Kommentare

45 Comments

  1. Alexander sagt:

    Lieber Herr Zimen,

    ich bin mit s Identity grundsätzlich sehr zufrieden. Heute habe ich aber eine Meldung von meinem Handy bekommen, dass mein Speicherplatz ausgeht (nicht weiter komisch) und danach wird ja angezeigt, welche App wie viel Speicher verbraucht – Und s Identity braucht, obwohl die App nur eine Funktion hat und die App selbst nur 40MB groß ist, sagenhafte 940MB Speicherplatz. – Ich bin mir sicher, das ist so nicht beabsichtigt. Was soll ich da machen? Bei mir würde es dadurch, dass ich 2 Geräte habe, sogar noch funktionieren, die Daten zu löschen und s Identity neu zu verknüpfen, aber es ist trotzdem aufwändig und sollte sicher nicht so sein.

  2. Martin sagt:

    Prinzipiell würde ich S-Identity nicht so schlecht finden aber mir fehlt irgendwie der Notfall-Fall-Back wenn das Handy gestohlen wird / defekt wird (auch für Wochenende etc.)

    Ich denke dann an NotfallCodes mit denen man sich z.Bsp einloggen könnte oder ein anderes Gerät als S-Identity-Gerät aktivieren kann etc. – Ich fühle mich mit Verfüger/Kennwort/SmS irgendwie mehr als Herr der Lage …

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Martin,

      In Kürze erhalten Sie bei der Aktivierung von s Identity, bzw. auch der Neuaktivierung eines zusätzlichen Geräts, nicht nur einen Aktivierungscode, sondern mehrere als pdf, die auch unbegrenzt gültig sind. Damit können Sie im Falle des Verlustes eines Smartphones ein weiteres Gerät hinzufügen.

      Beste Grüße!

  3. Mag. Peter Hrad sagt:

    das neue System finde ich unakzeptabel mühsam. möchte nicht noch eine app am handy. Zu 95% arbeite ich mit George nur am PC und das Login war bisher sekundenschnell ohne app möglich. Hier wird eine rote Linie überschritten und ich befürchte, dass so mancher Kunde dadurch an die Konkurrenz verloren geht.

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Mag. Peter Hrad,

      Die Einführung von s Identity hat wie gesagt vor allem damit zu tun, dass wir – wie übrigens alle anderen Banken in Europa auch – aufgrund der Bestimmungen der PSD 2 verpflichtet sind, eine Strong Customer Authentication einzuführen. s Identity erfüllt diese Vorgaben, die Freigabemethode mit TAC SMS sowie der Login nur mit Verfügernummer und Passwort leider nicht.

      Beste Grüße!

  4. Wolfgang sagt:

    hallo ich finde es furchtbar mühsam dass für jeden login am pc die sidentity app gebraucht wird! das ist auch aufgrund der psd2 nicht notwendig! lg

  5. Lukas Pitschl sagt:

    Gibt es einen Grund warum s Identity eine extra App sein muss und die Funktionalität nicht direkt in George integriert werden kann? Also es darf ja eine extra App sein für die die George nicht installiert haben, wäre aber doch sehr angenehm, wenn’s nun nicht zu jeder Banking App auch noch eine gesonderte 2FA App geben würde. Zusätzlich, da hier glaub ich gefragt wurde aber es noch keine Antwort gab, was ist der grund, dass Face ID nicht verwendet werden kann anstatt dem PIN? Und warum ist nur ein Zahlenpin zulässig?

    Mein aktueller Workflow ist:
    1.) s Identity Push Notification anklicken
    2.) s Identity App öffnet sich
    3.) ich schließ s Identity
    4.) 1Password öffnen um den PIN rauszukopieren
    5.) Zurück zu s Identity
    6.) PIN in s Identity eingeben
    7.) Auf „Freigeben“ klicken

    Mit FaceID wär das

    1.) s Identity Push Notification anklicken
    2.) Authentifizierung erfolgt via Face ID, welche den Zugriff auf die PIN für die App freihaltet
    3.) Auf „Freigeben“ klicken

    Bin insgesamt ein großer Fan von George und den neuen Erste Bank Apps, nachdem sich wirklich einiges im UX Bereich tut, aber so manche Sachen wie Verfügernummer neu eingeben müssen, wenn ich die App kurz in den Hintergrund stell, treiben mich zum Wahnsinn… vor allem wenn man auf Password-reuse verzichten will und 1Password oder ähnliches verwendet.

    Danke!

    1. C. sagt:

      Ich kann mich Ihnen nur anschließen. Ich habe ebenfalls soeben die App installiert, da mir George das neue System vorgestellt hat als ich eben etwas überweisen wollte. Nun stört mich zwar ein PIN nicht sonderlich, aber da ich durch mein iPhone X mittlerweile zugegebenermaßen doch sehr verwöhnt bin was Face ID anstelle von „mühseliger“ Passwort- oder PIN-Eingabe betrifft, frage ich mich auch ob es denn nicht eine Möglichkeit wäre, in Zukunft auch das Einloggen über Face ID anzubieten. Also in etwa so: mittels Face ID wird festgestellt, ob es sich um mich, den Besitzer des Smartphones handelt, woraufhin er dann (wie auch in anderen Apps und auf Webseiten) die PIN automatisch für mich einfügt. Idealerweise würde das Ganze mich dann sofort einloggen, aber ein Tippen auf „einloggen“ wäre auch nicht dramatisch.

      1. Dag Erik Zimen Dag Erik Zimen sagt:

        Lieber Lukas,

        FaceID entspricht zum derzeitigen Zeitpunkt nicht die strengen Anforderungen an eine Strong Customer Authentication für Überweisungen, wie sie von der PSD2 vorgeschrieben wird.

        Das Problem dabei ist unter anderem, dass der Fingerabdruck oder Merkmale für die Gesichtserkennung direkt am Smartphone gespeichert werden. Daher haben wir derzeit praktisch keine Möglichkeit, über unsere Systeme (Autorisierungen müssen zwingend über Bankserver laufen und nicht über Dritte) sicher zu stellen, dass es sich tatsächlich um den Kunden handelt.
        Deswegen ist Face ID & Co derzeit nur für den Login zu George Go zulässig, sobald sicherheitsrelevante Aktionen vorgenommen werden, nicht mehr.

        Bei einer Fortentwicklung von Face ID und Co bleiben wir sicher bei dem Thema dran.

        Beste Grüße

  6. McM sagt:

    In der Werbung für S-Identity findet sich folgender Satz:
    Egal ob Freigabe oder Login: Die Bestätigung in der s Identity App erfolgt mit Code (PIN) und einem einzigen Klick. Kein SMS-Auslesen, kein Vertippen, keine Selbstsperren nach Fehleingaben mehr

    Ähmm – wie ist der letzte Teil zu verstehen? Keine Selbstsperren nach Fehleingaben mehr? Kann ich nun beliebig lange probieren bis ich das Passwort (Pin) erraten habe?

    Ich hoffe sehr, dass es ausreichend Sicherheit gegen Brute Force Angriffe gibt und der Satz nur unglücklich fomuliert ist. Falls sie etwas dazu sagen können / dürfen würde mich interessieren wie diese Aussag ewirklich gemeint ist.

    McM

    1. Christopher K sagt:

      Ich denke damit ist schlichtweg gemeint, dass es nicht mehr möglich ist Ihren Onlinezugang wie beim klassischen Log-In (Verfügern. + Passwort) durch mehrfach falsche Passworteingabe zu sperren, da die Freigabe zum Einloggen nach Umstellung auf s-Identity über die App erfolgt, d. h. Verfügern. + Bestätigung in der App.

    2. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber MCM,

      Das heißt einfach, dass sie sich durch die Falscheingabe von Passwörtern beim Login von George nicht mehr selbst sperren können (daily business im helpdesk).

      s Identity funktioniert ja anders: Sie starten die Freigabe oder den Login bei George, loggen sich dann mittels PIN bei s Identity ein und bestätigen dann die Freigabe bzw. den Login. Das heißt in George selbst geben Sie gar nichts mehr ein, können sich also auch nicht sperren.

      Beim Zugang zur s Identity App haben Sie für die PIN-Eingabe 4 Versuche.

      Beste Grüße

      1. McM sagt:

        OK – verstehe.
        Ich kann mich aus George nicht mehr aussperren.
        Ich kann mich nur mehr aus der sIdentify App aussperren.
        :-)))

        OK, gutes Marketing. Aber solange die Sicherheit erhalten bleibt ist alles OK.
        Wie ich sIdentity nach der 4ten Fehleingabe wieder renablen kann wird sicher wo stehen. Wahrscheinlich so wie jetzt per Brief, Filiale od. in Zukunft wenn ich sei richtig verstanden habe – am Automaten mit der Bankcard.

        In Summe ist das asicher eine Erleichterung für viele Benutzer und ihre KollegInnen an der Helpline die derzeit wahrscheinlich ewig erklären müssen, warum sie das nicht on the fly resetten dürfen bzw. können.

        Danke f.d. Klarstellun und einen schönen Tag

  7. Maxi sagt:

    Lieber Herr Dag Erik Zimen,

    ich habe schon zwei Mal eine Mail mit diesem/ähnlichen Problemen geschrieben und jedes Mal nur sehr auswichende, in Richtung „Ist uns egal“-Antworten, bekommen, deswegen schreibe ich Ihnen hier, da sie doch eine wichtige Rolle in der Entwicklung zu tragen scheinen. Leider kann ich hier keine Bilder anhängen, ich habe sie hochgeladen und hoffe, dass das mit der Verlinkung funktioniert:

    1. https://abload.de/img/img_0010ogsk8.png
    Das Bild zeigt einen Screenshot der Go-App zum Freigeben der Überweisung, da steht in Großbuchstaben „EMPFÄNGERIN“. Ich bin mir sicher, dass hier EmpfängerIn stehen sollte und der Capslock nicht bedacht wurde, daher wäre hier EMPFÄNGER(IN) angebracht! 🙂

    2. https://abload.de/img/screenshot_20180514-12ws1f.png
    Das Bild zeigt eine Android-Benachrichtungsleiste mit einem Icon von s-Identity, Whatsapp und Snapchat. Während die beiden letzteren gemäß den Design-Richtlinien einfärbig gehalten sind, wird das s-ID-Icon mehrfarbig angezeigt. In diesem Kontext ist dies nicht unbedingt störend, sondern sieht einfach nur komisch aus, aber manchmal muss das Icon einfärbig angezeigt werden, und dann ist es nicht erkennbar. Ich habe diesen Fehler schon vor über 1 Jahr bei QC gemeldet, dann vor ca 6 Monaten bei George Go. Es zeugt schon von einer gewissen Gleichgültigkeit, wenn dieser Fehler nicht nur nicht behoben, sondern in einer nagelneuen App erneut gemacht wurde.

    3. https://abload.de/img/whatsappimage2018-05kcsj6.jpeg
    Das Bild zeigt das App-Icon von George Go, QuickCheck, s Kontakt und s Identity. Ich denke die Unterschiede sind für jeden sofort sichtbar. Zuerst waren alle Apps im QC-Design, dann wurde der Farbverlauf entfernt, dann wurde das George-Icon eckiger gemacht, aber das neue s-ID-Icon ist wieder runder? Besonders dies verstehe ich nicht – ich nehme an, bei Ihnen arbeiten nicht nur Entwickler, sondern auch zumindest ein Grafiker. Ich habe Erfahrung in diesem Bereich und ich kann Ihnen versichern, dass eine Angleichung dieser Icons – speziell wo ja eine Vorlage vorhanden ist – nur wenige Stunden in Anspruch nimmt.

    Ich bitte Sie, zu den Punkten Stellung zu nehmen und diese zu überdenken! 🙂

    MfG
    Maximilian

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Maximilian,

      Vielen Dank für Ihre Feedback. Es ist uns ganz und gar nicht egal übrigens, aber der Reihe nach.

      1. Ja, der Caps Lock. da haben Sie natürlich Recht. Das berühmt-berüchtigte Binnen-I wurde davon verschluckt. Aber da wir die Variante mit dem Klammern nicht Verwenden (Konsistenz ist kein schmutziges Wort), sagt der Texter in diesem Fall: Nachdem Frauen seit Jahren gewohnt sind, sich als Kunden, Empfänger etc ansprechen zu lassen, werden männliche Zeitgenossen über den Umstand hinweg kommen, dass sie, wenn auch nur in der CAPS LOCK-Welt einmal in weiblicher Formen adressiert werden. 😉

      2. Sie haben natürlich auch hier Recht. Das Android Team von George Go kennt das Problem und arbeitet an einer Behebung für eines der nächsten Updates. Zum Hintergrund: es hat etwas damit zu tun, ob die Push-Benachrichtigung von der App selbst erzeugt wird oder vom System angezeigt wird. Es gibt dafür zwei unterschiedliche Arten von Attributen: „notifications“ und „Data“ (Siehe auch hier: https://developers.google.com/cloud-messaging/concept-options). George Go arbeitet bereits an einer Vereinheitlichung. Für das Backend der anderen beiden Apps leiten wir das weiter.

      3. Nicht nur Ihre Augen, sondern auch die unseres Design-Teams sehen das natürlich. Auch hier der Hintergrund, frisch aus dem Design-Team:
      „grundsätzlich unterstützt android seit einiger zeit so ein system das nennt sich “adaptive icon” – als entwickler lieferst du dabei einen “vordergrund” – in unserem fall also das dunkle symbol und das sparkassen s – und eine “hintergrundfläche”. alle verschiedenen android-vendors beschneiden diese assets dann mit ihren masken, dann kann es eckig, rund, halbrund etc. sein
      ohne dass du als Entwickler alles extra baust, bei George Go haben wir das, aber mein android smartphone macht z.b. das sID nicht rund, obwohl ich “rund” eingestellt hab.“
      [Eigene Anmerkung: Meine Samsung vereinheitlicht das aber schon] … Nichtsdestotrotz: Design-team arbeitet an einer Lösung.

      Beste Grüße!

  8. BenClay sagt:

    Ob jetzt die Banking App oder die one-time PW generator App gehacked wird macht keinen Unterschied. Diese Variante ist keineswegs sicherer und es sollte vor allem das Gerät des Nutzers vor Phishing und Viren geschützt werden.

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber BenClay,

      s Identity erfüllt alle Sicherheitsvorgaben für die sogenannte Strong Customer Authentication, wie sie von der PSD2 gefordert wird. Für TAC SMS gilt dies leider nicht.

      Beste Grüße

  9. Andreas Dubas sagt:

    Auf meinem Samsung S8 bleibt die Installation hängen, volle Paketgrösse 14,47 MB wird geholt, dann tut sich nichts mehr, kann ich nur mit ‚X = Cancel‘ abbrechen und das App ist dann nicht installiert..

    lg
    Andreas

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Andreas,

      Bitte versuchen Sie Download und Installation aus dem Play Store erneut. Sollte dies dann erneut nicht funktionieren wenden Sie sich bitte an den Helpdesk;

      Helpdesk für Digitales Banking
      Telefon: +43 (0)5 0100 – Bankleitzahl Ihres Institutes
      Sie finden die komplette Telefonnummer auch auf der Rückseite Ihrer BankCard.

      E-Mail: george@s-servicecenter.at

  10. Gerald sagt:

    Wie funktioniert dann der Watchdog – dzt. erhalte ich seine Info per SMS?

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Gerald,

      s Identity hat mit Watchdogs nichts zu tun. Es ist lediglich eine App für Freigaben und Login. Watchdogs erhalten Sie wie bisher, entweder über George Go oder wenn Sie SMS als Kanal eingestellt haben, über SMS.

      Beste Grüße

  11. markus brustmann sagt:

    und wie muss ich vorgehen um den aktivierungscode in george zu gennerieren

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Markus Brustmann,

      Bitte gehen Sie einfach in Ihre George Einstellungen „Login & Freigabe“ und folgen sie der Schritt für Schritt Anleitung von George.

      Beste Grüße!

  12. markus brustmann sagt:

    kann ich den aktivierungscode auch in george gennerieren

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Markus,

      Sie können den Aktivierungscode für s Identity natürlich mit George generieren. Lediglich wenn Sie nur ein Gerät für s Identity aktiviert haben und dieses gestohlen werden/verloren gehen sollte, dann bekommen sie den Aktivierungscoe für ein neues Gerät nicht via George.

      Beste Grüße

  13. Herbert Nussbaumer sagt:

    Es soll Kunden geben – und NICHT wenige, die entweder KEIN Smartphone haben – oder welche, die sich KEINE Banking-APPS auf ihr Smartphone laden wollen. Will man diese dem Mitbewerb schicken??

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Herbert Nussbaumer,

      Sie können weiterhin TAC SMS als Freigabemethode verwenden (verbunden mit dem Login mit Passwort) oder aber auch CardTAN (Alle Infos dazu in den George Einstellungen).
      Für s Identity-Benutzer wird es zudem in Kürze eine eigene Desktop-Version geben.

      Beste Grüße!

  14. mcm sagt:

    Wenn TAC SMS eingestellt wird stellt sich die Frage wie ich ohne Internet am Handy noch E-Banking machen soll. Welche Alternative ist hier angedacht? Läuft die App auch am PC (als W10 App)?

    Oder müssen alle Kunden ohne Smartphone die Bank wechseln?
    Und ja – ich hab alleine 3 Verwandte die zwar pc und EBanking benutzen aber kein Smartphone einsetzen. Und Eine ist unter 40 und arbeitet als SW Entwicklerin bei einer grossen Firma… Ist also zwar selten aber nicht auf 90 jährige beschränkt.

    Wäre CardTan 2FA tauglich?

    1. McM sagt:

      Und noch eine Zusatzfrage:

      Wie wird die Identity App „authorisiert“, d.h. nach der Installation der App mit dem Verfüger verknüpft? Ich nehme ja doch an, dass das Installieren der App und Eingabe des Verfügers alleine ausreicht um irgendwas zu authorisieren 🙂

      Übrigends:
      Die ERSTE sollte sich auch etwas in Bezug auf Installationswarnungen und App Updates überlegen. Jedesmal wenn sich Quickcheck selbst aktualisiert kommt die Warnung, dass die App nur aus dem offiziellen Store geladen werden soll. No na – das ist ja gut so. Und bei einer Neuinstallation kann ich das auch beachten. Aber bei einem automatischen Update sollte die App geeignet erkennen von wo sie sich aktualisiert. Oder ich muss sie jedesmal deinstallieren und von offiziellen Store neu installieren. Oder ich schalte Updates aus. Beides keine echte Option. nur des ungeprüfte Wegklicken des Hinweises bringt auch nicht viel – und ich wüsste nicht, wie ich feststellen könnte woher die App sich beim automatischen Update aktualisiert hat. (Abgesehen davon, dass ich fremde Stores prinzipiell nicht freigeschalten habe und daher Downloads von anderen inoffiziellen Quellen unwahrscheinlich sind). Was bei Quickcheck noch unter lästig fällt, wäre bei Identity schon grenzwertig in Bezug auf höchste Sicherheit.

    2. kamakajo sagt:

      Und WO genau steht das die SMS eingestellt wird?

      1. Dag Erik Zimen Dag Erik Zimen sagt:

        TAC SMS bleibt vorläufig als zusätzliche Zeichnungsmethode bestehen.
        Lediglich wenn Sie einmal s Identity aktiviert haben, können Sie NICHT wieder zurück zu TAC SMS.

        Beste Grüße!

      2. McM sagt:

        In einigen Antworten von Hr. Zimen steht klar, dass TAC SMS **vorläufig** erhalten bleib. Daraus ist der Umkehrschluss gerechtfertigt, dass es (wenn auch nicht heute) eingestellt wird.

        Dass ich für E-Banking in Zukunft zwingend ein Smwartphone benötige sehe ich als Problem.

        Um es klarzustellen. Ich will die App nicht schlechtreden. Das ist sie nicht. Ich versuche nur klarzustellen, dass es AUCH noch Personen ohne Smartphone gibt die sehr wohl Internet benutzen.

        McM

  15. Manfred Parzer sagt:

    Diese Form der Authentifizierung bedeutet, dass ich auch für meine Bankgeschäfte am PC/NB immer ein Mobiltelefon haben muss. Kein Telefon, kein Akku oder keine Verbindung – kein Bankzugang.
    Für den Zugang über die Website sollte hier jedenfalls auch die Methode mit Verfügen und Passwort möglich bleiben.

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Manfred Parzer,

      Natürlich können Sie bis auf weiteres auch TAC SMS und den Login mit Verfügernummer und Passwort nutzen. Oder CardTAN. Auch mit TAC SMS benötigen Sie für Freigaben übrigens ein Mobiltelefon.
      Darüber hinaus wird es in naher Zukunft auch eine Desktop-Variante von s Identity geben.

      Beste Grüße!

      1. McM sagt:

        Ja, für TAC SMS benötige ich ein Mobiltelefon. Aber kein Smartphone mit Internettarif 🙂

        ABER:
        Die Information, dass es die App bzw. eine vergleichbare Lösung auch für den PC geben wird klingt gut und würde das Problem kein Smartphone natürlich lösen. Danke f.d. Vorabinfo.

        McM

  16. Philipp sagt:

    Ich finde es ebenfalls schade, dass Face ID nicht zur automatischen PIN-Eingabe verwendet werden kann (andere Banking Apps verwenden dieses Konzept sehr wohl).
    Welche Wiederherstellungsmöglichkeiten gibt es im Fall von Smartphone-Verlust/Diebstahl? Muss ich mich an meinen Betreuer wenden oder gibt es einen Wiederherstellungsschlüssel?

    1. Philipp sagt:

      PS: Der Blog läuft noch unter der Winterzeit 🙂

    2. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Philipp,

      das hängt davon ab, ob Sie nur ein Gerät mit s Identity und Ihrem Verfüger verknüft haben oder mehrere:

      Mehrere:
      Im Falle eines Verlustes/Diebstahls des Gerät deaktivieren/“entknüpfen“ Sie dieses Gerät bitte von Ihrem Verfüger. Dies geht jederzeit in George oder der Filiale. Haben Sie mehrere Geräte für s Identity registriert, können Sie die anderen normal weiternutzen und weitere Geräte jederzeit hinzufügen.

      Nur ein Gerät verknüpft:
      Sie benötigen für ein neues Gerät einen neuen Aktivierungscode: Diesen erhalten Sie in der Filiale oder nach telefonischer Bestellung im Service Center per Post.

      Ab Mitte Juli gibt es auch die Möglichkeit, dies alles an den SB-Automaten in den Fililen selbst zu machen.

      Beste Grüße!

  17. Patrick sagt:

    Idee super – Umsetzung wieder einmal schlecht ?

    1. So wie ich das lese gibt es keine Möglichkeit die App mit Fingerabdruck zu entsperren sondern nur per PIN – und ich bin mir noch immer nicht ganz sicher warum alle meinen, dass ein 4 oder 6 Stellinger PIN sicherer sein soll als ein langes Passwort.

    2. Warum ist eine Rückkehr oder gar eine Gleichzeitige Nutzung der App und der „alten“ Methode mit Passwort und TAC SMS nicht möglich – wenn ich kein Internet habe z.B. im Ausland kann ich also nichts mehr machen – das können andere Banken deutlich besser – siehe zB BAWAG – dort kann ich sogar bei jeder Überweisung auswählen ob ich per App, SMS oder Bürgerkarte freigeben will.

    1. Dag Erik Zimen Dag Erik Zimen sagt:

      Lieber Patrick,

      Die konkrete Umsetzung startet ja erst am 14. Mai. Wir würden uns freuen, wenn Sie Ihr „Umsetzung schlecht“ dann nochmal anhand der tatsächlichen Umsetzung überdenken. 😉

      Die App wird entsperrt mit einem eigenen PIN, schon allein deswegen, weil der Zugang zur s Identity über bankeigene Server laufen muss und nicht über die von Apple & co.

      die Rückkehr zur bisherigen Nutzung mit TAC SMS ist deswegen nicht möglich, weil TAC SMS weder PSD2 noch SCA-konform ist. Es gibt z.B. schon jetzt bestimmt Aktionen im digitalen Banking, für welche der Regulator keine Autorisierung mittels TAC SMS mehr zulässt. Mittelfristig wird TAC SMS daher zu Ihrer eigenen Sicherheit auch komplett eingestellt werden.

      Beste Grüße!

      1. McM sagt:

        >> Es gibt z.B. schon jetzt bestimmt Aktionen im digitalen Banking, für welche der Regulator keine Autorisierung mittels TAC SMS mehr zulässt.

        Welche wären das z.B.?

        1. Dag Erik Zimen Dag Erik Zimen sagt:

          Beispielsweise bei der Zeichnung bestimmter Verträge oder Produktabschlüsse. Auch im Zusammenhang mit Ihrer Zustimmung zur Datenverwendung bedarf es einer Strong Customer Authentication. PSD2 sei Dank…

          Beste Grüße

          1. McM sagt:

            Danke f.d. Info.
            Ich frage mich nur nach wie vor, wie Banking OHNE Smartphone wohl in Zukunft gehen soll.
            Wobei die Zustimmung zur Datenverwendung mich nicht so sehr zu treffen scheint :-).

            Was allerdings an einer App besser sei soll als bei SMS ist mir unklar. OK – SMS Umleitung ist ein Problem. Aber gehackte Smartphones soll es schon gegeben haben. Und 2 Faktoren (Wissen -> Login Pin, Besitz -> Handy zum SMS Empfang) bietet auch TAC SMS. Irgendwie steh ich da auf der Leitung. Ob jemand meinen Login-Pin ausspäht oder meinen Identity Pin ist ja wohl egal. Ein Unbefugter kommt in den Besitz des Wissens. Und da ich den Pin nun am Mobilgerät eintippen muss ist das Risiko sogar noch größer. Derzeit wird der Login Pin nur am PC eingegeben. Damit kann ein gehacktes Handy den Loginpin nicht capturen. Am Handy kann eine böswillige App – zumindest mit Root Rechten – die Eingabe Capturen. Ergo ist das jetzige Verfahren m. E. sogar sicherer. Und ob von einem kompromittierten Handy alle Daten abgezogen werden können die benötigt werden um die Identity App auf einem anderen Gerät zu installieren oder nicht trau ich mich nicht zu sagen – da gibt’s sicher Berufenere. Aber was an Daten auf einem Gerät existiert kann im Prinzip auch gestohlen werden.

          2. Christopher K sagt:

            Die Bedenken, die McM hier äußerst, finde ich durchaus nachvollziehbar. Ich bin weder App-Programmierer noch weiß ich, wie s Identity im „Kern“ funktioniert und mit sensiblen Daten umgeht, vertraue dabei aber den Köpfen hinter der App.

            Neue Technologien finde ich interessant und stehe ich grundsätzlich offen gegenüber, jedoch bin ich nach wie vor aus Sicherheitsgründen sehr skeptisch gegenüber Mobile-Banking und generell der Eingabe meiner Bankdaten auf meinem Smartphone. Speziell Android ist
            in Zeiten wie diesen mit der Lieferung von Sicherheitsupdates teilweise echt eine Zumutung und
            aus diesem Grund logge ich mich auch nur beim PC zuhause ein und authorisiere via TAC-SMS.

            Eine weitere Frage wäre dann auch noch wie man mit Kunden umgeht, die Opfer von den Gefahren werden, die das Mobile-Banking und die damit verbundene Bequemlichkeit so mit sich bringt. Muss ich dann herumstreiten und mir anhören, dass ich grob fahrlässig gehandelt hätte, obwohl mein Handy Up-to-Date war, aber unwissentlich eine infizierte App aus dem OFFIZIELLEN Google-Store geladen habe? Hat es alles schon gegeben.
            Mir ist dies zum Glück bisher nicht passiert, kann aber nicht beurteilen wie die Erste Bank/Sparkasse in solchen Fällen reagiert.

            Vielleicht könnt ihr ja ein Video hochladen, dass s Identity näher erklärt und inwiefern es tatsächlich (!) sicherer ist als bspw. TAC-SMS? Ich sehe es nämlich im Falle eines kompromittierten Smartphones, auf dem man niemals Mobile-Banking betreibt und „nur“ die TAC-SMS erhält bzw. diese schlimmstenfalls umgeleitet wird, nicht.

Hinterlassen Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

This site uses Akismet to reduce spam. Learn how your comment data is processed.