Banken und Online-Zugang: sicherste Option

[Wuchtbrumme]

Hallo,

sämtliche Banken kündigen derzeit HBCI-Zugänge mit Karte (Zertifikat und PIN), Class 3-Reader.

Die angebotenen „Alternativen“ sind meines Erachtens keine, sondern deutliche Rückschritte bzgl. Sicherheit (u.a. TAN-Blöcke (!), TAN-Generator oder SMS mit Token).

Was gibt es denn an vernünftigen Lösungen derzeit, damit ich mal stöbern kann, wer das anbietet?

Danke!

 

[charybdis75]

Bei der ING wird alles via App und Face-ID gelöst, auch das Arbeiten im Browser wird über die App unterstützt. Alternativ gibt es dort noch die klassische TAN-Liste

 

[Rubber Duck]

Am besten erkundigst du dich darüber, zum Beispiel bei deiner Bank. 👍

 

[Wuchtbrumme]

Bei der ING wird alles via App und Face-ID gelöst, auch das Arbeiten im Browser wird über die App unterstützt. Alternativ gibt es dort noch die klassische TAN-Liste

danke Dir für Deinen Aufwand, aber das beantwortet nicht meine Fragen bzw. ist sogar das, was ich bereits ausgeschlossen hatte.
Nein, FaceID ist nicht sicher und schon gar nicht für diesen Usecase. Ich möchte bitte mein Geld nicht mit einer clientseitigen Lücke verlieren können.

Allerdings hast Du ohne es gesagt zu haben, den validen Punkt aufgebracht, den ich nicht extra erwähnt hatte, aber als Minimum voraussetze: eine vernünftige Banking-App wie Bank X muss unterstützt werden.

 

[Wuchtbrumme]

Am besten erkundigst du dich darüber, zum Beispiel bei deiner Bank.

ist mir schon klar, das habe ich ja auch geschrieben. Ich bräuchte eine Einordnung, *was* derzeit sicherer ist als HBCI mit Chipkarte, eine Benamsung für das, nach dem ich gucken müsste. Bei meiner Bank habe ich ja schon geguckt und deren Angebote sind für ahnungslose Kunden. Wenn man etwas abkündigt mit Verweis darauf, dass es eben nicht mehr sicher sei und als Ausweichmöglichkeit dann etwas angeboten wird was schon vor zehn Jahren unsicherer war, dann stimmt da etwas nicht.

 

[landplage]

Ich nutze Bank X, meine Bank hat eine App, mit der für jede Transaktion eine Art QR-Code (photoTAN) gescannt wird und in Bank X eine Nummernfolge eingegeben wird. Funktioniert sehr schnell und problemlos.

 

[hotrs]

Um das bzgl. der ING mal richtig zustellen:

Du kannst mittels App dein Konto sehr übersichtlich und komfortabel verwalten. Mittels Face-ID kannst du optional ein dauerndes Anmelden (Zugangskennung, Kennwort und eine sechsstelliger PIN) beim Aufruf der App umgehen.

Dann kannst du einzelne Geräte fürs Online-Banking freischalten (Anmeldung im Browser, Überweisungen ausführen usw.). Für die Aktivierung wird (zumindest bei mir) eine iTAN Liste verwendet. Ein so aktiviertes Gerät muss dann genutzt werden, um Transaktionen zu genehmigen. Sei es in der gleichen App oder z.B. online im Browser. Dazu muss am Gerät eine (ich glaube fünfstellige) PIN eingegeben werden, die man eimalig selbst festgelegt hat. Die Abfrage der PIN kann dann optional wieder über Face-ID ersetzt werden.

Die Kombination aus aktiviertem Gerät und selbstvergebener PIN ersetzt dann sozusagen die alte TAN.

Was die Verwaltung durch Apps von Dritthersteller angeht: auch hier hat die ING die alten Zugänge abgeschaltet bzw. beschränkt. So kann MoneyMoney auf dem Mac über die alten Schnittstellen nur noch die Umsätze und die Kontoauszüge abrufen. Überweisung sind mangels Lizenz / Zugriff auf die neuen Schnittstellen nicht mehr möglich.

Gruß

 

[BalthasarBux]

deutliche Rückschritte bzgl. Sicherheit (u.a.... TAN-Generator

TAN-Generatoren gelten als die sicherste Option. https://www.bsi.bund.de/DE/Themen/V...itsmassnahmen/sicherheitsmassnahmen_node.html

 

[Wuchtbrumme]

Danke Dir für den Link, @BalthasarBux ! Schon ein guter Einstieg. Bemerkenswert auch die Nennung des "Kostenvorteils" für Banken. Dass TAN-Generatoren sicherer seien als HBCI mit Chipkarte steht da nicht. Ich befürchte, dass mich die Deutsche Bank wegen des "Kostenvorteils" (für sie, natürlich) verschaukelt. Dass HBCI mit Chipkarte nicht mehr Stand der Technik sei kann ich da beim BSI nämlich nicht lesen.

 

[landplage]

Ich befürchte, dass mich die Deutsche Bank wegen des "Kostenvorteils" (für sie, natürlich) verschaukelt.

Ich bin auch bei der Deutschen Bank und bis auf die App zum Scannen der photoTAN brauchst Du nichts weiter, um Bank X nutzen zu können.

 

[Wuchtbrumme]

Vielen Dank für die Info!

Wie gesagt, ich habe HBCI mit Chipkarte. Das ist das für mich bekanntermaßen höchste Sicherheitsniveau. Nun schreibt mir die Bank, dass das nicht mehr Stand der Technik sei (...Kostenvorteil anyone...?) und kündigt das ab, dafür habe ich diese tolle photoTAN. Ich will aber kein photoTAN. Ich möchte weiterhin sicheres HBCI oder etwas, was mindestens gleich sicher ist *und* komfortabel ist. photoTAN erfüllt letzteren Punkt nicht, weil ich dann ein funktionierendes, freigeschaltetes Handy brauche (schon mal einen Geräteaustausch bei Apple gehabt?), während ich den Bankrechner einfach einfrieren kann (wird nicht zum Surfen benutzt, Sicherheitsupdates gibt es nach Konsultation von Erfahrungen und Besprechen mit dem Support).

 

[landplage]

wie gesagt, ich habe HBCI mit Chipkarte. Das ist das für mich bekanntermaßen höchste Sicherheitsniveau. Nun schreibt mir die Bank, dass das nicht mehr Stand der Technik sei (...Kostenvorteil anyone...?) und kündigt das ab, dafür habe ich diese tolle photoTAN. Ich will aber kein photoTAN. Ich möchte weiterhin sicheres HBCI oder etwas, was mindestens gleich sicher ist *und* komfortabel ist. photoTAN erfüllt letzteren Punkt nicht, weil ich dann ein funktionierendes, freigeschaltetes Handy brauche (schon mal einen Geräteaustausch bei Apple gehabt?), während ich den Bankrechner einfach einfrieren kann.

Man kann mit der App einfach auf ein anderes Handy umziehen, habe ich schon durch. Mach das mal mit der ING, ich habe da Stunden mit meiner Freundin herumgedoktert.
Und es arbeitet problemlos mit Bank X zusammen, das ist für mich ein großer Vorteil, weil ich nicht übers „normale“ Onlinebanking gehen muss.

Laut Bank X (in meinen Einstellungen) nutze ich den Zugang zur Deutschen Bank per FinTS/HBCI. „Hintenrum“ läuft also weiter HBCI.

 

[Wuchtbrumme]

Man kann mit der App einfach auf ein anderes Handy umziehen, habe ich schon durch.

ich auch - man braucht aber das Schreiben mit dem entsprechenden photoTAN-"QR"-Code.
Wie gesagt, für HBCI mit Chipkarte brauche ich die Chipkarte und den Kartenleser. Einstecken, fertig.

 

[Mactigger]

Die Abschaltung von HBCI habe ich aufgrund des hohen Sicherheitsstandards nicht verstanden.

Das Chip-TAN-Verfahren über die jeweilige Girocard schien mir bei der Umstellung die beste Lösung zu sein, auch wenn ein neuer TAN Generator her musste. Die örtliche Spardose und DKB Nutzen hier FinTS/HBCI.

Wo siehst Du denn den Sicherheitsrückschritt? Im fehlenden Zertifikat?

Aktuell bietet Reinert für 10€ ein ChipTAN Upgrade für verschiedene cyberJack an.

 

[charybdis75]

Mach das mal mit der ING, ich habe da Stunden mit meiner Freundin herumgedoktert.

Also bei mir ging der Wechsel von iPhone alt auf iPhone neu ohne Probleme. Brauchte halt nur die TAN-Liste

 

[Odin.666]

Tan Liste ist eigentlich auch abgeschafft.

 

[BalthasarBux]

Das ist das für mich bekanntermaßen höchste Sicherheitsniveau. Nun schreibt mir die Bank, dass das nicht mehr Stand der Technik sei (...Kostenvorteil anyone...?)

Das versteh ich auch nicht. Das war auch von mir missverständlich beschrieben. Ich meinte, dass von den übrigbleibenden Varianten die chipTAN-Option mit die sicherste sei. HBCI bleibt natürlich mindestens genauso sicher. Stand der Technik hat sich nicht geändert, es sei denn, dein HBCI nutzt eine Schlüsseldatei statt einer Chipkarte. Schlüsseldateien sind nämlich laut PSD2 verboten (steht hier: https://www.pcwelt.de/ratgeber/iTAN-mTAN-HBCI-So-klappt-Online-Banking-wirklich-sicher-1032641.html).

 

[dtp]

Ich nutze Online-Banking jetzt seit ca. 20 Jahren und hatte noch nie eine Bank mit so einem Card-Reader. Da gab's noch nie irgendwelche Probleme hinsichtlich der Sicherheit. Bin aktuell bei der DKB und war bis vor kuzrem noch zusätzlich bei der Comdirect.

 

[BalthasarBux]

Die Wenigsten werden eigene Erfahrungen damit gemacht haben, dass ihre Banking-Absicherung zu lasch war. Wenn aber niemand aktiv versucht, unberechtigt aufs eigene Konto zuzugreifen, sagt das nichts über die Sicherheit der verwendeten Methode aus. Wenn ich ein Schloss in meine Haustür einbaue, vertraue ich auch nicht auf den Verkäufer-Spruch "Also ich hab die seit 20 Jahen und bei mir wurde noch nie eingebrochen", sondern ich kaufe etwas, was sich in Tests als besonders einbruchssicher erwiesen hat.

 

[dtp]

Kann man machen. Muss man aber nicht. Ich laufe auch nicht ständig mit einem Helm auf der Straße herum, obwohl man nie sicher sein kann, was da so vom Himmel fällt.

Ganz ehrlich? Ich vertraue da den gegenwärtigen Sicherheitsstandards der Kreditinstitute.