Raimund Sichmann

Beiträge: 33
Empfohlen:
Aktivität: hoch

SMS-TAN aus heiterem Himmel? Wenn das Handy zweimal klingelt

Bisher kannten wir Transaktionsnummern nur zum Auslösen einer Veränderung, z.B. einer Zahlung oder eines Auftrages, PIN-Vergabe o.ä. Durch die neuen Regelungen (unser Blog über PSD2) ändert sich dies spürbar.

Nun wird eine TAN nötig werden, wenn Umsatzdaten von Zahlungskonten abgerufen werden. Eigentlich soll eine TAN täglich angefordert. Die Regulierung erlaubt es glücklicherweise aber den Banken, diesen Zeitraum auf 90 Tage auszudehnen, so dass man dies nicht jeden Tag tun muss.

Wann wird zur Anmeldung oder zum Umsatzabruf eine TAN nötig sein?
Die TAN wird beim ersten Abruf gefordert und dann immer dann nötig sein, wenn 90 Tage vorbei sind oder wenn Umsatzdaten abgerufen werden, die älter als 90 Tage sind.
Dieser Mechanismus ist für ZV-Programme und Apps bereits aktiviert. Ruft man Umsatzdaten ab, die älter als 90 Tage sind, wird eine TAN angefordert. Und ruft man in einer Software Umsatzdaten ohne Datum ab, also "alles was da ist", dann ebenfalls.

Jetzt wurden und werden Menschen von plötzlich eintreffenden SMS überrascht, die einen Umsatzabruf > 90 Tage anzeigen. Vielen ist womöglich auch gar nicht klar, dass sie einem Dienstleister oder einen App einen automatischen Zugriff auf das Konto gegeben haben und diese regelmäßig automatisch ins Konto "guckt". Zum Teil kommen die SMS im Stundentakt!

Eine in diesem Zusammenhang auffällige App scheint beispielsweise "Finanzblick". Hier wäre ein Blick ins Kleingedruckte ratsam und eine Prüfung, wie weit man dem Dienstleister Zugriff auf die sensiblen Kontodaten gibt.

Problem: Leider merken sich viele Programme nicht, dass z.B. der gestrige Abruf erfolglos war und rufen am Server immer "seit dem letzten Umsatz" ab. D.h. jeden Tag wird eine Tag abgefragt.

Sonderfall unbewegte Konten und Trick 17: Treffen Konten, die wenig Bewegungen haben, z.B. Tagesgeldkonten auf Programme und Apps, bei denen man den Zeitraum nicht einfach anpassen kann, dann hilft folgende einfache Maßnahme: Sorgt man einfach für einen Umsatz, z.B. indem man einmal im Quartal einen Euro überweist, dann sind Daten vorhanden und das Programm greift nicht auf ältere Daten zu. Ob man mit diesem Trick leben kann, muss man selbst entscheiden.

 

Wenn das Vertrauen dahin ist, was kann man tun?

Als erste Maßnahme:

Alles was an nicht vertrauenswürdigen Apps auf dem Smartphone oder Tablet oder dem Rechner installiert ist, gehört deinstalliert!

Im Onlinebanking kann man Dritten den Zugang verwehren, dies ist unter "Service", "Zugriffsverwaltung möglich, siehe Screenshot.

Hat man grundsätzlich ein schlechtes Gefühl, sollte man auch den Alias ändern und die PIN.
Das kann man ebenfalls unter "Service" erledigen und jedem "Spuk" ein Ende bereiten. Bei unser App oder anderen "erwünschten"  Zahlungsverkehrsprogrammen muss man dann natürlich auch sofort die Zugangsdaten aktualisieren.

 

Die spätestens im September von allen Banken umzusetzende PSD2-Richtlinie erfordert dann bei Umsatzabrufen regelmäßig neben der PIN/dem Passwort einen zweiten Faktor, das ist ist für die meisten Nutzerinnen und Nutzer eine TAN.

Gleichzeitig verpflichtet sie Dienstleister, die an Kontodaten heran oder Zahlungen veranlassen wollen, zur Nutzung einer extra geschaffenen, neuen Schnittstelle. Sie hatten bisher meist entweder über die Programmschnittstelle FinTS/HBCI genutzt oder waren über das Auslesen des Browserinhaltes (sogenanntes "Screenscraping") an die Daten gekommen. Natürlich kann mit der Umstellung nicht erst am 14.09. begonnen werden, dafür sind die Dimensionen zu groß. Die DATEV als Steuerberater-Dienstleister wird beispielsweise Millionen von Konten auf andere Verfahren umstellen müssen (Thema siehe >>hier<<).

Herzliche Grüße
Raimund Sichmann

(Dies ist ein lebender Beitrag, den ich regelmäßig aktualisieren möchte. Letzte Änderung: 02.09.2019)

Raimund Sichmann

Beiträge: 33
Empfohlen:
Aktivität: high

Hallo Maurice,

da die TAN-App gegen automatisches Auslesen geschützt sein muss, ist das keine erlaubte Option, weil es ja dann auch beim Zahlungsverkehr gehen würde. Es ist auch keine echte Push-Mitteilung, die unterstützt unser Rechenzentrum und die Schnittstelle (noch?) nicht. Unsere GLS mBank App nutzt FinTS/HBCI wie die Desktop-Programme - mit allen Nach- aber auch allen Vorteilen. FinTS/HBCI kann nur Umsätze ab einem Datum abfragen, die App erkennt aber ziemlich zuverlässig, was an neuen Umsätzen dabei ist.

Liebe Grüße
Raimund

Maurice Attenberger

Beiträge: 2
Empfohlen:
Aktivität: high

Servus Raimund,

das hört sich ja nervig an. Wie sieht es denn bei der Push-Mitteilung für Kontoumsätze aus? Wir da stets der letzte Umsatz abgefragt oder mehr? Ab dieser Stelle wünsche ich mir für unsere mBank-App eine automatische Auslesung von SercureGo TANs...

Beste Grüße
Maurice