Ich halte das schon für machbar.
Beim Login darf nach meiner Interpretation tatsächlich unter gewissen Bedingungen auf die Abfrage einer starken Authentifizierung verzichtet werden. Ob die Bedingungen dafür zutreffen, wird aber unter Umständen erst NACH dem Login ermittelbar.

Die Möglichkeiten, die da bleiben sind entweder den Dialog beenden und einen komplett neuen Login anfordern oder den bestehenden "schwachen" Login durch spätere Abfrage der starken Authentifizierung zu "eskalieren". Ansonsten würde der Passus mit den 90 Tagen ja sowas von gar keinen Sinn ergeben.

Dann verhält sich die HypoVereinsbank zukünftig also "gesetzeswidrig". Ich mußte grinsen, als ich beim Login heute folgendes angezeigt bekam:Zumal sie für HBCI nur noch SMS-TAN und Schlüsseldatei haben - beides Verfahren, die zumindestens als "zweifelhaft" bei der PSD2-Vereinbarkeit eingestuft werden.

Was heisst hier zweifelhaft bezüglich Schlüsseldatei...
Eine Schlüsseldatei ist eben kein Besitz sondern Wissen. Da fehlt schonmal von vorneherein der zweite Faktor.
Eine Chipkarte, die nach Eingabe einer PIN (außerhalb der Einflusssphäre der Bank) die Schlüsseldatei entschlüsselt ist auch nur Wissen. Die Bank nimmt als einzigen Faktor das, was der Kartenleser an Wissen auswirft...dass dieses Wissen durch eine PIN geschützt von einer Karte kommt kann die Bank dabei gar nicht verifizieren und damit ist es sogar noch nicht mal eine 2-Faktor-Auth.
Bei Chipkarten sieht das wieder etwas anders aus. Dort sind die zwei Faktoren tatsächlich Deine Onlinebanking-PIN (Wissen) und die Karte (Besitz...das reicht dann sogar ohne die Banking-PIN).

Bei der SMS-TAN trifft es "zweifelhaft" aber ganz gut...
Zunächst mal belegt die Empfangbarkeit einer SMS nämlich mal den Besitz einer gültigen SIM-Karte des Mobilfunknutzers. Allerdings ist es technisch nicht ausgeschlossen, dass es für eine Nummer mehrere SIM-Karten gibt. Damit reicht es für die Banken aber möglicherweise nicht, dass sie belegen können, dass eine SIM-Karte für die Mobilfunknummer dem im Besitz des Kontoinhabers ist.

Zweifelhaft in so fern, als es div. Banken gibt, die die Schlüsseldatei weiterhin nutzen (HypoVereinsbank, Commerzbank, Deutsche Bank). Und es weiterhin Bankengruppen gibt, die es uneinheitlich handeln. Hier die VR-Banken, wo die Schlüsseldatei bei manchen Banken komplett abgekündigt und teilweise schon außer Betrieb ist, anderen, wo die Schüsseldatei nach wie vor unverändert weitergeführt wird und manchen, wo die Schlüsseldatei für Privatkunden abgeschafft wurde, für Geschäftskunden aber weiter nutzbar ist, wenn auch keine neuen mehr ausgegeben werden. Das bezeichne ich nun mal mit zweifelhaft.

Wenn man Schlüsseldateien komplett als ungeeignet einstuft (diese Einstufung kann ich durchaus verstehen), dann ist die nächste Frage die, ob EBICS haltbar ist... Sehr zweifelhaft.

Nein, tut es eben nicht (mehr). Es gibt Anbieter, die SMS nicht nur auf die SIM-Karte ausliefern sondern auf Einstellung die SMS auch als Kopie per Mail in Echtzeit versenden. Weiterhin ist es problemlos möglich, sich aus dem Ausland als Netz auszugeben, in dem der Teilnehmer gerade roamt, und dann werden die SMS dort hin geliefert und NICHT mehr an die aktuelle SIM. Somit bekommt der Nutzer noch nicht mal was mit. Wie hätte eine gewisse Politikerin in der Vergangenheit gesagt: Bätschi lieber Kunde!

SMS war halt von Anfang an NIE als sicherer Kommunikationskanal ausgelegt.

Warum sollte man das auch belegen müssen? Wer sagt mir, dass der Kunde in einer TAN-App mit Fingerprint nicht auch die Fingerabdrücke seiner Frau hinterlegt? Kontrollieren kann man das unmöglich. Belegen muss das die Bank auch nicht. Genauso wenig wie das nur eine SIM-Karte im Einsatz ist.

Die Problematik an der SIM-Karte ist eher nicht das der Kunde in Besitz mehrer Karten ist (dessen Zugriff er selber kontrollieren könnte), sondern das hier unberechtigt Karten kopiert oder mit der Rufnummer des Kunden neu angelegt werden. Beispielsweise direkt vor Ort in den Shops. Gerade wieder selber erlebt, ich musste nur meine SIM-Karte der Mitarbeiterin geben, sagen das diese defekt ist und hatte 3 Minuten später eine neue Karte mit der aktuellen Rufnummer und neuer PIN in den Händen. Ohne Perso etc.

Genau das ist ja der Punkt.
Dadurch, dass man die SIM-Karte kopieren kann ist sie defacto kein Besitz mehr sondern Wissen.

Verrate doch mal, welcher Anbieter. Der wäre dann auf absehbare Zeit nicht (mehr) meiner.

Mobilfunk-SIM kann man kopieren? Ist da was an mir vorbeigegangen? Quellen?

Man höre und staune: Ich habe heute einen langen Plausch mit dem EB-Spezialisten meiner Haupt-Bank aus der VR-Gruppe gehabt. Dabei habe ich erfahren, dass andere diese Idee auch schon hatten. FiduciaGAD lässt die div. VR-Banken das so handhabnen, wie sie sich entscheiden. Das heißt, das restriktivste Modell ist, dass bei jedem Login eine TAN gefragt wird. Das benutzerfreundlichste ist, dass erst nach 90 Tagen ohne TAN eine solche abgefragt wird.

Meine Haupt-Bank wird es so einführen, dass erst nach 90 Tagen eine TAN abgefragt wird - und zwar nach dem "lisari-Modell". Wenn irgend ein TAN-Pflichtiger Auftrag erfolgreich durchgeführt wird, dann wird der Zähler zurückgesetzt. Also wer einmal im Quartal eine Überweisung macht, der wird die Login-TAN niemals zu sehen bekommen. Die haben intern diskutiert und gemeint, dass alles Andere den Kunden nicht zumutbar wäre und auch gerade bei im professionellen Umfeld eingesetzten HBCI zu riesen Aufwand und Problemen und Hotlineeinsätzen führen würde. Allein die Abfrage von Umsätzen könnte sonst nur noch von Mitarbeitern durchgeführt werden, die Verfügungsberechtigungen/TANs haben...

Es war bei der Telekom direkt, allerdings wurde die Rufnummer noch erfragt damit die mich im System finden. Ich war trotzdem sehr überrascht, dann ohne weitere Legitimation eine neue Karte mit zwei neuen PINs/PUKs und bisheriger Rufnummer in den Händen zu halten. Ich würde aber behaupten das wird bei den meisten Anbietern so easy sein. Der Risikofaktor ist halt hier der Mitarbeiter vor Ort, das sich da alle an die Arbeitsanweisungen in den Shops halten, darf bezweifelt werden. Bekommst du bestimmt bei jedem anderen Anbieter genauso hin.

das ist aber bei einer Girocard o.ä. auch nicht anders, war seit langem mal in der Filiale und hab mitgeteilt/vorgelegt, dass diese nicht richtig funktioniert.
neue wurde beantragt und die alte soll ich nach Erhalt der neuen vernichten ... die "alte" wurde nicht gesperrt.

Das ist aber schon ein Unterschied, da man dir die neue girocard mit Sicherheit an deine dort hinterlegte Adresse dann geschickt hat. Die SIM-Karte hat man mir einfach so in einem Umschlag mitgegeben, wäre die per Post gekommen, würde ich ja gar nichts sagen. Die scannen da einfach einen Umschlag ein und hinterlegen den in deinen Account. Schwups ist die Karte auf dich registriert. Eine girocard wird speziell für dich erstellt und dann per Post verschickt. Das sind keine Rohlinge die man dir direkt in der Filiale in die Hand drückt.

@B.N.: Was passierte mit Deiner alten/defekten SIM? Wurde die geprüft (über die SIM-Nummer wäre ja festgestanden, dass Du die aktuelle SIM in Händen hast) und dann einbehalten oder hast Du die neue bekommen, ohne die alte vorzuzeigen und konntest womöglich die alte auch noch behalten? In letzterem Fall wäre ja jegliche versprochene Nachschulung der Mitarbeiter völlig ins Leere gelaufen...

Die alte SIM habe ich gezeigt, ich hätte die auch wieder mitnehmen können. Die müssten die aber sowieso deaktiviert haben, die wird online auch nicht mehr angezeigt. In sofern könnte man mit der wohl sowieso nichts mehr anfangen.

Nee, mir gehts darum: Wenn Du die alte gezeigt hast und der MA die Nummer der alten SIM mit der derzeit aktiven im System verglichen hat, dann wurdest Du "hintenrum" doch identifiziert, da der MA dann hätte sagen können "Der Kunde hat die derzeit auf die Nummer aktive SIM in der Hand, also ist er der richtige Kunde"... Dass die SIM nach Umschaltung auf die neue wertlos ist, ist klar.

SIM-Karten haben ja Seriennnummern und diese werden dem Account/Rufnummer zugewiesen das wars.
der sofortige Austausch wird hier Service genannt

bei der Bank gibt es als Service die Karte 5-10 Tage später - jep per Post (was auch kein Service sein muss)
Service wäre hier, wenn die Karte direkt in der Filiale erhältlich wäre bzw. kurzfristig wie bei KK (binnen 24 h)
die Sicherheit bspw. im Telefonbanking ist ja auch "vorbildlich" (ironie) denn der Call-Center-Mitarbeiter frägt die Kontonummer und Kartennummer ab, die selbstverständlich auf jeder Karte aufgedruckt sind, dh. sobald man im Besitz der Karte ist, hat man mehr oder weniger vollen Kontozugriff - bisher hat die Presse diese Sicherheitslücke noch nicht in Brennpunkt genommen.

aber wer kommen @all(e) arg off-Topic

Kommt auf die Bank an, meine Banken sind da schneller Die Telefon-SIM mit der Girocard zu vergleichen ist wie Äpfel mit Birnen zu vergleichen. Die Telefon-SIM ist eine nichtpersonalisierte SIM, die ich mir zu tausenden ins Regal legen kann und dann nur durch Eingabe der Seriennummer zum entsprechenden Vertrag zuordne. Eine Girocard ist eine personalisierte Karte. Sollte da jetzt jede Bankfiliale entsprechende Kartendrucker vorhalten und noch ein Prägegerät für Kreditkarten? Und alle MA entsprechend schulen? Von den Diebstahlrisiken für Kartenrohlinge und Produktionisgeräte in der Filiale ganz zu schweigen? Halte ich für keinen gangbaren Weg. Zumal ich erwarte, dass die physischen Karten immer weiter zurückgehen werden... Bei der Sparkasse meiner Mutter habe ich letztens eine Girocard für mich auf ihr Konto bestellt. Das war am Freitag vor 12 Uhr. Die MA sagte mir "da haben Sie Glück, es ist vor 12 Uhr, die wird dann Dienstag oder Mittwoch schon zugeschickt". Und so war es auch. Das finde ich eigentlich durchaus ausreichend.

Das mag vielleicht für reine Filialbanken gelten, bei denen der Kundenberater den Kunden kennt. Bei den Banken, bei denen ich Kunde bin, geht der Kontozugriff nur mit einem Telefonbanking-Login, wenn man nicht mit dem Kundenberater spricht, der einen kennt.

Das ist aber doch aber keine ausreichende Legitimation. Die Karte könnte auch jemand geklaut haben mitsamt Handy.

Ja, aber es wäre besser als nichts.

Und: Wenn ein Dieb die Karte geklaut hat, sie also in Händen hält, dann wird er damit sein dunkles Geschäft durchziehen, und sie nicht in eine andere umtauschen, wobei er womöglich auffliegt...

Wie gesagt im Callcenter, also nicht in der Filiale und die kennen mich auch kaum, weil ich 1 max 2x im Jahr in der Filiale bin.
fürs Telefonbanking gibt es bei "meiner Sparkasse" kein sep. Login