Mit der nächsten Phase der Umsetzung der PSD2 wird man als Homebanking-User mit einem PIN & TAN Zugang nun häufiger mit einer TAN-Abfrage an „ungewohnten Stellen“ konfrontiert werden. Gleichzeitig ermöglicht die Regelung aber auch den TAN-Verzicht bei risikoarmen Buchungen, also z.B. Umbuchungen auf die eigenen Sparkonten oder bei geringen Summen.
Man kann viel über Sicherheit und Vor- und Nachteile diskutieren, daran vorbei kommt man jedenfalls nicht.
Denn wer trotzig der TAN-Eingabeaufforderung nicht nachkommt, sperrt nach wenigen Abfragen ohne Antwort vorläufig den Zugang! Der Zugang muss wieder freigeschaltet werden, unter Umständen muss man sogar einen Freischaltbrief abwarten, der bei den meisten Genossenschaftsbanken erst in der Nachtverarbeitung erstellt wird und am nächsten Arbeitstag auf den Postweg gebracht werden kann.
Wann wird denn nun üblicherweise beim Abruf der Umsätze nach einer TAN gefragt?
In jedem Fall müssen alle Banken eine TAN abrufen, wenn Kontoumsätze >90 Tage abgerufen werden. Das gilt für Zahlungskonten, das sind also in der Regel Girokonten und Tagesgeldkonten.
Dann merkt sich aber die Bank die Autorisierung und fordert die nächste TAN wieder frühestens nach 90 Tagen an. Damit ist auch klar, dass dies nicht pro Softwareinstallation gilt, sondern pro Zugang. Eine signifikante Sicherheitsverbesserung ist dies also nicht.
Dieses Vorgehen dürfte für die meisten Banken und Zugänge zutreffen, denn kaum eine Bank wird die Nerven ihrer Kundschaft über Gebühr strapazieren wollen. Man kann diese Option aber abschalten lassen. Empfehlen würde ich dieses aber nur unter bestimmten Ausnahmen, bei echten Gründen zur Paranoia würde ich unbedingt empfehlen, das Verfahren zu wechseln.
Nerv – und Stolperstellen:
Die Abfrage „alles was da ist“ erfordert auch eine TAN-Bestätigung. Merkt sich z.B. eine App nicht den letzten erfolgreichen Abruf, dann wird bei jeder Nutzung oder auch automtischem Abruf eine TAN nötig werden.
Programme, die die FinTS/HBCI-Schnittstelle nutzen, erhalten beim Abrufen der Userparameterdaten (UPD) Informationen, ob neue Kontoumsätze vorliegen. Das kann helfen, unnötige Abrufe zu ersparen, sofern die Software/App diese Daten interpretieren kann.
Handlungsbedarf bei den Programmierern
Die früher hilfreiche Abfrage-Methode: „gibt mir die Umsatzdaten seit dem letzten Buchungstag“ ist nicht mehr „angenehm“. Jetzt ist es besser, wenn die Software in der eigenen Datenbank nach dem letzten erfolgreichen Abruftermin schaut, nach der Methode: Ich hab am 01. schon erfolglos nach Umsatzdaten gefragt, gibt es seitdem etwas neues?
Ich kommuniziere via VR Networld auch mit der Consors Bank und frage die Kontostände und Umsätze ab, also benutze den Befehl „Konto aktualisieren“.Nach Eingabe der 5-stelligen PIN folgt ein screen in dem ich die TAN eingeben muss, die dem folgend von Consors Secure Plus generiert wurde. Danach läuft die Abfrage, die aber nicht funktioniert. Fehlerhinweis: BPD Abfrage fehlgeschlagen (personalisiert), C:\ Users\Public\Documents\VR-Net\World\hb\Kernel\bpd\300\280_76030080
BPD liegt nicht vor, Job State = fatal, Auftrag konnte nicht gesendet werden.
In dem screen in welcheem auch die TAN eingegeben wird, ist auch ein Feld Handynummer (o.ä.) vorhanden, das blanc ist, obwohl ich meine Handynummer in einem entsprechenden VR NetWorld screen eingegeben habe. Das sollte aber ohnehin nicht von Belang sein, da Consors Secure plus weiß, wohin, d.h. auf welches Smartphone, die TAN zu schicken ist.
Sorry, bei Consors bin ich nicht tief genug im Thema drin und diese Seite hier ist auch nicht die Supportseite zur VR-NetWorld Software für alle Banken sondern sie beschäftigt sich mit den Spezialitäten der genossenschaftlichen Banken.
Hier sind aber sicherlich einige Tipps zum Thema zu finden:
https://homebanking-hilfe.de