Im Zuge der PSD2-Umstellungen habe ich meinen bisherigen Bankzugang bei der 1822direkt von HBCI-Chipkarte auf deren TAN+ Verfahren umgestellt (Ich arbeite u.a. mit Banking4, doch das dürfte für mein Problem unbeachtlich sein). Um nicht jedes Mal die ganzen PINs händisch eingeben zu müssen, habe ich mir eigens ein neues Smartphone mit Fingerabdruckscanner zugelegt. Bei verschiedenen Instituten wo ich Konten unterhalte, funktioniert das auch gut und ich kann mit dem Fingerabdruck die Aktion auslösen,- nur nicht bei der TAN+ App der 1822 direkt. Die verlangt von mir immer die Eingabe der Programm-PIN, bevor sie die TAN dann weiterleitet.

Wegen dieses Problems habe ich am 28.10. per Mail bei der 1822direkt nachgefragt:

"..... Vielleicht war meine Anfrage ja auch nur unverständlich, obwohl ich, wie den Bewertungen im Google Shop zu entnehmen ist, nicht der Einzige mit diesem Problem bin. Ich präzisiere mein Anliegen daher nochmals:

Bei der installierten App "1822TAN+" würde ich gerne die Freigabe von Aufträgen mit dem Fingerabdruck initiieren, was indes nicht geht, weil das Programm beanstandet, dass ich bereits die Banking App so entsperrt hätte. Hierzu gibt es von Ihnen den Hinweis

"Bitte beachten Sie jedoch, dass aus Sicherheitsgründen die Freigabe von Aufträgen via "Biometrie" im Zusammenspiel 1822TAN+ und 1822direkt Banking App nur möglich ist, wenn Sie die 1822direkt Banking App nicht bereits mittels Biometrie entsperrt haben."

Wie allerdings bereits früher mitgeteilt, verwende ich diese App überhaupt nicht und sie ist auch auf dem Mobiltelefon nicht installiert.

Für einen Hinweis zur Problembehebung bin ich zu Dank verbunden."

Nach schriftlichen Erinnerungen am 14. und 26.11.2019 erhielt ich die nachfolgende Antwort:

"Gerne beantworten wir Ihre Frage. Bei der Verwendung einer fremden Banking App oder einer fremden Banking Software ist eine Entsperrung der 1822TAN+ App mittels Biometrie aus Sicherheitsgründen nicht möglich, da von unserer Seite aus nicht nachvollzogen werden kann, ob die fremde Banking App oder fremde Banking Software bereits ebenfalls mittels Biometrie entsperrt wurde."


Nachdem ich dort antwortete und (nicht ganz unerwartet) bis heute keine Erklärung zu diesen mir nicht verständlichen Ausführungen erhielt, möchte ich nun hier mal nachfragen, ob ich der "einzige Dumme" bin, der hier nicht klarkommt. Wie schon erwähnt, mache ich mit dem Handy kein Onlinebanking und verwende auch die aktuelle Programmversion des Instituts.

Für "Erleuchtendes" bin ich zu Dank verbunden.

Ich habe das gerade ausprobiert und es ist so, wie Du schreibst. Ich kann auch die Erklärung nachvollziehen. Sie bedeutet Folgendes:

Wenn Du einen Auftrag im WebBanking einreichtst, dann weiss die Bank sicher, dass dieses ihr eigenes WebBanking per Eingabe der PIN geöffnet wurde und nicht per Eingabe eines Fingerabdruckes (weil es das für's WebBanking nicht gibt). Wenn der Auftrag aber über HBCI kommt, dann weiss die Bank nicht, wie die App gestartet wird. Bei der 1822-eigenen App könnte da noch eine Interaktion auf dem gleichen Gerät stattfinden nach dam Motto "wenn die App per Fingerabdruck entsperrt wurde, dann lassen wir Fingerabdruck bei der TAN zu, sonst nicht". Wenn aber der Kunde irgend eine andere App benutzt (Starmoney, AlfBanco, Banking4 Android oder iOS, Outbank und so weiter), dann kann die TAN-App mit dieser fremden App nicht interagieren und herausfinden, ob diese nun per Fingerabdruck oder PIN entsperrt wurde. Somit könnte es vorkommen, dass die Fremd-App schon per Fingerabdruck entsperrt wurde und dann die TAN-App auch noch - und das wäre unsicher. Um auf jeden Fall den sichersten Weg zu gehen wird nun generell alles, wo man nicht prüfen kann, wie die HBCI-App entsperrt wurde, mit dem PIN-Eingabezwang belegt. Da über HBCI aber nicht nur Apps arbeiten sondern auch PC-Programme, ist es ein gewisser Kollateralschaden, dass damit PC-Programme auch grundsätzlich PIN eingeben müssen (nach dem Motto wir können nicht sicher ausschließen, dass eine App mit Fingerabruck genutzt wurde, also fordern wir eine PIN an).

Evtl. wird man in einer späteren Version mal was verbessern (z.B. indem man versucht festzustellen, ob die zugrundeliegende App ein PC-Programm oder eine Mobil-App ist und ob die auf dem gleichen Gerät läuft wie die TAN-App. Allerdings bin ich mir nicht sicher, ob man sowas wirklich final feststellen kann - und ob sich da wirklich was ändern wird.

Ja, es gibt Banken, wo grundsätzlich die TAN-App mit Fingerabdruck entsperrt werden kann, egal auf welchem Weg der Auftrag reinkommt (Sparkassen, VR-Banken z.B.). Aber wie sicher eine Bank ihre Abläufe gestaltet, obliegt der einzelnen Bank - sie ist ja auch haftbar, wenn Geld wegkommt und der Ablauf nicht "idiotensicher" war. Es gibt übrigens auch Banken, bei denen zur Freigabe einer Transaktion grundsätzlich die PIN nötig ist. Die ING ist ein Beispiel dafür - zum Start der App reicht ein Fingerabdruck, wenn man das will - der ersetzt die Mobil-PIN. Wenn man aber einen Zahlungsauftrag freigeben will, ist immer die Mobil-PIN direkt einzugeben, egal ob der Auftrag aus der App oder aus dem WebBanking stammt.

Bei Dir - mit einem gesonderten Smartphone nur zur Auftragsfreigabe - mag der Fingerabdruck sicher genug sein. Aber diese Verwendungsform ist wohl die absolute Ausnahme. Ich gehe davon aus, dass nahezu alle, die FreigabeApps benutzen, die auf ihrem normalen Smartphone nutzen. Und dabei ist eine Fingerabdruckfreigabe einfach zu unsicher - sei es von der Technik her oder sei es von Zwang her (Bösewichter können Dich irgendwo abfangen, das Smartphone aus Deiner Tasche ziehen, Geld bewegen und dann mit Zwang Deinen Finger auf den Leser drücken und weg ist das Geld). Ich habe bei meinen Freigabeapps den Fingerabdruck nur da aktiviert, wo Überweisungen nur auf vorgegebene Referenzkonten möglich sind. Bei allen, wo Überweisungen auf beliebige Konten möglich sind, ist mir das zu unsicher - zumal wenn es sich um nicht-eigene-Konten handelt, die damit bedient werden können.

Für Deinen Einsatzzweck ist das jetzt zwar "blöd", weil Du durch's Raster fällst, aber dafür ist der Einsatzzweck einfach zu exotisch, als dass darauf Rücksicht genommen werden würde. Insofern würde ich mich an Deiner Stelle darauf einstellen, dass das erst mal so bleiben wird, wie es ist. Damit kannst Du den Fingerabruck zum Entsperren der TAN-App nur dort nutzen, wo 1822direkt sicher weiß, ob das Banking schon mit FIngerabruck entsperrt wurde oder nicht, und das ist nun mal nur das WebBanking und die 1822direkt-App (die ich übrigens recht gelungen finde).

Trotz der ausführlichen Erklärungsversuche für die ich durchaus dankbar bin) überzeugt mich das nicht, denn sie konterkarieren die programmeigene Fehlermeldung, die ich schon zitiert habe:

"Bitte beachten Sie jedoch, dass aus Sicherheitsgründen die Freigabe von Aufträgen via "Biometrie" im Zusammenspiel 1822TAN+ und 1822direkt Banking App nur möglich ist, wenn Sie die 1822direkt Banking App nicht bereits mittels Biometrie entsperrt haben."

Die Bank behauptet damit, was durchaus sinnvoll ist, dass bei einer Verwendung der eigenen App auf demselben Mobiltelefon, wie dem TAN-Übermittler die biometrische Eingabe abgeschaltet sei. Das ist aber nicht meine Frage und auch nicht mein Fall. Eigentlich sollte jedes Kreditinstitut, wenn es denn wirklich besorgt wäre, von dieser Form der Verwendung abraten, was jedoch nicht geschieht, weil es kontraproduktiv wäre. Bei allen anderen TAN-Apps, die ich kenne und die ich z.T. einsetze, funktioniert die Biometrie, die Muttergesellschaft Frankfurter Sparkasse eingeschlossen.

Wenn die Dinge so wären, wie die Erklärung das darzustellen versucht, müsste nicht nur bei den Erläuterungen zum Programm, sondern auch von diesem selbst eine Klarstellung erfolgen, dass die Freigabe per Fingerabdruck nur möglich ist, wenn die Transaktion über das WebBanking stattfindet. Dann wären die Kunden (wie ich) vielleicht beleidigt über die mangelnde Funktionalität dieser App, die ja nun wirklich nicht mehr kann (und können muss), als eine notwendige TAN zu übermitteln, aber sie wüssten wenigstens, auf was sie sich eingelassen haben. Allein die 1822direkt hüllt sich in vornehmes Schweigen und der Kunde ist mal wieder der Dumme, der sich in Spekulationen ergehen darf. So stelle ich mir jedenfalls effiziente Kundenbetreuung nicht vor. Und ich bin mit dieser Einschätzung anscheinend auch in guter Gesellschaft, wenn ich mir die Kommentare im Google-Shop ansehe, doch das ist in der Tat dann ein anderes Thema.

Um es vorweg zu sagen: Ich bin absolut kein 1822direkt-FanBoy! Diese Bank hat gerade in der Vergangenheit einiges verschlafen (z.B. dass bis PSD2 für HBCI nur ListenTANs verwendet werden konnten war ein Unding). Allerdings hat sie auch immer wieder durch Innovationen geglänzt (man denke an die EUMEL in PGP-Verschlüsselter Mail).

Dass die Mutter 1822 es bei den TANs "anders" macht, ist nicht verwunderlich. Deren Banking (sowohl Web als auch HBCI) läuft direkt im Rechenzentrum FI, und da ist das nun mal so geregelt, dass der Zugang zur TAN-App von keinen "äußeren Einflüssel" abhängt. Ich denke mal, dass die 1822 Mutter es nicht anders handhaben könnte, selbst wenn sie wollte, da die FI das eben so implementiert hat.

Die 1822direkt hingegen betreibt ein völlig eigenentwickeltes Kundenfrontend - sowohl für WebBanking als auch für HBCI. Deshalb auch die völlig eigenständigen TAN-Verfahren, die es in diese Form bei keiner anderen Bank gibt. Jede Bank hat ihre "Entscheider" - und die Entscheider der 1822direkt halten nun mal Zugang zum Bankprogramm UND Zugang zur TAN-App gleichzeitig per Biometrie für zu unsicher UND sie haben die Möglichkeit, im eigenentwickelten System das so umzusetzen, wie sie es entscheiden (im Gegensatz zur Mutter, die sowohl anders entschieden haben kann oder aber einfach das nehmen muss, was das Rechenzentrum FI für die gesamte Sparkassengruppe anbietet).

Ja, der Fehlertext könnte länger sein und noch besagen "Außerdem können Sie die Entsperrung per Biometrie bei allen fremden Programmen, die via HBCI kommunizieren, aus Sicherheitsgründen generell nicht verwenden, weil wir in diesen Fällen nicht feststellen können, ob das Bankingprogramm nicht auch bereits per Biometrie entsperrt wurde."

Daran hat bei der sicher bisher niemand gedacht, da die PSD2-Anpassungen wohl alle mit heißer Nadel gestrickt wurden (deswegen ist bei der 1822direkt die PSD2-konforme Version des HBCI-Bankings nicht im September sondern erst vor ca. 2 Wochen gestartet). Aber genau dies hat Dir der Support auf Anfrage mitgeteilt - mag sein, dass da noch eine Änderung bei den Meldungen kommen wird (wenn viele Kunden den Support deswegen bemühen) oder auch nicht. Wird man sehen. Jedenfalls ist es so wie es ist. Die Lösung der 1822direkt läuft jedenfalls - und zwar viel besser als bei so manch anderen Banken. Allein die Möglichkeit, dass man als Kunde selbst entscheiden kann, ob man bei JEDEM Login (gültig sowohl für Web als auch für HBCI) eine starke Authentifizierung haben möchte oder ob man die 90-Tage-Regel in Anspruch nehmen will, ist "etwas Besonderes". Ich kenne das so sonst nur von der Deutschen Bank und ihren Töchtern (norisbank).

Mag sein, dass sowohl die Sicherheitsentscheidung bzgl. Biometrie-Login in die TAN-App als auch die Fehlermeldung für manche Kunden unbefriedigend ist, sie ist aber irgendwo nachvollziehbar und sie ist auch erklärt. Man kann als Kunde heutzutage echt nicht mehr erwarten. Die Vorstellung, dass auf den einzelnen Kunden in einem solchen Massengeschäft eingegangen wird, ist abwegig. Und: Die Bank muss im Falle von Mißbrauch recht weitgehend haften, insofern muss sie auch entscheiden dürfen, was sie als sicher und was als zu unsicher empfindet und dies dann (wenn sie dazu in der Lage ist) umsetzen.

Insofern wird Dir nichts anderes übrig bleiben als "friß oder stirb". Entweder damit leben oder Dir eine "bessere Bank" mit kostenlosem Konto zu suchen. Sich darüber ärgern bringt jedenfalls gar nichts, außer vielleicht Falten und Magengeschwüre.

Und die Bewertungen im Google PlayStore sind wahrlich eine andere Sache. Ich habe oft das Gefühl, dass da nur diejenigen schreiben, die echoe Probleme oder sonst was auszusetzen haben und eh an allem rumnörgeln. Repräsentativ sind die auf keinen Fall. Beide TAN-Apps der 1822direkt - ob man sie toll findet oder nicht - funktionieren jedenfalls absolut klaglos und zuverlässig - auf meinem Handy und auf den Geräten in meinem Bekanntenkreis. Gegenüber der Konkurrenz ist das schon mal ne ganze Menge

Zwar kann ich trotz der wortreichen Ausführungen, denen ich in der Sache garnicht widersprechen möchte, nicht erkennen, weshalb die 1822direkt App besser laufen sollte als die Produkte der Konkurrenz, wo die doch gerade das hier in der Diskussion stehende Problem gelöst haben, denn, wie es sich nun hier in der Diskussion herausgestellt hat, liegt der Kern des Anstoßes wohl nicht an dem Fehler der App, sondern der Art, wie man für den Kunden damit umgeht.

Übrigens ist mein Konto dort schon seit Ewigkeiten nicht kostenlos, sondern wird jeden Monat mit € 2,50 honoriert,- und ich habe auch nie das Bedürfnis gehabt, das auf ein kostenloses Modell umzustellen, inzwischen vielleicht eher auf ein zufriedenstellendes.

Nur ein kleines update:

Inzwischen ist die App bei der Version 2.0 angelangt, aber der Fehler mit dem Fingerabdruckscanner besteht nach wie vor. Auf entsprechende Hinweise etwa im Play-Store kommt der bekannte stereotype Textbaustein "1822direkt Ges. der Frankfurter Sparkasse mbH18. Juni 2020
Hallo, gerne prüfen wir den Sachverhalt in der 1822TAN+ App für Sie. Bitte senden Sie uns hierzu einfach eine Nachricht über unser Kontaktformular: www.1822direkt.de/kontakt. VG"

Nicht einmal einen Hinweis hält dieses Institut für angebracht; das hätte man in den Monaten ja zumindest auf die Beine bekommen können, wenn man gewollt hätte. Das ist eben dort "realer Kundenservice" mit dem man als "König Kunde" leben muss, obwohl das mit dem Problem der Kostenoptimierung nicht einmal zu begründen ist. Und ich bin halt immer noch Kunde dort (siehe die treffende Bemerkung von msa oben), denn auf dem Abenteuerspielplatz "Banking-Apps" möchte ich mich freiwillig nicht weiter tummeln.