltet wie nach der Programmänderung auch auf dem PC zu sehen war.  Sämtliche Funktionen sind schlechter als vorher, kein Export von Kontoauszügen, keinen Scrollen, keine Möglichkeit der Speicherung von Kontoauszügen, die Betragseingabe ist mystisch - auch hier springt der Cursor hin und her. Ein Ändern von Beträgen ist unmöglich, nur die Neueingabe aller Ziffern beginnend mit der Höchsten bringt Erfolg. 

Das Schlimmste jedoch ist die Tatsache, dass die durch die europäische Direktive PSD2 verlangte Zwei-Wege Authentifizierung eigentlich gar keine ist.  Das Einloggen in die Bank-App und alle weiteren Transaktionen  werden nun durch die Sign App authentifiziert, die aber auf dem gleichen Gerät, in diesem Falle einem Tablet, läuft. Die Sign App bestätigt lediglich die Transaktion und teilt dies "auf einem anderen Weg" - eigentlich nur einer anderen TCP/IP Verbindung auf dem gleichen(!) Ausgangs- wie Endgerät mit.

Der Mensch muss keine TAN mehr von einem Gerät zum anderen übertragen, wie es bei der TAN Liste oder der SMS-TAN verlangt wurde. Die Anforderungen der PSD2 werden unverständlicherweise scheinbar mit dem oben beschriebenen Verfahren bereits erfüllt.  Ein Hack auf dem Gerät würde ein "automatisches Bestätigen" der einen App durch die andere App sicher genauso gut erledigen - ich fühle mich überflüssig und vor allem verunsichert, denn es geht um mein Geld.

Aufgefallen ist mir weiterhin, dass

• Überweisungen nun stets als sogenannte Echtzeitüberweisung ausgeführt werden, die normale SEPA Überweisung steht nicht mehr zur Verfügung. Manche Banken erheben auf eine Echtzeitüberweisung eine Gebühr. Ob dies hier auch zutrifft muss die nächste Monatsabrechnung zeigen.
• der Kontoauszug am Drucker in der Bank eine kurz zuvor erfolgte Bargeldabhebung am daneben stehenden Geldautomaten früher sofort aufgeführt hatte. Seit diesem Herbst werden Barabhebungen erst nach einigen Tagen auf dem Kontoauszug sichtbar. Warum?
• Grundsätzlich ist anzumerken, dass die Lesbarkeit von Kontoauszügen in den letzten Jahren wesentlich schlechter geworden ist. Vielfach ist nur noch eine Zahlenkolonne und der gebuchte Betrag zu erkennen. Die an der Überweisung beteiligten Partner werden oft nicht einmal mehr genannt. Besonders schlimm ist dies bei Transaktionen zu anderen Zahlungsdienstleistern, wie zum Beispiel PayPal.
• Im Gegensatz zu der Nutzung am PC zeigen die Anwendungen auf dem Tablett auch keine Möglichkeit zu einer aktiven Abmeldung. Sie erfolgt wohl automatisch nach 5 Minuten.  Warum muss alles immer mystischer statt klarer werden?

Da die Installation der Sign App dazu geführt hat, das SMS-TAN Verfahren abzuschalten, bzw. zu kündigen, besteht nun auch keine Möglichkeit mehr Überweisungen allein auf dem PC und mit einem Telefon durchzuführen. Das diskriminiert Inhaber von Gemeinschaftskonten. So ist es dem zweiten Kontoinhaber nicht mehr möglich weiter ein anderes TAN Verfahren zu nutzen. Meine "Begeisterung" hält sich in Grenzen ...

Martina Müller für Aktion FsA

Mehr dazu in unserer Handy-Publikation https://www.aktion-freiheitstattangst.org/de/articles/6365-20180205-das-handy-dein-unbekannter-begleiter.htm
und in weiteren Artikel zu PSD2 https://www.aktion-freiheitstattangst.org/cgi-bin/searchartl.pl?suche=PSD2&sel=meta

Comment

If you like a crypted answer you may copy your public key into this field. (Optional) Public Key

To prevent the use of this form by spam robots, please enter the portrayed character set in the left picture below into the right field.

CC license   European Civil Liberties Network   Bundesfreiwilligendienst   We don't store your data   World Beyond War   Use Tor router   Use HTTPS   No Java   For Transparency