seit neustem hat meine Bank eine Funktion eingeführt, die dazu führt, dass man bei jedem Einloggen in das Online-Banking gefragt wird, ob das ein privater Browser ist. Falls nicht, kann man die „Funktion“ ablehnen. Bei Antwort „ja“ wird ein Cookie gesetzt, mit dem der Browser gespeichert wird. Da ich Firefox nutze und bei jedem Schließen des Browsers alle Cookies gelöscht werden, werde ich das bei jedem Einloggen wieder gefragt. Das Problem ist: Um mich dann überhaupt Einloggen zu können, muss ich jedes Mal mein TAN-Device und meine EC-Karte nutzen und eine 6-stellige TAN eingeben. Dies könnte ich nur verhindern, indem ich den Cookie, der beim Einloggen nach der TAN-Eingabe gespeichert wird, dauerhaft in meinem Browser speichere. Das will ich aber nicht…
Außerdem will ich auch nicht jedes Mal diese TAN-Arie haben, wenn ich nur auf mein Konto gucken will.
Hat jemand eine gute Idee, was ich meiner Bank mal schreiben könnte? Ist das mit dem Cookie überhaupt erlaubt/datenschutztechnisch sinnvoll…?
Das Cookie dient dazu, Deinen Browser als von Dir vertraut zu markieren. Da Du das nicht tust hat die Bank völlig recht, den Zugriff auf Dein Konto an eine vollständige Anmeldung zu binden. Das muss sie tun, siehe auch PSD2.
Darüber hinaus führt die PSD2 ab dem 14. September 2019 die Verpflichtung der sogenannten „starken Kundenauthentifizierung“ ein.
…
Das bedeutet, dass Sie beim Bezahlen im Internet oder auch beim Login in das Online-Banking z.B.neben der Eingabe von Benutzerkennung und PINzukünftig auch eine TAN eingeben müssen. Dabei werden nur noch TAN-Verfahren erlaubt sein, bei denen für jede Transaktion jeweils eine neue TAN generiert wird (sog. dynamisches TAN-Verfahren)
Nachdem ich dann im verlinkten PDF, also in der EU-Richtlinie nachgelesen habe, habe ich allerdings das hier gefunden:
Blockzitat
Artikel 10
Zahlungskontoinformationen
(1) Zahlungsdienstleister dürfen unter Einhaltung der in Artikel 2 sowie in Absatz 2 des vorliegenden Artikels
festgelegten Anforderungen davon absehen, eine starke Kundenauthentifizierung zu verlangen, wenn ein Zahlungs
dienstnutzer nur auf eine oder beide der folgenden Informationen online zugreifen kann, ohne dass dabei sensible
Zahlungsdaten offengelegt werden:
a) Kontostand eines oder mehrerer bezeichneter Zahlungskonten;
b) Zahlungsvorgänge, die in den vergangenen 90 Tagen über ein oder mehrere bezeichnete Zahlungskonten ausgeführt
wurden.
Blockzitat
Das heißt, dass ich mich einfach nur Einloggen kann. Die TAN sollte dann nur alle 3 Monate für das reine Einloggen abgefragt werden. Und natürlich auch bei jeder Überweisung, die mehr als 30 Euro beträgt. Siehe die Artikel 10 und 16 in der EU-Richtlinie:
Bei meiner unausweichlichen Sparkasse ist das ähnlich:
Ich kann mich auch normalerweise einfach einloggen, muss aber spätestens alle 90 Tage (3 × 30 ?) eine TAN eingeben, werde aber ein paar Tage vorher gewarnt und könnte das auch früher tun.
Überweisungen muss ich bei jedem Betrag mit einer TAN absichern, aber ich kann ein paar Ausnahmen definieren (weiß nicht mehr wie viele), zu denen ich ohne TAN überweisen kann (eigene Konten zum Beispiel). Ich habe nur eines definiert und bin nicht ganz sicher, daß das funktioniert. Ich glaube, ich werde trotzdem gefragt.
Aber im Grunde ist mir das alles wurscht, weil ich sowieso nie an das Konto will, ohne etwas vorzuhaben, wofür ich sowieso Karte und TAN-Generator brauche. Das hebt sich also …
Was war nochmal die Frage?
Ah-ja: Ich empfinde es also nicht als „TAN-Arie“.
Vermutlich kann man den Kontostand auch mittels App abfragen, aber ich empfände eine solche App viel mehr als „eine Arie“, die ich mir keinesfalls auf einem extern gefährdeten Rechengerät einrichten möchte.
Du könntest Deiner Bank schreiben, wie zufrieden oder unzufrieden, Du mit den angebotenen Lösungen bist.
Allein, ich denke, es wird sich kaum jemand dort dafür interessieren, denn sie dürfen das und haben das nun eingeführt. Was sollen sie machen?
Jede Verfahrensänderung kostet Geld, Zeit und Nerven. Also keine gute Idee tut mir leid.
Wo ist eigentlich das Problem?
Meine Bank macht das jetzt auch so und ich finde das gut. Es erhöht die Sicherheit. Wenn jemand meine Login-Daten geklaut hat, kann er damit nicht (ohne Weiteres) an seinem Gerät ein Login in mein Konto machen.
Also definiere ich in den Firefox-Einstellungen eine Cookie-Ausnahme für die Seite der Bank, sodass dieses Cookie beim Schließen des Browsers nicht gelöscht wird.
Bei mir ist das Problem im Firefox genau da.
Wenn „Cookies und Website-Daten beim Beenden von Firefox löschen“ ausgewählt ist,
dann löscht es auch die gespeicherten Ausnahmen Website-Adresse z.B. meiner Bank! Warum? (Nicht nur „für diese Sitzung“, sonder „Erlauben“ ist ausgewählt.)
Sollten die Ausnahmen nicht bleiben?
ja, das ist immer ein Zirkus mit den Cookies.
Also bei mir ist: network.cookie.cookieBehavior 5
und privacy.clearonshutdown.siteSettings false
(oder im Einstellungsmenü bei Chronik löschen → Einstellungen kein Häkchen bei Website-Einstellungen).
Versuch das mal.
Ganz vergessen!