|
Der langsame Tod der SMS-TANHeute wollen wir auf die am 14. September dieses Jahres verbindlich gewordene europäische Payment Service Directive PSD2 zurückblicken. Die Auswirkungen auf das Zahlungsverhalten sind stärker als man vorher annahm. Bekannt war vorher nur, dass die TAN-Listen auf Papier ihre Gültigkeit verlieren würden. Hier nun ein Erlebnisbericht einer Leserin unserer Seiten, den wir demnächst auch in unsere Publikation über andere Handy-Probleme einbauen werden. Die europäische Direktive PSD2 verlangt seit September 2019 von allen Banken und und Zahlungsdienstleistern in der EU, dass sie eine 2-Wegeauthentifizierung einführen. Das bis dahin üblichen Verfahren mit einer TAN Liste ist damit ab diesem Zeitpunkt nicht mehr zulässig. Das soll Zahlungsvorgänge zusätzlich sicher machen, indem auf einen zweiten Weg die Identität des Handelnden überprüft wird. Das haben zahlreiche Banken dazu genutzt, ihre Kunden von dem bis dahin üblichen SMS-TAN Verfahren weg zu bekommen. In Briefen wurden die Kunden aufgefordert sich für künftige Zahlungen und Überweisungen eine App herunter zu laden. Im folgenden möchte ich beschreiben, wie kompliziert und unerfreulich der Wechsel zu dem neuen Zahlungsverfahren sein kann.
Die Ausgabe des Kontostandes zeigte nur die letzten 10 Buchungen/Überweisungen und darunter das Wort "mehr" für die Anzeige der 10 davorliegenden Buchungen. Ein Export des Kontostandes war nicht mehr möglich. Vorher war der Export als .cvs (Excel) oder eine Druckausgabe möglich. Auch ein Speichern der Webseite brachte keine Hilfe, da diese nur noch ein Java Skript ohne die Inhalte der angezeigten Seite enthielt. Auch bei dem Aufruf von Überweisungen gab es Probleme, z.B. mit der Eingabe des Betrages. Der Cursor sprang undefiniert von einer Stelle zur anderen. Dies sehe ich als eine sehr gefährliche Fehlerquelle gerade bei Zahlungsvorgängen an. Bei der Nutzung von Überweisungsvorlagen wurden viele Daten aus der alten gespeicherten Vorlage nicht übernommen. Lediglich die Kontonummer wurde automatisch eingesetzt aber lange Kunden- oder Referenznummern mussten neu eingegeben werden. Vom Regen in die Traufe Oft fragt man sich, ob es denn noch schlimmer kommen kann. Und dann passiert es. Ich wollte einfach mal probieren, künftig Überweisung auf meinem Tablet durchzuführen, da die Oberfläche auf dem PC offensichtlich der auf einem Handy entsprach - schmal, länglich und Symbole statt Textmenus.
Schließlich stelle ich fest, dass es sich um verschiedene Sprachangebote der gleichen Bank handelt. Die deutschsprachige Version wird heruntergeladen. Nach dem Start der Anwendung sagte diese, dass sie durch eine weitere App, die SignApp, verifiziert werden müsste. Immerhin muss ich diese App nicht im Play Store suchen. Ihr Download ist durch einen Button festgelegt. Auch diese App wird herunter geladen und gestartet. Sie verlangt zuerst die Eingabe der Kundennummer und dann ein neues Passwort. Sie meldet sich dann bei der Bank an, was nach einigen Malen auch funktioniert. Was ich vermute: Die Sign App kontrolliert scheinbar die Korrektheit der installierten Bank-App, so dass diese nun zur Verfügung stehen sollte. Das Schlimmste jedoch ist die Tatsache, dass die durch die europäische Direktive PSD2 verlangte Zwei-Wege Authentifizierung eigentlich gar keine ist. Das Einloggen in die Bank-App und alle weiteren Transaktionen werden nun durch die Sign App authentifiziert, die aber auf dem gleichen Gerät, in diesem Falle einem Tablet, läuft. Die Sign App bestätigt lediglich die Transaktion und teilt dies "auf einem anderen Weg" - eigentlich nur einer anderen TCP/IP Verbindung auf dem gleichen(!) Ausgangs- wie Endgerät mit. Der Mensch muss keine TAN mehr von einem Gerät zum anderen übertragen, wie es bei der TAN Liste oder der SMS-TAN verlangt wurde. Die Anforderungen der PSD2 werden unverständlicherweise scheinbar mit dem oben beschriebenen Verfahren bereits erfüllt. Ein Hack auf dem Gerät würde ein "automatisches Bestätigen" der einen App durch die andere App sicher genauso gut erledigen - ich fühle mich überflüssig und vor allem verunsichert, denn es geht um mein Geld. Aufgefallen ist mir weiterhin, dass
Da die Installation der Sign App dazu geführt hat, das SMS-TAN Verfahren abzuschalten, bzw. zu kündigen, besteht nun auch keine Möglichkeit mehr Überweisungen allein auf dem PC und mit einem Telefon durchzuführen. Das diskriminiert Inhaber von Gemeinschaftskonten. So ist es dem zweiten Kontoinhaber nicht mehr möglich weiter ein anderes TAN Verfahren zu nutzen. Meine "Begeisterung" hält sich in Grenzen ... Martina Müller für Aktion FsA Mehr dazu in unserer Handy-Publikation https://www.aktion-freiheitstattangst.org/de/articles/6365-20180205-das-handy-dein-unbekannter-begleiter.htm Category[21]: Unsere Themen in der Presse Short-Link to this page: a-fsa.de/e/36T Link to this page: https://www.aktion-freiheitstattangst.org/de/articles/7112-20191220-umstaendlicher-statt-sicherer-mit-psd2.html Link with Tor: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7112-20191220-umstaendlicher-statt-sicherer-mit-psd2.html Tags: #SMS-TAN #Sign-App #Smartphone #Handy #Hacking #Trojaner #EU #PrivacyShield #PSD2 #Kontozugriff #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenskandale #Anonymisierung #Persönlichkeitsrecht #Privatsphäre #Bankdaten #SafeHarbor #Bankdaten/Swift-Abkommen #Scoring Created: 2019-12-20 11:11:26 Hits: 1035 Leave a Comment |
CC license European Civil Liberties Network Bundesfreiwilligendienst We don't store your data World Beyond War Use Tor router Use HTTPS No Java For Transparency |