Online-Banking ohne 2FA

Hallo,

vor kurzem ist meine Volksbank mit einer anderen Volksbank fusioniert, seitdem kann ich mich ohne 2FA für das Online-Banking anmelden.
Ist eine Anmeldung ohne 2FA für Banken überhaupt Zulässig?

Mein letzter Kenntnisstand war, dass für den Zahlungsverkehr 2FA vorgeschrieben ist. Für das reine Einloggen in den Kontobereich, womit man nur Kontostände etc. sehen kann, aber keine Transaktionen bestätigen, war das nicht zwingend erforderlich.

Würde aber auf jeden Fall mal nachfragen, ob das ggfs. nur temporär wegen der Umstellung so ist, oder auf Dauer so bleiben wird. In letzterem Fall würde ich persönlich die Bank wechseln.

EDIT: Hab’s wiedergefunden: Ausnahme in Kapitel III, Artikel 10 (Seite 9)

2 „Gefällt mir“

Das kann ich für die Postbank bestätigen, wobei man das Verhalten auch auf deren IT Probleme hätte schieben können.

Bist du dir sicher, dass es keine 2FA-Autorisierung ist?
Bei einer meiner Banken kann ich mich lustigerweise nur mittels einer zweiten App einloggen, bei der anderen direkt (ING).
Die erste Bank verlangt auch für jede Transaktion den Aufruf der zweiten App, die andere nicht (ING).
Auch die erstgenannte Bank ist eine „Großbank“, müsste also der alltäglichen Kritik - seit Jahren - insoweit ausgesetzt sein.
Deshalb gehe ich davon aus, dass beides zulässig ist.

Merkwürdig finde ich nur die „Diskriminierung“ der PC-Nutzer: Da MUSS ich immer auch ein Handy als 2. Faktor nutzen.

Bei meiner Volksbank kann ich mich im Allgemeinen ohne 2FA einloggen. Allerdings wird immer wieder nach einiger Zeit eine Authentifizierung über die App verlangt.

Hi,
bei den von genutzten Banken ist unterschiedlich.
Bank 1: Anmeldung ist nur mit 2Fa möglich. Das kann eine SMS oder die die Nutzung einer extra App sein.
Bank 2: Eine Anmeldung ist auch hier grundsätzlich nur mit 2 Fa möglich, App oder externes Chipggerät. Ich könnte hier allerdings den Browser als vertrauenswürdig markieren und könnte mich dann 2 Fa anmelden, allerdings braucht man für den Geldverkehr dann weiterhin den 2 Fa.

Würde meine Bank eine Anmeldung ohne 2 Fa zulassen wäre ich da ganz schnell weg! Das geht aus meiner Sicht gar nicht, Kontostände per Nutzer und Kennwort anzeigen halte ich für grob fahrlässig.

Weißt du wie das umgesetzt wird? Also per Fingerprint (was wahrscheinlich „von außen“ nicht einsichtig ist) oder per Cookie(s)?

@gosch Wenn gefragt wird, ist es meistens als Cookie implementiert, Paypal macht das meiner Erinnerung nach so.
Dann gibt es andere Banken und mittlerweile auch Domainregistrare, die machen das über einen serverseitig gespeicherten Fingerprint.
Das kann man daran erkennen, das keine Einwilligung geholt wird und nach einem Update bzw. Versionsänderung des Browsers i.d.R. wieder 2FA verlangt wird.

Keine Ahnung, ich nutze die Funktion nicht.

Bei der Sparkasse per Cookie - was ich nicht will:

Damit wir Ihr gespeichertes Gerät erkennen, sollten Sie Cookies in Ihrem Browser zulassen. Werden Cookies gelöscht oder nutzen Sie einen anderen Browser, kann Ihr Gerät nicht wiedererkannt werden.

1 „Gefällt mir“

Um sich bei der Postbank einzuloggen benötigt man kein 2FA. Um aber Überweisungen tätigen zu können oder andere Änderungen (z.B. Höchstgrenzen für Überweisungen) durchzuführen braucht man 2FA.

Ja, da bin ich bei dir. Das Thema steht für 2024 an.

Was ich wiederum lustig finde, da beides zu 99% auf dem selben Endgerät verarbeitet wird und damit nach meinem Verständnis gar keine 2FA darstellt.

1 „Gefällt mir“

Man muss sich immer klar machen, das es hier nicht um den Verbraucher und dessen Schutz geht. Wie im Gesundheitswesen auch, geht es ausschliesslich um die Möglichkeit der Auswertung und des Zugriff autorisierter Dritter auf den Datenpool.

1 „Gefällt mir“

Warum sollte das nicht jeder Nutzer selbst entscheiden dürfen (wie hier auch)?

Ich weiß nicht, ob ich eine Bank deswegen wechseln würde, aber wenn ich sowieso wechselte, wäre es vermutlich ein Entscheidungskriterium von mehreren.

Ja, mir wäre ein „Schalter“ in der Nutzereinstellung ganz lieb: manchmal will ich nur Kontierungen nachsehen (zB 7 Tage) und dann finde ich den TAN-Kram umständlich.

2 „Gefällt mir“

Eine App auf einem einzigen Gerät, wobei Log-in und Freigabe von Transaktionen mit derselben, stets gleichbleibenden Kennung legitimiert wird – das ist eine Verhöhnung von IT-Sicherheit. Schande über euch ING und DKB!

Und ein Verstoß gegen die europäische Zahlungsdienstrichtlinie PSD2 ist es natürlich auch. Die Bundesbank dazu: „Dabei werden nur noch TAN-Verfahren erlaubt sein, bei denen für jede Transaktion jeweils eine neue TAN generiert wird“.
[https://www.bundesbank.de/de/aufgaben/unbarer-zahlungsverkehr/psd2]

Die verschlafenen deutschen Aufsichtsbehörden (Haaallo, BaFin!) ignorieren das fahrlässige Treiben der Banken seit Jahren, aber immerhin scheint die Justiz allmählich aufzuwachen: https://www.faz.net/aktuell/finanzen/mobiles-banking-gericht-stellt-push-tan-in-frage-19257107.html

1 „Gefällt mir“

Bei meiner Bank ist kein 2FA von Nöten, hier wird per einfachen Fingerabdruck eingeloggt und bestätigt ob Überweisungen getätigt werden. Finde ich persönlich sehr komfortable und auch sicher genug. Wenn mir jemand eine Waffe an den Kopf hält und mich zwingt eine Überweisung mit meinem Fingerabdruck zu tätigen, habe ich ganz andere Sorgen als das Scheiß Geld :smiley:
Bei Kartenzahlungen im Onlinehandel gibt es noch die 3DSecure (VISA Debit Card) Bestätigung in der App, auch mittels Fingerabdruck, ab einem bestimmten Betrag.
Sehe da kein Problem drin. Man muss dazu sagen das es nur diese App gibt um sein Konto zu führen, keine Webseite, keine Filialen , sehr einfach, minimal und komfortable genau meine Welt irgendwie.

1 „Gefällt mir“

Habe bei der Bank nachgefragt. Aktuell wird alle 90 Tage nach einem PIN gefragt der optisch per Lesegerät oder über die App erstellt wird. Die Bank kann, wenn gewünscht, individuell umstellen, sodass der PIN bei jeder Anmeldung verlangt wird.

Habe gleich mit der bitte um Umstellung geantwortet.