1822direkt TAN+ App - muss man die PIN tatsächlich jedes Mal manuell eingeben?

Ich habe das gerade ausprobiert und es ist so, wie Du schreibst. Ich kann auch die Erklärung nachvollziehen. Sie bedeutet Folgendes:

Wenn Du einen Auftrag im WebBanking einreichtst, dann weiss die Bank sicher, dass dieses ihr eigenes WebBanking per Eingabe der PIN geöffnet wurde und nicht per Eingabe eines Fingerabdruckes (weil es das für's WebBanking nicht gibt). Wenn der Auftrag aber über HBCI kommt, dann weiss die Bank nicht, wie die App gestartet wird. Bei der 1822-eigenen App könnte da noch eine Interaktion auf dem gleichen Gerät stattfinden nach dam Motto "wenn die App per Fingerabdruck entsperrt wurde, dann lassen wir Fingerabdruck bei der TAN zu, sonst nicht". Wenn aber der Kunde irgend eine andere App benutzt (Starmoney, AlfBanco, Banking4 Android oder iOS, Outbank und so weiter), dann kann die TAN-App mit dieser fremden App nicht interagieren und herausfinden, ob diese nun per Fingerabdruck oder PIN entsperrt wurde. Somit könnte es vorkommen, dass die Fremd-App schon per Fingerabdruck entsperrt wurde und dann die TAN-App auch noch - und das wäre unsicher. Um auf jeden Fall den sichersten Weg zu gehen wird nun generell alles, wo man nicht prüfen kann, wie die HBCI-App entsperrt wurde, mit dem PIN-Eingabezwang belegt. Da über HBCI aber nicht nur Apps arbeiten sondern auch PC-Programme, ist es ein gewisser Kollateralschaden, dass damit PC-Programme auch grundsätzlich PIN eingeben müssen (nach dem Motto wir können nicht sicher ausschließen, dass eine App mit Fingerabruck genutzt wurde, also fordern wir eine PIN an).

Evtl. wird man in einer späteren Version mal was verbessern (z.B. indem man versucht festzustellen, ob die zugrundeliegende App ein PC-Programm oder eine Mobil-App ist und ob die auf dem gleichen Gerät läuft wie die TAN-App. Allerdings bin ich mir nicht sicher, ob man sowas wirklich final feststellen kann - und ob sich da wirklich was ändern wird.

Ja, es gibt Banken, wo grundsätzlich die TAN-App mit Fingerabdruck entsperrt werden kann, egal auf welchem Weg der Auftrag reinkommt (Sparkassen, VR-Banken z.B.). Aber wie sicher eine Bank ihre Abläufe gestaltet, obliegt der einzelnen Bank - sie ist ja auch haftbar, wenn Geld wegkommt und der Ablauf nicht "idiotensicher" war. Es gibt übrigens auch Banken, bei denen zur Freigabe einer Transaktion grundsätzlich die PIN nötig ist. Die ING ist ein Beispiel dafür - zum Start der App reicht ein Fingerabdruck, wenn man das will - der ersetzt die Mobil-PIN. Wenn man aber einen Zahlungsauftrag freigeben will, ist immer die Mobil-PIN direkt einzugeben, egal ob der Auftrag aus der App oder aus dem WebBanking stammt.

Bei Dir - mit einem gesonderten Smartphone nur zur Auftragsfreigabe - mag der Fingerabdruck sicher genug sein. Aber diese Verwendungsform ist wohl die absolute Ausnahme. Ich gehe davon aus, dass nahezu alle, die FreigabeApps benutzen, die auf ihrem normalen Smartphone nutzen. Und dabei ist eine Fingerabdruckfreigabe einfach zu unsicher - sei es von der Technik her oder sei es von Zwang her (Bösewichter können Dich irgendwo abfangen, das Smartphone aus Deiner Tasche ziehen, Geld bewegen und dann mit Zwang Deinen Finger auf den Leser drücken und weg ist das Geld). Ich habe bei meinen Freigabeapps den Fingerabdruck nur da aktiviert, wo Überweisungen nur auf vorgegebene Referenzkonten möglich sind. Bei allen, wo Überweisungen auf beliebige Konten möglich sind, ist mir das zu unsicher - zumal wenn es sich um nicht-eigene-Konten handelt, die damit bedient werden können.

Für Deinen Einsatzzweck ist das jetzt zwar "blöd", weil Du durch's Raster fällst, aber dafür ist der Einsatzzweck einfach zu exotisch, als dass darauf Rücksicht genommen werden würde. Insofern würde ich mich an Deiner Stelle darauf einstellen, dass das erst mal so bleiben wird, wie es ist. Damit kannst Du den Fingerabruck zum Entsperren der TAN-App nur dort nutzen, wo 1822direkt sicher weiß, ob das Banking schon mit FIngerabruck entsperrt wurde oder nicht, und das ist nun mal nur das WebBanking und die 1822direkt-App (die ich übrigens recht gelungen finde).

Um es vorweg zu sagen: Ich bin absolut kein 1822direkt-FanBoy! Diese Bank hat gerade in der Vergangenheit einiges verschlafen (z.B. dass bis PSD2 für HBCI nur ListenTANs verwendet werden konnten war ein Unding). Allerdings hat sie auch immer wieder durch Innovationen geglänzt (man denke an die EUMEL in PGP-Verschlüsselter Mail).

Dass die Mutter 1822 es bei den TANs "anders" macht, ist nicht verwunderlich. Deren Banking (sowohl Web als auch HBCI) läuft direkt im Rechenzentrum FI, und da ist das nun mal so geregelt, dass der Zugang zur TAN-App von keinen "äußeren Einflüssel" abhängt. Ich denke mal, dass die 1822 Mutter es nicht anders handhaben könnte, selbst wenn sie wollte, da die FI das eben so implementiert hat.

Die 1822direkt hingegen betreibt ein völlig eigenentwickeltes Kundenfrontend - sowohl für WebBanking als auch für HBCI. Deshalb auch die völlig eigenständigen TAN-Verfahren, die es in diese Form bei keiner anderen Bank gibt. Jede Bank hat ihre "Entscheider" - und die Entscheider der 1822direkt halten nun mal Zugang zum Bankprogramm UND Zugang zur TAN-App gleichzeitig per Biometrie für zu unsicher UND sie haben die Möglichkeit, im eigenentwickelten System das so umzusetzen, wie sie es entscheiden (im Gegensatz zur Mutter, die sowohl anders entschieden haben kann oder aber einfach das nehmen muss, was das Rechenzentrum FI für die gesamte Sparkassengruppe anbietet).

Ja, der Fehlertext könnte länger sein und noch besagen "Außerdem können Sie die Entsperrung per Biometrie bei allen fremden Programmen, die via HBCI kommunizieren, aus Sicherheitsgründen generell nicht verwenden, weil wir in diesen Fällen nicht feststellen können, ob das Bankingprogramm nicht auch bereits per Biometrie entsperrt wurde."

Daran hat bei der sicher bisher niemand gedacht, da die PSD2-Anpassungen wohl alle mit heißer Nadel gestrickt wurden (deswegen ist bei der 1822direkt die PSD2-konforme Version des HBCI-Bankings nicht im September sondern erst vor ca. 2 Wochen gestartet). Aber genau dies hat Dir der Support auf Anfrage mitgeteilt - mag sein, dass da noch eine Änderung bei den Meldungen kommen wird (wenn viele Kunden den Support deswegen bemühen) oder auch nicht. Wird man sehen. Jedenfalls ist es so wie es ist. Die Lösung der 1822direkt läuft jedenfalls - und zwar viel besser als bei so manch anderen Banken. Allein die Möglichkeit, dass man als Kunde selbst entscheiden kann, ob man bei JEDEM Login (gültig sowohl für Web als auch für HBCI) eine starke Authentifizierung haben möchte oder ob man die 90-Tage-Regel in Anspruch nehmen will, ist "etwas Besonderes". Ich kenne das so sonst nur von der Deutschen Bank und ihren Töchtern (norisbank).

Mag sein, dass sowohl die Sicherheitsentscheidung bzgl. Biometrie-Login in die TAN-App als auch die Fehlermeldung für manche Kunden unbefriedigend ist, sie ist aber irgendwo nachvollziehbar und sie ist auch erklärt. Man kann als Kunde heutzutage echt nicht mehr erwarten. Die Vorstellung, dass auf den einzelnen Kunden in einem solchen Massengeschäft eingegangen wird, ist abwegig. Und: Die Bank muss im Falle von Mißbrauch recht weitgehend haften, insofern muss sie auch entscheiden dürfen, was sie als sicher und was als zu unsicher empfindet und dies dann (wenn sie dazu in der Lage ist) umsetzen.

Insofern wird Dir nichts anderes übrig bleiben als "friß oder stirb". Entweder damit leben oder Dir eine "bessere Bank" mit kostenlosem Konto zu suchen. Sich darüber ärgern bringt jedenfalls gar nichts, außer vielleicht Falten und Magengeschwüre.

Und die Bewertungen im Google PlayStore sind wahrlich eine andere Sache. Ich habe oft das Gefühl, dass da nur diejenigen schreiben, die echoe Probleme oder sonst was auszusetzen haben und eh an allem rumnörgeln. Repräsentativ sind die auf keinen Fall. Beide TAN-Apps der 1822direkt - ob man sie toll findet oder nicht - funktionieren jedenfalls absolut klaglos und zuverlässig - auf meinem Handy und auf den Geräten in meinem Bekanntenkreis. Gegenüber der Konkurrenz ist das schon mal ne ganze Menge

Nur ein kleines update:

Inzwischen ist die App bei der Version 2.0 angelangt, aber der Fehler mit dem Fingerabdruckscanner besteht nach wie vor. Auf entsprechende Hinweise etwa im Play-Store kommt der bekannte stereotype Textbaustein "1822direkt Ges. der Frankfurter Sparkasse mbH18. Juni 2020
Hallo, gerne prüfen wir den Sachverhalt in der 1822TAN+ App für Sie. Bitte senden Sie uns hierzu einfach eine Nachricht über unser Kontaktformular: www.1822direkt.de/kontakt. VG"

Nicht einmal einen Hinweis hält dieses Institut für angebracht; das hätte man in den Monaten ja zumindest auf die Beine bekommen können, wenn man gewollt hätte. Das ist eben dort "realer Kundenservice" mit dem man als "König Kunde" leben muss, obwohl das mit dem Problem der Kostenoptimierung nicht einmal zu begründen ist. Und ich bin halt immer noch Kunde dort (siehe die treffende Bemerkung von msa oben), denn auf dem Abenteuerspielplatz "Banking-Apps" möchte ich mich freiwillig nicht weiter tummeln.