PSD2

Einfacher Zugriff auf meine eigenen Daten?

 
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 6688
Dabei seit: 03 / 2005
Betreff:

Re: PSD2

 · 
Gepostet: 25.06.2019 - 10:04 Uhr  ·  #81
Zitat geschrieben von msa

Also sorry, ich gehe davon aus, dass jeder Drittanbieter das, was heutzutage jede Kundensoftware beherrscht - nämlich jegliche Versuche einzustellen, wenn der Bankrechner "Zugangsdaten falsch" meldet, auch beherrscht. Dass er bei vom Kunden geänderter PIN lustig weiter versucht, bis der Zugang gesperrt ist, ist doch wohl völlig lebensfremd. Das wäre ja wohl schon anklagbare "Computersabotage".

Die bisher bekannteste (zumindest in Deutschland) technische Umsetzung der PSD2-Anforderungen ist ja NextGenPSD2 von der Berlin Group. Das ist eine REST-Schnittstelle. Und die sieht für die Drittanbieter sogenannte "Consents" in Form von Auth-Tokens vor. Im Rahmen der Autorisierung des Kontozugriffs erhält der Anbieter einen Login-Token, mit dem er auf das Konto zugreift. Genau der ist ja nötig, damit er die PIN nicht braucht. Wenn die Autorisierung abgelaufen ist, wird lediglich der Token bei der Bank invalidiert. Der Anbieter hat keinen Zugriff mehr. Auf die PIN hat das keinen Einfluss.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 47
Beiträge: 5595
Dabei seit: 02 / 2003
Betreff:

Re: PSD2

 · 
Gepostet: 25.06.2019 - 10:57 Uhr  ·  #82
Zitat geschrieben von msa

Also sorry, ich gehe davon aus, dass jeder Drittanbieter das, was heutzutage jede Kundensoftware beherrscht - nämlich jegliche Versuche einzustellen, wenn der Bankrechner "Zugangsdaten falsch" meldet, auch beherrscht.

Abgesehen davon, dass das beim Screenscraping nicht immer so eindeutig ist, kann ich nur sagen: Schön, dass Du noch so gut von anderen denkst.... ;-)

Zitat geschrieben von msa

Ahja. Wenn das nicht funktioniert, dann kann dem Kunden die "Dienstleistung" nicht so wichtig sein...

Frag mal einen Drittdienstleister, ober er deine Sicht so teilen würde ;-)

Zitat geschrieben von msa

OK, bei einer Einmalzahlung sehe ich das vielleicht noch ein. Was ist aber bei diesen Anbietern, die dauerhaft (!) so ein "Haushaltsbuch" oder eine generelle Finanzverwaltung in der Cloud anbieten? Muss ich als Kunde dann jedesmal von Hand aktualisieren, wenn ich meine Finanzverwaltung aufrufe? Das ist ja wohl auch Krampf.

Wenn die Bank keine Ausnahme gewährt, oder der Kunde die Einstellungen selber verschärft hat, ist das in der Tat so. Unterscheidet sich im Vorgehen dann aber nicht vom Zugriff über eine Software, oder dem Onlinebanking der Bank.
Ansonsten kann der Dritte ja -nachdem der Kunde die Genehmigung erteilt hat- bis zu 90 Tage auf die Umsätze zugreifen.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 47
Beiträge: 5595
Dabei seit: 02 / 2003
Betreff:

Re: PSD2

 · 
Gepostet: 25.06.2019 - 10:59 Uhr  ·  #83
Zitat geschrieben von hibiscus

Die bisher bekannteste (zumindest in Deutschland) technische Umsetzung der PSD2-Anforderungen ist ja NextGenPSD2 von der Berlin Group. Das ist eine REST-Schnittstelle. Und die sieht für die Drittanbieter sogenannte "Consents" in Form von Auth-Tokens vor. Im Rahmen der Autorisierung des Kontozugriffs erhält der Anbieter einen Login-Token, mit dem er auf das Konto zugreift. Genau der ist ja nötig, damit er die PIN nicht braucht. Wenn die Autorisierung abgelaufen ist, wird lediglich der Token bei der Bank invalidiert. Der Anbieter hat keinen Zugriff mehr. Auf die PIN hat das keinen Einfluss.

Die Erteilung des Consens ist Bestandteil der Regulatorik. Das wird daher in jeder Umsetzung in irgeneiner Form dann kommen.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 56
Beiträge: 4781
Dabei seit: 03 / 2007
Betreff:

Re: PSD2

 · 
Gepostet: 25.06.2019 - 11:42 Uhr  ·  #84
Zitat geschrieben von Holger Fischer
Frag mal einen Drittdienstleister, ober er deine Sicht so teilen würde ;-)
Man soll nicht die Frösche zum Thema "Ist eine Trockenlegung des Tümpels sinnvoll" befragen :-)
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 186
Dabei seit: 06 / 2013
Betreff:

Re: PSD2

 · 
Gepostet: 25.06.2019 - 15:28 Uhr  ·  #85
Zitat geschrieben von Holger Fischer
Zitat geschrieben von lisari
Antwort der Sparkasse:
Zitat
... der Wechsel vom sms-TAN zu chip-TAN wird aus
Sicherheitsgründen nur in der Filiale unter persönlicher Vorsprache vorgenommen.
Bitte nutzen Sie daher weiterhin das sms-TAN Verfahren.

Das ist eher einer aktuellen Angriffswelle geschuldet, der genau über diesen Weg läuft.

Die Antwort leuchtet mir nicht ein. Ich habe im eingeloggten Zustand im Web-Banking eine Nachricht geschickt, dass ich auf das chipTAN-Verfahren wechseln möchte, möglichst zunächst parallel, damit SMS-TAN noch nutzbar bleibt, bis der Wechsel durchgeführt ist. Ich habe dort Kontovollmacht und einen Online-Zugang, der derzeit mit SMS-TAN genutzt wird.

Wenn ich nun ein böser Bube wäre, wozu bräuchte ich da noch im bereits eingeloggten Zustand mit funktionierendem SMS-TAN-Verfahren das TAN-Verfahren auf chipTAN zu wechseln (wozu ich dann noch eine Girocard benötige!). Wäre ich der böse Bube, hätte ich doch alles und könnte das Konto in aller Ruhe abräumen. Welchen Anlass hätte ein böser Bube, das TAN-Verfahren zu wechseln oder sich die Unterlagen zum Wechsel notfalls per Post an die bei der Sparkasse hinterlegte Anschrift senden zulassen?! Das ist doch absurd.

Es soll partout nicht möglich sein, innerhalb des Web-Bankings den Wechsel des TAN-Verfahrens durchzuführen, sondern dazu soll ich (und laut msa auch noch der Kontoinhaber) in der Filiale "vorsprechen". Das hat doch mit "Sicherheitsgründen" nichts zu tun. Die Bearbeiterin war nicht mal in der Lage, Link zum Wechsel zu schicken, der offenbar innerhalb des Online-Bankings verfügbar ist. Den Link habe ich hier von infoman bekommen und nach langer Recherche auch auf der Website der Sparkasse Leipzig gefunden. Die Bearbeiterin antwortete auf meine nochmalige Nachfrage, dass man den Wechsel nicht per Post vornehmen könne, sondern man müsse in der Filiale persönlich "unter Vorlage des Personalausweises vorsprechen".

Leider landen Anfragen im Online-Banking der Sparkasse immer bei der "zuständigen" Bearbeiterin des Kontos. Auf diese Weise darf man, wenn die Bearbeiterin nicht anwesend ist, auf eine Antwort auf eine derartige Anfrage 5 Wochen warten.

Leider geht es eben um das Konto der 85-jährigen Schwiegermutter, die pflegebedürftig ist und nicht mehr aus dem Haus kann.

Ich empfinde das Verhalten der Sparkasse einfach als Zumutung. Das zeugt vor keinerlei Respekt vor Menschen, die Vollzeit arbeiten und ihre pflegebedürftigen Eltern versorgen.

Aber ich reg mich viel zu sehr auf. Wenn die Sparkasse Leipzig bei allen Kunden das TAN-Verfahren in dieser Weise wechseln will, dauert das ja sowieso noch bis zum St.-Nimmerleins-Tag. Da besteht wohl keine "Gefahr", dass der Wechsel für alle Kunden irgendwann abgeschlossen sein könnte.

Sorry für den langen Post, es musste halt mal raus.
Gruß
Lisa
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 856
Dabei seit: 12 / 2004
Betreff:

Re: PSD2

 · 
Gepostet: 25.06.2019 - 18:37 Uhr  ·  #86
Konto bei einer anderen Bank (mit ChipTAN) eröffnen und mit dem Wechselservice das Konto von der Sparkasse abziehen.
Sollte mit einer Generalvollmacht doch funktionieren.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 56
Beiträge: 4781
Dabei seit: 03 / 2007
Betreff:

Re: PSD2

 · 
Gepostet: 25.06.2019 - 18:41 Uhr  ·  #87
Am besten gleich zur DKB, das sollte der Sparkasse Leipzig dann maximal weh tun LOL
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 186
Dabei seit: 06 / 2013
Betreff:

Re: PSD2

 · 
Gepostet: 25.06.2019 - 18:59 Uhr  ·  #88
Kontowechsel kommt mangels Generalvollmacht nicht in Betracht. Kontovollmacht muss reichen. (Nicht jeder ist sich da mit den Eltern "grün" ...).

Ich hatte gerade (nach 18 Uhr, wow!) noch ein Gespräch mit der "Online-Banking Hotline" der Sparkasse Leipzig. Ich habe explizit gefragt, ob ich an der Online-Banking Hotline bin, was sie bejaht hat.

Wenn ich den von @Infoman dankenswerterweise geposteten Link verwende und dort den Wechsel des TAN-Mediums anstoße, wird nicht etwa das Verfahren freigeschaltet (wie bei allen anderen mir bekannten Banken). Dann erstellt (am nächsten Arbeitstag) der Spk-Mitarbeiter die Papierformulare, die er mir per Post sendet. (immerhin) Die darf ich dann unterschreiben und an die Spk. zurücksenden. Und nein, ich kann die Formulare nicht herunterladen und selbst ausfüllen und gleich unterschrieben lossenden. Also wenn dann die Papiere in der Spk. sind, wird der Mitarbeiter die Freischaltung des TAN-Verfahrens auch gleich am nächsten Arbeitstag vornehmen.

Ich wollte noch wissen, ob das bisherige SMS-TAN während dieser Prozedur ab sofort nicht mehr nutzbar ist und wie lange die Prozedur dauert.

Sie wollte dann von mir wissen, ob auf dem Online-Formular etwa ein Freitext-Feld wäre, in dem ich eintragen könne, dass ich die Weiternutzung von SMS-TAN bis zur Freischaltung der chipTAN wünsche. Ich habe ihr dann mitgeteilt, dass es kein Freifeld gibt (siehe Screenshot oben) und dort explizit eine Warnung enthalten ist, dass das alte Verfahren dann nicht mehr nutzbar sei. Sie meinte darauf: Ja, dann ist das "wohl so" (Zitat), dass das alte Verfahren ab sofort nicht mehr geht. Aber sie wusste es nicht genau (OMG).

Sie "tröstete" mich mit der Möglichkeit, in eine Filiale zu kommen und die ganze Prozedur dort durchzuführen. Das ginge dann auch sofort, weil man ja den zweimaligen Postweg spart. Immerhin (behauptete sie zu wissen), dass der Kontoinhaber nicht mitkommen muss, nur "derjenige, der das Online-Banking macht".

Meine Güte ... was soll man dazu sagen ...

Gruß
Lisa
Benutzer
Avatar
Geschlecht:
Beiträge: 4365
Dabei seit: 06 / 2008
Betreff:

Re: PSD2

 · 
Gepostet: 25.06.2019 - 19:33 Uhr  ·  #89
das nennt man Kundenbindung und was soziales macht du auch damit, nämlich deren Arbeitsplatz sichern.
was ein Script in Sek. erledigt, wird hier halt noch fehlerbehaftet mit (wo)manpower gemacht

PS: schlimmer finde ich, dass dieser Institution das Geld anvertraut wird und die leitenden Angestellten den Knall immer noch nicht gehört haben
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 2
Dabei seit: Gestern
Betreff:

Re: PSD2

 · 
Gepostet: Gestern um 15:00 Uhr  ·  #90
Das was hier gerade umgesetzt wird erzeugt beim Endkunden nur ein Kopfschütteln und Verwirrung.
Jahrelang wurde HBCI mit eigenständigem USB Leser der Klasse 2 und 3 als sehr sicher verkauft. Einige Banken haben nach der EU Vorgabe sehr frühzeitig angefangen die Zugänge zu sperren, andere Banken müssen dies jetzt forcieren.

Für den Endkunden war die Bedienung recht einfach, auf der HBCI Karte wurden die Schlüssel für mehrere Konten hinterlegt, in der zugehörigen Software auf dem PC konnte man Zugriffe einschränken, User A konnte die Umsätze abholen, User B gab neue Überweisungen ein und der Chef gab nach Prüfung das ganze frei.

Nun möchte man seine Investitionen schützen und den Kartenleser weiterhin nutzen, also Upgrade auf chipTan gekauft.

Im Privatbereich wird das von der Sparkasse nun so umgesetzt, das es mit der Konto-Karte funktioniert. Das ist nun ein Problem. Gemeinsames Konto... 2 Karten... hoppla. welche darf denn nun genutzt werden. Richtig, die Hauptkarte und die hat man sinnvollerweise immer dabei. Damit kann der Partner der nun mit seiner Bankkarte zu Hause vor dem Rechner sitzt die Überweisungen zwar in der Software eingeben aber nicht ausführen.
Angebot der Bank. Kontoungebundene Karte beantragen, mit jährlicher Zusatzgebühr...Danke.

Von mir aus kann jeder der die Zugangsdaten zu meinem Bankkonten hat diese gerne abfragen. Vllt. bekommt er dann MiItleid und überweist mir etwas. Aber ob und was ich überweise möchte ich selbst bestimmen können und das auch möglichst sicher. Aber bitte auch komfortabel. Warum eine Umsetzung mit Cardreader, Chipkarte und PIN in einer per Passwort gesicherten Software nun plötzlich als unsicher eingestuft wird kann keiner der Berater wirklich zufriedenstellend beantworten. Dafür eine erneut kryptische App für pushTAN, damit kann man nun auf dem gleichen Gerät auf dem die Banksoftware läuft auch Überweisungen machen kann. Oh Danke. das ist sicherer ? smsTAN durfte man auf dem gleichen System nicht machen, da zu unsicher, aber mit der pushTAN ist es nun möglich.
OK. man kann aktuell pushTAN und smsTAN noch parallel laufen lassen.... Ja bitte.... was dann kam hat mich erschrocken. Neue Zugangsdaten....wie war das mit parallel ? Ja parallel, vom gleichen Account war nie die Rede, es wurde aber auch nichts gesagt, das es zwangsweise neue Zugangsdaten gibt.
Hier zeigt sich in voller Breite wie gut die Banken mit ihren technischen Beratern aufgestellt sind und wirklich ihre Kunden betreuen können, oder halt auch nicht.
Bei der ganzen Umsetzung wurden leider unsere Eltern nicht gefragt oder mit einbezogen. Diese dürfen nun für alltägliche Bankgeschäfte horrende Summen am Schalter abdrücken oder wir Kinder übernehmen ihre Konten In Zeiten von Phishing und Co möchte ich nicht unbedingt meine Eltern nochmals am PC anlernen. Sie möchten das auch nicht.....
Wie war das doch gleich mit der Sicherheit...
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 56
Beiträge: 4781
Dabei seit: 03 / 2007
Betreff:

Re: PSD2

 · 
Gepostet: Gestern um 15:30 Uhr  ·  #91
Was ist denn das für ein größtenteils unsinniges Geschwurbel zum Einstand? Sorry, aber das könnte vielleicht ein allgemeines Unterhaltungsforum bereichern, aber sicher nicht ein Onlinebanking-Fachforum wie dieses hier.

Man sollte nicht Traktate verfassen, wenn man sich damit outet, dass man keine aber auch garkeine Ahnung von der Materie hat.

Du vergleichst da Äpfel mit... nein, nicht mit Birnen sondern mit Schrauben. Sinnloser geht es nicht mehr. Bevor man rumpoltert sollte man sich erst mal informieren. Und wenn von Beratern, die meist nichts anderes als Verkäufer sind, nichts Gescheites kommt, dann gibt es im Internet genug Quellen, bei denen man sich schlau machen kann. Oder eben auch die Online-Fachabteilung. Aber auch da bringt es nichts, wenn man von "die Banken" redet. Fast jede Bank macht was anderes, das über weite Strecken nicht vergleichbar ist. pushTAN und SMS-TAN zu vergleichen ist Unfug, "Banking mit Chipkarte" (welches Verfahren ist da gemeint? DDV, RDH2-10, RAH - jedes ist anders) und chipTAN zu vergleichen ist auch Unfug.

Und zu guter Letzt: Wenn Eltern einerseits nicht an den PC gewöhnt werden können/sollen, dann muss das Banken am Schalter (solange es einen solchen in erreichbarer Nähe überhaupt noch gibt) kostenfrei sein? Auch wenn sich Schaltervorhaltung für die Banken kaum noch rechnet, weil kaum mehr Leute regelmäßig in die Filiale gehen? Das ist Kommunismus. Dafür müßte man dann eine staatlich betriebene Bank gründen und die muss überall Filialen aufmachen und kostenlos Dienste an Schaltern vorhalten? Was eine haarsträubende Weltsicht :-)
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 2
Dabei seit: Gestern
Betreff:

Re: PSD2

 · 
Gepostet: Gestern um 16:06 Uhr  ·  #92
Danke für das freundliche Feedback. Habe ich irgendwo etwas von kostenlosen Diensten geschrieben, nein. Ich schrieb horrende Summen. Der Rest würde von Ihnen da hinein interpretiert.
Ansonsten kann ich mich nur dafür bedanken, das Sie eigentlich meine Sichtweise nur bestätigt haben. Denn es ist in der Tat so, das die Endkunden sich erst "schlau" machen müssen, damit sie wissen was da überhaupt an Änderungen auf sie zukommt.
Ich habe keine Vergleiche angestellt, sondern typische Szenarien beschrieben wie sie bei einigen auch anzutreffen sind.
"Fast jede Bank macht etwas anderes ... nicht vergleichbar ist"
Genau das ist auch meine Erfahrung, das ändert nichts an meiner Weltsicht, die mitnichten haarsträubend ist.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 47
Beiträge: 5595
Dabei seit: 02 / 2003
Betreff:

Re: PSD2

 · 
Gepostet: Gestern um 17:05 Uhr  ·  #93
Naja, auch wenn msa etwas übertreibt, hat er im Kern recht.
Dein Posting ist ziemlich wirr und tatsächlich im Kern auch weitestgehend falsch (sind die aufgezählten Chipkartenprofile von msa auch)
Die Chipkarte selber funktioniert auch unter der PSD2.
Und schlau machen? In der Regel eher nicht, da mal abgesehen von TAN Listen alle Verfahren PSD2 konform sind. Aber auch wenn, sorry, wer sich ein Auto kauft, ein PC, ein Handy usw. macht sich auch schlau.
Gewählte Zitate für Mehrfachzitierung:   0