Hallo Kollegen,

Wie allgemein bekannt haben einige (viele? die meisten?) Banken eine "grace period" von bis zu 90 Tagen waehrend der man fuer bestimmte read-only Geschaeftsvorfaelle keine TAN liefern muss.

In der Regel wird das von den Banken und Regulatoren als "convenience feature" angepriesen (und mich wuerde es nicht wundern wenn man bei einigen Banken sogar extra dafuer zahlen muesste). Ich finde dieses "feature" eher kontraproduktiv, aus folgenden Gruenden:

• Vor dem Hintergrund von "Automatisierung via FinTS" hilft dieses 90-Tage-Zeitfenster gar nicht. Entweder ich kann "fuer immer" alles automatisch ausfuehren, oder ich muss jederzeit damit rechnen dass es eben nicht mehr geht und ich manuell eingreifen muss. Ob das Zeitfenster dabei 90 Tage oder 2 Tage betraegt spielt konzeptionell keine Rolle.
  
  
• Die Hauptzielgruppe dieser Regel sind wohl Privatanwender die manuell am Desktop/Smartphone arbeiten. In den letzten Jahren habe ich jedoch die Erfahrung gemacht dass i.d.R. folgendes passiert:
  
  
  • Nutzer richtet stolz wie Oskar sein neues Online-Banking mit SternGeld oder GnuGeld oder irgendeiner anderen Desktop-Software ein, konfiguriert push-TAN zu benutzen.
    
  • Nutzer holt am 1.7. das erste Mal Kontoauszuege ab, braucht dafuer eine TAN, zueckt seine push-TAN-App, authentifiziert sich darin mit PIN und/oder Fingerprint, und benutzt die TAN
    
  • In den folgenden 3 Monaten werden taeglich weitere Kontoauszuege abgeholt, "zum Glueck" ohne dass jedesmal eine weitere TAN benoetigt wird
    
  • Am 1.10. wird der naechste Kontoauszug faellig. Das 90-Tage-Fenster ist vorbei, eine neue TAN wird benoetigt. Panik! Was war jetzt nochmal die App die ich brauche fuer die TAN? Wie war nochmal mein Passwort fuer die push-TAN-App? Oder noch besser: ich habe seit 10.7. ein neues Smartphone, wie komme ich jetzt schnellstmoeglichst wieder an ein funktionierendes push-TAN-System? Am schoensten wird das wenn man gerade zu dieser Zeit im Urlaub oder auf Dienstreise ist, also keine Unterlagen griffbereit hat...

Die Hotlines laufen heiss - nervig sowohl fuer Anwender als auch fuer Betreiber.

Da Anwender trotz der 90-Tage-Regel ja grundsaetzlich JEDERZEIT damit rechnen muessen dass "gerade jetzt" wieder mal eine TAN gebraucht wird kann man auch nicht sagen "vor dem Urlaub erzwinge ich mal die Verwendung einer TAN, so dass ich in den naechsten 4 Wochen sicher sein kann dass ich keine mehr brauche und ich mein Handy zu Hause lassen kann".

Mit anderen Worten: die 90-Tagen-Regel ist voellig fuer den Popo und erfuellt eigentlich ueberhaupt keinen Zweck.

Ich faende eine 1-Tages-Regel sehr viel sinnvoller:

• Fuer Nutzer die jeden Tag ihr Onlinebanking benutzen wird es einfach zur Routine einmal taeglich eine TAN einzutippen (genauso wie viele von uns wohl jeden Morgen einmal ein VPN-Passwort/Token erzeugen und eingeben muessen).
  
  
• Fuer Nutzer die Onlinebanking eher sporadisch nutzen um mal eben auf den Kontostand zu schauen hilft die 90-Tage-Regel wenig (sie wissen eh nie ob gerade heute wieder eine TAN gebraucht wird oder nicht). Diese Nutzergruppe muss eh immer dafuer gewappnet sein eine TAN generieren zu koennen. Warum also nicht jeden Tag? Haette den Vorteil dass man sein Passwort nicht so schnell vergisst, und dass man staendig dafuer sorgt dass die benoetigte Applikation auch installiert / up-to-date / funktionsfaehig ist...

Just my 2 cent.

Und wie immer gibt es bestimmt gute Gruende warum die Welt ist wie sie ist, aber diese Gruende sind wohl zu komplex und wiedermal ausserhalb dessen was ich verstehen kann...

... und erkläre diese Logik mal deinen Eltern. Denen man jahrelang eingetrichtert hat, dass sie nur dann - und nur dann - eine TAN eingeben sollen, wenn sie wirklich eine Überweisung ausführen. Mit dem Merksatz "Eine TAN nur genau dann, wenn du Geld bewegen willst". Andernfalls handelt es sich um einen Angriffsversuch. Nicht mal als Entwickler kann man jetzt noch sicher vorhersagen, ob eine TAN-Abfrage kommen wird.

Dass die sichere Authentifizierung durch die 90-Tage-Regel völlig ausgehebelt wird, darüber brauche wir nicht reden, das ist klar.

Du hast bei Deinen Betrachtungen aber wohl nur Lieschen Müller und den deutschen Hort mit einem Giroionto bedacht und andere Zielgruppen vergessen, die auch viel mit HBCI arbeitet, weil EBICS einfach zu hölzern und vor Allem zu teuer ist:
Das sind kleinere und nicht so kleine Unernehmen. Für die wäre Banking ohne 90-Tage-Regel quasi nicht mehr nutzbar. Es ist oft üblich, dass ein/e Angestellte/r (mitunter auch mehrere Personen) täglich - oft auch mehrfach - Umsätze abruft (indem er einfach den hinterlegten Automatismus im Computer anstößt) und verarbeitet und damit irgendwas "auslöst" - z.B. Versendungen. TANs zu generieren - mit denen man Geld verschieben kann - ist aber meist dem Inhaber/Geschäftsführer vorbehalten. Ohne 90-Tage-Regel müßte JEDES Mal der GF/Inhaber dies selbst tun - was nicht darstellbar ist oder man müßte am Ende einem halben Dutzend Mitarbeitern eigene Abruf-Bank-Zugänge einrichten lassen - macht niemand. In solchen Fällen ist 90 Tage Automatik - auch vor dem Hintergrund, dass man nicht genau weiß, wann der nächste Eingriff droht - ganz sicher sehr viel besser als das oben Geschilderte.

Oder mein Fall: Ich bin in der Hausverwaltungsbranche tätig. Ich muss mindestens einmal täglich von ca. 350 Konten bei insgesamt 15 verschiedenen Banken Umsätze abrufen. Mit 90 Tage-Regel muss ich natürlich hier und da mal eine TAN generieren und eingeben - aber immer nur bei einer oder ein paar Banken. Ohne 90-Tage-Regel müsste ich mich jedes Mal ne halbe Stunde hinsetzen und zugucken, wie der Abruf läuft und 15 mal beim Bankwechsel eine TAN eigeben. Ich würde kotzen!

Leute, die ständig ihre Passwörter vergessen und mit ihren Apps auf dem Handy nicht zurecht kommen, die sollten nicht als Muster hergenommen werden. Wenn man ein neues Handy will, dann muss man eben alles vom einen auf das andere umziehen. Wenn man das nicht schafft oder zu faul dazu ist und alles erst macht, wenn es garnicht mehr geht, darf man sich nicht beschweren und sollte besser bei Zettel und Notitzblock bleiben - oder chipTAN oder photoTAN-Gerät usw. einsetzen. Derlei Leute hätten früher im Urlaub auch sicher nicht ihre TAN-Liste zur Hand gehabt und hätten dann keine sooo dringende Überweisung tätigen können. Einen täglichen TAN-Zwang einzuführen, nur damit faule Leute sich kümmern müssen - das ist ein Unding anderen Leuten gegenüber, die damit arbeiten (!) müssen.

Auch sollte man sich mal Gedanken machen, weswegen die sichere Authentifizierung mit 2 Faktoren überhaupt eingeführt wurde. Man wollte es dem Kontoinhaber offenbar nicht zumuten, dass er für Dritt-Dienste einen extra Zugang anlegt/verwaltet/dem Dienstleister weitergibt. Der Dienstleister bekommt die "normalen" Logindaten und PIN vom Kontoinhaber und arbeitet darüber via PSD2-Drittanbieter-Schnittstelle. Man hatte wohl von seiten der Anbeiter Angst, dass ein Kunde es sich nochmal überlegt, wem er Zugriff gewärt, wenn es etwas "umständlicher" ist - oder eben einfach zu ungeschickt ist, mehrere Zugänge zu überblicken. Somit hätte der Dienstleister jetzt bis in alle Ewigkeit die Umsätze des Kunden kontrollieren können - ohne dass dieser es merkt. Dem sollte mit der TAN ein Riegel vorgeschoben werden. Aber auch das wird natürlich über die 90-Tage ausgehebelt. Sei's drum. Wer Drittanbieter/Zahlungsauslösedienste braucht, der soll dann auch damit leben. Oder eben seine PIN ändern, wenn er meint.

Auch eine fasche Annahme Deinerseits ist übrigens, dass "alle Apps" regelmäßig nach der 90-Tage-TAN fragen. Die bankeigenen Apps binden sich regelmäßig an das Smartphone, auf dem sie laufen und dabei wird nur bei der ersten Benutzung eine TAN zur Koppelung/Legitimierung des Gerätes abgefragt. Danach stellt das Smartphone, an das die App gebunden ist, den 2ten Faktor da. Eine weitere TAN-Abfrage zum Umsatzabruf wird dann nie mehr kommen.

Ich bin kein Entwickler, sondern Supporter(in) und habe somit von der technischen Seite, mit der Ihr Euch beschäftigt, wenig Ahnung. Aber da dieses Thema auch mich im täglichen Leben betrifft, möchte ich auch etwas beitragen.

Ja, absolut, so ist es. Und es ist aus Hotliner-Sicht nicht das wahre Vergnügen, alle 90 Tage diese Diskussionen führen zu müssen. Es geht, klar, aber es hat z.B. unseren Support-Umfang im letzten Jahr drastisch vergrößert. pushTAN an sich ist schon ein support-technischer Alptraum, der eben jetzt durch steigende Nutzer-Zahlen (hallo, Corona!) und PSD verschärft wurde.

Aber: Bitte, bitte, bitte nicht jeden Tag. Bitte nicht. Ich würde mich schon bei dem Gedanken daran gern aus dem nächst gelegenen Fenster werfen. Erstmal gibt es genug Leute, denen schon die 90 Tage zu viel sind - reichlich davon - und die auch am Telefon entsprechend so auftreten, als wäre man persönlich Schuld an allem Übel auf Erden. Der Grund, den hibiscus genannt hat, finde ich allerdings persönlich viel treffender. Die Leute geben JETZT SCHON einfach mal eine TAN ein, "weil es halt da stand" oder auch "weil mir am Telefon gesagt wurde, da kommt gleich was für den Datenabgleich".

Ich möchte mir nicht mal ausmalen, was passiert, wenn wir *noch öfter* aus dem Nichts nach TAN fragen. Die Leute würden dann gar nicht mehr hinschauen, einfach abhaken, und bald - decoupled und so - drauf drücken. Wird schon stimmen, kommt ja von der Bank.

Ich verstehe Deinen Ansatz - aber von mir als kleiner Hotlinerin - ganz klares Nein.

Edit sagt: Danke @msa für Deine Sicht aus Geschäftskunden/Hausverwaltungs-Ansatz. Das Thema hab ich natürlich völlig ausgeklammert, obwohl ich auch solche Kunden am Telefon habe. Volle Zustimmung.

Ganz meine Meinung!!! Genau das finde ich das Irrsinnigste an dieser TAN-für-Alles-Mögliche (vom Login über Abruf der Postbox bis was weiß ich)-Forderei. Leute, die sich nicht so genau auskennen, werden nun viel leichter TANs für irgendwelche Betrügereien eingeben, weil sie eben NICHT mehr davon ausgehen, dass sie damit Geld bewegen, sondern es gewohnt sind, TANs inflationär einzugeben.

@kleiner77 Vielleicht ist es Dir noch nicht aufgefallen: Der viel größere Schwachsinn an der 90-Tage-Regel ist die Tatsache, dass diese nicht an ein Cookie/Token oder irgendetwas ähnliches gebunden ist. Einmal eine TAN Eingeben und der Zugriff ist für alle über alle Kanäle hinweg frei. Ein Angreifer, der sich für deine Umsatzdaten interessiert, kann also praktisch immer ohne TAN auf dein Konto zugreifen.

PSD2 macht den Abruf im Namen der Sicherheit umständlicher ohne jeglichen Sicherheitsgewinn. Umständlich ist es nur für den Kontoinhaber, der Angreifer hat weiterhin freie Bahn.

Man sollte die 90-Tage-Regel einfach wieder komplett abschaffen.

Wenn man eine bessere Sicherheit für den Abruf haben will, dann müsste man ein Cookie/Token basiertes Verfahren vorschreiben. So wie es alle anderen 2FA-Verfahren machen. Bei der ersten Einrichtung des Zugangs wird eine TAN angefordert und man bekommt ein Cookie/Token das man auf dem Endgerät speichert. Anschließend erfolgt der Zugriff mit PIN und dem gespeicherten Cookie/Token ohne TAN.

Warum verwenden die Banken dazu nicht einfach die Kundensystem-ID? Oder anders herum gefragt: Welchen Sinn oder Zweck hat denn die Kundensystem-ID bei FinTS, wenn nicht genau für so etwas?

Am besten wäre doch eine grundsätzliche Hardwarebindung. Fido2 hätte das Potential dazu.

Aber nur, wenn es bankübergreifend geht und ich nicht für jede einzelne Bank einen anderen Dings eintecken muss. Und so weit, dass man was gemeinsam verwendet, wird es bei unseren Banken nie kommen. Dass das bei EBICS funktioniert, ist für mich eh ein großes Wunder.

Hallo,

wie immer danke fuer euer Feedback/Meinungen.



Ganz im Gegenteil. Meine Hauptzielgruppe sind Leute / KMUs die ihr Banking via FinTS automatisieren wollen, sich aber EBICS nicht leisten koennen oder einfach keinen EBICS-Zugang von der Bank bekommen (auch wenn sie bereit waeren dafuer zu zahlen).



Das ist doch genau das Problem das ich beschrieb: "Meistens" kann Angestellter XY den Kontoabruf selbsteandig ausloesen. Und wenn es mal wieder so weit ist fuer eine TAN - was dann? Chef fuer 4 Wochen im Urlaub auf Sri Lanka... Wo kommt dann der naechste Kontoauszug her? Und leider weiss man nicht vorher wann die Bank wieder mal nach einer TAN fragt...



Genau so ist das. Und genau das ist auch der Grund warum das in EBICS funktioniert, weil es dort so gemacht wird.



Das ist voellig richtig und verstaendlich. Doch fuer dieses Problem gibt es genuegend Standard-Protokolle/Loesungen (e.g. OAuth2 oder Kerberos und andere) die genau dieses Problem loesen. Schade dass man offensichtlich ueberhaupt kein Interesse daran hat (habe in den letzten Jahren mehrmals versucht entsprechende technologische Detail zu diskutieren / zu etablieren).



Das wusste ich so im Detail nicht. Allerdings ist das auch gar nicht mein "Zielgebiet": mir geht es eher darum FinTS serverseitig zu verwenden, quasi als "backoffice-Technologie". Die Verwendung in Smartphone-Apps waere fuer mich eher zweitranging. Schon allein deshalb weil dann ja auch der "zweite Kanal" zur sicheren Authorisierung irgendwie kompromittiert waere.



Meine Erfahrungen vom Support-Team sind dass das eigentliche Problem eher die "erstmalige Verwendung" ist, bzw. der Fall dass eine PIN oder ein Zugang auf einmal nicht mal gueltig ist. Darum ging ich davon aus dass eine taegliche TAN-Verwendung keinen groesseren Support-Aufwand beschert. Im Gegenteil - Nutzer neigen weniger zu TAN-Amnesie oder zum Vergessen wie die ganze Technik zu benutzen ist.



Das Argument dass Nutzer einfach "immer" jede TAN-Abfrage bestaetigen werden ist nicht von der Hand zu weisen. Aber andererseits: ist es nicht genau das was die Banken (bzw. die PSD2-Regulatoren) eigentlich wollen? Lieschen Mueller soll im Idealfall fuer jeden Pups nach einer TAN gefragt werden. Wobei die TAN-Abfrage natuerlich die Info enthaelt WOFUER die TAN gedacht ist. Wenn Lieschen Mueller dann eine TAN blind eingibt ohne genau zu checken wofuer - selber schuld. Die Banken sind fein raus. PSD2 funktioniert. Keine Aktionen mehr ohne "free will".

Was ich sagen will: Mit PSD2 (in der urspruenglichen Version, ohne 90-Tagel-Regel) hat man eingefuehrt dass jeder Nutzer jeden Mist explizit mit einer TAN authorisieren muss. Und jetzt kommen hier Argumente auf die sagen "wenn ich jeden scheiss mit einer TAN authz muss dann gebe ich doch irgendwann immer einfach alles frei, weil es mich einfach nervt". Ganz richtig! Aber haette man sich das nicht vorher ueberlegen koennen anstatt dann nachher die urspruengliche Regel "aufzuweichen"?

Jetzt man hat man weder Fisch noch Fleisch: keine sichere Authentifizierung mehr (fuer bis zu 90 Tage), aber trotzdem auch keine full Automatisierungsmoeglichkeit.



Genau mein Punkt. Der derzeitige Mechanismus zum "Cachen" von validen Authentifikationen widerspricht jeglicher Vernuft (vermutlich entspricht er trotzdem PSD2 und wurde darum vom irgendeinem Gremium abgenommen).

sollen wir Richard David Precht hinzuziehen.

FinTS sagt ja auch nicht jedem zu. (siehe Kommentar/User-Historie)

die aktuelle Lage ist doch allen bekannt und weder die Entwickler noch die Banken sind erfreut, da es viel Arbeit gekostet hat, die entsprechenden Umstellungen durchzuführen.
Auf der anderen Seiten sollen die Zugangsdaten ja auch nicht die Runde machen, sondern die "digitale Untschrift" über Pin/TAN soll nachvollziehbar sein (soweit möglich). Des Weiteren können so pro User auch die Nutzungsrechte (bspw. nur Kontoauszugs-Abruf) durch die Bank vorgegeben werden.

Ganz nebenbei ist die chipTAN-USB Variante nicht so weit vom herkömmlichen Handling entfernt und die oben erw. neu push-Variante wird evtl. auch einfacher.
(die Sparkassen haben ja bspw. bei der push-App Version 3 - rollout für iOS schon erfolgt - weitere Erleichterung angekündigt)

Nicht wenn es nach mir geht. Philosophie hilft da nicht weiter.

Das kommt davon wenn man entwickelt bevor man ein Konzept hat.

Oder andersrum (im Falle vom HBCI und FinTS seit Jahren bekannt): die Spezifikation basiert offensichtlich jedesmal auf schon existierenden Implentierungen. Mit anderen Worten: was von irgendeinem der Software-Riesen mal implementiert wurde und "zu funktionieren scheint" wird zum Standard erhoben indem es einfach in das naechste FinTS-Spec-Dokument geschrieben wird.

Das erklaert auch warum...
* ...vorgeschlagene konzeptionelle Aenderungen niemals beruecksichtigt (oder auch nur kommentiert) werden.
* ...es so viele proprietaere "specialties" gibt, was dazu fuehrt dass die Spec an manchen Stellen viel "weicher" ist als sie sein muesste, und an anderen Stellen dafuer sorgt dass Banken einfach entgegen der Spec arbeiten und auf "tolerant readers" auf Client-Seite hoffen
* ...manche Konzepte so "daneben" sind" einfach weil sie irgendwie in eine schon existierende Loesung reingepatcht wurden anstatt die zugrundeliegenden Probleme / Konzepte mal wirklich neu zu ueberdenken.

Scheinbar interessiert sich hier jeder nur fuer interaktive Desktop-Applikationen. Ich bin hier wohl falsch mir meiner Suche nach Loesungen zur Automatisierung

Hast Du das immer noch nicht begriffen?

Es gibt keine Lösung für eine Automatisierung in Deinem Sinne.

Da kannst Du hier (wo wir so ignorant sind - aber auch anderswo nach Belieben) seitenweise schreiben, das mag alles noch so fundiert sein - das ändert nichts aber auch garnichts am Status Quo. Es sei denn, Du schaffst es, die EU-Vorgaben in Deinem Sinne zu ändern und die beteiligten Banken dazu zu bringen, wieder alles zu ändern. Und da hab ich so meine Zweifel, dass Du da irgend einen Erfolg haben wirst

Es ist so, wie es ist - zumindestens derzeit. Friß oder stirb. Eine Andere Wahl hast Du nicht, egal wie sehr Du zappelst.

Was hier an mehreren Stellen übersehen wird:
Der/die Angestellte soll nicht ohne offizielle Autorisierung und Legitimation ggü. den Banken die Daten aktualisieren dürfen. Es muss für die Leute eine Vollmacht her und das ist auch gut so.
Es gilt: Wer das Vertrauen hat, der darf auch die Daten des Kontos sehen und der sollte auch gegenüber dem Kreditinstitut eine offizielle Vollmacht und einen eigenen Zugang haben.
Und wenn der Zugang gestört oder gehackt ist, dann soll die Bank den Chef auf Sri Lanka ausfindig machen, während eigentlich der Angestellte seinen virenverseuchten Rechner für das Onlinebanking nutzt oder was?

Wer Bedarf an Automatisierungen hat, der benötigt entweder einen Dienstleister (Service-Rechenzentrum) oder ein Verfahren mit Signaturdatei, wie es EBICS oder einige Banken mit HBCI-Signaturverfahren bieten.