DKB will Chip-TAN-Verfahren in Q1 2023 einstellen(?!) und tan2go funktioniert auf aktuellem Huawei-Handy nicht.

Bei den Aussagen von "normalen" Bannkmitarbeitern (und an andere kommst Du als Kunde nicht dran) sollte man immer Vorsicht walten lassen

Die EDV der DKB wird ja von FI, dem Rechenzentrum der Sparkassen, gemacht. Somit ist die DKB immer davon abhängig, was es dort "noch gibt" und was nicht. Die uralte Lösung mit der HBCI-Chipkarte wurde vom Sparkassenlager komplett ausgemustert, die DKB hat sie so lang es irgend ging am Leben erhalten (schon allein wegen Ihrer Geschäftskunden im Hausverwaltungsbereich) und musste sie aber schließlich auch abkündigen und Einstellen, weil die FI die entsprechenden Systeme nach jahrelanger Vorankündigung stillgelegt hat. Die endgültige Abschaltung ist aber schon einige Zeit her.

Eine Abschaltung von chipTAN ist ganz sicher nicht geplant, da es bei den Sparkassen eines der zwei Standardzugangsmedien für kleinere Kunden (privat wie Firmenakunden) ist. Hier ist nur zu beachten, dass künftig ausgegebene Karten eine andere Chip/OS-Archtektur haben, als die bisherigen. Dies hat zur Folge, dass sehr alte Chipkartenleser (die mit Flickercodeübertragung und teilweise die mit usb-Anschluss) mit diesen neuen Kartengenerationen nicht mehr können. Was aber auf jeden Fall geht sind die seit knapp 2 Jahren empfohlenen Leser mit Übertragung per QR-Code. Somit braucht man halt ab Januar zum Betreiben von chipTAN eine kostenpflichtige Girocard und wenn das eine Karte der neuen Generation ist auch einen aktuellen Leser. Somit kann das nicht mehr Standardverfahren sein, so wird es ja auch in allen Unterlagen propagiert.

Was TAN2go betrifft - das ist 1:1 das von den Sparkassen verwendete pushTAN Verfahren. Nur die Optik der DKB-Appist etwas anders. Das Verfahren ist das Gleiche. Gescannt wird dabei übrigens nichts. Der Bankrechner sendet eine push-Mitteilung darüber, dass eine TAN vorliegt, ans Handy, womit dann die App aufgerufen wird (kann aber auch von Hand aufgerufen werden). Dann holt sich die App über das Internet die Auftragsdaten vom Bankrechner, präsentiert diese dem Kunden und dieser gibt den Auftrag frei. In fast allen Fällen wird daraufhin aber keine TAN angezeigt, sondern diese sofort über das Netz zurückgeschickt. Damit ist der Auftrag erledigt. Lediglich bei nicht angepassten HBCI-Programmen, die dieses ganz moderne Verfahren noch nicht können, muss die TAN von Hand eingetippt werden. In jedem Fall werden Auftragsdaten nicht per Scan eines Codes übertragen und können auch nicht von Hand eingegeben werden. Das App-Verfahren hat ein komplett anderes Design als das chipTAN-Verfahren. Ist ja klar, die App hat nicht den Chip der Girocard, der die Sicherheit durch Kryptographie in dem Verfahren brinngt.

Dass HBCI bei der DKB abgeschafft werden könnte, halte ich für absolut abwegig. Hintergrund ist, dass einer der Kundenkreise der DKB seit jeher Hausverwalter sind. Diese haben naturgemäß einen sehr umfangreichen Zahlungsverkehr. Sowohl der Zahlungseingang als auch ausgehende Zahlungen sind umfangreich. Man brauch maschinenverarbeitbare Umsätze die vollautomatisch über viele Konten abgerufen werden und man muß massenweise Zahlungsaufträge absetzen können, ohne jeden einzelnen Auftrag freizugeben. Beides ist mit TAN2go nicht darzustellen. Mit chipTAN auf dem Weg usb gibt es da durchaus komfortable Möglichkeiten, die von dieser Kundengruppe massiv genutzt werden. Wenn nun also HBCI wegfallen würde, könnte man sich sofort von einer kompletten Kundengruppe verabschieden - das ist undenkbar. Alternative für diese Kunden wäre zwar noch EBICS, aber das ist komplizierter und vor allem erheblich teurer und somit doch keine wirkliche Alternative. Somit: Wegfall von HBCI ist in meinen Augen absolut nicht zu erwarten. Wurde so auch nirgends angekündigt.

Und was "gestern hieß es noch keine Gebühren für Bestandskunden, heute werden doch Gebühren eingeführt" - die Welt dreht sich täglich weiter und gerade die Banken unterliegen heute massiven wirtschaftlichen Zwängen, denen sie sich - wie der Rest der Welt - nicht auf Dauer entziehen können. Dass da jetzt Gebühren auch für die Bestandskunden eingeführt werden, irgendwo orientiert man sich halt auch am Bankenumfeld - wo es schon überall Gebühren dafür gibt. Das Einzige, was man vorwerfen könnte, waren die Werbeaussagen "dauerhaft gebührenfrei". Solche Aussagen sind von vorneherein fragwürdig, weil kein Bankmanager und auch sonst niemand wissen kann, was die Zukunft bringt und wie man drauf reagieren muss. Somit sind solche Aussagen das was sie sind - Werbeaussagen mit viel heißer Luft. Das sollte man als Kunde eigentlich wissen bzw. bemerken und sie nicht als vertraglich fest zugesicherte Tatsache ansehen und dann hinterher erbost sein, wenn sie von der Wirklichkeit überrollt werden. Würde man es auch glauben, wenn eine Firma im Rahmen einer Werbung verspricht, dass ein Gewinner seine Heizkosten "bis zum Lebensende" von der Firma bezahlt bekommt? Wer das glaubt ist blauäugig. OK, bei Klassik-Radio gibt es derzeit eine Verlosung, die diese Übernahme der Heizkosten verspricht - aber halt nur für EIN JAHR. Dem kann man wohl trauen, aber alle Versprechen über "dauerhaft" sind heiße Luft.

Ich frage mich gerade, warum man die Sicherheit eines Huawei ohne *guggels* CSM mit dem gspace teilweise wieder "ausser Kraft" setzt. Hast du denn noch nie etwas von apk-Dateien gehört?

Diese Datei habe ich mit Hilfe von FDroid, was auch wieder eine APK ist, auf dem Tablet/Smartfon installiert.

...und nein, auf dem vertrauenswürdigen mobilen Gerät ist nur die tan2go installiert. Auf diese bekomme ich dann die TAN, ausgelöst von dem wunderbaren Hibiscus-Rechner.

betreibe Aufklärung/Nachhilfe
topic.php?t=25283
denn die Unternehmen werden in Zukunft immer mehr Probleme mit Kunden/Zahlungen bekommen

Auch andere Banken (u.A auch einige Volksbanken) fangen an Girokarten bei den Kontomodellen extra zu bepreisen während eine KK kostenfrei dabei ist. Könnte also der Begin eines Trends sein.

Rückfrage heute bei der DKB hinsichtlich der folgenden offenen Punkte ergab:

1. Unterstützung (aktuelle) Huawei-Handys ohne Google-API: nichts zu machen. Wird nicht supportet (derzeit). Man sei aber wohl dran, zu versuchen, die APP in den Store von Huawei zu bekommen. Dann sollte dabei ja auch das Problem mit den Google-APIs bereinigt werden. Dass die Nummer via gspace halbwegs funktioniert, war wohl nicht bekannt.

2. Angedeutete Abschaltung der Chip-TAN: Es steht noch nicht fest, ob und wann die Chip-TAN abgeschaltet wird. Die Kunden würden dann aber rechtzeitig vorher informiert. Ich solle mir keine Sorgen machen.

3. Angedeutete Abschaltung HBCI: Es ist nichts bekannt, ob und wann HBCI abgeschaltet wird. Die Kunden würden dann aber rechtzeitig vorher informiert.

Meine Frage, ob z.B. die Chip-TAN noch gesichert ein Jahr funktioniert, weil ja die Girokarte für ein Jahr im Voraus bezahlt wird, wollte man mir nicht beantworten. Auch hier: die Kunden würden rechtzeitig vorher informiert.

Nun kann jeder mit den Aussagen machen, was er möchte ... .

Die Notifications haben bisher durchaus funktioniert. Was aber blöd ist, wenn man mehrere TAN-Aktionen hintereinander hat, scheint man immer 4 Minuten warten zu müssen, bis die letzte Aktion ausgetimed ist. Man kann die nicht einfach weglicken und für die nächste Platz machen. Oder wird die noch nicht ausgetimte TAN automatisch von einer neu generierten überschrieben - habe ich nicht getestet.


Super! Danke für die Info. Dann weiß ich jetzt, was ich erwarten kann und was nicht!

Naja, ich bleibe so lange wie möglich bei der Chip-TAN und werde im Zweifel die Bank wechseln, wenn sie Chip-TAN tatsächlich kippen sollte. Tan2go ist mir zu wackelig und ständig muss man bei einer neuen Version damit rechnen, dass es nicht mehr geht, weil irgendein Schlaukopf die Idee hatte, irgendwelche Android Versionen z.B. nicht mehr unterstützen zu wollen oder gar ganze Plattformen ausschließt, ... .
Oder eben gleich zu einer Bank gehen, bei der die Girocard noch nicht abgekündigt* wird und sie auch nichts kostet (ja, die gibt es). Traurig aber wahr. So ein Theater hatte ich bisher noch mit keiner einzigen TAN-App (und ich habe durchaus einige hier). Wie kann man nur so ... sein, und eine Banking-App an ein dediziertes Google-Framework binden. Von Datenschutz halten die Jungs offensichtlich auch nicht viel. Das sagt eigentlich schon alles.

*1 € pro Monat zu verlangen kommt für mich einer Abkündigung gleich - erst bepreisen, dann wird sie von der Mehrzahl der Kunden gekündigt, dann ist sie preislich nicht mehr rentabel mangels Masse -> Abkündigung - das ist ja schlussendlich das Ziel.

Schön wär's. Der Button erscheint erst, wenn die 4 Minuten abgelaufen sind .

Ich weiß nicht, von welcher Äpp du hier immer schreibst. Die tan2go der DKB ist das nicht. Siehe

Eine einzelne TAN bleibt 5(!)Minuten in der tan2go angezeigt.
Sobald ich in Hibiscus die TAN eingegeben habe, kommt sofort die nächste TAN in tan2go an usw. usf., wenn mehrere Aufträge zu erledigen sind.
Und nein, ich muß auch nicht vorher die tan2go-App bereits geöffnet haben, sie meldet sich selbstständig nach Abschicken des ersten Auftrags in Hibiscus.

Was ihr schreibt, ist so pauschal, wie geschrieben, allein schon technisch betrachtet, unmöglich bzw. nur in speziellen Situationen möglich. Warum?
Damit der Push-Server eine Nachricht schicken kann, muss er erstmal wissen, wohin er die Nachricht IP-technisch überhaupt schicken soll - d.h., er muss die IP-Adresse des Zieldevices kennen. Damit er diese kennt, muss sich das Device (bzw. genauer, die App) am Push-Server registrieren (vulgo: seine IP-Adresse abliefern). Erst dann ist es technisch überhaupt erst möglich, dass der Server Push-Nachrichten schicken kann.
Wenn ein Handy ständig an ist, ist das kein Problem (weil ja die "Verbindung" non stop steht). Wenn ein Handy aber nur dann eingeschaltet wird, wenn man es für diesen Kram hier benötigt (oder es sonst zwischendurch mal aus ist, warum auch immer), muss man die App erstmal starten (oder das passiert automatisch - auch möglich), damit die sich beim Server meldet - erst dann sind Push-Nachrichten technisch grundsätzlich erst möglich. Gleiches gilt auch beim IP-Adress-Wechsel (das Handy als Solches muss ja deswegen nicht gänzlich aus gewesen sein).

Nächste Punkte der grundsätzlichen technischen Erreichbarkeit für die Push-TAN sind, selbst wenn der Server die IP kennt:
Entweder der Server hat ständig eine IP-Connection offen zum Device (was durch meinen Trace nicht bestätigt wird - es wird keine Verbindung offen gehalten nach der Registrierung - zumindest im konkreten Fall), oder der Server erreicht einen Listener auf dem Device. Das ist aber ausschließlich dann möglich, wenn die IP des Devices nicht genattet ist (also selbst eine globale IP hat und fw-technisch eingehende Verbindungen erlaubt sind) bzw. das Device hinter keinem Proxy steckt.
IAW: damit das so funktioniert, wie von Euch beschrieben, muss das Handy IP-technisch grundsätzlich eingehende Verbindungen zulassen - hätte also mit Sicherheit nichts mehr zu tun oder die Verbindung wird serverseitig ständig offen gehalten (was ich nicht glaube und was ich hier auch nicht belegen konnte durch meinen Trace). Beim Starten der App wird eine Verbindung zum Server aufgebaut, nach einer TAN gesucht und diese bei Vorhandensein angezeigt. Falls nicht, wird eben keine angezeigt. Auf jeden Fall wird die Verbindung jedes mal danach wieder geschlossen.
Ein Click auf TAN abrufen oder so ähnlich, macht wieder eine neue Verbindung auf (und beendet sie auch gleich wieder). Falls dann eine angezeigt wird, beginnt der Timer. Eine Nutzung der TAN wird nicht gespiegelt (zumindest nicht beim Anmelden am Internetbanking / Webinterface - vielleicht wäre das im Zusammenhang mit einer Transaktion anders - habe ich noch nicht getestet).

Mein Handy hier steckt im IPv4 WLAN (und wäre damit genattet) und obendrein hinter einem Proxy. Nur so hat man (komfortabel) die Möglichkeit, sämtlichen Verkehr zu kontrollieren und den meisten unerwünschten Verkehr (-> Tracking, "Telemetriedaten", ...) zu blocken. Das ist verdammt viel.

Ich muss mich an zwei Stellen korrigieren:
Die TAN ist tatsächlich für 5 Minuten gültig (da habe ich wohl zu spät geschaut - also noch schlimmer) und Push-TAN, im Sinne von: selbst die geöffnete App würde eine generierte TAN melden, ist nicht. Ich muss die selbst abrufen (was ja auch kein Problem ist). Das habe ich wohl mit einer anderen App einer anderen Bank, die ich hier habe, verwechselt (oder es hat mit meinem alten Huawei-Handy funktioniert, das ja noch offiziell die Google-APIs drauf hat - das kann auch sein).

Wie auch immer: mit allem kann ich problemlos leben - außer, dass man eine genutzte TAN nicht selbst abbrechen kann. Das ist in wenigen Fällen nervig - aber sei's drum. Da haben die Jungs einfach nicht zu Ende gedacht (genauso, wie bei der Bindung an die Google-API). Was aber ein nogo ist: dass man jederzeit davon ausgehen muss, dass eine neue App-Version kommt, die dann z.B. Gspace einfach erkennt und dann, aus irgendeinem obskuren, vorgeschobenen Grund, die Zusammenarbeit verwehrt. Dann würde man plötzlich ohne Authentication dastehen (wenn Chip-TAN nicht mehr zur Verfügung steht). Da ich mir von der Bank nicht das Handy diktieren lasse, ist an dieser Stelle eben Feierabend. Die neue Bankverbindung ist parallel schon im Aufbau!

Das ist in dieser Pauschalität falsch. Zumindest die Telekom macht einen pppoe-Restart in der "neuen" IP-Umgebung schon seit seeehr vielen Jahren nur alle 6 Monate.

Das geht aber ausschließlich über den IP-Weg und dafür muss derjenige, der den Kontakt aufbaut (also hier der Bankingserver), die aktuelle IP-Adresse des Devices kennen und er muss per IP durchkommen (was bei NAT oder gesperrter Firewall oder Proxy, ... technisch unmöglich ist). Die IMEI hat mit der IP-Kommunikation gar nichts zu tun.


Genau da liegt die Lösung des technischen Problems: Der Bankserver schickt (hoffentlich wenigstens nur!) die Info an den Google-Trackingserver, dass auf dem Handy mit der IMEI x (hier kommt die IMEI ins Spiel, weil Google's Trackingserver natürlich das Mapping kennt zwischen IMEI und IP-Adresse des zugehörigen Devices) die App y gestartet werden soll. Du wirst dann hoffentlich noch nach dem Password für die tan2go App geprompted. Dann nimmt die tan2go-App die Verbindung zum Bankenserver auf und präsentiert Dir die Transaktionsdaten und die zugehörige TAN, die Du dann eingeben musst im HBCI-Tool.

Warum via Goolge's tracking server? Sobald Du ein (natives android) Handy einschaltest (und nicht mehr machst), geht allein schon eine massive Kommunikation zu einer ganzen Latte an Servern los - u.a. natürlich Google's tracking server. Wenigstens eine dieser Verbindungen wird dauerhaft offengehalten. Über genau diesen Weg kann dann Goolge alles mögliche auf Deinem Handy machen - z.B. auch die tan2go-App starten.
Diese Verbindung zu Google wird mit aller Gewalt versucht aufzubauen (selbst eingestellte Proxys werden ignoriert) und auch stabil gehalten. Sobald die abbricht (z.B. weil ein IP-Adresswechsel stattgefunden hat hinten raus zum Provider), wird nach einem kurzen Timeout die Verbindung sofort wieder neu hergestellt und Google weiß wieder, wie Dein Device zu erreichen ist.

Dass die FI dann auch noch betont, dass die App auf gerooteten Devices aus Sicherheitsgründen nicht läuft (meine ich irgendwo gelesen zu haben) ist dabei, am Rande bemerkt, schon feinster Sarkasmus, wenn man bedenkt, dass die FI die Daten Google schon freiwillig präsentiert (und dafür u.U. sogar noch kassiert - aber wahrscheinlich keinesfalls bezahlt, weil Google natürlich kaum bessere Daten über Dich bekommen kann als diese - das sind schon sehr wertvolle Daten).

Du glaubst das alles nicht? Dann mache folgenden Test:
- Deaktiviere das NAT für die LAN-IP Deines Handys.
- Richte in Deinem Netz einen Proxy (z.B. Squid) ein.
- Konfiguriere Dein Handy auf den Proxy, so dass alle Verbindungen über den Proxy gehen müssen.
- Blocke dort alle Trackingserver oder Ähnliches (im Prinzip alles, was an Verbindungswünschen vom Handy nach dem Restart rausgeht, ohne dass Du auch nur eine App starten würdest - schaue Dir das 10 Minuten lang an). Die zu blockenden Server siehst Du ja im Squid-Acces-Log (kann man zumindest so einstellen) bzw. im Wireshark-Trace.
- Wenn alles sauber geblockt ist und damit kein (Tracking-)Server mehr erreicht wird, startest Du das Handy / Tablett neu. Dabei nochmal verifizieren, dass definitiv kein Verbindungsaufbau zu den relevanten Servern funktioniert. Der Verbindungsaufbau später beim Starten der tan2go-App zum Bankingserver darf natürlich nicht geblockt werden - der soll und muss ja funktionieren.
- Dann meldest Du Dich z.B. im https-E-Banking mit dem tan2go-User der DKB an. Die DKB will nun eine TAN von Dir.

=> Du wirst nun sehen, dass keine App mehr aufgeht. Die musst Du selbst starten und dann bekommst Du die TAN. Selbst wenn Du die App schon vorher gestartet hast (bevor Du den Login-Prozess im E-Banking gestartet hast), musst Du die TAN manuell holen.


Fazit:
Push-TAN, wie von Euch beschrieben bzw. beabsichtigt, funktioniert auf android-Devices nur "gesichert" (welch Sarkasmus) auf Basis von Googles Trackingserver. Sobald der ausgeknipst ist, ist ende Gelände. Kann ja technisch auch anders gar nicht gehen (dann müsste nämlich die FI das Tracking machen - was sie natürlich nicht macht, weil es das ja woanders schon gibt und außerdem nicht zu deren Kernkompetenz gehört). Daher auch der Hinweis im Datenschutz (welch weiterer Sarkasmus) .
Nebenbei: das begründet natürlich auch, warum man, wenn man mehrere Devices im Account für die tan2go App angelegt hat, angeben muss, welches Device genutzt werden soll. Sonst würde ja auf allen konfigurierten und aktiven Devices die App gestartet ... .