Sinn und Zweck real praktizierter SCA

Mir geht es hier um Überlegungen zur Sinnhaftigkeit real praktizierter SCA von manchen Banken bzw. auch der real existierenden Vorgaben (bzw. was man so liest).

Zunächst:
Ich finde es ganz ok, dass auch beim Login bereits SCA zum Einsatz kommen soll - egal ob HBCI oder Browser- / App basiertes Banking, weil dadurch die Möglichkeit besteht, die Zugriffssicherheit grundsätzlich zu erhöhen.

Welchen Sinn es jedoch haben soll, bereits per Vorgabe lediglich alle n Tage mal eine Prüfung einzustreuen oder auch gar nicht (so wie hier - ja, das entsprechende BPD ist vorhanden - es gab auch keinen Zugriff via Browser, wo evtl. eine SCA hätte stattfinden können), erschließt sich mir nicht.
Warum sind Zugriffe innerhalb der n Tage grundsätzlich ok - auch ohne Prüfung? Warum können die nicht von einem potentiellen Angreifer stammen?

Oder werden bei der Beurteilung zum Einsatz von SCA noch weitere Kriterien herangezogen, etwa wie:

• Alter der letzten duchgeführten TAN-relevanten Transaktion
  
• IP-Adresse des Clients
  
• ID des Clients
  
• ...
  

Erst wenn eine der potentiellen weiteren Bedingungen nicht erfüllt ist, kommt es in der Folge zu einer SCA? Das würde ja vordergründig teilweise sogar Sinn machen (v.a. durchgeführte TAN-relevante Transaktionen) - würde aber im Zweifelsfall nicht verhindern, dass doch ein unzulässiger lesender Zugriff von wo anders stattfinden könnte - falls nicht auch die anderen potentiellen Prüfkriterien eine Rolle spielen würden.

Weiß da jemand mehr dazu?

Ich finde es blödsinn bei der Abfrage über HBCI eine Tan abzufragen. HBCI hatte immer den Vorteil auf einfache Weise mehrere Banken zu verwalten. Dies wird wohl in Zukunft aufwändiger.

Was soll da aufwändiger sein? Stell einen z.B. USB-angebundenen TAN-Generator hin in Verbindung mit der Optimierung, die ich hier vorgeschlagen habe, sehe ich hier keinen relevanten Mehraufwand mehr - aber deutlich erhöhte Sicherheit.

Und genau das macht die Vorgehensweise für "nur Kontoinformationen" absurd.
Hat das niemand bedacht.
Stattdessen werden legale automatisierte Abfragen boykottiert.

Erinnert mich an die ganzen Aufwand für die Erst/Folge-SEPA-Lastschrifen und deren Einreichnungsfristen.
Nach 2 Jahren haben wir den ProgrammCode in die Tonne gehauen.

Sind da auch Praktiker an solchen Entscheidungen beteiligt ?

Du scheinst das Ganze nur aus Deiner "Privatkunde mit einer Bankverbindung"-Sicht zu sehen, der seine Umsätze einmal die Woche am Samstag Vormittag nach dem Frühstück (übertrieben) abfragt. Da ist das tatsächlich kein Problem.

Was ist aber in Fällen wie z.B. bei mir? Ich verwalte eigene Konten bei 5 Banken, Fremdkonten von mehreren hochbetagten Eltern und Verwandten bei insgesamt 8 Banken, Konten von einem Freund, der dauerhaft im Ausland lebt, bei zwei Banken und dann noch beruflich gut 300 Konten bei knapp 10 Banken. Diese (vorallem die beruflichen) werden täglich mindestens einmal abgefragt, bei den beruflichen sind auch täglich Zahlungen zu übertragen. Die normale tägliche Abfrage funktioniert derzeit vollautomatisch (meistens sogar zeitgesteuert), bei nötigen weiteren Abfragen muß ich nur auf ein Icon klicken und der Rest geht automatisch. Nach der Abfrage werden automatisch Exporte gemacht und Programme laufen drüber und tragen relevante Informationen und ggf. Warnungen zusammen und präsentieren die dann gesammenlt auf einem Bildschirm. SO kann man effektiv arbeiten.

Überleg mal, wie das dann abgeht, wenn jede Bank jedes Mal eine TAN allein zum Login benötigt. Wieviele TANs das dann jedes Mal werden, kannst Du Dir bitte aus obigen Zahlen selbst multiplizieren und addieren. Es werden mindestens eine pro Bankverbindung. Wenn es schlecht programmiert ist (sowohl auf Bank- als auch Kundenprogrammseite) kommt sowas raus, wie derzeit bei Consors, dass man für den Abruf von zwei Konten Umsätze 4 TANs braucht. Wenn mandas Konto frisch einrichtet können es auch doppelt so viel sein... Klasse.

In meinem Fall würde das bedeuten, dass ich den halben Vormittag mit händischem Umsatzabruf zubringen kann... Gottlob ist das derzeit nicht der Fall, da alle von mir genutzten Banken zumindest über HBCI die 90-Tage-Regel nutzen.

Und ja, die gesamte real praktizierte SCA führt das Ganze ad Absurdum. Man geht wohl davon aus, dass Schurken grundsätzlich nur WebBanking betreiben und niemals HBCI. Jedem ist klar, dass das nicht so sein muss, aber man muss es quasi so hindefinieren, damit eine Nutzbarkeit überhaupt noch gegeben ist.

Was man auch noch berücksichtigen muss ist, dass es sich hier um eine Europäische Richtlinie handelt. In Europa gibt es sowas wie HBCI in keinem zweiten Land, in allen anderen Ländern gibt es nur WebBanking, das per Definitionem von den Kunden nur "von Hand" bedient wird. Klar, dort ist das so wie in Deinen Augen kein Rückschritt sondern eine Erhöhung der Sicherheit. Wobei man darüber auch streiten kann. Insofern haben sich da wohl die anderen Ländervertreter durchgesetzt und Deutschland hat "nur" die 90-Tage-Regel durchbringen können, um eine sinnvolle Nutzung von Programmen überhaupt noch zu ermöglichen.

Zum Thema Steigerung der Sicherheit: Ich sehe (vorallem auch schon jetzt im Bekanntenkreis) das genaue Gegenteil. Bisher waren Onlinebanking-Nutzer darauf konditioniert "eine TAN löst fast immer einen Geldfluss aus, wird nur dann wenn ich einen solchen auslösen will angefordert, das ist entsprechend selten" (wenn wir jetzt mal Verwaltungsvorgänge weglassen, bei denen aber auch der Nutzer "was will"). Inzwischen wird die erste TAN beim Login, die Nächste ggf. beim Abruf von BPD/UPD, die Nächste beim Abruf von Umsätzen, die älter als 90 Tage sind (was bei selten benutzten Konten ggf. täglich vorkommt, bis irgendwann wieder mal ein neuer Umsatz kommt, evtl. kommt der erst nach einem Jahr zur nächsten Zinsbuchung) und so weiter. Wie ist der Mensch gestrickt? Der schaut die ersten 10 Male genauer hin und dann versiegt das Interesse und das Genervtsein steigt. Es dauert nicht lang, bis TANs vollmechanisch ohne Nachdenken eingegeben werden. Nach dem Motto "ich muss die eh dauernd eingeben, paßt schon". Und das soll sicherer sein als vorher? Bestreite ich massiv. Wie war das Mantra der Banken bis 13.9.:
"Wir werden niemals eine TAN von Ihnen anfordern, wenn Sie nicht einen Auftrag eingegeben haben". Aus die Maus.
"Wir werden niemals mehrere TANs gleichzeitig oder hintereinander von Ihnen anfordern". Pustekuchen.
Und das soll nun sicherer sein? Bestreite ich massiv.

Zum Thema Datenschutz: Was konnte man bisher ohne TAN machen? Einsicht in Konten nehmen. Ähm und? Soll doch reinschauen wer mag. Wo tut mit das weh? Garnicht. Es gibt eine vollautomatische Kontenabfrage für Behörden, von der Du nicht mal was merkst. Und irgendwelche große Schurken werden es auch schaffen, Deine Kontobewegungen rauszubringen, wenn sie sich wirklich dafür interessieren. Im schlimmsten Fall indem sie bei Dir daheim einbrechen und die brav ausgedruckten Auszüge im Ordner kopieren (die meisten Leute machen das ja noch, was ich überhaupt nicht begreifen kann). Sollen sie doch glücklich werden mit diesem Wissen... fassen wir zusammen: Wer Deine Umsätze wirklich wissen will, der findet sie auch so raus. Auch in Zukunft. Auch dafür ist SCA sinnlos.

Wofür ist sie dann gut? Nuuuuun. Wir dürfen die sog. FinTechs (Unternehmen, die Geld damit verdienen wollen, irgendwelche Finanzdienstleistungen an den Mann zu bringen, die zum größten Teil überhaupt nicht gebraucht werden (oder würden, wenn anderes sinnvollgeregelt wäre)) nicht vergessen. Diese möchten Zugriff auf Kundenkonten haben. Jetzt hätte man es sinnvoll regeln können, indem man sagt, der Kunde kann in seinem Onlinebanking eintragen "Fintech XY erhält Zugriff auf meine Umsatzdaten ab dem 1.1. dieses Jahres und zwar bis nächste Woche Dienstag". Dann hätte das Fintech über die PSD2-Schnittstelle eine Anfrage an die Kundenbank gestellt "hallo hier FinTech XY (ausgewiesen durch unser Zertifikat), gib uns bitte die Umsätze des Kunden ab 1.7.". Die Bank hätte in der Tabelle nachgeschaut, ja, ist vom Kunden genehmigt, und die Umsätze ausgeliefert. Wenn Fintech gesagt hätte "Umsätze ab Christi Geburt" dann hätte es nicht gepaßt und wäre abgelehnt worden. Genauso wenn das Fintech übernächste Woche nochmal gekommen wäre und aus irgendwelchen dubiosen Gründen wieder Umsätze hätte haben wollen, dann wäre das abgelehnt worden wegen Auslauf. Dazu noch ein Logfile, in dem der Kunde sehen kann, wer wie oft auf welchen Bereich zugegriffen hat - alles wunderbar.

Nein, die FinTechs hatten Angst, dass die Kunden mit der Einrichtung einer Zugriffsberechtigung überfordert gewesen wären (wie dumm sind Kunden eigentlich?) oder aber halt bei der Einrichtung nachgedacht hätten und zur Besinnung gekommen wären und sie dann NICHT eingerichtet hätten... das wollte man vermeiden. Deswegen erfolgt der Zugriff über Weitergabe der Logindaten samt PIN - wohlgemerkt der KUNDENLOGINDATEN. Es gibt da also keinen Unterschied. Damit der Fremde diese Kundenlogindaten nicht bis zum Ende aller Zeiten nutzen kann kommt nun SCA in's Spiel. Die soll den Designfehler wieder glattbügeln und dem Kunden etwas Hoheit zurück geben. Nicht bedacht (oder aber ignoriert) wurde dabei, dass das jeglichen gewollten Automatismen den Todesstoß versetzt und teils sogar gegen die Interessen der FinTechs geht. Nehmen wir den Fall eines Haushaltsbuchs in der Cloud - wo regelmäßig die Umsätze von der Bank geholt und aufbereitet werden sollen. Bei jeder Abholung/Aktualisierung bräuchte man wiederum eine TAN, die man an den Cloudanbieter gibt, der gibt sie weiter an die Bank und dann kommen Umsätze. Sehr effektiv und sinnvoll für etwas, was regelmäßig passieren soll.

Oder: Man führt die Echtzeitüberweisung ein. Über die kann man auch streiten in der derzeitigen Form. Aber wenn sie schon da ist, sollte sie auch für etwas nutze sein. Musterbeispiel: Ich bestelle etwas, überweise den Rechnungsbetrag in Echtzeit und der Händler kann die Ware SOFORT ins Paket stecken und absenden. So weit die schöne Theorie. Wie schaut das in der Praxis aus? Der Kunde überweist unter Verwendung von mindestens 2 TANs seinen Betrach in Echtzeit. Und beim Händler? Da muss jetzt entweder eine Person mit eigenem Bankzugang aufs Firmenkonto (man muß ja TANs generieren können) ständig dasitzen und entweder alle 5 Minuten von Hand einen Umsatzabruf auslösen oder einen automatisch ausgelösten mit generierten TANs versorgen. Wie sinnvol ist das denn? Somit wird der Echtzeitzahlungseingang seinen Weg auf das Kundensystem erst mal nicht finden und der Versand erfolgt erst mal nicht. Sehr sinnvoll.

Weiter gehts damit, dass durch SCA die Banken eine Vorreiterstellung erhalten. Wieso das? Bank-Apps sind besser gestellt als andere. Bank-Apps kann man unter Mobil-Betriebssystemen ans Gerät "binden" und dann braucht man keine ZusatzTANs mehr. Gibt es Apps freier Anbieter, die das auch können? Nein. Was ist mit der viel zitierten Gleichstellung?

Oder Stichwort PhotoTAN: Bei den Bank-Apps auf dem Handy gibt es meist eine Funktion, mit der die angezeigte PhotoTAN-Grafik durch einen Kurzschluß direkt in dei PhotoTAN-App übernommen wird und die dort erzeugte TAN über einen Kurzschluß wieder in die Bankeigene BankingApp übernommen wird. Schnell und einfach. Gibt es das auch für Fremdanbieter-Apps? Nein. Die kann man in dem Umfeld nicht nutzen, es sei denn, man hat ein zweites Scan-Handy oder ein PhotoTAN-Gerät dabei. Unpraktikabel. Bisher konnte man dann unterwegs nur keine Zahlungsaufträge durchführen, jetzt mann man unterwegs auch keine Umsätze mehr abfragen. Nur noch mit der bankeigenen App. Gewollt?

Unter PC-Betriebssystemen kann man nun also kein Programm an das Gerät "binden", so dass diese zusätzlichen Abfragen unterbleiben können. Schade. Hätte man da nicht irgend einen EINHEITLICHEN Weg definieren können? Z.B. einen USB-Stick, der Identität gibt, und an diese Identität kann man Programme binden? Und damit den Faktor Besitz erfüllten? Und das für ALLE (!!!!!) Banken gleich? Nein, auch darauf ist man nicht gekommen.

Alles in Allem sehr unbefriedigend. Es ist hier jetzt eine recht lange Antwort geworden, aber ich habe mir endlich mal gesammelt den Frust über die Idiotien von der Leber geschrieben.

P.S.: Sorry Olaf, Du hast natürlich Recht, aber ich hab das geschrieben, bevor Dein Kommentar da war und dann mußte ich das jetzt auch veröffentlichen...

Es gibt bei einem lesenden Zugriff aber nicht "nur" Kontoinformationen. Da kann man wunderbar Daten für einen Identitätsdiebstahl abgreifen. Selbst die reinen Kontoinformationen sind schon viel zu viel.

@hbciuser
Überweisungen werden ja nicht anonym durchgeführt. (Treuhand/Durchlaufkonten sind ja nicht Standard)

bei Lastschriften bekommt man ja auch einige Daten.

Das hast du völlig Recht und das Thema wird uns bestimmt über eine gewisse Zeit ständig begleiten und dann vermutlich abflauen.
Gruß
Raimund

Durchaus - aber ich habe den Eindruck, dass HBCI für derartige Massenverarbeitung nie konzipiert wurde. Und wer es doch getan hat, hat wohl eine Möglichkeit gefunden, wie er das mit den TANs in den Griff bekommt - die waren ja vorher schon nötig (für Transaktionen).

Da bin ich mit Dir einer Meinung - die 90-Tage Regel oder beliebige andere Maßnahmen, die dazu führen, dass nicht jedesmal die TAN abgefragt wird, führt das System ad absurdum.

Tja, wenn man das Sicherheitskonzept des TAN-Generators in Verbindung einer EC-Karte der Bank nicht verstanden hat, kann man natürlich durchaus auf solche Probleme stoßen.

Du vergisst sämtliche andere personenbezogenen Daten, Anschrift, Geburtsdatum, teilweise Beruf, Ehepartner, Telefonnumern.

Die sehen aber wiederum nur die Stammdaten.

Ein einfacher remote-Hack (Keylogger oder das Kopieren von irgendwelchen Dateien) führt dann aber nicht mehr zum Ziel. Wenn es nicht die dämliche 90-Tage-Regel gäbe.

Sehe ich nicht so - einen physischen Einbruch bekomme ich mit (einen virtuellen nicht unbedingt). Und selbst der hilft ihnen nicht weiter, weil sie ohne meine Karte genau gar nichts machen können (wenn ich nicht da bin ist auch meine Karte nicht da). Da brauchen sie schon beides (Karte und TAN-Generator) dafür. Selbstverständlich wird nach einem Einbruch die Karte gesperrt, sollte sie weg sein bzw. der TAN-Generator.

Da kann ich mich jetzt doch nicht zurückhalten und muß sagen:
Diese Art von User "nicht diskutieren wollen" kann nicht untergehen, weil die gleich einen eigenen Beitrag mit Anspruch auf Exklusivbeantwortung aufmachen, ohne vorher irgendwas gelesen zu haben. LOL
Ich weiß, ist bösartig, aber trifft leider oft zu.