Heilloses Durcheinander bei den TAN-Verfahren

1. offizieller Beitrag

    Hallo allerseits, alle meine Banken melden mir derzeit beim Einloggen, dass sie wegen einer neuen EU-Richtlinie (PSD2) ihre Authentifizierungsverfahren ändern. Seltsam finde ich allerdings Folgendes: Die eine Bank will mTAN abschaffen und mir eine App aufquatschen, eine andere Bank will die iTAN abschaffen (haben mir vor Monaten ungefragt eine neue Tabelle geschickt, die ich bis heute nicht "angebrochen" habe) und bietet mir ausgerechnet den Umstieg auf mTAN an. Ist diese EU-Richtlinie dermaßen weit auslegbar??

    Auch die DKB hat die mTAN (auch für Altkunden) abgeschafft und nun muß ich auf ein Verfahren mit dem Generator wechseln bzw. eine APP verwenden...


    @Saidi Könnt Ihr ein TAN-Generator empfehlen oder sind diese in den Funktionen alle gleich?

    Zitat von JohannesKirchner

    Seltsam finde ich allerdings Folgendes: Die eine Bank will mTAN abschaffen und mir eine App aufquatschen, eine andere Bank will die iTAN abschaffen (haben mir vor Monaten ungefragt eine neue Tabelle geschickt, die ich bis heute nicht "angebrochen" habe) und bietet mir ausgerechnet den Umstieg auf mTAN an. Ist diese EU-Richtlinie dermaßen weit auslegbar??

    Meinem Verständnis nach werden die iTAN Listen, also die durchnummerierten Papierlisten, abgeschafft. Es gibt diverse gültige Alternativen, die Bank kann wählen, welche sie anbietet. Bei DKB nutze ich die Tan2Go App, bei Comdirect nutze ich die Phototan und die Mobile Tan, letztere kostet allerdings 9 Cent je SMS.


    Verbraucherschützer sagen, dass die Banking App und die Tan App nicht auf dem selben Gerät sein sollten. Ich mache das jetzt aber seit ein paar Jahren. Ist einfach komfortabel und bislang erlebe ich keine Probleme.

    Hallo


    M.E. ist nicht der DAU der Hauptgrund für das Abschaffen der iTAN. Die Betrüger werden sich auch für die neuen Sicherheitssysteme etwas einfallen lassen, auf das zumindest der naive Nutzer hereinfällt. Eine ganz große Schwachstelle der iTAN ist der Versand mit normaler Post. Die Schwachstelle könnte man zwar mit Einschreiben persönlich deutlich verkleinern; kostet aber.


    Noch eine Frage an die Spezialisten: Sind die neuen TAN- Generatoren wenigstens so konzipiert, dass ich dann einen für alle Banken nutzen kann, oder brauche ich für jede Bank einen separaten. Da würden dann schnell über 100 Euro für die Anschaffung zusammenkommen.


    Gruß Pumphut

    Zitat von Pumphut

    Hallo


    M.E. ist nicht der DAU der Hauptgrund für das Abschaffen der iTAN. Die Betrüger werden sich auch für die neuen Sicherheitssysteme etwas einfallen lassen, auf das zumindest der naive Nutzer hereinfällt. Eine ganz große Schwachstelle der iTAN ist der Versand mit normaler Post. Die Schwachstelle könnte man zwar mit Einschreiben persönlich deutlich verkleinern; kostet aber.

    Das sehe ich nicht so. Nur die TAN-Liste (und diese abfangen) bringt dir bzw. dem Dieb ja rein gar nichts. Er braucht noch den Login-Namen und das Passwort.


    Zudem muss man bei gewissen Banken die anderen TAN-Verfahren ebenfalls in so einer Weise freischalten, dass man per Post einen entsprechenden Aktivierungsschlüssel erhält. Somit wäre auf Basis dieser Argumentation kein Sicherheitsgewinn vorhanden.

    @winter
    "Leider bittet die DKB mTAN nicht an...."
    Dafür bietet die DKB doch die Tan2Go App an und solche Apps sind sicherer als mTAN.


    Für chipTAN verwendete ich den REINER SCT tanJack optic C. Hatte einen davon Zuhause und einen im Rucksack für Unterwegs.Ist wohl das sicherste Verfahren, aber mir scheint die App sicher genug.

    Die Ing-Diba will bald einen eigenen TAN Generator anbieten, der nur für das Banking bei der ING funktioniert. Standartmäßige TAN Generatoren werden für die ING nicht funktionieren. Der ING Generator muss bei der ING gekauft werden. Die Communitiy tobt. Da ich zur Fraktion Smartphone-los gehöre, scheidet die neue App dieser Bank aus. Es wird auch TAN mittels SMS angeboten für die Zukunft. Mal sehen, eigentlich wollte ich kein SMS TAN, weil ich nur eine Prepaid Karte für ein 25 Euro Handy für Notfälle habe. Verlassen werde ich mich nicht auf diese Prepaid, die könnte theoretisch jederzeit vom Anbieter abgeschalten werden, falls ich mal vergesse aufzufrischen (login Anfang eines Quartals in das Mobilfunknetz, damit die wissen, dass die SIM noch aktiv ist).


    Ich habe bereits angefangen mit HBCI. Das funktioniert einwandfrei mit der iTAN Liste. Die ING hat angekündigt, das HBCI weiter zu unterstützen. Das finde ich gut. Mal sehen was für eine Lösung das wird, die ING gibt sich bedeckt. Es wird aber bedauerlicherweise vermutlich nicht das Chip-TAN Verfahren weiter. Echt ärgerlich, muss man halt akzeptieren als Kunde und sich gegebenenfalls halt dann woanders umsehen.


    Mal sehen was passiert, wenn ich wegen fehlender Authentifizierung halt dann eben kein Geld mehr ausgeben kann. Wahrscheinlich stürzen wir in eine Deflation :) Fordert halt die EU ...

    • Offizieller Beitrag
    Zitat von winter

    Auch die DKB hat die mTAN (auch für Altkunden) abgeschafft und nun muß ich auf ein Verfahren mit dem Generator wechseln bzw. eine APP verwenden...


    @Saidi Könnt Ihr ein TAN-Generator empfehlen oder sind diese in den Funktionen alle gleich?

    Ja, kein schlechtes Verfahren - besser als vieles andere.


    Das entscheidende ist letztlich immer: Werden zwei voneinander unabhängige Geräte genutzt? Wenn alles auf demselben Gerät stattfindet (photoTAN bspw.), ist es gefährlich.


    Und ultimative Sicherheit gibt es natürlich nicht.

    ich glaube, @winter hat eine eine Empfehlung für ein bestimmtes Gerät angefragt, und nicht das Verfahren selbst gemeint. Also ich bin gerade dabei, von der ING weg zu wechseln zur DKB, weil die ING jetzt definitiv bekannt gegeben hat, dass es für das Girokonto kein HBCI mehr geben wird. Zudem bietet die DKB ChipTAN an, welches die ING zukünftig nicht hat. Ich empfand es als grottenschlecht, wie die ING ihre Kunden hingehalten hat, nämlich mit der Bitte sich noch etwas zu gedulden, weil die Bank "arbeitet" gerade noch an einer Lösung für HBCI (aber ohne ChipTAN war ja bekanntgegeben). Dass es jetzt so hinausläuft, dass es gar kein HBCI fürs Girokonto mehr geben wird, ist also das Ergebnis der monatelangen "Arbeit" an einer Lösung. Es betrifft sicherlich nur einen kleinen Teil ihrer Kunden bei der ING Diba, aber wer keine "Äpp" und auch keine SMS Lösung fürs Händi möchte ist angeschmiert und muss wohl oder übel wechseln. Bei mir ist der erste Schritt bei der Kontoeröffnungs-Anfrage bei der DKB geschehen und habe mir in einem Online-Shop den Chipkartenleser/TAN-Generator ReiserSCT CyberJack one bestellt. Ich hoffe der hält was er verspricht. Für mich kam dieses Gerät in Frage, weil es dafür vom Hersteller einen Treiber für Linux in Form von Open Source gibt. In meiner Distribution kann ich den direkt aus dem Paket-Manager heraus installieren (Debian). Für mich eine Wucht. Dass ich da schon nicht lange hin gewechselt bin ... Aber ich war mit der iTAN Liste eben auch sehr zufrieden, weil die bei mir sonst weggesperrt ist / sprich: ich ging immer vernüftig damit um.

    Ich habe sowohl den Reiner SCT tanJack (für ChipTan) als auch den cyberJACK (für HBCI Banking und wenn ich mich irgendwo mit dem neuen Personalausweis authentifizieren will, z.B. für aktuelle Auskünfte von der Rentenversicherung). Beide funktionieren gut mti der DKB.


    HBCI verwende ich nur mit Starmoney. Aus Bequemlichkeit nutze ich letzteres aber nur noch selten - so alle paar Monate um eine lokale Kopie von allen Kontobewegungen und -Auszügen zu haben. Für HBCI braucht man übrigens keine TANs.


    Sonst nutze ich bei der DKB für TANs nur noch die Android Tan2Go App. Zur Sicherheit veranlasse ich alles was eine TAN braucht über die Web-Oberfläche auf einem PC oder Notebook und tippe die TAN vom Handy ab. Die DKB Banking App auf dem Handy nutze i.A. nur zum Anzeigen von Buchungen und Kontoständen - dabei ist insbesondere das Multibanking sehr praktisch In Ausnahmefällen veranlasse ich auch mal eine Überweisung mit DKB Banking App auf dem Handy und lasse die TAN aus Tan2Go direkt übertragen.


    Von meinen anderen Banken unterstützen einige leider nur smsTAN. Das ist nicht nur unsicher sondern auf Reisen besonders nervig weil sie nur deutsche Mobilnummern zulassen, sogar bei der Miles&More Kreditkarte die ja extra fürs Reisen gedacht ist. Ich finde es nervig in z.B. in Kambodscha für sowas extra die SIM wechseln zu müssen (oder bei einem Dual-SIM Handy umkonfigurieren zu müssen).


    Ein verblüffendes Erlebnis hatte ich mit der ING: Nachdem ich als Kontakt Tel Nr. eine amerikanische Nr. einzustellen versuchte hat man mir ohne irgendeine Rückfrage das Aktiendepot gekündigt. Man will halt keinen Aufwand mit amerikanischen Anforderungen haben - das ist von mir aus OK, aber ohne irgendeine Rückfrage nicht akzeptabel.

    Dafür dass eine TAN-App sicherer sein soll als mTAN, habe ich noch keine stichhaltige Begründung gefunden. In beiden Fällen muss "Phisher" erst mal Kontonr und Passwort kennen. Um eine mTAN abzufangen, müsste er entweder mein Phone klauen bzw. finden, oder meine Mobilfunknummer kennen und sich eine SIM-Dublette beschaffen. Wenn er eins von beiden hat, kann er genau so gut mit der TAN-App arbeiten, wie er mTANs abfangen kann.

    Hallo,


    die DKB bietet das chipTAN-Verfahren in der Form manuelles oder grafisches Verfahren an.


    Was muß beim manuellen Verfahren eingegeben werden, damit die TAN erzeugt wird?


    Mit welchem Verfahren habt Ihr Erfahrung?


    Danke und Gruß

    Zitat von winter

    Hallo,


    die DKB bietet das chipTAN-Verfahren in der Form manuelles oder grafisches Verfahren an.


    Was muß beim manuellen Verfahren eingegeben werden, damit die TAN erzeugt wird?

    Erster Treffer bei Google mit den entsprechenden Stichworten:
    https://www.dkb.de/info/tan-verfahren/chipTAN/


    Meine Erfahrung: ChipTAN (grafisch) ist schon nervig. Alternativ manuell das Zeug auf diesen popeligen TAN-Generatoren mit Gummitasten eingeben ist nur etwas für Masochisten (meine Meinung).

    Für die DKB habe ich den "REINER SCT tanJack optic CX TAN-Generator" bei Conrad (Aktion 11,99€) mitgenommen. Bisher nutze ich nur die manuelle Eingabe, bisher klappt es, nur beim erstmaligen "koppeln" brauchte ich zwei Anläufe.


    Das Teil habe ich auch schon vorsorglich für Comdirekt und Diba (und Volksbank) mit angeschafft und bemerke erst jetzt, dass dies Verfahren bei denen gar nicht vorgesehen ist ;( .


    Bis jetzt haben sich Diba (iTan +SMStan) und Comdirekt (iTan) noch gar nicht bei mir gemeldet, wie es weiter gehen soll. Sieht so aus, als wenn es zum 14 September noch ne Menge Ärger mit der Umstellung geben wird. Da kann sich die EU wieder auf einen Shitstorm gefasst machen. Motto: soll´n die sich doch lieber um Gurkenkrümmungen kümmern und nicht um Tan-Listen...... :D .

    Zitat von forenteilnehmer

    Für die DKB habe ich den "REINER SCT tanJack optic CX TAN-Generator" bei Conrad (Aktion 11,99€) mitgenommen. Bisher nutze ich nur die manuelle Eingabe, bisher klappt es, nur beim erstmaligen "koppeln" brauchte ich zwei Anläufe.


    Das Teil habe ich auch schon vorsorglich für Comdirekt und Diba (und Volksbank) mit angeschafft und bemerke erst jetzt, dass dies Verfahren bei denen gar nicht vorgesehen ist ;( .


    Bis jetzt haben sich Diba (iTan +SMStan) und Comdirekt (iTan) noch gar nicht bei mir gemeldet, wie es weiter gehen soll. Sieht so aus, als wenn es zum 14 September noch ne Menge Ärger mit der Umstellung geben wird. Da kann sich die EU wieder auf einen Shitstorm gefasst machen. Motto: soll´n die sich doch lieber um Gurkenkrümmungen kümmern und nicht um Tan-Listen...... :D .

    comdirect hinsichtlich PSD 2 - Der Tenor ist, dass photoTAN iTAN ablöst:


    https://www.comdirect.de/konto/psd2-phototan.html#psd

    Die Sparkassen planen das Chip Tan Verfahren Ende 2020 abzuschaffen ...

    Denken ist die schwerste Arbeit, die es gibt. Das ist wahrscheinlich auch der Grund, warum sich so wenig Leute damit beschäftigen. Henry Ford

    Heute hatte ich ein PDF mit folgendem Text in der ING-Postbox:


    ---Zitat/Auszug
    Ihr Internetbanking wird noch sicherer:
    Beim Log-in kommt die mTAN dazu
    Sehr geehrte Damen und Herren,
    vielleicht haben Sie schon von PSD2 gehört: Das ist die EU-Richtlinie, die den Online-Zahlungsverkehr noch
    sicherer macht. Deshalb ändert sich Ihr Log-in zum Internetbanking. Als neuer Sicherheits-Faktor kommt die
    mTAN dazu: Sie loggen sich weiter wie gewohnt ein und bestätigen den Log-in zusätzlich per mTAN. Fertig!
    ---


    Damit scheint sicher: mTan Kunden kommen in Zukunft mit einer zusätzlich aufs Handy gesendeten mTan ins (Web-)Onlinebanking rein. Vom Kauf eines Tangenerators ist keine Rede!


    PS: Meine Mutter hat bei der ING nur Extra-Konto und Depot und fällt damit ja nicht unter die PSD2-Richtlinie. Folgerichtig hat sie die obige Mitteilung auch (noch???) nicht bekommen und müsste somit auch weiterhin ohne zusätzliche mTan ins ING-Banking/Brokerage kommen!?


    Über das Vorgehen bei Banking-Programmen (Star-Money usw.) wurde noch nichts gesagt.....