TAN per App – SecureGo, SecureGo plus

letzte Änderung: 22.05.2022

„SecureGo“ ist der Name für das Autorisierungsverfahren der genossenschaftlichen Banken, zum „Plus“ wurde das Verfahren, weil einerseits auch die Kreditkartenautorisierung damit erfolgen kann und die Buchungsfreigabe nicht mehr unbedingt durch eine TAN-Eingabe geschehen muss, sondern durch einen Freigabecode oder biometrisch möglich ist. Die App beantweortet dabei die Freigabe am Bankrechner. Diese Eingabe kann komfortabel und ausreichend sicher biometrisch erfolgen, also z.B. per Fingerabdruck oder Gesichtserkennung (Face ID). Von beiden Varianten gibt es Varianten  😉 mit und ohne VR-Design.

(VR) SecureGo ohne Plus wird in 2022 abgeschaltet und durch (VR) SecureGo plus ersetzt. Die Datenübernahme ist in den meisten Fällen möglich, sofern das System des Mobilgerätes ausreichend ist.

Der TAN-Empfang per App ((VR) SecureGo / Plus) hat im Vergleich zur mobileTAN per SMS einige Vorteile:

  • verschlüsselt: Der Provider und SMS-Apps können nicht mitlesen
  • mit separatem Passwort geschützt (biometrische Anmeldung)
  • im Ausland zuverlässiger nutzbar
  • auch ohne Sim-Karte (Tablet) und im Wlan verwendbar
  • Sicherheitslücke SIM-Doublette existiert nicht
  • nicht zuletzt: zukunftssicherer als die SMS, die in 2022 abgekündigt wird
  • Wechsel des Gerätes möglich durch Übertragungsfunktion
  • keine Sicherheits-Schwächen des Handynetzes (SMS-Hacks)
  • nicht zuletzt: Ermöglicht Banking auf einem einzigen Gerät

Offensichtliche Nachteile:
Die Freischaltung, Einrichtung und Nutzung sind aufwändiger: Man muss eine App installieren, sich noch ein zusätzliches Passwort merken und den Freischaltbrief abwarten und damit die App bzw. den Bankzugang aktivieren. Benötigt man eine TAN, muss man in die App wechseln.
Eine App hat wesentlich höhere technische Ansprüche an Hardware und Betriebssystem. Z.B. muss die Verschlüsselung zum TAN-Server aktuellen Sicherheitsempfehlungen genügen. Dies können alte Betriebssysteme nicht mehr erfüllen, wenn keine Updates mehr geliefert werden. Ich persönlich sehe dies eher als Vorteil, denn die Risiken steigen mit jedem verpasstem Update auf alter Hard- und Software immens.

Die App kann – leider – nur über offizielle Stores bezogen werden.

Der Aktivierungscode kann innerhalb der App über das Onlinebanking bezogen werden.


Allgemeine wichtige Anleitungen und Hilfen zu (VR) SecureGo plus:

https://www.vr.de/service/tipps-anwendungen/faq-vr-securego-plus-app.html

Die Webseite ist im VR-Design gehalten, meines Wissens gibt es keinen Unterschied zwischen der VR-Version und der „white-Label“-Version von SecureGo plus, sofern die gleichen Versionsstände genutzt werden.


Mögliche Fehlerquellen bei der Einrichtung und Nutzung von VR-SecureGo (ohne plus):

  • Die Bankleitzahl kann nicht aufgelöst werden?
  • Das Anmelde-Passwort wird gerne verwechselt oder vergessen: Es handelt sich um ein separates Passwort, das so erstmal nichts mit der AnmeldePIN im Onlinebanking, der Startpin, dem Alias oder ähnlichem zu tun hat. Ist ja auch logisch, schließlich können mehrere genossenschaftliche Banken in der App angemeldet werden, sofern sie das Verfahren anbieten. Das Passwort ist auch keiner Bank bekannt.
    Passwort: 8-20 Zeichen lang und mindestens einen Groß- und 1 Kleinbuchstaben und eine Zahl
  • Hardwarewechsel (Handytausch):
    Der Zugang kann kann nicht durch eine Umstellungsfunktion übertragen werden. Über ein simples Backup ist der Wechsel aus Sicherheitsgründen nicht möglich, weil sich die App mit der Hardware verbindet. Es muss neu initialisiert werden.
  • Neuinstallation: Vorher sauber deinstallieren, also App-Cache löschen (Fehler 304). Unter Android in den App-Einstellungen zu finden.
  • Wenn die Anmeldung nicht vollständig durchgeführt wurde, erhält man einen Fehler 501.
  • Nach der fünften Falschanmeldung in Folge löscht die App automatisch die Daten und setzt sich zurück. Die Anmeldung muss dann neu durchgeführt werden.

Mögliche Fehlerquellen bei der Einrichtung und Nutzung von VR-SecureGo plus:

Hauptmissverständnis bei der Inbetriebnahme von Bankzugängen:
Der Freigabecode ist nicht der Aktivierungscode!
Die App wird durch einen Aktivierungscode mit der Bank „verheiratet“. Der Freigabecode wird aber nicht durch das Banksystem generiert, sondern Sie denken sich diesen selbst aus, z.B. direkt nach der Installation. Wird also nach Freigabecode gefragt, dann haben Sie sich diesen selbst vergeben. Der Aktivierungscode kann sowohl eingegeben als auch eingescannt werden (QR-Code).

Kein Standardbrowser?
Es scheint, dass besondere Browsereinstellungen den Betrieb oder die Inbetriebnahme stören können.

iOS Geräte: Programmstart funktioniert nicht sauber:
Nutzen Sie einen Zoom, der evtl. die Schrift zu groß einstellt, so dass zu wenig Daten angezeigt werden?
Schauen Sie bitte mal, ob Sie unter Einstellungen/Bedienungshilfen einen Zoom aktiviert haben und wenn ja, dann deaktivieren Sie diesen bitte zumindest temporär.

Installation:
Achten Sie darauf, dass das Betriebssystem aktuell sein muss. Für iOS muss meines Wissens mind. eine aktuelle Version 14 installiert sein, für Android Version 8.

Die Transaktion kommt nicht an, Sie können nicht freigeben? Prüfen Sie:

  • Haben Sie eine ungefilterte Verbindung ins Internet? Bei vielen Funk-Zugängen gibt es Filter, die die Verbindung überwachen. Genauso können Schutzprogramme stören.
  • App neu installiert? Das sollten Sie nicht tun, ohne sämtliche Daten zu löschen. In der App ist unter dem Zahnrad eine Funktion dafür vorhanden (scrollen Sie nach unten). Ansonsten löschen Sie den App-Speicher in der Systemsteuerung und starten Sie das Gerät neu.
  • neue Hardware? Haben Sie die Funktion am Altgerät genutzt, um das Gerät wechseln? Wenn das Altgerät noch funktioniert und online gehen kann, sollten Sie dies Funktion (Zahnrad) nutzen.

Immer falsche TAN bei arabischer oder hebräischer Spracheinstellung:

Die Schriftdarstellung von rechts nach links bringt die Darstellung der TAN-Anzeige durcheinander, die Blöcke müssen vertauscht eingegeben werden. (Dank an Patrick für die Info).


Rooting/Jailbreak-Fehler:
Das Gerät darf nicht gerootet sein (beim iPhone jailbreak), da sonst wichtige Sicherheitsfunktionen von Schadsoftware unterlaufen werden können. Leider gibt es auch Betriebssysteme, die auf die App wie ein gerootetes System wirken, so dass sie nicht genutzt werden kann. Als  alternatives TAN-Verfahren bleibt dann nur die Chipkarte.

Fehlermeldung: „Kein reservierter GV“: Die Uhrzeit (Zeitzone, Zeitumstellung könnte falsch sein oder im Hintergrund wurden benötigte Programme vom Betriebssystem beendet (aufgetreten in iOS 13.2)

Android: Prüfen Sie die Akkusparfunktion und Datensparfunktion. Womöglich werden Programme hart beendet, wenn Sie zwischen TAN-App und Buchungs-App wechseln.

google Anleitung für nexus Geräte


Folgendes soll bei einigen Geräten geholfen haben:

  • bei einigen Androiden: Stromsparfunktion für die App deaktivieren
  • Datensparmodus deaktivieren

Über Kommentare und weiterführende Tipps freue ich mich. Gerade die Gerätelandschaft bei Android-Geräten ist so unübersichtlich, da sind Lösungsansätze sehr willkommen!