Sparda-Bank zeigt, wie die Zwei-Faktor-Authentifizierung besonders frustrierend werden kann

Online-Banking mit Tücken

Heute gibt es mal wieder etwas aus der Rubrik: “Mir geht das neue PSD2 ziemlich auf den Sack”. Im Mittelpunkt steht die Sparda-Bank West, von der ich mich nach Einführung eines neuen Gebührenmodells ohnehin verabschieden wollte – nur leider ist ein Umzug des Haupt-Familien-Kontos nicht mal eben so erledigt.

Für Probleme sorgt dieses Mal die SpardaSecureApp, die mit 4,7 Sternen bei über 70.000 Bewertungen eigentlich ziemlich gut anzukommen scheint. Sortiert man die Rezensionen aber mal nach dem Datum, wird man schnell feststellen: Mit dem Update auf Version 3.0 haben zahlreiche Nutzer große Probleme. Sie wurden ausgesperrt und können sich nicht wieder einloggen.


Natürlich hat es sowohl mich, als auch meine Frau ebenfalls getroffen. Face ID beziehungsweise Touch ID funktionieren nicht mehr, stattdessen soll der Login mit einem Passwort erfolgen. Wir haben alle Passwörter ausprobiert, die wir mit dem Online-Banking in Verbindung gebracht haben, mit der Anmeldung hat es trotzdem nicht geklappt.

Über die “Passwort vergessen”-Funktion führt der einzige Ausweg über die Zusendung eines neuen (und dann auch nur einmal gültigen) Aktivierungsbrief, der dann in einigen Tagen per Briefpost bei uns eintrudelt. Für eilige Bankgeschäfte alles andere als förderlich. Immerhin: Vor wenigen Minuten hat die Bank ein Update für die SpardaSecureApp veröffentlicht. Version 3.0.1 hilft hoffentlich allen, die in den letzten Tagen nicht Version 3.0 installiert und geöffnet haben.

PSD2 ist kein Standard, sondern ein Stückwerk

Diese Geschichte bekräftigt meine Meinung rund um den im vergangenen Herbst eingeführten Sicherheitsstandard PSD2 einmal mehr. Zusätzliche Sicherheit ist nicht verkehrt, dann aber einen Standard einzuführen, der am Ende gar kein Standard ist, halte ich für absolut sinnbefreit.

Bei der einen Bank muss man sich bei jedem Login authentifizieren, bei der nächsten Bank bleibt der Login 90 Tage gültig. Die eine App baut ihren PSD2-Login direkt in die Banking-App mit ein, bei anderen muss man die Freigabe in einer zweiten App durchführen. Bei der einen Bank kann der Aktivierungsbrief mehrfach genutzt werden, bei der nächsten Bank ist er nur einmal gültig. Die eine Bank lässt sich problemlos mit Drittanbieter-Apps verknüpfen, die andere Bank unterstützt den HBCI-Standard immer noch nicht.

Online-Banking könnte eine so tolle Sache sein. Man kann seine Konten von überall zu jederzeit überblicken und verwalten, Bankgeschäfte auch dann tätigen, wenn die Banken eigentlich geschlossen sind. Anstatt sich um einen einheitlichen Sicherheitsstandard zu kümmern, haben die Banken die neue “Sicherheitsvorgabe” PSD2 aber alle auf ihre eigene Art und Weise umgesetzt. Wer nur bei einer Bank ist, wird davon nicht viel mitbekommen – aber wehe, man muss in seinem Alltag Konten bei mehreren Banken nutzen.

Kommentare 27 Antworten

  1. Wer sich den Mist ausgedacht hat….
    Mich treibt das auch in den Wahnsinn. Privatkonto, Firmenkonto, Bandkonto – alles jetzt absolut nervig und umständlich zu handeln bis zum ebenfalls zeitweise ohne Zugang darstehen hab ich da auch alles durch.
    Absolut nicht bis zu Ende gedachter Mist :/

      1. Du bist nicht allein, Die PSD Bank Hessen hat mich als Kunden nach 38Jahren verloren und die DKB könnte bald folgen. Mit Boon, Amazon LBB und 3 weitern Banken ist der Kontorundruf mit MoneyMoney oder Outbank ein wahre Qual geworden

  2. Der „“Aktivierungsbrief“ wird bestimmt auch nicht gebührenfrei zugesendet… Unsere regionale Volksbank (bei der ich Gottseidank kein Kunde bin) zieht dafür 5,-€ vom Konto ein…

    1. Üblicherweise kostenlos in den Banken, die ich kenne.

      Bin mir nicht sicher, ob deine Bank hier überhaupt rechtens handelt. Da sollte eigentlich die selbe Regelung wie bei Kontoauszügen gelten – es dürfen keine überbordenden Gebühren verlangt werden, die nicht angefallen sind. Deswegen wurden die schon verklagt.

  3. Aber das Geschrei ist noch größer und der Ruf nach dem Gesetzgeber da, wenn EUR 10k via Sepa Instant auf und von Deinem Konto davon sind… Aber dann, Sparda, bitte sofort erstatten (warum hat die Bank mich schließlich nicht ausreichend beschützt)!

  4. Wenn sich wenigstens alle Banken auf die 90-Tage Gültigkeit einigen könnten. Wenn ich in Outbank meine Konten checken will, muss ich bei bis zu 4 Banken deren eigene App aufrufen und mich authentifizieren(zB DKB) oder einen Code aus einer SMS eingeben (zB N26). So ein Irrsinn. Auch PSD2 bietet gewisse Spielräume, wieso nutzen manche Banken das nicht!? Mir völlig unverständlich. Da gehen sie lieber das Risiko ein, dass der Kunde völlig entnervt das Institut wechselt… Kundenfokussierung sieht anders aus.

  5. …und dann wäre da noch 1822direkt:
    Loggt man sich in die Banking-App mit FaceID ein, ist die TAN-App „aus Sicherheitsgründen“ mit FaceID nicht zu öffnen, sonder nur mit Passwort 😤

  6. Ich mußte mich gestern in der SpardaSecureApp auch manuell mit Password einloggen. Dieses Passwort musste man bei der Einrichtung der App vergeben. Ich hatte es zum Vlück in 1Password notiert 😅

  7. Comdirect über StarMoney am PC ist auch die letzte Grütze. Ein Konto hinter dem dann automatisch Giro, Tagesgeld, Broker und zwei Kreditkarten stehen und 5 mal direkt nacheinander muss man die photoTAN scannen

    1. Schön ist auch, wenn mir eine PhotoTAN auf dem Smartphone angezeigt wird, und ich mit dem Smartphone den Code scannen soll.
      Da wünscht man sich ein faltbares Handy. 😉

    1. Sparda bank hessen
      Kann seit einigen Tagen nicht an mein Konto,die Authentifizierung ist blockiert .
      Soll die Hotline bzw. Service-Nr. anrufen : ist blockiert .
      Die kommunikation mit der Sparda Bank Hessen ist nicht möglich.
      Habe ein E-Mail gesendet, die Rückantwort : rufen Sie unseren Service an.
      Man dreht sich im Kreis.
      Als langjähriger Kunde : über 25 Jahre bin ich genervt und suche eine bessere Bank.

  8. ich kann das selbe wie im artikel für die DKB bestätigen. grauenvoll!

    es hat bei mir 1,5 wochen, 2 aktivierungsbriefe sowie 1 passwort brief gebraucht, bis ich wieder zugang zu meinen konten hatte!!

    1. Weist du was hilft? Das Tan2go einfach auf iPhone und z.B ipAd installieren. Dann ist immer ein Gerät noch vorhanden und man kann ein neues hinzufügen oder einfach für 12€ nen Tan Generator holen und das Problem ist auch gelöst. Man sollte es nicht umständlicher machen als es ist.

  9. Puh, ich will jetzt die Banken nicht in Schutz nehmen, aber man muß sich auch anschauen wo das Ganze herkommt: Die Anforderung zur SCA (strong customer authentication) ist eine der Vorgaben der PSD2. Die Vorgaben wie so eine SCA umzusetzen ist sind leider vom Gesetzgeber seeeeehr schwammig und bieten einigen Interpretationsspielraum. Die Banken selbst sind ja auch höchst unzufrieden mit diesen Vorgaben, da diese die Sicherheit kaum erhöhen, dafür aber den Komfort massiv einschränken. Die Vorgaben sind halt entstanden da viele unserer europäischen Nachbarn eben nicht ein schon seit Jahren ausgereiftes System wie HBCI/FinTS haben.
    Dann hat natürlich jede Bank ganz andere techn. Voraussetzungen, sowohl in den Frontends (Apps, Webbanking) als auch Backends (Kernbankensystem). Daher ist es nicht verwunderlich das dieses Thema sowohl technisch als auch organisatorisch höchst unterschiedlich umgesetzt wurde. Jede Bank hat halt für sich entschieden welche Methoden sie im Rahmen ihrer Möglichkeiten hat.

  10. Komisch nur das am Bankautomaten nur meine Karte und einen 4 Stelligen Nummern code benötige um an mein Geld zu kommen. Da ist wohl PSD2 aussen vor.
    Bei einigen Banken Zb Postbank kommt der Kontostand auch ohne code nur mit Karte… sehr dezente Ausgabe wenn man Leute hinter sich hat.
    Um an das fundierte Hintergrundwissen zu kommen , einfach mal ausprobieren.
    Nfc kann das IPhone wohl schon, klappt ja mit dem Perso auch ohne Lesegerät.

  11. Auch ich finde, das die Banken mit dieser Systematik vollkommen übertreiben. Nur um einmal bei der DKB , der N26 , der Sparkasse auf das Konto schauen zu dürfen ist eine Verifizierung mit dem Smartphone erforderlich. Wohl dem der ein Smartphone hat….
    Selbst um bei der DKB mit Online Cashback einzukaufen oder um aktuelle Konditionen einzusehen ist eine Verifizierung zwingend. Das kann doch nicht im Sinne des Verbraucherschutzes sein….
    Ich mache mehrer Bankgeschäfte für ältere Herrschaften, die kommen mit dem Zusammenspiel Banking App – TAN App und wieder zurück zur Banking App überhaupt nicht klar. Besonders dann nicht, wenn wie oft bei der DKB die Apps manchmal nicht zusammenarbeiten.

    Kurzum, es müssen einfachere systemische Varianten im sicheren Onlinebanking her….

  12. Positiv fällt mir derzeit nur das Kreditkarten Banking der American Express ein. Hier kann ich mich (noch) ohne Mobiltelefon/ ohne SMS TAN einloggen und den Kontostand unproblematisch checken.
    Ebenso beim Weltsparen…..

    Bei Überweisungen muss es bessere Sicherheitsvorkehrungen geben, nicht aber beim Prüfen des Kontostandes…..

  13. Glaubt mir, kein Kreditinstitut macht das mit der Zwei-Wege-Autorisierung freiwillig. Zum Einen ist es von der Politik in Gesetze gegossen wurden und zum Anderen bei den steigenden Missbrauchszahlen auch notwendig. Und wenn ich immer nur alles kostenlos erwarte, muss ich mich nicht wundern, wenn es nicht gut umgesetzt wird. Kein Mensch würde auf die Idee kommen, eine Alarmanlage bei sich einbauen zu lassen und dafür nicht bezahlen zu wollen. Ich bin beim Markführer…. die haben übrigens mit Abstand die bestbewerteten Apps…. die auch noch funktionieren….

  14. Ich würde mir auch wünschen, das für rein lesende Zugriffe eine 2-Faktor-Authentifizierung alle 90 Tage einheitlich bei allen Banken umgesetzt würde. Nach meinem Verständnis wäre das PSD2-konform.

    Das für Überweisungen, Daueraufträge u. ä. dann wieder eine 2FA gemacht werden muss: okay, ist dann wirklich sicherer. Aber bitte nur einmal alle x Minuten oder für einen „Batch“ an Aufträgen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Copyright © 2020 appgefahren.de