Zitat geschrieben von msa
Aber man wird es ja wohl kritisieren dürfen und muss es nicht einfach duldsam hinnehmen?
Klar, aber wie so oft im Leben -mein Lieblingshinweis- ist nicht alles was einem selber nicht gefällt, immer auf Unfähigkeit, Geisselung oder sonst was begründet, sondern schlicht anderen Schwerpunkten/Sichtweisen oder sonstigen Vorgaben, die man nicht kennt geschuldet.
Zitat geschrieben von msa
Zumal es so Ecken der Angelegenheit gibt, die "ein Gschmäckle" haben. Wie ist das z.B. mit den gleichen Chancen, wenn ein Kunde seine Daten über den Server eines Dritten laufen lassen MUSS, weil es keinen DIREKTEN Zugriff mehr gibt?
Kennst Du einen solchen Fall, bei denen es keinen direkten Zugriff mehr gibt? Und wo würde der Server eines Dritten da helfen? Die ING, wenn Du auf die anspielst hat einen direkten Zugriff! Der direkte Zugriff ist nicht auf FinTS beschränkt.
Zitat geschrieben von msa
Oder noch schlimmer: Wie ist das mit den ganzen Banken mit photoTANs, wo die EIGENEN Apps wie selbstverständlich einen "Kurzschluss" zwischen eigener Banking-App und photoTAN-App haben, der "fremden" Apps aber verwehrt bleibt? Wieso darf ich - ohne zusätzlich zu kaufendes und rumzuschleppendes - photoTAN-Gerät zwar noch Aufträge in der Bankeigenen App durchführen, in einer fremden aber nicht mehr? Ist das Gleichbehandlung? Nein ist es nicht.
Relativ Einfach. Zum Schutz des Verbrauchers. Schwachpunkt dieser Konstellation Banking App <> Freigabe App ist immer die verbindung zwischen diesen Apps (der Standardangriffsvector, wenn wieder ein TAN Verfahren "gehackt" wurde.
Mit fremden Apps, kann niemand diesen Vector auch nur im Ansatz vernünftig unter kontrolle bringen, ohne dass der Aufwand für die Anbindung, Kontrolle und Freigabe einer solchen App unverhätnismäßig hoch ist.
Das insebsondere, da die Bank der herrausgeber der Authentifizierungsverfahren ist, bei Mißbrauch auch gegenüber der Aufsicht in der Verantwortung steht und z.B. Ausnahmen für Kleinstbetragszahlungen nur möglich sind, wenn die Quote der Schadensfälle bestimmte Schwellwerte nicht überschreiten. Dazu kommt, dass beim Mißbrauch über einen Dritten, die Bank zunächst gegenüber dem Kunden haftet und selber versuchen muss, den Dritten in Regress zu nehmen.
Alles gute Gründe, eine potentielle Sicherheitslücke nicht zu öffenen. Mit einer "gleichmacherische EU nicht" hat das nichts zu tun (die schreibt nichts dazu explitit vor).