Mir gefällt die Reform nicht

Jedenfalls nicht die Ausgestaltung ...

Für die Postbank-Kreditkarte (Mastercard) muss ich während des 3DSecure Prozesses nun entweder mit der BestSign App auf dem Smartphone (oder einem Gerät von SealOne, was ich selber kaufen muss) ein OK zur Transaktion auslösen.

Das Gerät funktionert ohne Einstecken der Kreditkarte, also ist das "Geheimnis" im Gerät. Zum Auslösen der Transaktion gibt es nur einen Knopf auf dem Gerät. Ein Display, auf dem Zielkonto oder zumindest der Zahlungsbetrag steht gibt es nur bei den teureren Varianten des Geräts.

Die App kann man per Fingerabdruck, Gesichtserkennung oder Pin-Eingabe nutzen.
Die ersten beiden sind laut Heise-Newsmeldungen schon mehrfach überwunden worden, und das Letztere ist mir auch nicht geheuer (Trojaner auf dem Smartphone?)...

Auf meinen TAN-Generator muss ich nicht aufpassen - ohne eingesteckte Karte ist er nutzlos.
Hier muss ich auf das Smartphone bzw. das SealOne Gerät aufpassen, wie auf meine Zahlungskarten.
Die Details der AGB-Änderungen bei Einführung von BestSign habe ich mir nicht im Detail angesehen, es ist aber zu Befürchten, dass sie nicht zugunsten der Kunden sind, was Haftung bei Missbrauch angeht ...



2 mal bearbeitet, zuletzt am 18.10.19 11:51 durch M.P..

Mir gefällt es auch nicht wirklich... mehr als 15 Jahre Online Banking mit Papier TAN, nie irgendwelche Probleme gehabt. 2 Monate PhotoTAN und ich komme seit einer Woche nicht mehr ins Online Banking. Warum? Smartphone neu aufgesetzt und nicht an die PhotoTAN gedacht...

Damit so etwas also nicht noch mal passiert brauche ich jetzt einen Ersatz, noch eine Quelle mehr für eine Sicherheitslücke. Und das wäre bei mir entweder noch ein Gerät für PhotoTAN oder TAN per SMS, was ja soooo sicher klingt...

Einfach nur Bullshit das Ganze.

Tatsächlich ergibt sich durch die Nutzung eines zweiten Sicherheitsfaktors eine Verschiebung der Haftung vom Issuer (Kartenausgeber) hin zum Kunden, da die weitergabe von TANs (onlinebanking / Kartenzahlung ) und PINs (girocard) als grob fahrlässig gilt. Zumal ja bereits eine Zwei-Komponenten Sicherung besteht.

Aus diesem Grund war 3DSecure schon immer ein sehr Verbraucherunfreundliches Medium das eigentlich nur die Banken und Issuer schützt und nicht den Kunden.

Ohne entsprechende Verfahren liegt die Haftung ohne grobe Fahrlässigkeit beim Kartenausgeber und ist für den Kunden begrenzt (50 bis 250 EUR je nach Kartenart), solange der Kunde bei Verlust oder Betrug ohne "schuldhaftes Zögern" (also unverzüglich) den Verlust / Betrug meldet bzw. wenn es dem Kunden auffällt.

Vor allem nervt es tierisch, dass man sich mehr einfach mal eben einloggen kann um die Transaktionen durchzugehen. Folge: Passiert seltener -> Es dauert länger, bis eine unautorisierte Abbuchung bemerkt wird. Überweisen oder andere Aktionen sind was anderes, aber das reine lesen?!

Und mit der Sicherheit ist es auch nicht soweit her, solange Kreditkarten drahtlos und ohne weitere Autorisierung belastet werden können.