Raimund Sichmann

Beiträge: 25
Empfohlen:
Aktivität: hoch

SMS-TAN aus heiterem Himmel? Wenn das Handy zweimal klingelt

Die spätestens im September von allen Banken umzusetzende PSD2-Richtlinie erfordert dann bei Umsatzabrufen regelmäßig neben der PIN/dem Passwort einen zweiten Faktor, das ist ist für die meisten Nutzerinnen und Nutzer eine TAN.

Gleichzeitig verpflichtet sie Dienstleister, die an Kontodaten heran oder Zahlungen veranlassen wollen, zur Nutzung einer extra geschaffenen, neuen Schnittstelle. Sie hatten bisher meist entweder über die Programmschnittstelle FinTS/HBCI genutzt oder waren über das Auslesen des Browserinhaltes (sogenanntes "Screenscraping") an die Daten gekommen. Natürlich kann mit der Umstellung nicht erst am 14.09. begonnen werden, dafür sind die Dimensionen zu groß. Die DATEV als Steuerberater-Dienstleister wird beispielsweise Millionen von Konten auf andere Verfahren umstellen müssen (Thema siehe >>hier<<).

Bisher kannten wir Transaktionsnummern nur zum Auslösen einer Veränderung, z.B. einer Zahlung oder eines Auftrages, PIN-Vergabe o.ä..

Nun wird eine TAN häufiger nötig sein, wenn Umsatzdaten abgerufen werden und eigentlich wird diese TAN täglich nötig. Die Regulierung erlaubt es glücklicherweise aber den Banken, diesen Zeitraum auf 90 Tage auszudehnen, so dass man dies nicht jeden Tag tun muss.

Wann wird in der Regel also eine TAN nötig sein?
Die TAN wird beim ersten Abruf gefordert (logisch) und dann immer dann nötig sein, wenn die 90 Tage vorbei sind oder wenn Umsatzdaten abgerufen werden, die älter als 90 Tage sind.
Und hier liegt der Hase aktuell im Pfeffer, wel dieses bereits aktiv ist: Ruft z.B. eine App Umsatzdaten ab, die älter als 90 Tage sind, muss dies zusätzlich mit einer TAN authorisiert werden. Und ruft man Umsatzdaten ohne Datum ab, also "alles was da ist", dann ebenfalls.

Jetzt wurden und werden Menschen von plötzlich eintreffenden SMS überrascht, die einen Umsatzabruf > 90 Tage anzeigen. Vielen ist womöglich gar nicht klar, dass sie einem Dienstleister oder einen App einen automatischen Zugriff auf das Konto geggeben haben und diese regelmäßig automatisch ins Konto "guckt". Zum Teil kommen die SMS im Stundentakt!

Eine in diesem Zusammenhang auffällige App scheint beispielsweise "Finanzblick". Hier wäre ein Blick ins Kleingedruckte ratsam und eine Prüfung, wie weit man dem Dienstleister Zugriff auf die sensiblen Kontodaten gibt.

Wenn's nervt oder das Vertrauen dahin ist, was kann man tun?

Als erste Maßnahme:
Alles was an nicht vertrauenswürdigen Apps auf dem Smartphone oder Tablet oder dem Rechner installiert ist, gehört deinstalliert.

Im Onlinebanking kann man Dritten den Zugang verwehren, dies ist unter "Service", "Zugriffsverwaltung möglich.

Ist das der Fall, sollte man den Alias ändern und die PIN.
Das kann man ebenfalls unter "Service" erledigen und sollte dem "Spuk" ein Ende bereiten.

Bei Konten, die wenig Bewegungen haben, z.B. Tagesgeldkonten würde ich App und Zahlungsverkehrssoftware entweder mit Umsätzen versorgen oder einfach lediglich den Saldo abrufen. Das muss aber jeder selbst wissen.

Herzliche Grüße
Raimund Sichman

(Dies ist ein lebender Beitrag, den ich regelmäßig aktualisieren möchte. Letzte Änderung: 14.08.2019)

Raimund Sichmann

Beiträge: 25
Empfohlen:
Aktivität: high

Hallo Maurice,

da die TAN-App gegen automatisches Auslesen geschützt sein muss, ist das keine erlaubte Option, weil es ja dann auch beim Zahlungsverkehr gehen würde. Es ist auch keine echte Push-Mitteilung, die unterstützt unser Rechenzentrum und die Schnittstelle (noch?) nicht. Unsere GLS mBank App nutzt FinTS/HBCI wie die Desktop-Programme - mit allen Nach- aber auch allen Vorteilen. FinTS/HBCI kann nur Umsätze ab einem Datum abfragen, die App erkennt aber ziemlich zuverlässig, was an neuen Umsätzen dabei ist.

Liebe Grüße
Raimund

Maurice Attenberger

Beiträge: 2
Empfohlen:
Aktivität: high

Servus Raimund,

das hört sich ja nervig an. Wie sieht es denn bei der Push-Mitteilung für Kontoumsätze aus? Wir da stets der letzte Umsatz abgefragt oder mehr? Ab dieser Stelle wünsche ich mir für unsere mBank-App eine automatische Auslesung von SercureGo TANs...

Beste Grüße
Maurice