"ab 10. September 2019 setzen wir die neue EU-Zahlungsdiensterichtlinie PSD2 um und machen Ihr Online-Banking noch sicherer. Zukünftig werden Sie sich bei jeder Anmeldung im Banking doppelt – d.h. durch 2 Faktoren – authentifizieren"

.... soeben als Kunde erfahren, und meine Sympathien für dieses Institut schwinden langsam.

Und dafür bieten sie dann eine App an, die es noch nicht einmal gibt, gut 10 Tage vor dem countdown: "Dazu benötigen Sie die DKB-Banking-App. Installieren Sie die neueste Version 3.1.0 sobald verfügbar"

Die Zeiten, als der "Kunde König war" gehören ganz sicher der Vergangenheit an.

Gruß Gerhard

Geht auch ohne App.

"Sie wollen Smartphone oder Tablet nicht nutzen?

Kein Problem! Melden Sie sich mit Ihrem Anmeldenamen und Passwort an und geben Sie danach zusätzlich eine TAN ein. Die TAN erzeugen Sie dann mit TAN2go oder chipTAN."

Sicher geht's auch ohne App, aber dann nur mit ChipTAN-Generator und GiroCard. Ich hege ja noch die Hoffnung, dass das nur für das Einloggen im WebBanking gilt und nicht für HBCI. Wenn das da auch gilt, dann bin ich gespannt, was die ganzen Geschäftskunden machen. Ich bin bei der DKB auch Kunde aus dem Verwaltungsbereich. Damit wird dann HBCI als günstige Lösung völlig unattraktiv. Aber es gibt ja zum Glück auch Banken, die von der Ausnahmeregel 90 Tage Gebrauch machen. Sollen die ruhig davon prosperieren... Wobei ich davon ausgehe, wenn erst selbst das letzte Lieschen Müller mitbekommen hat was da abgeht, dann wird der Unmut bei ALLEN Bankkunden so riesig, dass "Änderungen" kommen werden...

Mich hat diese Mail der DKB auch irritiert. Ich habe deshalb heute beim Kundendienst nachgefragt: " Trifft es zu, dass die DKB trotz bereits beim Kunden implementierter PSD2-konformer 2-Faktoren-Authentifizierung (Kenntnis von Legitimations-Id und PIN sowie Besitz eines USB-TAN-Generators am PC) zusätzlich die Verwendung der "DKB Banking App" auf einem Smartphone verlangt?". Falls ich eine aussagekräftige Antwort erhalte, werde ich die hier posten.

Sind wir gespannt, was da für eine Antwort kommt, sprich, ob der Beantwortende kompetent ist oder nicht.

Es ist jedenfalls so: Der eine Faktor ist die PIN (Wissen) und der zweite Faktor ist IRGEND EIN Besitz.

Dieser Besitz kann ein Smartphone sein. Damit wiederum gibt es zwei Möglichkeiten. Entweder man empfängt mit der auf dem Smartphone installierten TAN2go-App eine pushTAN und gibt diese beim Login zusätzlich ein. So wie sich das liest ist noch ein zweiter Weg angedacht, der mit der DKB-Banking-App auf dem Smartphone realisiert wird. Man loggt sich im WebBanking ein und dann wird man in der DKB-Banking-App auf dem Smartphone (Besitz) gefragt, ob man die Anmeldung genehmigt. Wenn man auf JA tippt, dann ist man im Web angemeldet. Dieses Vorgehen erspart das Ablesen und Eintippen der TAN.

Alternativ ist der Besitz die Debitkarte mit dem Chip. Unter Verwendung dieser kann man mit dem TAN-Generator eine TAN erzeugen und beim Login verwenden, dann ist man auch "drin".

Man braucht immer nur einen Besitz, nicht mehrere gleichzeitig.

Spannend wird es, wie es beim Zugriff über HBCI geregelt wird. Wenn dort auch jedes Mal bei der Umsatzabfrage eine TAN oder eine Freigabe über App nötig wird, dann gute Nacht. Damit wären dann automatische Abfragen (gerade bei vielen Konten) oder Abfragen durch Angestellte ohne Zeichnungsberechtigung nicht mehr möglich. Das ist gelinde gesagt unzumutbar.

Antwort der DKB von heute:

"Sie können weiterhin Ihre Banking-Software nutzen. Allerdings ist bei
Zugriff der Software auf Ihr Konto alle 90 Tage eine Bestätigung auf
Ihrem hinterlegten Mobilgerät oder eine TAN-Eingabe notwendig.
Danach stehen alle Funktionen wie gewohnt zur Verfügung.
Ausnahme sind die Kreditkartendaten Ihrer DKB-Visa-Karte, für deren
Abruf die 2-Faktor-Authentifizierung notwendig ist."

Ahja. Damit sind die PSD2-Anforderungen allerdings noch absurder erfüllt. Offenbar greifen Schurken immer nur per Webbanking zu, deswegen muss man da jedes Mal eine TAN/Bestätigung zum Einloggen eingeben, per HBCI greifen Schurken nicht zu, also genügt es da alle 90 Tage. Aber gut, damit kann man dann wenigstens noch arbeiten und automatische (Kontoumsatz-) Abrufe funktionieren weiterhin, ohne dass man jedes Mal TAN/Bestätigung braucht. Immerhin, Ich bin soweit zufrieden und wurde in meinem "Vertrauen" auf die Vernunft der DKB wieder mal nicht enttäuscht. Freude meinerseits!

Ich vermute eher das man davon ausgeht, dass man bei HBCI/FinTS sowieso eher "Experten" sitzen hat. Also zumindest Kunden die verstehen wieso da was wo abgefragt wird und wann. Beim Webbanking ist das schwieriger zu erklären, da haste halt noch die Gruppe von Leuten die damit völlig überfordert sind. Da ist eine durchgängige Vorgehensweise, also bei jedem Login eine Freigabe erteilen, wahrscheinlich einfacher zu vermitteln. Außerdem kommt bei HBCI ja noch die Problematik hinzu, dass es bei einer TAN Eingabe nicht bleibt wenn man mehere Konten hat.

Spannend wird natürlich auch, ob es eine relvante Anzahl an Leuten gibt denen beim Webbanking das mit den extra Login so auf die Nüsse geht, dass die deswegen auf Finanzsoftware wechseln. Kontogebundene Apps wird das wohl mit Sicherheit weiter fördern da dort gar keine Eingabe von irgendwas notwendig ist.

Eventuell gelten die 90 Tage bei HBCI auch nur für die gleiche Kundensystem-ID, weil damit ja nochmal eine eindeutige Benutzer- bzw. Softwaresystem-Kennung dazu kommt.

Das wäre sinnvoll aber ist leider nicht so.
Ich hoffe weiterhin dass nicht doch noch alle logins per FinTS TAN-pflichtig werden, analog zum DKB webbanking. Man möchte die Nutzer anderer Apps ja nicht besser stellen als die der eigenen.
Ich trau der Aussage noch nicht so ganz.

Sagen wir mal so, ich bin es von der DKB nicht gewohnt, dass dort explizit gelogen wird. Das ist die Domäne von einer anderen Bank

Wie gesagt, wenn die über HBCI jedes Mal eine TAN verlangen würden, dann können sie ihre gesamten Geschäftskunden über HBCI (und das sind viele gerade kleinere Verwalter) vergessen. Und ich kann mir nicht vorstellen, dass die so doof sind. Bisher hatte das, was die gemacht haben, seit ich sie seit ca. 13 Jahren kenne, immer Hand und Fuß gehabt.

Man darf aber nicht vergessen das das etwas ist was sich nicht die Bank einfach so ausgedacht hat. Selbst bei der Bank ist sicher niemand glücklich über so eine Lösung.
Man muß halt schauen wo so eine Beschränkung herkommt. Die PSD2-Vorgaben sehen halt eine SCA vor sobald nach dem Login Daten angezeigt werden die zu betrügerischen Aktionen genutzt werden können sowie bei der Umsatzanzeige älter 90 Tage. Zu den SCA-würdigen Daten zählen neben jeder IBAN-Anzeige (allein nur schon bei den Salden, aber auch in den Umsätzen z.B. Empfänger-/Absender-IBAN) auch die persönlichen Stammdaten. Die Alternative wäre wohl gewesen alle sensiblen Daten und Funktionen nur nach TAN-Freigabe anzuzeigen ...
Momentan interpretiert das jede Bank für sich selbst was das genau bedeutet und macht eine Risikoabschätzung was mit und was ohne SCA angezeigt werden kann. Hier hat man sich einfach für den sichersten Weg entschieden. Kann gut sein wenn sich die BaFin das nach dem 14.09. bei anderen Banken anschaut das dort auch strengere Vorgaben umgesetzt werden müssen.
Und wenn man die App nutzt merkt man davon eh nichts.

Sicherheit ist schön, gut und wichtig. Wenn sie aber zur Unbenutzbarkeit führt, dann sollte man das Nachdenken anfangen. Man kann auch völlige Sicherheit erreichen, indem man immer wenn ein Kunde eine Transaktion anstößt einen Bankmitarbeiter persönlich zum Kunden schickt mit der Frage "wollten Sie das wirklich?".

Und wenn IBANs so schützenswert sind (wieso eigentlich??? Meine IBANs darf jeder gerne wissen. Klar, man sollte seine Konten im Auge behalten, aber wer das nicht innerhalb von Rückgabefristen kann, dem ist eh nicht mehr zu helfen), dann sollte man sofort weltweit einen IBAN-Filter für Mails und auch Telefonate einführen und den Versand von Papier mit aufgedruckter IBAN streng verbieten. Das kann jeder aufreißen und einsehen. Nur - wie soll man Rechnungen bezahlen, wenn die Kontoverbindung aus Sicherheitsgründen nicht mehr aufgedruckt werden darf?

Dieser Sicherheitswahn mit dem "zur Sicherheit unkenntlich gemachten" Lastschrift-IBANs auf Rechnungen führt jetzt schon zur Sinnlosigkeit. Bei Fiduzia/GAD werden beispielsweise versch. Konten eines Inhabers/Kundennummer mit VORSATZ-Ziffern unterschieden. Wenn nun auf der Rechnung steht "buchen wir von Ihrem Konto IBAN DE** **** **** **** ***1 23" ab, dann kann man raten ob dann da DE** **** **** *000 ***1 23, DE** **** **** *100 ***1 23, DE** **** **** *200 ***1 23 usw. gemeint ist... Damit ist dieser Hinweis sinnlos.