180-Tage-Recherche in Girokonto – immer freigeben?

Hallo, in meinem Girokonto im Webbrowser am PC kann ich gezielt nach Transaktionen in bestimmter Höhe suchen, die zum Beispiel genau vor 7 Monaten stattfanden. Aber bei jeder einzelnen Abfrage zu einem Zeitpunkt älter als 90 Tage muss ich das per Zwei-Faktor-Authentifizierung freigeben (auch wenn ich nichts überweise, sondern nur zurückliegende Transaktionen suche).

Das heißt:

1. Ich definiere meine Such-Kriterien im Browser am PC und klicke auf „Suchen“.
2. Dann muss ich am Handy das Freigabe-Passwort in die Banking-App eintippen.
3. Nun erst bequemt sich die Banking-Seite am PC dazu, mir ein Ergebnis zu liefern.

Merke ich, dass meine Abfrage (natürlich) nicht ganz zielführend definiert war, muss ich die Such-Kriterien im Browser am PC korrigiert eingeben – und erneut das meterlange Freigabe-Passwort ins Handy tippen, das ich doch erst 2 Minuten vorher eingetippt hatte.

Ist es bei Euch auch so, dass Ihr bei Recherchen über die letzten 90 Tage hinaus irgendwie freigeben müsst? Geht diese Freigabe bei Euch theoretisch auch mit Fingerabdruck oder Gesicht?

Ich finde das sehr umständlich, wie auch weitere Prozeduren meiner Bank, bei denen ich teils den Web-Browser und ZWEI verschiedene Apps der Bank verwenden muss. M.E. will man mich damit von der Nutzung abhalten. Mit dieser Frage hier würde ich gern herausfinden, ob andere Banken weniger Umstände bereiten.

Danke!

Ich benutze eine Banking-Software auf dem PC, die alle Daten lokal speichert.
Ich gebe mein Kennwort nur beim Programmstart ein.
Bei Überweisungen muss ich dann natürlich zusätzlich die TAN generieren, also meine Karte in ein Gerät stecken, was den QR-Code fotografiert.

Für das Kennwort der Software bist du selber verantwortlich, also nicht 1234678 nehmen.

Hallo,

Ja.

Nicht nur theoretisch, sondern auch praktisch. Nervt trotzdem.

Nein. Man setzt damit Sicherheitsvorschriften um. Vielleicht mag @C_Punkt das nochmal bestätigen / ausführen.

Grüße
Pierre

Hi

ja, das ist bei meinen beiden Banken auch so, aber mit unterschiedlichen Verfahren.Die eine möchte eine zusätzliche App und Freigabe in der App mit Code, so dass ich da mein Handy dabei haben muss - die andere mit Chip-TAN/Flickrcode, so dass ich meine EC Karte und TAN Generator griffbereit haben muss.

und

Ja ich finde das auch lästig aber gut, weil ich mir einbilde dass mein Konto durch die zwei-Faktor-Authentifizierung besser vor Zugriffen Fremder geschützt ist!

Ein Online-Kennwort kann relativ einfach gehackt werden, bei der 2-Faktorauthentifizierung ist das nicht ganz so einfach - auch dann nicht wenn mir mein Handy zusätzlich geklaut wird.

Dass das auch für ältere Umsätze erforderlich ist - schulterzuck - ist halt so. Ich lade mir die Kontoauszüge auf den PC herunter, dann kann ich die Offline durchsuchen

Gruß h.

Genau das mache ich auch, funktioniert wunderbar mit dem Durchsuchen!

Es ist mir unbegreiflich, wieso einem ausgerechnet das als erstes durch den Kopf schießt. Zum einen macht es null Sinn, viel Geld in die Entwicklung einer Detailsuchfunktion zu stecken, wenn man den Kunden den Zugang andererseits möglichst schwer machen möchte. Zum anderen wäre es dann ja einfacher, die Funktion gar nicht erst anzubieten. Andererseits: vielleicht muss man das ja…?

Die Sache ist ganz einfach: es gibt eine Richtlinie der EU, die das alles regelt. Mit der PSD2 wurde einerseits die 2 Faktor-Authentifizierung verpflichtend, d.h. bei bestimmten Vorgängen sind zwei Eingaben aus den Bereichen
Wissen: Passwort, PIN, Bildschirmmuster, Frage nach dem Geburtsnamen der Mutter o. ä.
Besitz: Karte, Smartphone, Token, SMS-Empfang o.ä.
Biometrie: Fingerabdruck, Stimme, Iris-Scan o.ä.

notwendig.

Andererseits müssen Kreditinstituten Drittanbietern (also u.a. sog. Fintechs) Zugang zu den Konten gewähren, sofern der Kunde das wünscht. Früher gab es bei Anbietern wie Sofortüberweisungen ja immer das latente Risiko, dass man Schwierigkeiten mit seinem Kreditinstitut bekam, wenn man Sofortüberweisung Benutzerdaten (also Kundennummer + Pin/TAN, z.B.)zum Zugriff zur Verfügung stellte. Das hat man mit der PSD2 verpflichtend gemacht, d.h. man kann nun bspw. auch Konten bei Bank A in das online-Banking bei Bank B einbinden.

So, und dann hat die PSD2 eben auch Aktivitäten definiert, bei denen die 2F-Authenbtifizierung verpflichtend ist und dazu gehört eben auch der Zugriff auf ältere Daten. Das hat natürlich auch mit dem Schutz vor Missbrauch durch die Drittanbieter, aber auch durch ganz unbefugte Dritte zu tun.

Es gibt aber tatsächlich eine Regelung, die es den Kreditinstituten erlaubt, beim Zugriff auf Kontobewegung nur alle 90 Tage eine 2F-Authentifizierung zu verlangen. Von der Regelung machen wohl tatsächlich einige Kreditinstitute Gebrauch.

Gruß
C.

Das ist doch die einfachste Möglichkeit - es sei denn, daß man sich selbst nicht traut.

Hallo zusammen, Danke für alle interessanten Auskünfte!

• Ich brauche diese 2FA ja wohlgemerkt schon bei einer reinen Abfrage, nicht erst bei einer Überweisung. Das hatte mich gewundert.
• Eine Banking-Software habe ich nicht. Ohne diese könnte ich mir Transaktionen bei meiner Bank wohl nicht so herunterladen, dass sie vielseitig durchsuchbar sind. Wenn ich es richtig sehe, gibt es bei meiner Bank nur PDFs, quasi fünf oder 10 klassische Auszüge auf einem PDF-Blatt, und das für jeden Monat neu. Da könnte man also nicht bequem Zeiträume oder Betragsspannen abfragen.

Man kann sich die Kontoauszüge als PDF-Dokument herunterladen. Suchen in einer Gruppe von PDF-Dokumenten geht hoffentlich in Windows. Unter Linux ist das jedenfalls kein Thema. Da lege ich die Kontoauszüge eines Jahres in ein Verzeichnis und suche mit pdfgrep nach dem Auszug, der mich interessiert.

Ich habe eine kleine Firma.
Ich nutzte lange „T-Online Banking“, weil es die Grundfunktionen konnte und nicht mehr. Dann hat T-Online das eingestellt und ich benutzte die Software desjenigen Herstellers, der zuvor das „T-Online-Banking“ programmiert hatte. Der hat diese Software dann auch eingestellt.
Anschließend wurde mir von der Bank „dringend“ Starmoney empfohlen. Gekauft, installiert, gekotzt. Nichts mehr zu finden, tausend Funktionen - die ich alle nicht brauche. Nach kurzer Zeit dann die Nachricht „Hey, es gibt die tolle, neue Version. Mit noch mehr Funktionen (kotz) und alles viel bunter! Jetzt kaufen, nur 100€ für die Nutzer der Altversion.“ Nein danke. Wenige Monate danach „Jetz neue Version kaufen, nur 50€ für die Nutzer der Altversion.“ Nein danke. Dann „Alte Version wird eingestellt, Sie müssen jetzt die neue kaufen.“ Das habe ich ca. dreimal gemacht.
Am Ende wurde mir das zu bunt und ich habe „einfache Banking Software“ gegoogelt.
Ein Treffer verwies auf ein Produkt von Subsembly. Erstmal recherchiert, was das für ein Anbieter ist (seriös?). Ah ja, OK, der programmiert die Software für einige große, bekannte Banken.
Hab dann diese Software gekauft und habe endlich wieder eine einfache, schlichte, übersichtliche Software. Dann vor einem Monat der Schock „Wir haben eine ganz neue Version erschaffen. Jetzt die Version 8 herunterladen. Hinweis: Als Nutzer der Version 7 bekommen Sie dieses Upgrade kostenlos.“

Oh, danke.

Habe das auch am Handy - dabei musste man nur die Datei „Datentrsor“ vom PC herunterladen und in ein bestimmtes Verzeichnis auf dem Handy speichern, schon war dort alles wieder vorhanden. Am Handy läuft es - zumindest bei meinen Banken - jedoch nicht über SMS, sondern auch über den QR-Code. Das finde ich richtig, denn wo bliebe sonst der zweite Faktor? Ich muss Kennwort UND Bankkarte haben. Wenn mir jemand das Handy stehlen würde, könnte er nach erraten des Kennworts zwar meine Umsätze sehen, aber keine Transaktionen starten.

So, zurück zu den Umständen. Das mehrfache Abfragen der Berechtigung bei der Umsatzabfrage ist meiner Meinung nach eher als „Marotte“ der Bank zu bezeichnen. Meine Bank macht das beim Online-Banking über den Browser nicht. Einmal eingeloggt (mit Benutzername, Kennwort und QR-Code-TAN) kann ich mich „frei bewegen“. Natürlich wird dann vor jeder Transaktion eine separate TAN neu angefordert, ist ja klar!

Das sagt die

DELEGIERTE VERORDNUNG (EU) 2018/389 DER KOMMISSION
vom 27. November 2017 zur Ergänzung der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation

dazu:

image999×600 81.5 KB

Wobei mit der starken Kundenauthentifizierung die 2F-Authentifizierung gemeint ist.

Jedenfalls: Marotten erlauben sich die Kreditinstitute da nicht. Es gibt halt Institute, die von der Ausnahmeregelung in Absatz 1 gebraucht machen, aber alle 90 Tage ist man so oder so „dran“, wenn man auf seine Umsätze zugreifen will - zusätzlich zum normalen Anmeldevorgang.

Ich verstehe diese Richtlinie so, dass die 2FA nicht nötig ist, wenn innerhalb der letzten 90 Tage schon einmal mittels 2FA auf den Kontostand und / oder die Umsätze zugegriffen hatte.

Das hier hört sich aber nicht nach „Alle 90 Tage muss ich einmal die 2FA machen“ an:

Bei mir ist es jedenfalls so, dass ich bei beiden Banken einmal eine TAN für Kontostand / Umsätze generieren muss und anschließend 90 Tage lang den Zugriff auf alle Umsätze habe - auch die vier Jahre alten. Und da ich immer wieder mal eine TAN für Überweisungen eingeben muss, wurde ich auch noch nie nach einer TAN für Kontostand oder Umsatzabfragen gefragt.
Programm: Banking4
Banken: Sparkasse einer Mittelstadt in Westfalen und DKB

Kannst Du in den PDFs auch nach Bereichen suchen, z.B. Geldeingänge zwischen Juni und Oktober zwischen 200 und 400 Euro?

Danke für die Erfahrungen und für die Leidensgeschichte. Mich nerven Programmupdates auch oft und man fragt sich oft, auf welchem Planeten die Programmierer leben (bzw. auf welchem Computer sie das getestet haben).

Ja, so hätte ich es auch erwartet. Die Marotte - oder der Nichtgebrauch der Ausnahmeregelung - nervt.

Ja, ich muss auch wie hier im Thread erwähnt alle 90 Tage den Freigabecode am Handy neu eintippen. Ich sehe nicht, dass das auch per Fingerabdruck oder Gesicht geht, aber vielleicht sehe nur ich das nicht.

Das klingt sehr praktisch, relativ zu meiner Bank. Wenn ich es richtig sehe, kann ich in deren App nicht mal per Giroscan bezahlen, was ein Graus ist gerade bei den sehr langen IBANs.

Und sichert sich zu Tode.

Was ich seit Jahren sage. Schon der Umstand, dass die alten TAN-Listen verworfen wurden und man nun ständig sein Mobiltelefon suchen muss, wenn man „mal eben“ Geld überweisen möchte, hat mich tierisch genervt und nervt mich bis heute.

Dass man nun bei Umsatzabfragen den ganzen Zinnober mitmachen muss, kommt ja daher, dass man die Daten der Kreditinstitute für Drittanbieter öffnen wollte, weil „die Kunden“ das ja so wollen. Könnte wohl sein, dass das eher eine Minderheit ist. Dennoch braucht man natürlich nun die Sicherheit, dass die Drittanbieter nicht ständig ungefragt alle Daten bis zurück in die Steinzeit abziehen.

Wenn ich zur Filiale gehe und meine Karte in den Kontoauszugsdrucker stecke, kommen die Belege direkt. Wenn ich anschließend am Geldautomaten die Funktion „Kontostand anzeigen“ anwähle, muss ich erst die PIN eingeben. Habe ich auch noch nicht verstanden, aber was soll’s.

Meine Steuerberaterin ( also Datev) möchte gerne auf meine Geschäftskonto-Umsätze zugreifen. Angeblich reicht dazu die Abgabe des unterschriebenen Formulars bei meiner Sparkasse. Hmm, wie denn nun das? Gilt diese Abfrage als so sicher, dass eine einmalige Unterschrift reicht?

Servus,

in diesem speziellen Fall ist sie es wohl tatsächlich, weil dieser Zugriff vom StB zwingend über das DATEV-Rechenzentrum vermittelt wird und die Maschinen dort sich ziemlich genau anschauen, wer da zugreifen will und die Zugriffe penibel dokumentieren. Das DATEV-Rechenzentrum ist eine Art Fort Knox der Datensicherheit - über viele Jahre, solange alles, was man mit DATEV machen kann, nur rechenzentrumsgebunden und nicht lokal möglich war, lagen dort zentral an einem Ort u.a. die Stammdaten eines erheblichen Teils der Arbeitnehmer in Deutschland und dito der Einkommensteuerpflichtigen in Deutschland.

Schöne Grüße

MM