Moin zusammen,

da ja die DKB nun auch die Bestandskunden in Sachen girocard mit knapp 12 € pro Jahr und Karte belasten wird (ab 1.1.2023), bin ich am überlegen, wie ich weitermache.

Da es allein hier zwei Geschäfte gibt, die keine Visa-Debit-Karten akzeptieren (weil, zu teuer), ist für uns (wir haben 2 Karten) weiterhin wenigstens eine girocard must have - v.a. auch, weil ich HBCI via Chip TAN mache.

HBCI geht ja auch via tan2go - theoretisch zumindest. Auf einem aktuellen Huawei-Handy stürzt die App beim Scannen des QR-Codes ab und die Möglichkeit, die Daten von Hand einzugeben, geht daher auch nicht, weil die App ja vorher abstürzt. Auf einem älteren Huawei-Handy geht das Scannen zwar auch nicht - aber die App stürzt wenigstens an der selben Stelle nicht ab, sondern bietet dann die Möglichkeit, die Daten manuell zu erfassen - danach geht die App ganz normal und kann auch TANs empfangen.

Hintergrund für das Problem mit dem neueren Huawei-Handy:
Die App möchte die Apps Google Play Dienste und Store - die auf Huawei-Devices seit dem Boykott von Huawei durch die USA nicht mehr vorinstalliert sind (hier ist aktuell EMUI 12.0.0 drauf).
Ich habe daher die beiden Apps nachinstalliert. Dann startet die tan2go App - stürzt aber beim Scannen des QR-Codes ab (bzw., um genauer zu sein: beim Laden der Google Play Dienste - zumindest kommt da eine entsprechende darübergelegte Anzeige, die aussagt, dass diese jetzt geladen werden - dauert ca. 10s - dann stürzt die App ab).

Zu diesem Problem habe ich nun die DKB kontaktiert - natürlich heute keine Lösung bekommen, weil die Techniker Sonntags nicht da sind - muss ich bis Dienstag warten. Mache mir da aber nicht wirklich Hoffnung auf eine Lösung.

In diesem Zusammenhang hat mir der MA aber auch gesagt, dass die DKB in Q1/2023 plane, das Chip-TAN-Verfahren komplett einzustellen(!?). Was ich nun gar nicht verstehe, weil in meinem Änderungsangebot zum Vertrag ab 1.1.2023 explizit drin steht, dass Chip-TAN weiterhin unterstützt wird. Zitat:



Allerdings traue ich denen mittlerweile auch zu, dass sie zunächst zugesicherte Features ein paar Tage später kappen. Es wird ja in Sachen Salamitaktik Stück für Stück immer mehr abgerissen / "angepasst" in den letzten Monaten.

In wie weit HBCI als Solches weiterbetrieben werden soll (da hatte ich dann auch gleich nachgefragt), war er sich nicht sicher. Da werde ich am Dienstag auch nochmal nachhaken dazu. Das wäre ja echt der Hammer, wenn HBCI auch eingestellt werden sollte.

Wisst Ihr zufällig mehr zu den Themen tan2go auf aktuellen Huawei-Handys und Abschaltung Chip-TAN und evtl. komplette Abschaltung HBCI bei der DKB?

Ergänzung / Update:
Nach Durchackern der kompletten Änderungen habe ich den Eindruck, dass in Sachen bevorstehender Chip-TAN-Abschaltung auch eine Verwechslung vorliegen könnte. In den Differenzdokumenten wird die HBCI-Chipkarte entfernt. Nicht aber die Chip-TAN. Die ist explizit weiter Bestandteil der Funktionalität der girocard. Die Chip-TAN-Funktion entfällt aber, wenn man die girocard nach 2022 nicht bezahlen möchte (sie daher also deaktiviert / gesperrt wird).

Update 2:
Mittels gspace (2.0.7) scheint nun auch die tan2go-App zu funktionieren. Funktioniert im Sinne von: sie stürzt nicht mehr ab beim Scannen des QR-Codes und man hat damit die Möglichkeit, die Daten auch von Hand reinzuklopfen. Weiter bin ich noch nicht gekommen, weil ich erst auf die Daten fürs zweite Device warten muss - geht nur via Brief. Ich nehme aber mal an bzw. hoffe, dass der Rest dann auch funktionieren wird.

Bei den Aussagen von "normalen" Bannkmitarbeitern (und an andere kommst Du als Kunde nicht dran) sollte man immer Vorsicht walten lassen

Die EDV der DKB wird ja von FI, dem Rechenzentrum der Sparkassen, gemacht. Somit ist die DKB immer davon abhängig, was es dort "noch gibt" und was nicht. Die uralte Lösung mit der HBCI-Chipkarte wurde vom Sparkassenlager komplett ausgemustert, die DKB hat sie so lang es irgend ging am Leben erhalten (schon allein wegen Ihrer Geschäftskunden im Hausverwaltungsbereich) und musste sie aber schließlich auch abkündigen und Einstellen, weil die FI die entsprechenden Systeme nach jahrelanger Vorankündigung stillgelegt hat. Die endgültige Abschaltung ist aber schon einige Zeit her.

Eine Abschaltung von chipTAN ist ganz sicher nicht geplant, da es bei den Sparkassen eines der zwei Standardzugangsmedien für kleinere Kunden (privat wie Firmenakunden) ist. Hier ist nur zu beachten, dass künftig ausgegebene Karten eine andere Chip/OS-Archtektur haben, als die bisherigen. Dies hat zur Folge, dass sehr alte Chipkartenleser (die mit Flickercodeübertragung und teilweise die mit usb-Anschluss) mit diesen neuen Kartengenerationen nicht mehr können. Was aber auf jeden Fall geht sind die seit knapp 2 Jahren empfohlenen Leser mit Übertragung per QR-Code. Somit braucht man halt ab Januar zum Betreiben von chipTAN eine kostenpflichtige Girocard und wenn das eine Karte der neuen Generation ist auch einen aktuellen Leser. Somit kann das nicht mehr Standardverfahren sein, so wird es ja auch in allen Unterlagen propagiert.

Was TAN2go betrifft - das ist 1:1 das von den Sparkassen verwendete pushTAN Verfahren. Nur die Optik der DKB-Appist etwas anders. Das Verfahren ist das Gleiche. Gescannt wird dabei übrigens nichts. Der Bankrechner sendet eine push-Mitteilung darüber, dass eine TAN vorliegt, ans Handy, womit dann die App aufgerufen wird (kann aber auch von Hand aufgerufen werden). Dann holt sich die App über das Internet die Auftragsdaten vom Bankrechner, präsentiert diese dem Kunden und dieser gibt den Auftrag frei. In fast allen Fällen wird daraufhin aber keine TAN angezeigt, sondern diese sofort über das Netz zurückgeschickt. Damit ist der Auftrag erledigt. Lediglich bei nicht angepassten HBCI-Programmen, die dieses ganz moderne Verfahren noch nicht können, muss die TAN von Hand eingetippt werden. In jedem Fall werden Auftragsdaten nicht per Scan eines Codes übertragen und können auch nicht von Hand eingegeben werden. Das App-Verfahren hat ein komplett anderes Design als das chipTAN-Verfahren. Ist ja klar, die App hat nicht den Chip der Girocard, der die Sicherheit durch Kryptographie in dem Verfahren brinngt.

Dass HBCI bei der DKB abgeschafft werden könnte, halte ich für absolut abwegig. Hintergrund ist, dass einer der Kundenkreise der DKB seit jeher Hausverwalter sind. Diese haben naturgemäß einen sehr umfangreichen Zahlungsverkehr. Sowohl der Zahlungseingang als auch ausgehende Zahlungen sind umfangreich. Man brauch maschinenverarbeitbare Umsätze die vollautomatisch über viele Konten abgerufen werden und man muß massenweise Zahlungsaufträge absetzen können, ohne jeden einzelnen Auftrag freizugeben. Beides ist mit TAN2go nicht darzustellen. Mit chipTAN auf dem Weg usb gibt es da durchaus komfortable Möglichkeiten, die von dieser Kundengruppe massiv genutzt werden. Wenn nun also HBCI wegfallen würde, könnte man sich sofort von einer kompletten Kundengruppe verabschieden - das ist undenkbar. Alternative für diese Kunden wäre zwar noch EBICS, aber das ist komplizierter und vor allem erheblich teurer und somit doch keine wirkliche Alternative. Somit: Wegfall von HBCI ist in meinen Augen absolut nicht zu erwarten. Wurde so auch nirgends angekündigt.

Und was "gestern hieß es noch keine Gebühren für Bestandskunden, heute werden doch Gebühren eingeführt" - die Welt dreht sich täglich weiter und gerade die Banken unterliegen heute massiven wirtschaftlichen Zwängen, denen sie sich - wie der Rest der Welt - nicht auf Dauer entziehen können. Dass da jetzt Gebühren auch für die Bestandskunden eingeführt werden, irgendwo orientiert man sich halt auch am Bankenumfeld - wo es schon überall Gebühren dafür gibt. Das Einzige, was man vorwerfen könnte, waren die Werbeaussagen "dauerhaft gebührenfrei". Solche Aussagen sind von vorneherein fragwürdig, weil kein Bankmanager und auch sonst niemand wissen kann, was die Zukunft bringt und wie man drauf reagieren muss. Somit sind solche Aussagen das was sie sind - Werbeaussagen mit viel heißer Luft. Das sollte man als Kunde eigentlich wissen bzw. bemerken und sie nicht als vertraglich fest zugesicherte Tatsache ansehen und dann hinterher erbost sein, wenn sie von der Wirklichkeit überrollt werden. Würde man es auch glauben, wenn eine Firma im Rahmen einer Werbung verspricht, dass ein Gewinner seine Heizkosten "bis zum Lebensende" von der Firma bezahlt bekommt? Wer das glaubt ist blauäugig. OK, bei Klassik-Radio gibt es derzeit eine Verlosung, die diese Übernahme der Heizkosten verspricht - aber halt nur für EIN JAHR. Dem kann man wohl trauen, aber alle Versprechen über "dauerhaft" sind heiße Luft.

Im Rahmen der Tan-Generierung wird tatsächlich nichts gescannt - aber im Rahmen der initialen Einrichtung leider schon. Wenn man da nicht weiterkommt, weil die App abstürzt war es das dann eben , weil man das Verfahren erst gar nicht aktivieren kann. Aber mit gspace scheint ja das Problem gelöst zu sein (siehe meinen 2. Update im initialen Post).

Ich frage mich gerade, woher der Bankenserver wissen soll, wie er mein Device erreicht? Das setzt ja wohl voraus, dass ich die tan2go-App vorher gestartet habe, damit sich diese beim Bankenserver registrieren kann. Oder habe ich da was missverstanden?

Kann Hibiscus diese Methode ohne die TAN von Hand eingeben zu müssen? Man soll für dieses Verfahren ja pushtan einstellen laut Doku.

Ansonsten sehe ich das wie Du - ich kann es mir auch nicht wirklich vorstellen, dass chip TAN bzw. gar HBCI als Ganzes abgeschaltet werden soll. Mir ist beim Supportpersonal schon aufgefallen, dass HBCI und Co ein Buch mit 7 Siegeln ist. Obwohl der Betroffene bei Kollegen nachgefragt hat ... . Ich werde aber am Dienstag nochmal explizit in der Technik nachfragen, wo ich ja durchgestellt werden soll wg. des grundsätzlichen Problems der Installation / Freischaltung der App auf Huawei-Devices. Mal sehen was bei rauskommt.

Ich frage mich gerade, warum man die Sicherheit eines Huawei ohne *guggels* CSM mit dem gspace teilweise wieder "ausser Kraft" setzt. Hast du denn noch nie etwas von apk-Dateien gehört?

Diese Datei habe ich mit Hilfe von FDroid, was auch wieder eine APK ist, auf dem Tablet/Smartfon installiert.

...und nein, auf dem vertrauenswürdigen mobilen Gerät ist nur die tan2go installiert. Auf diese bekomme ich dann die TAN, ausgelöst von dem wunderbaren Hibiscus-Rechner.

Ich kenne apk-Dateien. Ich arbeite fast ausschließlich mit denen - gspace ist die erste Ausnahme - zwangsweise. Weil es anders (für mich) nicht ging. Das einfache nachträgliche Installieren von Google Play Store und Dienste hat eben nicht zum Erfolg geführt. Die App (welche die Google Play Dienste zwangsweise benötigt - ohne geht nicht, weil die Entwickler diese API nutzen) ließ sich dann zwar starten - aber nicht einrichten, weil sie während der Einrichtung abgestürzt ist während des Zugriffs auf die Google-API.
Man müsste jetzt korrekterweise die Frage stellen, warum die Tan2Go-App mit den Google-APIs entwickelt wurde. Da bin ich aber der falsche Adressat , weil ich sie nicht entwickelt habe. Ich bin nur leidtragender.

gspace macht im übrigen diesbezüglich nichts anderes, als die beiden relevanten apk's von Google zu installieren und in diesem speziellen Umfeld läuft dann auch die tan2go-App (die wird in das abgeschlossene Umfeld geklont, nachdem sie vorher (z.B. via apk) ganz normal installiert wurde - außerhalb läuft die nach wie vor nicht, weil da die Google-API offensichtlich nicht sichtbar ist).

Alle weiteren Google-Apps muss / kann man dann übrigens innerhalb gspace extra installieren - wenn man will - muss man aber nicht. Man muss noch nicht mal bei Google angemeldet sein bzw. ein Konto (konfiguriert) haben. Es muss nur die API installiert sein - mehr nicht.

gspace selbst ist aber recht gesprächig (habe ich im Trace gesehen). Das bekommt man aber über eine Firewall in den Griff - entweder via Proxy deny für bestimmte Ziele oder eben via Portfilter (ich nutze das Handy ausschließlich via WLAN und nur im Zusammenhang mit tan2go und damit gspace - eine mobile Internetverbindung kann das Device nicht machen). Ich sehe daher kein großes Problem.

betreibe Aufklärung/Nachhilfe
forum/topic.php?t=25283
denn die Unternehmen werden in Zukunft immer mehr Probleme mit Kunden/Zahlungen bekommen

Ich kann das nicht beurteilen, was da günstig ist oder nicht. Die (klassischen) Genossen stehen jedenfalls - zumindest im privaten Umfeld - üblicherweise nicht gerade im Verdacht, günstige Angebote zu haben - wie die KSKs ja auch (von Ausnahmen natürlich abgesehen).

Bei den betroffenen Geschäften wird ausschließlich via Lastschrifteinzugsverfahren operiert. 1% pro abgerechnetem Betrag finde ich jedenfalls schon happig.

In wie weit die Geschäfte zukünftig Probleme bekommen oder nicht, vermag ich nicht zu sagen. Die Masse hat stand heute nach wie vor Girokarten und die Anzahl der Kunden bei Anbietern wie DKB und Co mit ausschließlichem Konto dort ist dann doch eher übersichtlich (relativ betrachtet). Bevor ich kilometerweit fahre (und damit erhebliche Kosten zu tragen habe), um zu einem Laden zu kommen, der auch Visa akzeptiert, bleibe ich immer beim lokalen Angebot (v.a., wenn ich damit zufrieden bin). Ich schade mir doch nicht selbst!

Bist Du vr-payment MA oder Vertreter?

Auch andere Banken (u.A auch einige Volksbanken) fangen an Girokarten bei den Kontomodellen extra zu bepreisen während eine KK kostenfrei dabei ist. Könnte also der Begin eines Trends sein.

Sowohl Sparkassen als auch Genobanken setzen auf eine Co-Badge-Lösung (Giro-Card + Debit-Card von Visa oder Mastercard). So ist zumindest hier (noch) zu lesen. Die Girocard hat im Jahr 2021 auch wieder massiv zugelegt.

Das Kernproblem der Girocard: sie ist eine nationale Lösung für den stationären Handel und wird daher auch aus meiner Sicht kaum Zukunft haben, weil die Entscheider in D seit Jahrzehnten genauso unfähig wie beratungsresistent sind, IT richtig zu denken (-> think big statt lokalem Minimalansatz. Die haben bis heute das Internet noch nicht ansatzweise verstanden). Daher wirft man sich den Amis an den Hals und macht sich so vollkommen abhängig und erpressbar von denen. Ein kleiner Sprengsatz an ein paar Unterseekabel und die Wirtschaft in D steht. Vertragsverhandlungen? LOL. Der "Vertrag" wird hingelegt und die betroffenen Firmen unterschreiben alles wegen Alternativlosigkeit. Oder die Amis wollen aus irgendwelchen (erfundenen) Gründen die Zusammenarbeit einstellen (siehe Huawei z.B.). Oder ...

Warum soll eine Transaktion über 100 € teurer sein als eine über 1.000 €? Die Prozessschritte und die Aufwände sind die gleichen. Trotzdem soll man gemäß obigem Link für die 100 € - Transaktion 1 € bezahlen und für die andere 10 €. Das ist aus meiner Sicht Wucher. Kann man aber natürlich problemlos machen, wenn man quasi Monopolist ist. Womit wir genau an dem Punkt sind, was ich oben beschrieben habe ... .

Tolle Zukunft!

Ach, ich vergaß: ein Vorteil hat die Auslagerung (ja nicht nur bei den Bezahlsystemen) wahrscheinlich doch noch: wenn in D die Lichter und Netze ausgehen, weil kein Strom mehr verfügbar ist dank Energiewende ins Nichts (weil die Unfähigkeit und Beratungsresistenz der Entscheider an der Stelle genauso grenzenlos ist), laufen die in USA stehenden Systeme / Anwendungen wenigstens noch. Bringt dann zwar wenig, weil man ja mangels Strom von hier nicht mehr dran kommt - aber immerhin kommt man von außerhalb Deutschlands dran .

Rückfrage heute bei der DKB hinsichtlich der folgenden offenen Punkte ergab:

1. Unterstützung (aktuelle) Huawei-Handys ohne Google-API: nichts zu machen. Wird nicht supportet (derzeit). Man sei aber wohl dran, zu versuchen, die APP in den Store von Huawei zu bekommen. Dann sollte dabei ja auch das Problem mit den Google-APIs bereinigt werden. Dass die Nummer via gspace halbwegs funktioniert, war wohl nicht bekannt.

2. Angedeutete Abschaltung der Chip-TAN: Es steht noch nicht fest, ob und wann die Chip-TAN abgeschaltet wird. Die Kunden würden dann aber rechtzeitig vorher informiert. Ich solle mir keine Sorgen machen.

3. Angedeutete Abschaltung HBCI: Es ist nichts bekannt, ob und wann HBCI abgeschaltet wird. Die Kunden würden dann aber rechtzeitig vorher informiert.

Meine Frage, ob z.B. die Chip-TAN noch gesichert ein Jahr funktioniert, weil ja die Girokarte für ein Jahr im Voraus bezahlt wird, wollte man mir nicht beantworten. Auch hier: die Kunden würden rechtzeitig vorher informiert.

Nun kann jeder mit den Aussagen machen, was er möchte ... .

Bei Einrichten der App (also dem Scannen des Codes der bei dir nicht geht) oder nach dem manuellen Eingeben der Reg-Daten werden push-Notification Tokens beim Bankrechner registriert. Das kann mit deiner gebastelten g-Dienste Simulation natürlich Probleme geben. pushTAN aka tan2go funktioniert aber auch ohne Notifications, nur musst du dann eben wenn du einen Auftrag erteilt hast selbst die App öffnen und den Auftrag abrufen.




Es gibt zwei pushTAN Verfahren im FI-Sparkassenumfeld. Das alte mit manueller TAN-Eingabe im Bankingprodukt (Verfahren 921). Und das neue pushTAN 2.0 decoupled Verfahren 922, bei dem die TAN unsichtbar ist und man nur Aufträge in der App freigibt. Die DKB nutzt dieses Verfahren nicht. Dort gibt es nur 921 aka tan2go.

Die Notifications haben bisher durchaus funktioniert. Was aber blöd ist, wenn man mehrere TAN-Aktionen hintereinander hat, scheint man immer 4 Minuten warten zu müssen, bis die letzte Aktion ausgetimed ist. Man kann die nicht einfach weglicken und für die nächste Platz machen. Oder wird die noch nicht ausgetimte TAN automatisch von einer neu generierten überschrieben - habe ich nicht getestet.


Super! Danke für die Info. Dann weiß ich jetzt, was ich erwarten kann und was nicht!

Naja, ich bleibe so lange wie möglich bei der Chip-TAN und werde im Zweifel die Bank wechseln, wenn sie Chip-TAN tatsächlich kippen sollte. Tan2go ist mir zu wackelig und ständig muss man bei einer neuen Version damit rechnen, dass es nicht mehr geht, weil irgendein Schlaukopf die Idee hatte, irgendwelche Android Versionen z.B. nicht mehr unterstützen zu wollen oder gar ganze Plattformen ausschließt, ... .
Oder eben gleich zu einer Bank gehen, bei der die Girocard noch nicht abgekündigt* wird und sie auch nichts kostet (ja, die gibt es). Traurig aber wahr. So ein Theater hatte ich bisher noch mit keiner einzigen TAN-App (und ich habe durchaus einige hier). Wie kann man nur so ... sein, und eine Banking-App an ein dediziertes Google-Framework binden. Von Datenschutz halten die Jungs offensichtlich auch nicht viel. Das sagt eigentlich schon alles.

*1 € pro Monat zu verlangen kommt für mich einer Abkündigung gleich - erst bepreisen, dann wird sie von der Mehrzahl der Kunden gekündigt, dann ist sie preislich nicht mehr rentabel mangels Masse -> Abkündigung - das ist ja schlussendlich das Ziel.

Dafür gibt es doch unten den Button "Aktualisieren"! Der holt die nächste bereitstehende TAN.

Schön wär's. Der Button erscheint erst, wenn die 4 Minuten abgelaufen sind .

warum setzt das nicht um?
dann brauchst nicht soviel Zeit aufwenden und dich ärgern

Ich weiß nicht, von welcher Äpp du hier immer schreibst. Die tan2go der DKB ist das nicht. Siehe

Eine einzelne TAN bleibt 5(!)Minuten in der tan2go angezeigt.
Sobald ich in Hibiscus die TAN eingegeben habe, kommt sofort die nächste TAN in tan2go an usw. usf., wenn mehrere Aufträge zu erledigen sind.
Und nein, ich muß auch nicht vorher die tan2go-App bereits geöffnet haben, sie meldet sich selbstständig nach Abschicken des ersten Auftrags in Hibiscus.

Ja, das kann sie aber nur, wenn sie für PUSH registriert ist. Und genau das funktioniert ja in seiner Nicht-Google-Umgebung nicht.

Was ihr schreibt, ist so pauschal, wie geschrieben, allein schon technisch betrachtet, unmöglich bzw. nur in speziellen Situationen möglich. Warum?
Damit der Push-Server eine Nachricht schicken kann, muss er erstmal wissen, wohin er die Nachricht IP-technisch überhaupt schicken soll - d.h., er muss die IP-Adresse des Zieldevices kennen. Damit er diese kennt, muss sich das Device (bzw. genauer, die App) am Push-Server registrieren (vulgo: seine IP-Adresse abliefern). Erst dann ist es technisch überhaupt erst möglich, dass der Server Push-Nachrichten schicken kann.
Wenn ein Handy ständig an ist, ist das kein Problem (weil ja die "Verbindung" non stop steht). Wenn ein Handy aber nur dann eingeschaltet wird, wenn man es für diesen Kram hier benötigt (oder es sonst zwischendurch mal aus ist, warum auch immer), muss man die App erstmal starten (oder das passiert automatisch - auch möglich), damit die sich beim Server meldet - erst dann sind Push-Nachrichten technisch grundsätzlich erst möglich. Gleiches gilt auch beim IP-Adress-Wechsel (das Handy als Solches muss ja deswegen nicht gänzlich aus gewesen sein).

Nächste Punkte der grundsätzlichen technischen Erreichbarkeit für die Push-TAN sind, selbst wenn der Server die IP kennt:
Entweder der Server hat ständig eine IP-Connection offen zum Device (was durch meinen Trace nicht bestätigt wird - es wird keine Verbindung offen gehalten nach der Registrierung - zumindest im konkreten Fall), oder der Server erreicht einen Listener auf dem Device. Das ist aber ausschließlich dann möglich, wenn die IP des Devices nicht genattet ist (also selbst eine globale IP hat und fw-technisch eingehende Verbindungen erlaubt sind) bzw. das Device hinter keinem Proxy steckt.
IAW: damit das so funktioniert, wie von Euch beschrieben, muss das Handy IP-technisch grundsätzlich eingehende Verbindungen zulassen - hätte also mit Sicherheit nichts mehr zu tun oder die Verbindung wird serverseitig ständig offen gehalten (was ich nicht glaube und was ich hier auch nicht belegen konnte durch meinen Trace). Beim Starten der App wird eine Verbindung zum Server aufgebaut, nach einer TAN gesucht und diese bei Vorhandensein angezeigt. Falls nicht, wird eben keine angezeigt. Auf jeden Fall wird die Verbindung jedes mal danach wieder geschlossen.
Ein Click auf TAN abrufen oder so ähnlich, macht wieder eine neue Verbindung auf (und beendet sie auch gleich wieder). Falls dann eine angezeigt wird, beginnt der Timer. Eine Nutzung der TAN wird nicht gespiegelt (zumindest nicht beim Anmelden am Internetbanking / Webinterface - vielleicht wäre das im Zusammenhang mit einer Transaktion anders - habe ich noch nicht getestet).

Mein Handy hier steckt im IPv4 WLAN (und wäre damit genattet) und obendrein hinter einem Proxy. Nur so hat man (komfortabel) die Möglichkeit, sämtlichen Verkehr zu kontrollieren und den meisten unerwünschten Verkehr (-> Tracking, "Telemetriedaten", ...) zu blocken. Das ist verdammt viel.

Ich muss mich an zwei Stellen korrigieren:
Die TAN ist tatsächlich für 5 Minuten gültig (da habe ich wohl zu spät geschaut - also noch schlimmer) und Push-TAN, im Sinne von: selbst die geöffnete App würde eine generierte TAN melden, ist nicht. Ich muss die selbst abrufen (was ja auch kein Problem ist). Das habe ich wohl mit einer anderen App einer anderen Bank, die ich hier habe, verwechselt (oder es hat mit meinem alten Huawei-Handy funktioniert, das ja noch offiziell die Google-APIs drauf hat - das kann auch sein).

Wie auch immer: mit allem kann ich problemlos leben - außer, dass man eine genutzte TAN nicht selbst abbrechen kann. Das ist in wenigen Fällen nervig - aber sei's drum. Da haben die Jungs einfach nicht zu Ende gedacht (genauso, wie bei der Bindung an die Google-API). Was aber ein nogo ist: dass man jederzeit davon ausgehen muss, dass eine neue App-Version kommt, die dann z.B. Gspace einfach erkennt und dann, aus irgendeinem obskuren, vorgeschobenen Grund, die Zusammenarbeit verwehrt. Dann würde man plötzlich ohne Authentication dastehen (wenn Chip-TAN nicht mehr zur Verfügung steht). Da ich mir von der Bank nicht das Handy diktieren lasse, ist an dieser Stelle eben Feierabend. Die neue Bankverbindung ist parallel schon im Aufbau!

Du unterliegst hier einem Irrtum.
Mit der IP-Adresse hat das gar nichts zu tun. Wie sollte das auch gehen, wenn doch die Provider der Kunden in der Nacht zwischen 2 und 3 Uhr eine neue IP verteilen.

Mit der Registrierung der tan2go im Banking der DKB wird das Gerät (ich nehme an die IMEI) "verknüpft". Damit weiß der Server der Bank, welche tan2go-App welches Geräts er kontaktieren muß. Die TAN selbst wird in der App erzeugt, die ich über Hibiscus dem Server mitteile und damit autorisiere.
Mein Huawei-Tablet ist nur im WLAN mit dem Internet verbunden. Es hat keine Mobilfunknummer.


Du hast weiter oben von Alternativen zur DKB (und, dein letzter Satz deutet das wieder an) gesprochen. Da ich von Natur aus faul bin, würden mich Hinweise dazu interessieren (welche Banken).
Im Sommer wollte die Bank meine persönlichen Daten im Zusammenhang der neuen Debit-Karte, sehr schwammig, in die USA übermitteln. Jetzt (ab 01.01.2023) wollen sie das "nur" noch in die Schweiz und "eventuell" Nordmazedonien(!) tun.
Vielleicht muß ich ja den Datenschutzregeln wieder widersprechen...

Das ist in dieser Pauschalität falsch. Zumindest die Telekom macht einen pppoe-Restart in der "neuen" IP-Umgebung schon seit seeehr vielen Jahren nur alle 6 Monate.

Das geht aber ausschließlich über den IP-Weg und dafür muss derjenige, der den Kontakt aufbaut (also hier der Bankingserver), die aktuelle IP-Adresse des Devices kennen und er muss per IP durchkommen (was bei NAT oder gesperrter Firewall oder Proxy, ... technisch unmöglich ist). Die IMEI hat mit der IP-Kommunikation gar nichts zu tun.


Genau da liegt die Lösung des technischen Problems: Der Bankserver schickt (hoffentlich wenigstens nur!) die Info an den Google-Trackingserver, dass auf dem Handy mit der IMEI x (hier kommt die IMEI ins Spiel, weil Google's Trackingserver natürlich das Mapping kennt zwischen IMEI und IP-Adresse des zugehörigen Devices) die App y gestartet werden soll. Du wirst dann hoffentlich noch nach dem Password für die tan2go App geprompted. Dann nimmt die tan2go-App die Verbindung zum Bankenserver auf und präsentiert Dir die Transaktionsdaten und die zugehörige TAN, die Du dann eingeben musst im HBCI-Tool.

Warum via Goolge's tracking server? Sobald Du ein (natives android) Handy einschaltest (und nicht mehr machst), geht allein schon eine massive Kommunikation zu einer ganzen Latte an Servern los - u.a. natürlich Google's tracking server. Wenigstens eine dieser Verbindungen wird dauerhaft offengehalten. Über genau diesen Weg kann dann Goolge alles mögliche auf Deinem Handy machen - z.B. auch die tan2go-App starten.
Diese Verbindung zu Google wird mit aller Gewalt versucht aufzubauen (selbst eingestellte Proxys werden ignoriert) und auch stabil gehalten. Sobald die abbricht (z.B. weil ein IP-Adresswechsel stattgefunden hat hinten raus zum Provider), wird nach einem kurzen Timeout die Verbindung sofort wieder neu hergestellt und Google weiß wieder, wie Dein Device zu erreichen ist.

Dass die FI dann auch noch betont, dass die App auf gerooteten Devices aus Sicherheitsgründen nicht läuft (meine ich irgendwo gelesen zu haben) ist dabei, am Rande bemerkt, schon feinster Sarkasmus, wenn man bedenkt, dass die FI die Daten Google schon freiwillig präsentiert (und dafür u.U. sogar noch kassiert - aber wahrscheinlich keinesfalls bezahlt, weil Google natürlich kaum bessere Daten über Dich bekommen kann als diese - das sind schon sehr wertvolle Daten).

Du glaubst das alles nicht? Dann mache folgenden Test:
- Deaktiviere das NAT für die LAN-IP Deines Handys.
- Richte in Deinem Netz einen Proxy (z.B. Squid) ein.
- Konfiguriere Dein Handy auf den Proxy, so dass alle Verbindungen über den Proxy gehen müssen.
- Blocke dort alle Trackingserver oder Ähnliches (im Prinzip alles, was an Verbindungswünschen vom Handy nach dem Restart rausgeht, ohne dass Du auch nur eine App starten würdest - schaue Dir das 10 Minuten lang an). Die zu blockenden Server siehst Du ja im Squid-Acces-Log (kann man zumindest so einstellen) bzw. im Wireshark-Trace.
- Wenn alles sauber geblockt ist und damit kein (Tracking-)Server mehr erreicht wird, startest Du das Handy / Tablett neu. Dabei nochmal verifizieren, dass definitiv kein Verbindungsaufbau zu den relevanten Servern funktioniert. Der Verbindungsaufbau später beim Starten der tan2go-App zum Bankingserver darf natürlich nicht geblockt werden - der soll und muss ja funktionieren.
- Dann meldest Du Dich z.B. im https-E-Banking mit dem tan2go-User der DKB an. Die DKB will nun eine TAN von Dir.

=> Du wirst nun sehen, dass keine App mehr aufgeht. Die musst Du selbst starten und dann bekommst Du die TAN. Selbst wenn Du die App schon vorher gestartet hast (bevor Du den Login-Prozess im E-Banking gestartet hast), musst Du die TAN manuell holen.


Fazit:
Push-TAN, wie von Euch beschrieben bzw. beabsichtigt, funktioniert auf android-Devices nur "gesichert" (welch Sarkasmus) auf Basis von Googles Trackingserver. Sobald der ausgeknipst ist, ist ende Gelände. Kann ja technisch auch anders gar nicht gehen (dann müsste nämlich die FI das Tracking machen - was sie natürlich nicht macht, weil es das ja woanders schon gibt und außerdem nicht zu deren Kernkompetenz gehört). Daher auch der Hinweis im Datenschutz (welch weiterer Sarkasmus) .
Nebenbei: das begründet natürlich auch, warum man, wenn man mehrere Devices im Account für die tan2go App angelegt hat, angeben muss, welches Device genutzt werden soll. Sonst würde ja auf allen konfigurierten und aktiven Devices die App gestartet ... .