PSD2 - Welche (Girokonto-)Alternativen bleiben, wenn man Smartphone und chipTAN nicht nutzen möchte?

    Die PSD2 schafft ja einige Verfahren wie z.B. iTAN ab. Ich persönlich habe aber gegen die bekanntesten anderen Verfahren (chipTAN, smsTAN, Apps) Vorbehalte und frage mich nun, ob/ welche Alternative es gibt.


    Argumente gegen einige Verfahren:



    chipTAN: Man zahl Geld für das Gerät, um der Bank die Mühe abzunehmen, Zahlungsaufträge z.B. abtippen zu müssen und dafür Leute zu bezahlen. Bei z.B iTAN zahlt hingegen sogar die Bank noch ein bisschen (Druckkosten, Versandkosten). Mitunter müssen die Geräte sogar wegen veralteter Technologie auf Kundenkosten durch neue Geräte ersetzt werden. Effektiv entsteht dadurch so etwas wie Kontoführungsgebühren.


    smsTAN: Zunächst einmal sind soweit ich weiß SMS unverschlüsselt und können beim Empfang z.B. vom Nachbarn mitgelesen werden. Weiterhin sind Fälle bekannt, wo Provider eine Zweitkarte an Kriminelle ausgestellt haben und diese so die SMS abfangen konnten. Zuletzt möchte man auf Reisen (außerhalb EU) oft seine heimische Rufnummer nicht nutzen; Roaming-Gebühren gelten vielleicht nicht für eingehende SMS, aber zum einen hat der eigene Provider nicht weltweit Roaming-Partner und zum anderen möchte man stattdessen vielleicht gerne eine einheimische SIM einlegen. Zudem kostet smsTAN mitunter auch pro Tansaktion (z.B. 9 Cent)


    irgendwelche Apps (z.B. PhotoTAN): Zunächst einmal sperren die Banken (all?) "aus Sicherheitsgründen" gerootete Handys aus. Damit scheidet mein Privathandy aus, auf dem ich aus verschiedenen Gründen Rootrechte brauche. Zum anderen ist das Problem bekannt, dass viele Mobilgeräte nicht sehr lange und/oder nicht sehr schnell Sicherheitsupdates bekommen. Durch diese mitunter jahrelang offenliegenden Schwachstellen sind Angriffe auf die Banking-Apps sehr viel wahrscheinlicher als dadurch, dass ein Nutzer versehentlich der falschen App root-Rechte auf einem gerooteten Gerät gewährt (Ja, ein Handy kann auch durch Malware gerootet sein, ist mir klar)

    Zum Teil hast du recht, zum Teil sind deine Argumente arg konstruiert bzw. nicht stichhaltig.


    Grundsätzlich stimme ich dir zu: Eigentlich war ja die Idee von PSD2, vieles einfacher zu machen. Stattdessen haben die Banken teilweise schlecht implementiert und schlecht kommuniziert. Vieles ist mühsamer geworden.


    Zur TAN-Liste: Hier sind halt die Anwender schuld, da diese ja Phishern fleißig ihre TANs verraten haben. Wäre dies nicht so oft passiert, wäre sie vermutlich nicht abgeschafft worden.
    Aber auch hier könnte man Contra-Argumente bringen:
    Die TAN-Liste könnte ausspähbar sein (z.B. durch die Putzfrau), wenn man sie nicht gut sichert. Unterwegs kann ich keine Transaktionen durchführen, da ich die Liste nicht dabei habe etc.


    Und ja, entsprechende Zugangsgeräte kosten Geld, dass man selber berappen muss. Aber hat dir früher die Bank das Taxi spendiert, mit welchem du den Überweisungsschein in der Filiale einwerfen konntest?

    Auch eine iTAN-Liste kannst du mit die führen, ggF. anonymisiert (Keine Angaben zur Bank etc.) - ohne Zuordnung zur Bank und ohne die Zugangsdaten ist die ja auch wertlos, wie eine EC-Karte ohne PIN. Wenn man ehrlich ist: Wer sorglos 20 TANs nacheinander eingibt, der prüft auch bei SMS-Tan nicht nochmal die Kontonummer - und hierin liegt ja der eigentliche Sicherheitsgewinn von chipTAN und smsTAN.


    Nein, die Bank hat mir natürlich nicht das Taxi bezahlt. Online-Banking wurde aber - denke ich - nicht aus Bequemlichkeit für die Bankkunden vorangetrieben, sondern zur Kostensenkung für die Banken. Das ist auch schön und gut, wenn solange das Hand in Hand geht.


    Zitat von lieberjott

    Zum Teil hast du recht, zum Teil sind deine Argumente arg konstruiert bzw. nicht stichhaltig.

    Das würde mich konkreter interessieren. Ja, wahrscheinlich haben 90% der Leute kein gerootetes Handy und damit nicht das Problem. Mir ist schon klar, dass ich in diesen Dingen nicht unbedingt Otto Normalbürger entspreche.

    Ich habe akzeptiert, daß sich die Verfahren ändern. Genauso habe ich akzeptiert, daß ich für Sicherheit Geld in die Hand nehmen muß.


    Ich haben ein "stationäres" Xiaomi Handy mit Netzclub-Karte nur für Banking (Tan2Go, Sparda Secure App) angeschafft.
    Weiter habe ich einen Photo-Tan Generator (CoBa, Comdirekt) erworben.


    Mein uralter Chip Tan Generator geht auch noch.

    Denken ist die schwerste Arbeit, die es gibt. Das ist wahrscheinlich auch der Grund, warum sich so wenig Leute damit beschäftigen. Henry Ford

    Zitat von xygdfsgsdfg

    Das würde mich konkreter interessieren. Ja, wahrscheinlich haben 90% der Leute kein gerootetes Handy und damit nicht das Problem. Mir ist schon klar, dass ich in diesen Dingen nicht unbedingt Otto Normalbürger entspreche.

    Ich meine damit vor allem das Argument Roaming und Ausspähen der SMS durch Nachbarn. Wer sein Handy so einstellt, dass SMS in Abwesenheit zu lesen sind, der ist selber schuld.
    Die andere Frage ist, was dein Nachbar mit der smsTAN denn anfangen kann.


    Und ich habe grundsätzlich auch Verständnis für die Banken, dass sie gerootete Geräte aussperren - auch wenn es im Einzelfall Anwender gibt, die bewusst und "verantwortungsvoll" rooten und somit eine höhere Sicherheit erlangen als mit dem Standard-OS.
    Fakt ist aber nunmal, dass ein gerootetes Smartphone einfach noch mehr Angriffsflächen bietet.
    Auf seinem persönlichen Rechner sollte man ja auch nicht permament als Admin bzw. Superuser eingeloggt sein.


    Und ja, früher hatte ich meine TAN-Listen auch "transportabel" gemacht. Gescannt und abgelegt in einem verschlüsselten Container, auf meiner privaten Owncloud. War aber auch nicht wirklich komfortabel, zumal nicht via Smartphone verwendbar.
    Da bin ich schon froh, dass ich Zahlungen via App freigeben kann.


    chipTAN finde ich auch grässlich. Sie bieten zwar eine sehr hohe Sicherheit, aber die Benutzerfreundlichkeit ist doch sehr eingeschränkt. Zudem ist so ein Gerät auch nicht gerade geeignet, um es immer dabei zu haben.

    Zitat von lieberjott

    chipTAN finde ich auch grässlich. Sie bieten zwar eine sehr hohe Sicherheit, aber die Benutzerfreundlichkeit ist doch sehr eingeschränkt. Zudem ist so ein Gerät auch nicht gerade geeignet, um es immer dabei zu haben.

    chipTAN gibt es schon sehr lange. Ich hatte noch ein so altes Gerät, das konnte ich jetzt bei einer Bank nicht mehr freischalten. :O(
    Ich hatte nichts gegen iTAN, da ich meine Banken nur via Bankprogramme bedient habe. Und ich denke, das war schon sehr sicher.


    Es gibt auch noch photoTAN.


    mTAN finde ich nicht gut, da die Banken für jede SMS Geld nehmen.
    Damit ist fast Schluss mit gebührenfreien Konten.

    Zitat von Oldware

    mTAN finde ich nicht gut, da die Banken für jede SMS Geld nehmen.
    Damit ist fast Schluss mit gebührenfreien Konten.

    Bei der ING kostenfrei.

    Denken ist die schwerste Arbeit, die es gibt. Das ist wahrscheinlich auch der Grund, warum sich so wenig Leute damit beschäftigen. Henry Ford

    Zitat von xygdfsgsdfg

    irgendwelche Apps (z.B. PhotoTAN): Zunächst einmal sperren die Banken (all?) "aus Sicherheitsgründen" gerootete Handys aus. Damit scheidet mein Privathandy aus, auf dem ich aus verschiedenen Gründen Rootrechte brauche. Zum anderen ist das Problem bekannt, dass viele Mobilgeräte nicht sehr lange und/oder nicht sehr schnell Sicherheitsupdates bekommen. Durch diese mitunter jahrelang offenliegenden Schwachstellen sind Angriffe auf die Banking-Apps sehr viel wahrscheinlicher als dadurch, dass ein Nutzer versehentlich der falschen App root-Rechte auf einem gerooteten Gerät gewährt (Ja, ein Handy kann auch durch Malware gerootet sein, ist mir klar)

    Mit Magisk bekommt man die PhotoTAN-Apps auch auf gerooteten Geräten zum laufen