Naja um mal deine Punkte aufzugreifen:
- N26: In dem Fall sind die mit einem blauen Auge davongekommen, weil ein "Good Guy" denen das gesteckt hat. Trotzdem natürlich sehr hart, was über deren offiziellen API alles möglich war. Bin mal gespannt auf den CCC-Vortrag.
- mTAN: Clone-SIM war aber ein Sicherheitsproblem der Providers, nicht des Verfahrens selber. Mit Smartphones sind die mTANs aber natürlich über Trojaner abfangbar was natürlich schon daran liegt, dass sich Handys zu Mini-Computern und deren Sicherheitsrisiken entwickelt haben. Die Frage ist natürlich nur, wie aufwendig will der Nutzer arbeiten bzw. was ist ein angemessenes Verfahren welches Risiko und Nutzerfreundlichkeit gleichzeitig berücksichtigt. Da steckt das Problem atm.
- TAN/iTAN: Ist zumindest die Definition der PSD2 ja.
- photoTAN/pushTAN: Jep und weil sehr einfach offensichtlich implemetiert gewesen. Wirklich Prüfungen seitens der Banken ob das Gerät manipuliert war, gab es ja anscheinend nicht.
- EU Richtlinge: Das ist der Knackpunkt. Die PSD2 schreibt nichts von einer Hardwarelösung, streng genommen kann also auch eine Kanaltrennung durch eine Softwarelösung erlaubt sein. In sofern ändert die in der Hinsicht, rein gar nichts.
- Wo stehen die "umfangreichen Anforderungen" in Bezug auf Smartphones genau in der genannten EU-Richtlinie? Diese sind mir nicht bekannt.
- Problem ist nicht Mobile First sondern Mobile Only was gerne verwechselt wird. Auch in den Banken selber.
- Ne geht nur darum, dass beide damit werben möglichst easy Banking machen zu können ohne solche Hürden wie extra Hardware oder so ein Kram für die Transaktionsfreigabe. Das ist natürlich ein zweischneidiges Schwert, so viel ist klar. Die Frage stellt sich aber natürlich auch, was dagegen spricht wenn die Banken einfach die Haftungsfrage komplett übernehmen.