DKB zwingt Nutzer zur Nutzung ihrer App

Wie ist das Ganze ausgegangen? Konnte Dir der Support den Zugang wieder ermöglichen?

Ich hatte versucht, die TAN2go-App auf mein neues Smartphone ohne SIM zu installieren. Kann zwar installiert, aber nicht eingerichtet werden ohne SIM.

Dann hab ich mein altes (Android 8.1), total unsicheres Smartphone, das ich nur für Telefonieren, SMS und eben die DKB-App nutze, nach langem Fummeln dazu gebracht, die kaputte SD-Karte (auf der die selbst installierten Apps waren) zu vergessen und habe - Datenschutzwahnsinn - die DKB-App via apkpure wieder auf mein absolut unsicheres Smartphone installiert.

Dann wollte ich es mit dem alten Registrierungsbrief neu einrichten, ging nicht, weil das alte bei der Bank noch hinterlegt war.

Ich musste mir mit der Lüge „Passwort vergessen“ (niemals, ich hab Keepass) einen neuen Registrierungsbrief schicken lassen. Dabei durfte das Smartphone nicht mehr so heißen, wie es hieß. Alle, die bspw. von Pixel 6 auf neue Gerätebezeichnung Pixel 7 wechseln wollen, werden da viel Spaß haben. 3 gleiche Buchstaben geht nicht! (Selbst wenn es genau dasselbe Handy ist)

Heute habe ich den Registrierungscode genutzt und bin jetzt wieder im Online-Banking drin. Dort übrigens auch gleich die Info, dass das „bisherige Banking“, also das Banking mit der TAN2go-App, nur noch bis September 2024 funktionieren wird. Danach muss man sich eine Gesamtbanking-App aufs Smartphone tun (also nicht nur TAN für 2FA).

Den TAN-Generator würde ich sehr gerne nutzen, aber da müsste ich 1 € im Monat für die Girocard zahlen, die ich ansonsten überhaupt nicht brauche, weil die Kreditkarte ja auch für Barabhebungen (kostenlos) dient. Ich wollte mir auch keine kostenpflichtige Girokarte bestellen und dann feststellen müssen, dass die online verfügbaren Informationen falsch sind und mein TAN-Generator der Sparkasse doch nicht funktioniert.

Mein Fazit: Die DKB versucht mit allen Mitteln, ihre Kunden von sicherem Online-Banking fernzuhalten. Egal, wie unsicher das für den Kunden ist. So, wie Konzerne halt mit ihren Kunden umgehen. Das haben wir alle miteinander so gewollt, indem wir nicht beim lokalen Händler vor Ort (das sind die, die Service leisten), sondern bei Konzernen kaufen.

Mein Hauptkonto ist bei der örtlichen Sparkasse, dafür zahle ich 10 € im Monat. Und habe seit Jahrzehnten, wenn ich Hilfe brauche, kompetente Ansprechpartner in deren eigenem Haus, kenne die mit Namen. Die arbeiten lösungsorientiert. Aber so eine Kreditkarte wie die DKB bieten sie halt leider nicht an. Und ich wollte sicherheitshalber ein zweites Konto für alle Fälle (Redundanz). Man sieht ja gut, was los ist, wenn der Zugang nicht mehr funktioniert. Da ist es immer gut, eine Alternative zu haben.

1 „Gefällt mir“

Mich nervt dieser App mist auch, meine Giro Karte läuft zum Ende des Jahres ab, dann muss ich mir was überlegen. Soweit ich weiß, werden dann keine Giro Karten mehr ausgegeben.

Gab es nicht so ein Urteil, dass diese Banken Apps keine zweiter Faktor im eigentliche Sinn darstellen und somit nicht zulässig sind?

Edit: hab das Urteil gefunden, scheint leider keine Auswirkungen zu haben :frowning:

Mal angenommen, die DKB-App (ggf. + Google play services) wird in einem separaten Profil unter GrapheneOS installiert: Wäre diese App in der Lage, Identifier wie z.B. Telefonnummer, Informationen zur Hardware (bspw. Gerät ist Google Pixel xx) etc. abzufragen?

Worauf ich hinaus möchte: Die Firmen scheinen ja momentan richtig heiß zu sein, alle möglichen Identifier von Kunden abzugreifen. Genau das würde ich gerne verhindern, um eine Banking-App maximal datenschutzfreundlich nutzen zu können.

Weiß jemand mehr dazu, wie das Berechtigungssystem in GrapheneOS dazu
aussieht und was die Default Einstellungen sind?

// update:
Zumindestens beim Stock-Android Betriebssystem haben die Google Play services ja quasi root-Zugriff auf das Gerät und sind in der Lage, sämtliche Informationen auszulesen. Empfänger könnten dann Google selbst oder Apps sein, die Google play services nutzen/einbinden.

Ich wurde nach der Berechtigung für Telefonzugriff gefragt (im Stock-Android) und ohne diese funktioniert die TAN2go-Verbindung nicht. Das heißt für mich, es geht nicht um die Bindung an das Gerät (Geräte-ID), sondern an die SIM.

1 „Gefällt mir“

Danke für die Info @Miss-Piggy!
Ich denke, bei der Berechtigung handelt es sich um ein 2FA-Sicherheitsfeature, um die Appnutzung an die SIM zu koppeln? Mit der „Phone“-Berechtigung wird der App auch die Telefonnummer bekannt gemacht.

Zur Identifier-Thematik in GrapheneOS konnte ich übrigens folgende hilfreiche Links finden:

(, wobei die Telefonnummer als zugehöriges Merkmal zur SIM anscheinend hier nicht unter Hardware Identifier gezählt wird)

Bleibt noch die Frage offen, ob eine Installation von Banking Apps über Aurora „sicher genug“ ist. Ohne Weiteres kann ich nicht überprüfen/verifizieren, ob die Signatur der geladenen App mit der vom Google Play Store übereinstimmt. D.h. ich muss zusätzlich neben App-Entwickler und Play Store noch einem Dritten (Aurora) vertrauen. Letztendlich ist das eine individuelle Entscheidung - speziell bei Banking Apps bin ich da noch unentschlossen.

Übrigens: Ich konnte auf dem neuen Smartphone mit CalyxOS und ohne SIM-Karte eine Photo-TAN-App der VW-Bank installieren. Natürlich auch nur mit Google Play Services (gibt’s denn irgendeine Bank, die darauf verzichtet?), deshalb im Arbeitsprofil mit microG via Aurora, aber immerhin ohne SIM-Karte.

2FA per App geht also auch ohne Telefonberechtigung und offline.

PS: Dieses Konto kann leider nicht per HBCI/FinTS in offline-Bankingprogramme eingebunden werden. Das wiederum kann die DKB (noch).

Ist zwar auf GrapheneOS bezogen, sollte aber genügend Anhaltspunkte geben:
https://github.com/PrivSec-dev/banking-apps-compat-report

Interessant dazu auch der Report zur DKB App. In der neusten Version scheint diese darauf zu bestehen, dass den Google Play services „Telephone“ und „SMS“ Permissions gegeben werden (nicht selbst probiert; siehe hier ) :grimacing:.

Ich frage mich, wo der zweite Faktor liegt, wenn ich mich auf demselben Gerät einlogge, auf welchem auch die zweite Authentifizierung läuft. Die Telefonnummer als Identifier ist ja nicht vorhanden, da keine SIM eingelegt ist. Seit Android 10 können zudem keine Hardware Identifier durch Apps abgerufen werden.

Vielleicht war das missverständlich ausgedrückt von mir. Ich habe nicht die Banking-App auf dem Smartphone, sondern nutze nur die TAN2go-App (bzw. im Falle von VW-Bank die Photo-TAN-App) als zweiten Faktor. Das Banking (Faktor 1: das Passwort) geschieht auf meinem Rechner.

Meine Aussage „2FA per App geht also auch ohne Telefonberechtigung und offline.“ bezog sich deshalb auf den zweiten Faktor (TAN).

1 „Gefällt mir“

Achso missverstanden - das macht schon mehr Sinn.

Idealerweise sollte man nicht für jede Bank eine eigene App benötigen… und die dann auch noch unverständlicher Weise Google Play Services voraussetzt, obwohl sie nur die Funktion eines Zweitgerät-Authentikators übernimmt. Ich würde bspw. KeepassXC als Authentificator in Kombination mit TOTP zu jeder Zeit vorziehen - aber das wird nicht passieren :smile:

Vielleicht sollte ich für Mitleser erläutern, dass es von der DKB zwei Apps gibt: Die alte TAN2go-App (nur zur TAN-Erzeugung) und die neue DKB-App, die „das neue Banking“ kann.

Ich verstehe bis heute nicht, warum man die Banken-Apps nicht auch von deren Internetauftritt herunterladen kann, sondern sie nur im Google Play Store oder Apple Store erhältlich sind.

Ich vermute mal, das hat mehrere Gründe. Darunter:

  • Es lohnt nicht, da die meisten Kunden zu bequem sind
  • Die Banken können maximal Verantwortung auf den Store-Betreiber - hier Google Play - abschieben, falls was schief geht beim Kunden. Stichwort Risikominimierung
  • Kostenaspekte: Die Bank spart sich das eigene Hosting-Angebot für Apps.

Zwangsläufig führt das leider in weitere digitale Abhängigkeit, womit digitale Souveränität eher in der Sonntagsrede gepredigt wird.

edit: Es ist ja sogar noch verzwickter: Ohne externe .apk Mirror-Seiten oder Aurora Store lassen sich die Apps ja gar nicht ohne Google account herunterladen…

Weil dadurch mehr Sicherheit gewährleistet wird.

  1. Stellt die Bank selbst keine APK bereit, können auch keine modifizierten APKs als Download in Umlauf geraten. Das Betrugsrisiko ist ausgeschlossen, z.B. durch falsche E-Mails, die dich über Links auf eine falsche Seite mit falschem Downloadlink leiten.
  2. Updates müssen nicht manuell nachgeladen werden.

Somit ein reines Angebot über den Play Store das beste Sicherheizskonzept.