Ueber Sinn und Unsinn der 90-Tage-Regel

Hallo Kollegen,

Wie allgemein bekannt haben einige (viele? die meisten?) Banken eine "grace period" von bis zu 90 Tagen waehrend der man fuer bestimmte read-only Geschaeftsvorfaelle keine TAN liefern muss.

In der Regel wird das von den Banken und Regulatoren als "convenience feature" angepriesen (und mich wuerde es nicht wundern wenn man bei einigen Banken sogar extra dafuer zahlen muesste). Ich finde dieses "feature" eher kontraproduktiv, aus folgenden Gruenden:

• Vor dem Hintergrund von "Automatisierung via FinTS" hilft dieses 90-Tage-Zeitfenster gar nicht. Entweder ich kann "fuer immer" alles automatisch ausfuehren, oder ich muss jederzeit damit rechnen dass es eben nicht mehr geht und ich manuell eingreifen muss. Ob das Zeitfenster dabei 90 Tage oder 2 Tage betraegt spielt konzeptionell keine Rolle.
  
  
• Die Hauptzielgruppe dieser Regel sind wohl Privatanwender die manuell am Desktop/Smartphone arbeiten. In den letzten Jahren habe ich jedoch die Erfahrung gemacht dass i.d.R. folgendes passiert:
  
  
  • Nutzer richtet stolz wie Oskar sein neues Online-Banking mit SternGeld oder GnuGeld oder irgendeiner anderen Desktop-Software ein, konfiguriert push-TAN zu benutzen.
    
  • Nutzer holt am 1.7. das erste Mal Kontoauszuege ab, braucht dafuer eine TAN, zueckt seine push-TAN-App, authentifiziert sich darin mit PIN und/oder Fingerprint, und benutzt die TAN
    
  • In den folgenden 3 Monaten werden taeglich weitere Kontoauszuege abgeholt, "zum Glueck" ohne dass jedesmal eine weitere TAN benoetigt wird
    
  • Am 1.10. wird der naechste Kontoauszug faellig. Das 90-Tage-Fenster ist vorbei, eine neue TAN wird benoetigt. Panik! Was war jetzt nochmal die App die ich brauche fuer die TAN? Wie war nochmal mein Passwort fuer die push-TAN-App? Oder noch besser: ich habe seit 10.7. ein neues Smartphone, wie komme ich jetzt schnellstmoeglichst wieder an ein funktionierendes push-TAN-System? Am schoensten wird das wenn man gerade zu dieser Zeit im Urlaub oder auf Dienstreise ist, also keine Unterlagen griffbereit hat...

Die Hotlines laufen heiss - nervig sowohl fuer Anwender als auch fuer Betreiber.

Da Anwender trotz der 90-Tage-Regel ja grundsaetzlich JEDERZEIT damit rechnen muessen dass "gerade jetzt" wieder mal eine TAN gebraucht wird kann man auch nicht sagen "vor dem Urlaub erzwinge ich mal die Verwendung einer TAN, so dass ich in den naechsten 4 Wochen sicher sein kann dass ich keine mehr brauche und ich mein Handy zu Hause lassen kann".

Mit anderen Worten: die 90-Tagen-Regel ist voellig fuer den Popo und erfuellt eigentlich ueberhaupt keinen Zweck.

Ich faende eine 1-Tages-Regel sehr viel sinnvoller:

• Fuer Nutzer die jeden Tag ihr Onlinebanking benutzen wird es einfach zur Routine einmal taeglich eine TAN einzutippen (genauso wie viele von uns wohl jeden Morgen einmal ein VPN-Passwort/Token erzeugen und eingeben muessen).
  
  
• Fuer Nutzer die Onlinebanking eher sporadisch nutzen um mal eben auf den Kontostand zu schauen hilft die 90-Tage-Regel wenig (sie wissen eh nie ob gerade heute wieder eine TAN gebraucht wird oder nicht). Diese Nutzergruppe muss eh immer dafuer gewappnet sein eine TAN generieren zu koennen. Warum also nicht jeden Tag? Haette den Vorteil dass man sein Passwort nicht so schnell vergisst, und dass man staendig dafuer sorgt dass die benoetigte Applikation auch installiert / up-to-date / funktionsfaehig ist...

Just my 2 cent.

Und wie immer gibt es bestimmt gute Gruende warum die Welt ist wie sie ist, aber diese Gruende sind wohl zu komplex und wiedermal ausserhalb dessen was ich verstehen kann...

Dass die sichere Authentifizierung durch die 90-Tage-Regel völlig ausgehebelt wird, darüber brauche wir nicht reden, das ist klar.

Du hast bei Deinen Betrachtungen aber wohl nur Lieschen Müller und den deutschen Hort mit einem Giroionto bedacht und andere Zielgruppen vergessen, die auch viel mit HBCI arbeitet, weil EBICS einfach zu hölzern und vor Allem zu teuer ist:
Das sind kleinere und nicht so kleine Unernehmen. Für die wäre Banking ohne 90-Tage-Regel quasi nicht mehr nutzbar. Es ist oft üblich, dass ein/e Angestellte/r (mitunter auch mehrere Personen) täglich - oft auch mehrfach - Umsätze abruft (indem er einfach den hinterlegten Automatismus im Computer anstößt) und verarbeitet und damit irgendwas "auslöst" - z.B. Versendungen. TANs zu generieren - mit denen man Geld verschieben kann - ist aber meist dem Inhaber/Geschäftsführer vorbehalten. Ohne 90-Tage-Regel müßte JEDES Mal der GF/Inhaber dies selbst tun - was nicht darstellbar ist oder man müßte am Ende einem halben Dutzend Mitarbeitern eigene Abruf-Bank-Zugänge einrichten lassen - macht niemand. In solchen Fällen ist 90 Tage Automatik - auch vor dem Hintergrund, dass man nicht genau weiß, wann der nächste Eingriff droht - ganz sicher sehr viel besser als das oben Geschilderte.

Oder mein Fall: Ich bin in der Hausverwaltungsbranche tätig. Ich muss mindestens einmal täglich von ca. 350 Konten bei insgesamt 15 verschiedenen Banken Umsätze abrufen. Mit 90 Tage-Regel muss ich natürlich hier und da mal eine TAN generieren und eingeben - aber immer nur bei einer oder ein paar Banken. Ohne 90-Tage-Regel müsste ich mich jedes Mal ne halbe Stunde hinsetzen und zugucken, wie der Abruf läuft und 15 mal beim Bankwechsel eine TAN eigeben. Ich würde kotzen!

Leute, die ständig ihre Passwörter vergessen und mit ihren Apps auf dem Handy nicht zurecht kommen, die sollten nicht als Muster hergenommen werden. Wenn man ein neues Handy will, dann muss man eben alles vom einen auf das andere umziehen. Wenn man das nicht schafft oder zu faul dazu ist und alles erst macht, wenn es garnicht mehr geht, darf man sich nicht beschweren und sollte besser bei Zettel und Notitzblock bleiben - oder chipTAN oder photoTAN-Gerät usw. einsetzen. Derlei Leute hätten früher im Urlaub auch sicher nicht ihre TAN-Liste zur Hand gehabt und hätten dann keine sooo dringende Überweisung tätigen können. Einen täglichen TAN-Zwang einzuführen, nur damit faule Leute sich kümmern müssen - das ist ein Unding anderen Leuten gegenüber, die damit arbeiten (!) müssen.

Auch sollte man sich mal Gedanken machen, weswegen die sichere Authentifizierung mit 2 Faktoren überhaupt eingeführt wurde. Man wollte es dem Kontoinhaber offenbar nicht zumuten, dass er für Dritt-Dienste einen extra Zugang anlegt/verwaltet/dem Dienstleister weitergibt. Der Dienstleister bekommt die "normalen" Logindaten und PIN vom Kontoinhaber und arbeitet darüber via PSD2-Drittanbieter-Schnittstelle. Man hatte wohl von seiten der Anbeiter Angst, dass ein Kunde es sich nochmal überlegt, wem er Zugriff gewärt, wenn es etwas "umständlicher" ist - oder eben einfach zu ungeschickt ist, mehrere Zugänge zu überblicken. Somit hätte der Dienstleister jetzt bis in alle Ewigkeit die Umsätze des Kunden kontrollieren können - ohne dass dieser es merkt. Dem sollte mit der TAN ein Riegel vorgeschoben werden. Aber auch das wird natürlich über die 90-Tage ausgehebelt. Sei's drum. Wer Drittanbieter/Zahlungsauslösedienste braucht, der soll dann auch damit leben. Oder eben seine PIN ändern, wenn er meint.

Auch eine fasche Annahme Deinerseits ist übrigens, dass "alle Apps" regelmäßig nach der 90-Tage-TAN fragen. Die bankeigenen Apps binden sich regelmäßig an das Smartphone, auf dem sie laufen und dabei wird nur bei der ersten Benutzung eine TAN zur Koppelung/Legitimierung des Gerätes abgefragt. Danach stellt das Smartphone, an das die App gebunden ist, den 2ten Faktor da. Eine weitere TAN-Abfrage zum Umsatzabruf wird dann nie mehr kommen.

Ganz meine Meinung!!! Genau das finde ich das Irrsinnigste an dieser TAN-für-Alles-Mögliche (vom Login über Abruf der Postbox bis was weiß ich)-Forderei. Leute, die sich nicht so genau auskennen, werden nun viel leichter TANs für irgendwelche Betrügereien eingeben, weil sie eben NICHT mehr davon ausgehen, dass sie damit Geld bewegen, sondern es gewohnt sind, TANs inflationär einzugeben.

Warum verwenden die Banken dazu nicht einfach die Kundensystem-ID? Oder anders herum gefragt: Welchen Sinn oder Zweck hat denn die Kundensystem-ID bei FinTS, wenn nicht genau für so etwas?

Aber nur, wenn es bankübergreifend geht und ich nicht für jede einzelne Bank einen anderen Dings eintecken muss. Und so weit, dass man was gemeinsam verwendet, wird es bei unseren Banken nie kommen. Dass das bei EBICS funktioniert, ist für mich eh ein großes Wunder.

sollen wir Richard David Precht hinzuziehen.

FinTS sagt ja auch nicht jedem zu. (siehe Kommentar/User-Historie)

die aktuelle Lage ist doch allen bekannt und weder die Entwickler noch die Banken sind erfreut, da es viel Arbeit gekostet hat, die entsprechenden Umstellungen durchzuführen.
Auf der anderen Seiten sollen die Zugangsdaten ja auch nicht die Runde machen, sondern die "digitale Untschrift" über Pin/TAN soll nachvollziehbar sein (soweit möglich). Des Weiteren können so pro User auch die Nutzungsrechte (bspw. nur Kontoauszugs-Abruf) durch die Bank vorgegeben werden.

Ganz nebenbei ist die chipTAN-USB Variante nicht so weit vom herkömmlichen Handling entfernt und die oben erw. neu push-Variante wird evtl. auch einfacher.
(die Sparkassen haben ja bspw. bei der push-App Version 3 - rollout für iOS schon erfolgt - weitere Erleichterung angekündigt)

Das kommt davon wenn man entwickelt bevor man ein Konzept hat.

Oder andersrum (im Falle vom HBCI und FinTS seit Jahren bekannt): die Spezifikation basiert offensichtlich jedesmal auf schon existierenden Implentierungen. Mit anderen Worten: was von irgendeinem der Software-Riesen mal implementiert wurde und "zu funktionieren scheint" wird zum Standard erhoben indem es einfach in das naechste FinTS-Spec-Dokument geschrieben wird.

Das erklaert auch warum...
* ...vorgeschlagene konzeptionelle Aenderungen niemals beruecksichtigt (oder auch nur kommentiert) werden.
* ...es so viele proprietaere "specialties" gibt, was dazu fuehrt dass die Spec an manchen Stellen viel "weicher" ist als sie sein muesste, und an anderen Stellen dafuer sorgt dass Banken einfach entgegen der Spec arbeiten und auf "tolerant readers" auf Client-Seite hoffen
* ...manche Konzepte so "daneben" sind" einfach weil sie irgendwie in eine schon existierende Loesung reingepatcht wurden anstatt die zugrundeliegenden Probleme / Konzepte mal wirklich neu zu ueberdenken.

Hast Du das immer noch nicht begriffen?

Es gibt keine Lösung für eine Automatisierung in Deinem Sinne.

Da kannst Du hier (wo wir so ignorant sind - aber auch anderswo nach Belieben) seitenweise schreiben, das mag alles noch so fundiert sein - das ändert nichts aber auch garnichts am Status Quo. Es sei denn, Du schaffst es, die EU-Vorgaben in Deinem Sinne zu ändern und die beteiligten Banken dazu zu bringen, wieder alles zu ändern. Und da hab ich so meine Zweifel, dass Du da irgend einen Erfolg haben wirst

Es ist so, wie es ist - zumindestens derzeit. Friß oder stirb. Eine Andere Wahl hast Du nicht, egal wie sehr Du zappelst.