Sparkassen Login künftig alle 90 Tage nur mit TAN

PSD2 verlangt ab 14.9.19 sicherere Authentifikation

 
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Bayern
Beiträge: 66
Dabei seit: 09 / 2010
Betreff:

Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 10.07.2019 - 12:51 Uhr  ·  #1
Hallo,

ab dem 14.9.19 soll ich beim Login meiner Sparkasse alle 90 Tage zusätzlich zur Legitimations ID und dem Passwort eine TAN generieren und übermitteln. Dies sowohl im Portal, als auch in StarMoney. Also ein Login mit 2 Faktor Authentifikation.(2FA)
Wenn man aber schon 2FA einführt, warum dann nur alle 90 Tage? Ist das nicht etwas halbherzig?
Mit ChipTan USB und ChipTan QR könnte ich damit leben, jeden Login mit 2FA durchzuführen.
Bei meiner RaboDirect z.B. wird mit dem Digipass auch jedes Mal ein neuer Login Code erzeugt.
Weiß jemand etwas über die näheren Hintergründe?


kragenbär
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 47
Beiträge: 5614
Dabei seit: 02 / 2003
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 10.07.2019 - 12:57 Uhr  ·  #2
Zitat geschrieben von kragenbär

ab dem 14.9.19 soll ich beim Login meiner Sparkasse alle 90 Tage zusätzlich zur Legitimations ID und dem Passwort eine TAN generieren und übermitteln. Dies sowohl im Portal, als auch in StarMoney. Also ein Login mit 2 Faktor Authentifikation.(2FA)
Wenn man aber schon 2FA einführt, warum dann nur alle 90 Tage? Ist das nicht etwas halbherzig?
Mit ChipTan USB und ChipTan QR könnte ich damit leben, jeden Login mit 2FA durchzuführen.
Bei meiner RaboDirect z.B. wird mit dem Digipass auch jedes Mal ein neuer Login Code erzeugt.
Weis jemand etwas über die näheren Hintergründe?

Die starke Kundenauthentifizierung ist bei jedem Login, bei jeder Bank in Europa notwendig.
EIne Bank kann eine Ausnahme davon gewähren, das aber maximal für 90 Tage.
Ansonsten schau mal in der Suche, da gibt es diverse Diskussionen zu dem Thema
Benutzer
Avatar
Geschlecht:
Beiträge: 4548
Dabei seit: 06 / 2008
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 10.07.2019 - 13:30 Uhr  ·  #3
Zitat geschrieben von kragenbär
Wenn man aber schon 2FA einführt, warum dann nur alle 90 Tage? Ist das nicht etwas halbherzig?

ne bitte nicht noch mehr Genehmigungen

Fallbeispiel: mehrere Konten bei unterschiedlichen Banken
oder das 4 Augenprinzip nächste tolle Hürde, die die Entwickler in Griff bekommen müssen
siehe bspw. die Hinweise im changelog: http://www.sfirm.de/neu-in-der…ie-40.html
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Bayern
Beiträge: 66
Dabei seit: 09 / 2010
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 10.07.2019 - 22:13 Uhr  ·  #4
Bafin

Zitat BaFin "Nach der PSD 2 ist die Starke Kundenauthentifizierung auch dann erforderlich, wenn der Nutzer online auf sein Zahlungskonto zugreift. In der Praxis wird aber für das einfache Einloggen in das Online-Banking oft eine einfache Authentisierung ausreichen, zum Beispiel die Eingabe eines Passworts. Denn die Delegierte Verordnung sieht eine Ausnahme von der Pflicht zur Starken Kundenauthentifizierung vor, wenn der Nutzer nur seinen Kontostand oder die Umsätze der letzten 90 Tage ansehen will.

Damit der mögliche Missbrauch eines ausgespähten Online-Banking-Passworts nicht unbegrenzt fortgeführt werden kann, muss der Nutzer aber mindestens alle 90 Tage eine Starke Kundenauthentifizierung durchführen". Ende des Zitates

Vielleicht mache ich da einen Denkfehler, aber wenn der rechtmäßige Kontoinhaber sich nach Ablauf von 90 Tagen per TAN authentifiziert um sich auch weiterhin einloggen zu können, was sollte dann jemanden, der die Logindaten abgephisht hatte daran hindern, sich ebenfalls weiterhin unberechtigt einzuloggen? Wenn das System eine TAN für ein erneutes Login verlangt, braucht der Gangster doch nur warten, bis der Inhaber des Kontos es wieder freigeschaltet hat. Wie kann so der fortgesetzte Missbrauch verhindert werden?

kragenbär
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 57
Beiträge: 4974
Dabei seit: 03 / 2007
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 10.07.2019 - 22:47 Uhr  ·  #5
Uff, auf diese Idee bin ich noch garnicht gekommen, irgendwo hast Du natürlich recht. Das ganze funktioniert einzig dann nicht so, wie Du denkst, wenn der Kunde selbst sich sehr selten einloggt und der Unberechtigte "ungeduldig" ist und es so oft probiert, bis die PIN gesperrt wird. Insofern wäre die Login-TAN bei jedem Login angebracht.

ABER: Für alle Kunden, die Konten bei mehreren Banken haben oder Gewerbetreibenden, die die Konten öfter abfragen (z.B. weil sie von untertägig eingehenden Zahlungen einen Versand von Waren abhängig machen) ist das eine Katastrophe. Ich frage z.B. täglich Konten bei über 10 Banken ab. Derzeit läuft der Job automatisch und wenn er fertig ist, kann ich mit den geholten Daten weiterarbeiten. Zukünftig müßte ich dabei sitzen bleiben und jeweils eine TAN generieren, wenn die nächste Bank dran kommt. Je nach Bank als pushTAN, chipTAN, photoTAN, SMS-TAN, TAN aus diversen proprieätären TAN-Generatoren... Da wäre ich ganz schön lang sinnlos beschäftigt. Wie das bei einer Firma ist, die alle halbe Stunde Umsätze holt, kann man sich ausrechnen. Das gibt einen HiWi-Job, so bringt man Aushilfen in Lohn und Brot. Wobei, nein. Das geht auch nicht, denn TAN-Medien darf ja wohl irgend eine Aushilfe nicht in die Finger bekommen. Also ist dann ab sofort Umsatzabfrage eine Handarbeit der Geschäftsführung? Weia.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Bayern
Beiträge: 66
Dabei seit: 09 / 2010
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 10.07.2019 - 23:06 Uhr  ·  #6
Deutsche Bank zu PSD2

Hallo msa,

im Gegensatz zu meiner Sparkasse, die nur alle 90 Tage eine TAN beim Login will, scheint die Deutsche Bank dies bei jedem Login obligatorisch zu verlangen.
Wie kommen denn da die von dir angeführten Benutzerkreise damit klar?

kragenbär
Benutzer
Avatar
Geschlecht:
Beiträge: 4548
Dabei seit: 06 / 2008
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 11.07.2019 - 05:16 Uhr  ·  #7
Zitat geschrieben von kragenbär
was sollte dann jemanden, der die Logindaten abgephisht hatte daran hindern, sich ebenfalls weiterhin unberechtigt einzuloggen?

was bringt es dem Angreifer, denn die Aufträge müssen ja jeweils mit einer TAN freigegeben werden.

vielmehr wird das erst eingeführt multibanking bei div. Banken (Deutsche Bank/Sparkasse) usw. wegfallen bzw. komplizierter sein. Hinzu kommt automatisch verarbeitende System wie die Buchhaltung (bspw. über DATEV) wird erschwert.

bei den Schweizern (soweit mir bekannt) gab es nur den Login + TAN und alle nachfolgende Aufträge waren autorisiert.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 57
Beiträge: 4974
Dabei seit: 03 / 2007
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 11.07.2019 - 09:04 Uhr  ·  #8
Zitat geschrieben von kragenbär
Wie kommen denn da die von dir angeführten Benutzerkreise damit klar?
Notfalls gar nicht oder mit riesen Aufand (und damit Kosten!?) Das ist aber doch der EU-Bürokratie egal - und den Banken letztendlich auch, da es ihnen nicht direkt schadet. Ich hoffe nur, dass Kunden den Arsch hoch kriegen und ggf. zu Banken wechseln, die das Ganze sinnvoller handeln und die 90-Tage-Ausnahme nutzen. Ein Geschäftskonto ohne 90-Tage-Ausnahme (z.B. Postbank) ist für meine Begriffe nicht mehr wirklich nutzbar. Fragt sich wieder, wie leidensfähig Kunden sind, bis sie den Arsch hoch kriegen. Wobei ich da diesmal guter Hoffnung bin, denn hier trifft es nicht irgendwelches Fußvolk (das kann keine TANs eingeben), sondern die Führungsetage beim Kunden oder zumindest höherrangige Mitarbeiter.

Einen Vorteil könnten Banken damit aber evtl. auch ziehen: Nachdem - in meinen Augen völlig grundlos - EBICS von den Beschränkungen nicht betroffen ist (sowohl Legitimation via Sicherheitsdatei als auch direkter automatischer Login bleiben erhalten - obwohl die Sicherheitslage hier nicht wesentlich anders ist - aber hier fand Lobbyarbeit statt), werden die Banken viele ihrer Geschäftskunden, die bisher einfach und günstig über HBCI gebankt haben, zu EBICS umberaten und damit ganz erhebliche Gebühren-Zusatzeinnahmen haben. Ein Schelm, wer Böses dabei denkt...

Zitat geschrieben von infoman
was bringt es dem Angreifer, denn die Aufträge müssen ja jeweils mit einer TAN freigegeben werden.
Deswegen finde ich diesen TAN-pflichtigen Login ja als mit Kanonen auf Spatzen geschossen.

Zitat geschrieben von infoman
vielmehr wird das erst eingeführt multibanking bei div. Banken (Deutsche Bank/Sparkasse) usw. wegfallen bzw. komplizierter sein.
Ich glaube nicht, dass die Banken das so klaglos aufgeben, weil sie das den Kunden erklären müssten und damit ihre so mühsam eingeführte "Kundenbindung" dadurch verloren geht. Endlich hatte man wieder was, was einen als "Haus- bzw. Hauptbank" qualifizierte. Wenn Banken etwas wollen (und hier wollen sie sicherlich) dann kriegen sie das auch. Es bleibt spannend!

Zitat geschrieben von infoman
Hinzu kommt automatisch verarbeitende System wie die Buchhaltung (bspw. über DATEV) wird erschwert.
Das läuft unter "ist uns doch egal, wie der Kunde damit zurechtkommt - wir haben keinen Nutzen davon, wenn er einfach arbeiten kann, also ist es uns wurscht."

Zitat geschrieben von infoman
bei den Schweizern (soweit mir bekannt) gab es nur den Login + TAN und alle nachfolgende Aufträge waren autorisiert.
Das war früher sicher mal eine feine Sache. Heutzutage ist es hochgefährlich - ich sage nur "man-in-the-middle"...
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: München
Homepage: subsembly.com/
Beiträge: 4141
Dabei seit: 11 / 2004
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 11.07.2019 - 13:14 Uhr  ·  #9
Zitat geschrieben von kragenbär

Vielleicht mache ich da einen Denkfehler, aber wenn der rechtmäßige Kontoinhaber sich nach Ablauf von 90 Tagen per TAN authentifiziert um sich auch weiterhin einloggen zu können, was sollte dann jemanden, der die Logindaten abgephisht hatte daran hindern, sich ebenfalls weiterhin unberechtigt einzuloggen? Wenn das System eine TAN für ein erneutes Login verlangt, braucht der Gangster doch nur warten, bis der Inhaber des Kontos es wieder freigeschaltet hat. Wie kann so der fortgesetzte Missbrauch verhindert werden?


Das hast Du genau richtig erkannt. Die zusätzliche TAN alle 90 Tage bei der Anmeldung ist sicherheitstechnisch völlig nutzlos, sofern nicht sichergestellt ist, dass die 90 Tage für jedes Endgerät des Benutzers gelten. Das heißt, wenn man sich von einem anderen PC neu einloggt, sollte man immer erst eine TAN eingeben müssen. Mit dieser TAN sollte dann auch nur dieses Endgerät mit dieser Software für 90 Tage ausgenommen werden. Genau so machen es z.B. Google und Apple bei ihrer 2-Faktor-Authentifizierung. Alles andere ist sinnlos.

Komischerweise wollen Banken wohl die 90 Tage nur am Benutzer und nicht an Endgerät/Anwendung festmachen. Es gibt also keinerlei (nicht mal einen klitzekleinen) Sicherheitsvorteil, aber alle Nachteile der zusätzlichen TAN-Eingabe. Ob das von den PSD2-Erfindern so gewollt war?
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 57
Beiträge: 4974
Dabei seit: 03 / 2007
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 11.07.2019 - 13:34 Uhr  ·  #10
Zitat geschrieben von subsembly
Ob das von den PSD2-Erfindern so gewollt war?
Du gehst davon aus, dass die überhaupt wussten, was sie tun und sich nicht nur von Beratern und Lobbyisten haben steuern lassen. Kann man davon wirklich ausgehen? :-)
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 7697
Dabei seit: 08 / 2002
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 12.07.2019 - 17:07 Uhr  ·  #11
Wirklich sinnvoll wäre imho doch auch eine breite Verpflichtung zur Information zum letzten erfolgreichen bzw. versuchten Login und zwar mit Uhrzeit, Legitimations-Medium, Schnittstelle, IP-Bereich und ggf. Ortsbezug.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 57
Beiträge: 4974
Dabei seit: 03 / 2007
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 12.07.2019 - 17:31 Uhr  ·  #12
Einige Banken haben das ja schon. Zusammen mit der Anzeige, wann der letzte PIN-Fehlversuch und der letzten TAN-Fehlversuch stattgefunden hat. Ortsbezug sehe ich als eher problematisch an, denn bei vielen Providern ist die Angabe des automatisch herausgefundenen Orts der IP mehr als falsch. Selbst bei einem Business-DSL der Telekom in München wurde meistens irgendwas völlig falsches angezeigt, wenn was angezeigt wurde... Bei kleineren Zugangsprovidern ist das noch schlimmer. Von dem nicht stimmigen Ort lassen sich dann sicher viele Kunden völlig verschrecken.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 7697
Dabei seit: 08 / 2002
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 13.07.2019 - 11:44 Uhr  ·  #13
Ortsbezug wäre mir nicht wichtig, aber das könnte man ja auch erläutern. Der Dienstleister und/oder App, Browser etc. wären wichtige Informationen, auch für den Support der Banken. Hintergrund: Viele ändern Ihre Passwörter und vergessen dabei die Änderung der Zugangsdaten in App und Co.
Nach einiger Zeit ist der Zugang dicht und alle rätseln herum, wie das passieren konnte, am Ende suchen alle einen nicht vorhandene Hacker. Bisher war es fast immer eine App, z.B. zur Optimierung irgendwelcher Verträge, die nicht sauber auf die Fehlermeldung reagiert.
SDI
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 57
Dabei seit: 06 / 2011
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 22.07.2019 - 13:08 Uhr  ·  #14
Mindestens die Sparkassen machen das (wenn die einzelne Spk. es denn auch nutzen will) für den Kunden wählbar. Das heisst, der Kunde kann sagen, OB er diese Ausnahmen will oder eben nicht. Ein sicherheitsbewusster Kunde kann somit die 90-Tage-Ausnahme auch deaktivieren. Das gleiche gilt auch für die Thematik TAN-freie Kleinstbetragszahlungen und Whitlist-Zahlungen.

Außerdem hat die Regulatorik auch Bedingungen für die Institute vorgegeben. Nur wenn bestimmte Schadensquoten im Zahlungsverkehr nicht überschritten werden, dürfen die Ausnahmeregelungen eingesetzt werden.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 47
Beiträge: 5614
Dabei seit: 02 / 2003
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 23.07.2019 - 08:03 Uhr  ·  #15
Zitat geschrieben von SDI

Mindestens die Sparkassen machen das (wenn die einzelne Spk. es denn auch nutzen will) für den Kunden wählbar. Das heisst, der Kunde kann sagen, OB er diese Ausnahmen will oder eben nicht. Ein sicherheitsbewusster Kunde kann somit die 90-Tage-Ausnahme auch deaktivieren. Das gleiche gilt auch für die Thematik TAN-freie Kleinstbetragszahlungen und Whitlist-Zahlungen.

Nur damit Leser das nicht falsch verstehen.:
Nur wenn eine Bank die Ausnahme gewährt, kann der Kunde sagen will ich nicht.
Umgekehrt geht das nicht.

Die TAN freien Kleinstzahlungen haben auch Regeln wann immer wieder eine TAN gefordert wird und die Bank kann das Recht diese Ausnahme zu gewähren auch verlieren.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 67
Dabei seit: 04 / 2012
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 26.07.2019 - 09:13 Uhr  ·  #16
Zitat geschrieben von SDI

Mindestens die Sparkassen machen das (wenn die einzelne Spk. es denn auch nutzen will) für den Kunden wählbar. Das heisst, der Kunde kann sagen, OB er diese Ausnahmen will oder eben nicht. Ein sicherheitsbewusster Kunde kann somit die 90-Tage-Ausnahme auch deaktivieren.


Moment, der Kunde bzw die Sparkasse kann zwar die Ausnahmen für Whitelist Zahlungen, Kleinbetragzahlungen und eigene Konten ausschalten, aber nicht die 90 Tage Login TAN Ausnahme. Diese wird immer gezogen.
Ein Parameter dafür war zwar Mal im Gespräch, wurde aber nicht umgesetzt.
Soll heißen: auch ein sicherheitsbewusster Kunde kann nicht einstellen, dass er bei jedem Login eine TAN will, leider.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 57
Beiträge: 4974
Dabei seit: 03 / 2007
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 26.07.2019 - 12:12 Uhr  ·  #17
Leider? Ich würde sagen Gott sei Dank! :-)

So unterschiedlich sind die Ansichten.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8
Dabei seit: 02 / 2017
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 26.07.2019 - 14:19 Uhr  ·  #18
Also wenn man die 90-Tage Ausnahmeregel einstellt, dann kann der Kunde sich bei der Bank (Volksbankensektor) melden, wenn er von dieser Ausnahmergel keinen Gebrauch machen möchte! Dann wird der "Widerspruch" eingestellt und er muss immer eine TAN beim Login eingeben!

Wenn eine Bank allerdings von Anfang an sagt, dass es immer die TAN beim Login verlangt, kann der Kunde nicht verlangen, dass er die 90-Tage Regel haben möchte!
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 57
Beiträge: 4974
Dabei seit: 03 / 2007
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 26.07.2019 - 16:02 Uhr  ·  #19
Zitat geschrieben von Freddy Lüking
Wenn eine Bank allerdings von Anfang an sagt, dass es immer die TAN beim Login verlangt, kann der Kunde nicht verlangen, dass er die 90-Tage Regel haben möchte!
Richtig! Dann kann und sollte der Kunde wegen Unzumutbarkeit die Bank wechseln. :D
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 67
Dabei seit: 04 / 2012
Betreff:

Re: Sparkassen Login künftig alle 90 Tage nur mit TAN

 · 
Gepostet: 26.07.2019 - 18:18 Uhr  ·  #20
Zitat geschrieben von msa

Leider? Ich würde sagen Gott sei Dank! :-)

So unterschiedlich sind die Ansichten.


Naja ich würde es für mich privat auch nicht so einstellen, aber es wird immer Mal wieder danach gefragt. Das könnte man dann ja auf expliziten Wunsch des Kunden dann so schalten wenn er halt immer eine 2FA will.

Die Voba Variante mit Widerspruch finde ich da ganz gut gelöst, dass man es stärker machen kann auf Wunsch aber nicht schwächer als die Bank es will.
Gewählte Zitate für Mehrfachzitierung:   0