EU-Richtlinien Umsetzung PSD2 ab 14. September

[wpau]

Heute tritt die Umsetzung der PSD2 Richtlinie in Deutschland in Kraft.

Sie müssen registriert sein, um bestimmte Links zu sehen

Wer seine Kreditkarte bei seiner Bank noch nicht dafür aktiviert hat, hat demnächst Probleme bei Zahlungen im Internet oder auf Reisen bei bargeldlosen Zahlungen.

Unterschiedlich ist die Schonfrist der jeweiligen Banken.

Also erkundigt Euch, falls ihr es noch nicht umgestellt habt, was für die Online- und Bargeldlose Bezahlung bei Eurem Institut zu machen ist.

Nicht das ihr den nächsten Portugal Flug nicht buchen könnt oder die Karte in Portugal nicht akzeptiert wird.

 

[Stephanie]

Vielen Dank für diese Info.
Ich fliege in 8 Tagen nach Portugal und habe das mit der Zahlungsumstellung bisher nicht gemacht, weil ich nur alle paar Monate mal mit Kreditkarte zahle.

Dein Hinweis kommt (hoffentlich!) noch gerade so passend, wenn ich mich gleich nach dem Frühstück drum kümmere.
So, Update. Es hat mir keine Ruhe gelassen, also habe ich mich noch vor dem Frühstück (Magen knurrt) gekümmert.

Ich bin bei der Postbank und habe bisher die mobile TAN genutzt.
Glücklicherweise ist es zumindest heute noch möglich gewesen, die App BestSign zu installieren und dann die Freischaltung über eine letzte mobile TAN zu erledigen.
Somit entfiel das Warten auf einen Brief mit den Zugangsdaten, was bei angegebenen 3-5 Werktagen eng hätte werden können.

Puh, trotzdem nochmals danke @wpau, ich hätte das verschnarcht und dann dumm da gesessen, wenn mir bei dem Buchungsversuch meines Rückflugs die Meldung erschienen wäre, dass ich kein gültiges Zahlungsverfahren habe.

 

[Ozzy]

Ich bin bei der Postbank und habe bisher die mobile TAN genutzt.

Ich auch, gerade die Postbank hat das ziemlich übel gelöst.
Ich hab die Woche eine Überweisung gemacht, da wurde mir erklärt, das MTan nicht mehr gehe und mir eine MTan geschickt.
Ich hab jetz auch diese BestSign App, aber ehrlich, sowas von bekloppt.
Nun hab ich eine App, die angegriffen und gehackt werden kann, auf dem Handy statt einer SMS, die ich Sekunden nach erhalt einlöse.
DAS nenn ich jetzt Unsicher.

Mein Kreditkartenanbieter hat sich bisher nicht gezuckt.
Was meinst du @wpau mit freischalten?

Aha, mein Anbieter schickt mir zukünftig eine SMS, also eine MTan, um Onlinezahlungen zu verifizieren. Kein Problem.
Warum die Postbank meint, das MTans nicht mehr statthaft sind, bleibt deren Geheimnis.

 

[wpau]

Was meinst du @wpau mit freischalten?

Smartphone Lösungen sehe ich eher skeptisch. Sie sind mir einfach noch zu unsicher. Wenn ich alleine sehe, wie viele APP's in den letzten Wochen wieder aus dem Google APP Store entfernt wurden wegen Adware:

Sie müssen registriert sein, um bestimmte Links zu sehen

Bei meiner Sparkasse nutze ich schon seit über 10 Jahren (es wird mehr sein ) das Online Bank Konto. Als Linux User mit der Finanz Verwaltung Moneyplex Homebanking. Zu Beginn mit einem HBCI Lesegerät und seit einigen Jahren mit

Sie müssen registriert sein, um bestimmte Links zu sehen

, da das HBCI-Verfahren abgeschafft wurde.

Da bisher nur die Girocard dafür registriert war, musste ich für das neue PSD2 Verfahren nun auch meine Kreditkarte registrieren. Blöde im Urlaub, da ich nun dieses Teil für Online Buchungen auch mitführen muss. Was tut man nicht alles um sein Konto zu sichern.

Man kann auch die Sparkassen APP App S-ID-Check dafür nutzen, aber wie oben geschrieben traue ich dieser Variante nicht. Für die Girocard muss man nun alle 90 Tage eine neue TAN für die Konto Freischaltung generieren, aber die bisherige Zahlmethode bleibt unverändert.

Nur für Online Bezahldienste muss jeweils eine TAN erzeugt werden. Bedeutet also auch im Urlaub, das davon normale Zahlungen nicht betroffen sind.

 

[Ozzy]

Ich nutze seit über 20 Jahren Online-Banking mit Tans und später mTans.
Noch nie Probleme.
Aber ich traue diesen App auch nicht.
Schon deswegen, weil nun jeder Hacker genau weiß, worauf er abzielen muss.

 

[Gelöschtes Mitglied 9132]

Hmm, muss ich mal übermorgen bei der Ing-Diba prüfen... Wobei meine Kreditkarte noch funktioniert... Habe sie heute einmal eingesetzt. Bin gerade in CZ und logge mich im Ausland nie in mein Online-Banking ein, nur in Deutschland oder Portugal. Bei der Ing-Diba wird immer fast alles, also zu 99 Prozent, online abgewickelt. Dafür spart man die Kontoführungsgebühren.

Ich nutze die Banking-App auf dem Handy seit Jahren. Bisher nur gute Erfahrungen gemacht und noch nie abgezockt worden. Mein Handy ist mehrmals abgesichert und ich habe es immer in der Tasche, egal, wo ich bin. Beim Schlafen liegt es sogar auf meinem Bett.

 

[Jota]

Ich nutze seit über 20 Jahren Online-Banking mit Tans und später mTans.
Noch nie Probleme.
Aber ich traue diesen App auch nicht.
Schon deswegen, weil nun jeder Hacker genau weiß, worauf er abzielen muss.

Ich gehe mal davon aus, dass es all die Apps für lau gab. Da muss man sich nicht wundern. Das Billige kommt einen eben manchmal teuer zu stehen.

 

[Ozzy]

Klar gibt es die kostenlos von der Postbank.

 

[Jota]

Klar gibt es die kostenlos von der Postbank.

Na, die meinte ich nun aber nicht. Dachte da eher an die Gratis-Apps bei Google.

 

[Stephanie]

Dachte da eher an die Gratis-Apps bei Google.

Wo Du Dich fragst, wie machen das die Entwickler, das werbefrei und trotzdem für umme bereit zu stellen, bis Du Dir dann die Latte der Berechtigungen ansiehst und feststellst, dass die App Zugriff auf eigentlich alles fordert, was Du mit der Installation akzeptierst.

Aber zur Sicherheit einer von der Postbank selbst in Auftrag und herausgegebenen App. Sobald einem einzigen Bankkunden die ersten 50 Cent durch diese App unrechtmäßig abhanden kommen, steht das in allen Medien und man kann verfolgen, wie der Betrag und das Risiko bei jeder Weitergabe wächst.

Was soll also groß passieren, Mal davon abgesehen, dass es bei Internetkäufen und -transaktionen ja ein finanzielles Limit gibt. Dieses Limit kann man sogar selbst bestimmen. Es ist also gar nicht so einfach, ein Konto zu plündern oder sehe ich das zu pragmatisch?

 

[Stephanie]

Habe nochmal etwas recherchiert.

Die Stiftung Warentest hat kürzlich verschiedene TAN-Verfahren getestet:

Sie müssen registriert sein, um bestimmte Links zu sehen

Darin wird das SMS-Verfahren in der Sicherheit als Mittel eingestuft, das BestSign mit App als hoch, mit Zusatzgerät sogar als sehr hoch.

Das heißt, ich habe heute bereits mit dem Umstieg auf die App eine erste Sicherheitsoptimierung hinter mir, die ich durch einen TAN-Generator jetzt noch verbessern kann und werde.

Im Grunde nicht wirklich übel .

 

[Ozzy]

Sorry, da geb ich nix drauf. SMS ohne begründung auf Mittel eingestuft, aber die Apps, die auf dem Handy laufen, als Sicher, weil "sie isoliert laufen".
Ja nee, is klar. Isoliert, alles fein.

Mein Gott.
Die Woche kam raus, das stille SMS reichen, um das gesamte Handy zu kappern und die fabulieren was von isoliert und sicher.

 

[DangerouslyBlue]

Alles ganz große Appentwickler hier mit deep knowledge über Sicherheit auf Smartphone OS. Von euch kann ich noch was lernen.

 

[ALISAN]

Smartphone Lösungen sehe ich eher skeptisch

Richtig! Beide Aktionen, also zum einen die Transaktion an sich und dann die Bestätigung, auf ein und dem selben Gerät auszuführen führt die Sicherheitskette ad-absurdum... egal bei welchem Gerät, aber ganz besonders bei Smartphones, wo jede APP alles kontrollieren und lesen darf.

Nur so am Rande, ein 2. Gerät zur Generierung der TAN oder eine PC-Transaktion bestätigt durch eine SMS auf dem Smart-/Mobilphone ist da die wesentlich sichere Lösung (schon vom Prinzip und eigentlichem Gedanken her...)

 

[Roemer]

Online-Überweisung per Smartphone + PhotoTan ist technisch nicht möglich. Man benötigt in dieser Kombi immer 2 Geräte.

 

[ALISAN]

Online-Überweisung per Smartphone + PhotoTan ist technisch nicht möglich. Man benötigt in dieser Kombi immer 2 Geräte.

Falsch... technisch möglich und wird auch bewusst so gemacht, zB:

"Mobile Banking mit der photoTAN App
Auf Ihrem Smartphone können Sie Überweisungen noch einfacher ausführen als am Computer. Nutzen Sie dafür die kostenlose Banking App der Commerzbank. Dort erteilte Aufträge werden schnell über die App2App-Funktion zwischen Banking App und der photoTAN App freigegeben. Wichtig: Um Mobile Banking nutzen zu können, benötigen Sie eine aktivierte photoTAN App."

Sie müssen registriert sein, um bestimmte Links zu sehen

oder auch:

Sie müssen registriert sein, um bestimmte Links zu sehen

 

[Roemer]

Ach ja, stimmt Du hast Recht. Das PushTan-Gedöns. Damit wäre dann auch PSD2 ad absurdum geführt.
Zumindest für jene Personen, welche alles an einem Gerät machen.

 

[Stephanie]

Also nun nochmal dunkelblond gefragt, ehe auch meine letzten Haare grau werden:

Derzeit, also bis ich den TAN-GENERATOR ausgewählt und besorgt habe,
nutze ich fürs Onlinebanking PC oder Tablet in Kombination mit der BestSign-App meines Geldinstitutes (Postbank) auf dem Handy.

Seht Ihr hier ein Sicherheitsproblem ?

Vorher habe ich jahrelang Onlinebanking auf PC oder Tablet in Verbindung mit dem mobilen TAN-VERFAHREN, wo mir per SMS die TAN aufs Handy gesendet wurde, genutzt. Auf dasselbe Handy, wo jetzt die App im Einsatz ist.
Auf dem Handy selbst mache ich kein Banking.

Und wieso soll ich eine aktuelle Aussage zur Sicherheit der Stiftung Warentest (s. mein obiger Post) anzweifeln?

Ozzy schrieb etwas von stillen SMS. Ich habe gesucht, auch weil ich den Ausdruck noch nicht gehört hatte. Die einzige Aussage, die ich gefunden habe, dass man damit das Telefon übernehmen kann, stammt von 2013 und bezog sich damals auf alte SIM-Karten von 11 Jahren und älter.

Aber ich habe auch gelesen, dass Stille SMS z. B. im Zuge der Überwachung von Personen z. B. von der Polizei genutzt werden.
Scheint also nicht gerade etwas zu sein, das jeder so einfach einsetzen kann, oder?

 

[ALISAN]

@Stephanie - Soweit alles halbwegs sicher, sprich: im Rahmen des möglichen, solange 2 verschiedene Geräte benutzt werden...

Grundlegende Bedenken (und warum!) zu Banken und deren (Smartphone-)Apps hier:

Sie müssen registriert sein, um bestimmte Links zu sehen

und

Sie müssen registriert sein, um bestimmte Links zu sehen

oder ein Erfahrungsbericht zur Verdummung der Bankkunden

Sie müssen registriert sein, um bestimmte Links zu sehen

SMS bzw. Simjacker... mehr dazu zB hier:

Sie müssen registriert sein, um bestimmte Links zu sehen

Und wieso soll ich eine aktuelle Aussage zur Sicherheit der Stiftung Warentest (s. mein obiger Post) anzweifeln?

weil sie nicht alle Aspekte einer Software durch spielen können und schon gar keinen Einblick in die interne Software und Prozesse der Banken haben (können / dürfen)... ganz einfach.


...und bei Software ist es um Größenordnungen schwieriger sämtliche möglichen Einfallstore abzuriegeln, sonst hätten wir nicht dauernd und dauernde Sicherheitsupdates für Android, iOS, Windows, Linux, etc...

...bei einer APP auf Android oder iOS ist es noch viel schwieriger, weil das grundlegende Konstrukt, die Basis also, schon in sich löchrig ist... darauf lässt sich halt keine sichere Software aufbauen - ein "Bauen auf Sand" also.

Ich für meinen Teil (als ausgewiesener Pessimist... ) rate immer dazu:
Keine wichtigen, sicherheitsrelevanten Sachen auf dem Smartphone oder Tablet machen, lieber am PC, denn dort lässt sich meist mit relativ wenig Aufwand eine sichere(re) Umgebung dafür einrichten...

.

 

[Stephanie]

@ALISAN
Vielen lieben Dank für die ausführlichen, wenn auch beunruhigenden Darlegungen. Ich habe mir die von Dir verlinkte Seite mal für die Zukunft mit einem Lesezeichen versehen.

weil sie nicht alle Aspekte einer Software durch spielen können und schon gar keinen Einblick in die interne Software und Prozesse der Banken haben (können / dürfen)... ganz einfach

Das klingt wie, wenn einem auf die Frage, ob Baden hier im Meer gefährlich ist, jemand antwortet:
Mit neonbunter Badekappe ist es sicherer als mit Flossen. Und das an einer Stelle mit Strömungen, big waves, portugiesischen Galeeren und in der Frühstücksgasse weißer Haie.

Ich für meinen Teil (als ausgewiesener Pessimist... ) rate immer dazu:
Keine wichtigen, sicherheitsrelevanten Sachen auf dem Smartphone oder Tablet machen, lieber am PC, denn dort lässt sich meist mit relativ wenig Aufwand eine sichere(re) Umgebung dafür einrichten...

Was hat vernünftiges Denken mit Pessimismus zu tun?

Ich bin Optimistin. Aber das heißt nicht, dass mich die Tatsache, dass mir noch nie ein Cent weggekommen ist durch Schadsoftware, dazu bringt zu glauben, Handy und co seien sicher.

Es ärgert mich nun zugegebenermaßen schon, dass es naiv wirkt der Stiftung Warentest zu trauen. Man sollte meinen, die hätten ein Interesse ihre Glaubwürdigkeit durch fundierte Aussagen zu erhalten, immerhin leben sie davon.