Das Online-Banking-Fiasko: PSD2 sorgt derzeit für viel Frust

Mehr Sicherheit, kein Komfort

Online-Banking soll sicherer werden. Das ist zunächst einmal keine schlechte Sache. Es werden nicht nur die alten klassischen TAN-Listen ausgemustert, sondern auch neue Sicherheitsmechanismen eingeführt. Ich bin kein großer Banking-Experte, doch zumindest weiß ich, dass man sich im Zuge der PSD2-Umstellung mindestens alle 90 Tage verifizieren muss, wenn man auf sein Online-Banking-Konto zugreifen möchte.

In das Praxis kann das aber ganz anders aussehen. Was ich in den letzten Tagen erlebt habe, ist kaum in Worte zu fassen – und lässt mich an der Vernunft der Banken zweifeln.


Ausgesperrt bei der Sparda Bank & nervige Logins bei der Postbank

Los geht es mit der Sparda Bank West. Mit OutBank habe ich längst keinen Zugriff mehr auf das Konto, ein notwendiges Update ist hier noch nicht fertig entwickelt. Also wollte ich mich direkt per Browser ins Online-Banking einloggen und musste mich dazu mit der Sparda SecureApp verifizieren. Kein Problem, schließlich nutze ich die schon seit einiger Zeit. Dooferweise wurde man im Zuge der Sicherheitsupdates aus der App ausgeloggt und soll sich nun mit einem QR-Code anmelden, den man im Online-Banking abrufen kann. Oder alternativ mit dem Aktivierungscode, den ich aber längst vernichtet habe.

Ähnlich läuft die Geschichte bei der Postbank, wo wir unser Firmenkonto unterhalten. Hier hat die Umstellung im Prinzip reibungslos geklappt, die Verifizierung über die BestSign-App funktioniert problemlos. Allerdings muss man sich bei jedem Login ins Online-Banking per App verifizieren, man bekommt in diesem Fall eine Push-Mitteilung, muss diese öffnen und den Login bestätigen.

Das mag ja super sicher sein, aber wie soll das denn bitte in der Praxis aussehen? Ich öffne Outbank, um meine neuesten Umsätze abzufragen oder eine Überweisung mit einem von mehreren Konten zu erstellen und muss erst einmal zwei oder drei Freigaben mit anderen Apps erteilen?

Mehr Sicherheit im Online-Banking ist sicherlich nicht verkehrt. Aber mit der PSD2-Umstellung werden wir in den nächsten Wochen noch sehr viel Freude haben…

Hinweis: Dieser Artikel enthält Affiliate-Links. Bei Käufen über diese Links erhalten wir eine Provision, mit dem wir diesen Blog finanzieren. Der Kaufpreis bleibt für euch unverändert.

Anzeige

Kommentare 76 Antworten

  1. Da hat die EU eindeutig überreguliert. Eigentlich wäre TOTP auch besser gewesen. Die nötigen TOTP Codes hätten Apps wie Outbank dann auch selber generieren können

    1. Ich würde bei drei Banken nicht mehr jedes Konto in einer eigenen App haben wollen, sondern gerne alles zentral in einer App verwalten. Welche das ist, spielt keine Rolle – ist aktuell aber mehr als kompliziert.

      1. Nutze hauptsächlich die SparkassenApp und habe dort die Konten der Volksbank eingefügt. N26 funktioniert leider weder in der Sparkassen noch in der VolksbankApp.

      2. Bei N26 geht der Umsatz-Abruf mindestnes mit den Wiso Produkten von Buhl Data (z.B. Wiso EÜR&Kasse) nicht mehr. Vermutlich sind alle FinTS/HBCI Clients betroffen

        1. Ja, das stimmt leider.
          Die Banken haben ihre SecureApss in keinsterweise den Erfordenissen angepasst. Eine echte 2-Faktorauthentifizierung sieht vor, sich mit einem weiteren unabhängigen Schlüssel (Sicherheitmerkma)auszuweisen und nicht die SecureApp alle 90 Tage zusätzlich aufzurufen.
          Das ist der größte Schwachsinn aller Zeiten. Die mTAN war die beste Art auf sein Konto zuzugreifen, kostete die Banken aber zu viel, als dass sie sich trauten dafür Gebühren oder ein Dienstleistungsentgeld zu erheben.

  2. Über Outbank muss ich bei der DKB Kreditkarte auch jedesmal die Verifizierung in der DKB App durchführen. Während ich das normale DKB Konto erst einmal verifizieren musste. Bei der Raiffeisenbank ist die neue Schnittstelle noch nicht umgesetzt.
    Eine Anfrage, warum ich mich jedesmal beim Kreditkartenkonto verifizieren muss habe ich an DKB geschickt. Warte noch auf Antwort.

    1. Hey, das liegt daran, dass die Drittanbieter auf die Kreditkartenumsätze via Webscraping (und nicht FinTS o.ä.) zugreifen (müssen). Die PSD2 besagt, dass über Webscraping JEDER Abruf mit TAN bestätigt werden muss. Bei Abfragen über FinTS (z.B. Girokonto DKB) kann (!) die Bank die TAN Eingabe auf max. 90 Tage erweitern. Würde die DKB die Kreditkartenumsätze via FinTS o.ä. zur Verfügung stellen, gäbe es das Problem nicht. Klappt ja bei den Giro-Umsätzen auch einwandfrei.

    2. Man kann nur ein Gerät als sicher einstufen. Bei mir zum Beispiel das iPhone. Wenn ich auf dem iPad in die DKB App gehe muss ich selbst dort auf dem iPhone bestätigen. Ziemlicher Mist den PSD2 da vorgibt.

  3. Viel schlimmer ist, das Banken Zahlungen ablehnen können wenn sie den Empfänger für „nicht vertrauenswürdig“ halten. Und so geschah es bei mir gestern morgen bei der DKB und Commerzbank mit einer Zahlung an einen Amazon Verkäufer.

  4. Und was hat das konkret jetzt mit der „Vernunft der Banken“ zu tun?

    Den Aktivierungsbrief wegzuwerfen ist nur die zweitbeste Idee. Was machst Du dann bei deinem jährlichen Handywechsel?

    Die Regulierung von PSDII mit 2FA ist eindeutig und musste mit Millionenaufwand durch die Banken umgesetzt werden. Und wieder geht das Gebashe los ?

      1. Für den koordinierten Wechsel klingt das gut. Bei Ersatz wg Diebstahl oder Verlust wird es schwieriger. Auf meinem Brief steht, dass ich den für solche Fälle aufheben soll.

      2. Bei der DKB kann man den QR-Code im Aktivierungsbrief nur einmal nutzen. Aufbewahren nützt da also herzlich wenig. Versehentlich habe ich die TAN2GO-App gelöscht und kann nun nichts mehr machen.

        1. Mittlerweile kann man bei der DKB die digitale Ausstellung des QR codes im Browser durch seine Mobilfunknummer verifizieren und damit sofort sämtliche Apps freischalten.

          Früher waren sie strenger und verlangten einen Versand des QR Briefs (welches man manchmal gar nicht online versenden konnte, weil man zB keine TANs mehr ausstellen konnte – also blieb nur der Weg da anzurufen).
          War ihnen alles zu umständlich und der Weg über Sim ist nicht viel unsicherer.

        2. Kannst du direkt freischalten per SMS. Deswegen sollte man die HandNummer bei der DKB auch gepflegt haben. Du musst bi hat nochmal für TAN2Go eine Registrierung beantragen.

    1. So sieht es leider aus. Wenn es an anderer Stelle auch manchmal angebracht scheint, hier die Banken als Buhmänner auszumachen, ist eher Stammtisch-Niveau.

  5. Klar freut sich jeder wenn Banking sicherer wird, doch bitte nicht so umständlich. Zum Glück kann ich sagen, dass bei Sparda-BW, Commerzbank, ING & Barclaycard alles funktioniert hat.
    Bin gespannt welche Probleme noch kommen. Zunächst freue ich mich auf das was die TEO APP (goteo.de) für die Zusammenführung aller Konten macht.

      1. Ich finde Teo recht müllig, ehrlich gesagt. Man kann trotz jahrelanger Entwicklung in der App keine gespeicherten Empfänger editieren, und der Verwendungszweck wird auch nicht gespeichert (blöd, wenn man den zum Beispiel für den Ausgleich der Kreditkarte jedesmal neu eingeben muss). Aber gut, dass ich mir dafür bei Teo irgendwelchen Lifestyle-Müll reinziehen darf. Da weiß man, dass bei der Entwicklung die Prioritäten richtig gesetzt wurden…

    1. Und was ist jetzt daran anders als bei outbank, Banking4 etc? Die werden die gleichen Probleme haben wie die anderen zentralen Lösungen. Auch für die gilt die neue Verordnung und auch die müssen die Schnittstellen der Banken nutzen. Das ist ja ein grundsätzliches Problem und nicht unbedingt ein App Problem.

        1. Bin für Überraschungen offen und will nicht im Vorfeld schon dagegen wettern. Aber meine Vorstellungskraft lässt aktuell noch keine positiven Schluss hier zu. Ich möchte ein unabhängiges Tool, bei dem keine Daten und PW extern gespeichert werden, einfach zu bedienen ist, sich an Gesetze und Standardschnittstellen hält etc. „Ökosystem“ kann da alles heißen, die Pest und der Seegen. Sicher ist allerdings, dass ich nirgends meine PW in ein Ökosystem ablege, genauso werde ich keine Autorisierungen für meine Konten an Dritte übergeben. Ich lass mich mal überraschen, aber erwarte dazu nicht wirklich Neues.

  6. Benutze Postbank Business mit Banking4 und Alf Banco.
    Musst dich dort nur einmal mit einer TAN verifizieren und dann in den Apps nichts mehr machen. Als bei den Apps muss man nicht jeden Login mit BestSign bestätigten

  7. Je nach dem was die Banken als Wege zur „starken Kunden-Authtentifizierung“ gewählt haben, kann es auch durchaus sein, dass dass gerade für die Konto-Sammel-Apps gar keine Möglichkeiten mehr bestehen die Umsätze abzurufen.
    Für Transaktionen / Käufe an sich wird man sich dran gewöhnen müssen in bestimmten Turnus eine Form der Verifizierung wiederholen zu müssen. Nervig und mitunter auch nicht wirklich viel sicherer.

  8. Nutze auch Outbank mit der VR Bank..gleiches Problem. Nichts funktioniert. Mit der VR Banking App geht alles, aber diese App ist einfach nur grauenhaft..

  9. Da kann ich ein Lied von singen ich brauche Zugriff auch beruflich auf insgesamt 16 konnten davon geht bis jetzt nur eine Bank alle anderen gehen nicht es ist ein Drama

  10. Also ich bin bei der HypoVereinsBank und benutze die hauseigene Bankapp, die ohne Probleme mit SMS-TAN funktioniert. Kaufe ich z.B. über Klarna ein, erhalte ich zwei TAN, die eine zum Bestätigen und eine für die Transaktion…
    Alle 30-Tage muss ich die Touch-ID erneuern, indem ich meinen PIN neu eingebe

  11. Obwohl DKB über Outbank nach erfolgter PSD2 Umstellung bereits funktionierte geht es seit heute nicht mehr. Laut Outbank wird daran gearbeitet. Etwas Schlechteres habe ich selten erlebt.

  12. Also ich muss auch sagen, dass ich noch immer Probleme habe, wie ich meine drei Banken zentral abrufen kann. Und ich befasse mich mit IT und bin auch sehr bewandert da drin. An sich begrüße ich tatsächlich sicheres Onlinebanking, aber eine solche Umsetzung ist ja extrem unglücklich. Da will man die Menschen motivieren, vor allem die Älteren, dass Sie etwas selbstständiger werden und so gut wie jede Bank künstelt sich sein eigenes Werk. Meiner Schwiegermutter, die selbstständig war (Rente), hatte ich das VR Bank Programm eingerichtet, mit allen privaten und geschäftlichen Konten, sogar schon vor Jahren extra alles so umgestellt, dass sie keine TAN Listen benutzen muss und jetzt geht so gut wie nichts mehr. Die einzige Lösung sind Umwege über das Onlinebanking im Internet der jeweiligen Bank (das ist noch für einen älteren Menschen erklärbar), aber eine zentrale Onlinbanking-SW ist ne Tortur geworden. Das hat nicht mal was mit „einfacher ist es nicht geworden“. Das hängt die Leute komplett ab. Ich schimpf nicht mal auf die Banken, aber man hätte doch ein zentrale Vorgabe machen können, wie die Banken das umsetzen können und man hätte auch die Banking-SW Lösungen einbeziehen müssen. Was bringt mir eine solche Lösung, wenn ich im Bestenfall (!) für jedes Konto alle 90 Tage ne TAN zur Anmeldung abgeben muss. Und das ist der Bestfall. Im schlechtesten Fall ist es bei jeder Anmeldung so. Und man hat doch nicht ständig alle benötigten Geräte dabei. Also, glücklich ist was anderes.

  13. Man muss einen Kompromiss zwischen Sicherheit und Praxis finden, dass es alle 90tage erneuert werden muss wusste ich gar nicht und ist ja dermaßen nervig. Wenn ich mich online schon irgendwo registrieren muss um überhaupt einkaufen zu können, nervt mich das das und ich wechsle zu etwas was vielleicht 1-2€ mehr kostet, dafür aber Paypal oder Amazon unterstützt. Man muss Geld schon einfach ausgeben können, sonst tut man es eher nicht ? ein hoch auf Apple Pay und Paypal.

    Und dann im Gegenzug sind die analogen Karten, die eigentlich bis 25€ NFC Zahlung limitiert sein sollten, und trotzdem konnte ich schon knappe 60€ bezahlen.
    Hier stimmt doch was nicht oder wird da bald ein Fingerabdruck notwendig? ?

  14. Keinerlei Probleme mit DKB und auch Sparda bei Verwandten. Finanzblick App hat rechtzeitig geupdated und brauchte höchstens ein Klick mehr für die TAN Weiterleitung.
    Bei der Sparda muss man halt auf dem Brief beachten, dass der Code für viele Jahre weiter aktiv bleibt – deswegen war das vorzeitige Vernichten keine gute Idee.

  15. Es war doch lange bekannt das diese Umstellung kommt. Die Banken scheinen es auf den letzten Drücker umgesetzt zu haben und jetzt müssen Drittanbieter nacharbeiten weil die Informationen dazu anscheinend nicht rechtzeitig vorlagen.
    Die PSD Bank App stürzt bei der Einrichtung ab und speichert die bisherigen Eingaben nicht. Das ist schon lästig.
    Gerade wenn man für Mama und Papa die Konten im Blick hält.
    Bisher war Outbank die beste Alternative, ich habe es gekauft, die Abos gebucht und nun benutze ich es immer noch.
    Hat jemand eine Empfehlung für eine App die nicht werbefinanziert ist?
    Bei Finanzblick und Numbrs und Starmoney erschließt sich mir das Finanzierungsmodell nicht, denn mit irgendwas müssen die ja Geld verdienen.
    Hier rächt sich meiner Meinung nach die Gratis Mentalität. Ein premium Smartphone benutzen und dann zu geizig sein für Software zu bezahlen … leidiges Thema…

        1. Danke für den Hinweis 🙂
          Daran stört mich wieder das die Zugangsdaten nicht auf dem Gerät sondern auf den buhl Servern liegen.
          Bei Outbank ist es meines Wissens nach nur auf dem Gerät.
          Bitte korrigiere mich, falls das nicht stimmt.

          1. Bin mir nicht sicher. War zumindest früher so, dass das Online Konto bei Buhl selbst nur optional war und man die Apps auch alternativ lokal einrichten konnte.

            Ich selbst hätte keine Probleme mit dem Online Konto – sämtliche Handlungen können so oder so ausschließlich mit der OnlinePin der Bank und dann eben TANs ausgeführt werden.
            Mit Online Konto kann man sich dann natürlich per Webzugriff auch von überall her anmelden.

  16. Ich bin bei der Volksbank. Da war es einmal nötig.

    Mein Vater ist bei der Postbank und da muss man sich ständig verifizieren. Das geht mir auf den Keks. Mein Vater blickt das inzwischen gar nicht mehr. Erst Umstellung von Kontonummer und pin auf alias und neuen pin. Nun das mit dem verifizieren. Das Ende vom
    Lied. Ich muss das nun machen. Er wird dement und versteht nicht das er nicht mehr auf sein Konto schauen kann ohne Tochter. Die Post ist da echt schlimm. Wenn er nicht schon so alt wäre und es verstehen würde würde ich wechseln für ihn.

    1. Was ist daran komisch. 2FA heißt, Du brauchst zwei Faktoren, also entweder Karte und PIN (GAA) oder PIN und TAN oder Smartphone (dein eigenes mit APP-Loginschutz wie FaceID) und TAN oder …

      1. Ok … wie jetzt loginname \ Id und Passwort 2FA wofür dann noch eine Tan oder App.
        Am Automat bekommt man Geld und Kontostand ohne Tan.

        P.S. Firmenkonto Postbank nach 70 Jahren gekündigt.

  17. Bin weder demend, noch das ich mich nicht schlau lesen kann, aber bei der Postbank Blick ich nicht ganz durch. Die Extraverfizierung übersteigt auch mein Verstand. Brauche ich eine extra App, kann ich auch die jeweilige App der Bank nutzen, aber dafür ist die übergeordnete Drittanbieterlösung doch da, oder?

  18. Bei der DKB ist es wie bei der Postbank. Bei jedem Login muss man das freigeben… absolut nervig! Schaue gleich mal in die Sparda-Bank HH, ahne da ja nichts gutes!
    Ich verstehe das sowieso nicht?! Wieso muss man das einloggen freigeben? Es wird extra angezeigt, wann sich zu letzt eingeloggt worden ist und tätig werden kann man ohne TAN ohnehin nicht…
    Einfach nur unnötig dieses App gespringe…

    1. Bei der DKB in der eigenen App kannst du das Gerät als sicher einrichten. Dann kommt es nicht mehr. Und die Authentifizierung. In anderen Apps geht dann über die DKB App und nicht mehr per TAN. Sollte deine DKB App nicht nach dem einrichten danach fragen ob das Gerät sicher sein soll dann installiere die App neu. Musste ich leider auch, erst dann kam die Frage danach. Davor hatte ich in der DKB App ähnliches Spiel. Immer wieder Tan beim Login.

  19. Ich bin bei der Sparkasse und nutze deren Standard-App. Da funktioniert alles wie gehabt und ab und zu kommt mal eine extra TAN zum Einsatz. Also alles halb so schlimm. Man könnte meinen die Umstellung hat geräuschlos funktioniert bei denen.

  20. Ich bin bei der POSTBANK. Da war die Umstellung eine Katastrophe zur erst wurde gestreikt und dann bin ich dauernd rausgeflogen weil die Chiptan nicht fuksioniert hat und konnte keine Hilfe bekommen

  21. Commerzbank ist soweit ok, einmal beim ersten Login in der App per PhotoTAN bestätigt. Das gleiche Spiel beim Login am Mac. Über den Sinn kann man streiten ?

    1. Sehe das bei der Comdirekt genauso. Überhaupt null probleme.
      ?

      Warum man drei oder mehr konten hat, verstehe ich eh nicht. Eine privat und eine geschäftlich, ok. Aber Noch mehr? … Ja und eine für: „am finanzamt vorbei“ ?
      Aber jeder nach seiner fassong.

  22. Wieso lässt sich das in Verbindung mit Outbank an der Vernunft der Banken zweifeln? Zum einen haben sich die Banken PSD2 nicht ausgedacht, zum anderen mussten die Banken die API für ihre Schnittstellen vor mehr als einem halben Jahr offenlegen, genug Zeit also, auch für Hinterhofklitschen wie Outbank, die ihr Geld mit der Auswertung der Umsatzdaten der Kunden verdienen, ihre Software rechtzeitig an PSD2 anzupassen.

    1. Genau das denke ich mir auch die ganze Zeit. Was für ein absolut unnötiges Chaos.
      Aber vielleicht ist es auch total logisch, dass ich mich für den Lesezugriff auf Kontostände und andere Daten doppelt authentifizieren und für jede Textmitteilung eine TAN verwenden muss…

  23. Was ist daran so schlimm die Konten in der jeweiligen App zu nutzen. Ich habe gar keine Probleme mit der Umstellung, sowohl mit Comdirect als auch der Sparkasse. Die meisten haben im Schnitt wohl eher nicht mehr als 1-3 Konten zu verwalten. Das bekommt man auch super ohne Kontoverwaltungsapp hin.. ?

      1. ..und vielleicht gibt es auch Leute, die ihr Handy nicht für Banking nutzen wollen? Dann hat nämlich jeder Gauner, der die Tasche klaut, gleich alle Tools hübsch aufs Konto zuzugreifen und Überweisungen zu tätigen. Super sicher. Danke EU. Und erzählt mir jetzt nicht, man muss das Handy eben mit Pin sperren oder so. Erstmal machen das sehr viele nicht, und zweitens kommt da jeder Amateurhacker leicht durch.

        Die Tan-Liste zuhause in der Schublade fand ich da viel sicherer. Das einer da einbricht und die auch noch findet, ist nämlich deutlich unwahrscheinlicher. Plus, da lag nicht die Karte gleich daneben.

        1. @Arnold Ganz genau meine Ansicht. Ich hatte in 25 Jahren Online-banking nie Probleme mit der TAN Liste. Wohingegen ich jedem Handy/Smartphone misstraue. Außerdem kostet jede aufs Handy geschickte TAN auch SMS Gebühren, wenn man keine Flat hat. Für mich ist PSD2 ein Rückschritt zu lasten der Kunden.

  24. Die Postbank ist ein Albtraum, da funktioniert gar nichts mehr. Es werden unterschiedliche Begrifflichlichkeiten verwendet, andere werden gar nicht erläutert, schon gar nicht in zwei verständlichen Sätzen und jegliche Login-Versuche schlagen fehl. Um klar zu machen, dass ich nicht zu den DAUs gehöre: Bin technisch affin und mache Banking seit BTX!! Comdirect und Sparkasse, Null Probleme. Warum ich mich mit dem Postbank Schwachsinn rum schlage? Meine Frau mag keine Veränderungen, seit 20 Jahren versuche ich ihr klar zu machen, dass ein Postunternehmen zu dämlich für Bankgeschäfte ist. Vielleicht begreift sie es jetzt und kündigt den Dreck endlich.

    1. @Arnold Ganz genau meine Ansicht. Ich hatte in 25 Jahren Online-banking nie Probleme mit der TAN Liste. Wohingegen ich jedem Handy/Smartphone misstraue. Außerdem kostet jede aufs Handy geschickte TAN auch SMS Gebühren, wenn man keine Flat hat. Für mich ist PSD2 ein Rückschritt zu lasten der Kunden.

  25. ING: Ich habe mir bei der ING für 32€ einen TAN-Generator bestellt. Ich sitze eh den ganzen Tag am PC und wollte einen schnellen Überblick ohne Handy!

    Wenn ich jetzt meinen Kontostand anschauen will, muss ich jedesmal
    1) meine Zugangsnummer (Kontonummer) eingeben,
    2) die dazugehörige PIN,
    3) bestätigen,
    4) zwei zufällige Zahlen aus dem 6-stelligen Diba Key eingeben,
    5) bestätigen,
    6) den TAN-Generator einschalten, dauert etwas,
    7) den Generator vor den QR-Code auf dem Monitor halten,
    8) dann die PIN für den TAN-Generator eingeben,
    9) bestätigen,
    10) bestätigen, dass ich auf mein Konto zugreifen möchte,
    11) die TAN vom TAN-Generator in das Feld auf dem Monitor übertragen,
    12) bestätigen!!!!

    12 Schritte, um auf meine Kontoauszüge zugreifen zu können! Sry, das ist ein absoluter Witz!!!!! Alternative: App auf dem Smartphone, bei der angeblich jeder Dieb mit nur einer einzigen PIN alles sehen und bedienen kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Copyright © 2024 appgefahren.de