Wie ist das Ganze ausgegangen? Konnte Dir der Support den Zugang wieder ermöglichen?
Ich hatte versucht, die TAN2go-App auf mein neues Smartphone ohne SIM zu installieren. Kann zwar installiert, aber nicht eingerichtet werden ohne SIM.
Dann hab ich mein altes (Android 8.1), total unsicheres Smartphone, das ich nur für Telefonieren, SMS und eben die DKB-App nutze, nach langem Fummeln dazu gebracht, die kaputte SD-Karte (auf der die selbst installierten Apps waren) zu vergessen und habe - Datenschutzwahnsinn - die DKB-App via apkpure wieder auf mein absolut unsicheres Smartphone installiert.
Dann wollte ich es mit dem alten Registrierungsbrief neu einrichten, ging nicht, weil das alte bei der Bank noch hinterlegt war.
Ich musste mir mit der Lüge „Passwort vergessen“ (niemals, ich hab Keepass) einen neuen Registrierungsbrief schicken lassen. Dabei durfte das Smartphone nicht mehr so heißen, wie es hieß. Alle, die bspw. von Pixel 6 auf neue Gerätebezeichnung Pixel 7 wechseln wollen, werden da viel Spaß haben. 3 gleiche Buchstaben geht nicht! (Selbst wenn es genau dasselbe Handy ist)
Heute habe ich den Registrierungscode genutzt und bin jetzt wieder im Online-Banking drin. Dort übrigens auch gleich die Info, dass das „bisherige Banking“, also das Banking mit der TAN2go-App, nur noch bis September 2024 funktionieren wird. Danach muss man sich eine Gesamtbanking-App aufs Smartphone tun (also nicht nur TAN für 2FA).
Den TAN-Generator würde ich sehr gerne nutzen, aber da müsste ich 1 € im Monat für die Girocard zahlen, die ich ansonsten überhaupt nicht brauche, weil die Kreditkarte ja auch für Barabhebungen (kostenlos) dient. Ich wollte mir auch keine kostenpflichtige Girokarte bestellen und dann feststellen müssen, dass die online verfügbaren Informationen falsch sind und mein TAN-Generator der Sparkasse doch nicht funktioniert.
Mein Fazit: Die DKB versucht mit allen Mitteln, ihre Kunden von sicherem Online-Banking fernzuhalten. Egal, wie unsicher das für den Kunden ist. So, wie Konzerne halt mit ihren Kunden umgehen. Das haben wir alle miteinander so gewollt, indem wir nicht beim lokalen Händler vor Ort (das sind die, die Service leisten), sondern bei Konzernen kaufen.
Mein Hauptkonto ist bei der örtlichen Sparkasse, dafür zahle ich 10 € im Monat. Und habe seit Jahrzehnten, wenn ich Hilfe brauche, kompetente Ansprechpartner in deren eigenem Haus, kenne die mit Namen. Die arbeiten lösungsorientiert. Aber so eine Kreditkarte wie die DKB bieten sie halt leider nicht an. Und ich wollte sicherheitshalber ein zweites Konto für alle Fälle (Redundanz). Man sieht ja gut, was los ist, wenn der Zugang nicht mehr funktioniert. Da ist es immer gut, eine Alternative zu haben.
1 „Gefällt mir“
Mich nervt dieser App mist auch, meine Giro Karte läuft zum Ende des Jahres ab, dann muss ich mir was überlegen. Soweit ich weiß, werden dann keine Giro Karten mehr ausgegeben.
Gab es nicht so ein Urteil, dass diese Banken Apps keine zweiter Faktor im eigentliche Sinn darstellen und somit nicht zulässig sind?
Edit: hab das Urteil gefunden, scheint leider keine Auswirkungen zu haben 
Mal angenommen, die DKB-App (ggf. + Google play services) wird in einem separaten Profil unter GrapheneOS installiert: Wäre diese App in der Lage, Identifier wie z.B. Telefonnummer, Informationen zur Hardware (bspw. Gerät ist Google Pixel xx) etc. abzufragen?
Worauf ich hinaus möchte: Die Firmen scheinen ja momentan richtig heiß zu sein, alle möglichen Identifier von Kunden abzugreifen. Genau das würde ich gerne verhindern, um eine Banking-App maximal datenschutzfreundlich nutzen zu können.
Weiß jemand mehr dazu, wie das Berechtigungssystem in GrapheneOS dazu
aussieht und was die Default Einstellungen sind?
// update:
Zumindestens beim Stock-Android Betriebssystem haben die Google Play services ja quasi root-Zugriff auf das Gerät und sind in der Lage, sämtliche Informationen auszulesen. Empfänger könnten dann Google selbst oder Apps sein, die Google play services nutzen/einbinden.
Ich wurde nach der Berechtigung für Telefonzugriff gefragt (im Stock-Android) und ohne diese funktioniert die TAN2go-Verbindung nicht. Das heißt für mich, es geht nicht um die Bindung an das Gerät (Geräte-ID), sondern an die SIM.
1 „Gefällt mir“
Danke für die Info @Miss-Piggy!
Ich denke, bei der Berechtigung handelt es sich um ein 2FA-Sicherheitsfeature, um die Appnutzung an die SIM zu koppeln? Mit der „Phone“-Berechtigung wird der App auch die Telefonnummer bekannt gemacht.
Zur Identifier-Thematik in GrapheneOS konnte ich übrigens folgende hilfreiche Links finden:
(, wobei die Telefonnummer als zugehöriges Merkmal zur SIM anscheinend hier nicht unter Hardware Identifier gezählt wird)
Bleibt noch die Frage offen, ob eine Installation von Banking Apps über Aurora „sicher genug“ ist. Ohne Weiteres kann ich nicht überprüfen/verifizieren, ob die Signatur der geladenen App mit der vom Google Play Store übereinstimmt. D.h. ich muss zusätzlich neben App-Entwickler und Play Store noch einem Dritten (Aurora) vertrauen. Letztendlich ist das eine individuelle Entscheidung - speziell bei Banking Apps bin ich da noch unentschlossen.
Übrigens: Ich konnte auf dem neuen Smartphone mit CalyxOS und ohne SIM-Karte eine Photo-TAN-App der VW-Bank installieren. Natürlich auch nur mit Google Play Services (gibt’s denn irgendeine Bank, die darauf verzichtet?), deshalb im Arbeitsprofil mit microG via Aurora, aber immerhin ohne SIM-Karte.
2FA per App geht also auch ohne Telefonberechtigung und offline.
PS: Dieses Konto kann leider nicht per HBCI/FinTS in offline-Bankingprogramme eingebunden werden. Das wiederum kann die DKB (noch).
Ist zwar auf GrapheneOS bezogen, sollte aber genügend Anhaltspunkte geben:
https://github.com/PrivSec-dev/banking-apps-compat-report
Interessant dazu auch der Report zur DKB App. In der neusten Version scheint diese darauf zu bestehen, dass den Google Play services „Telephone“ und „SMS“ Permissions gegeben werden (nicht selbst probiert; siehe hier ) 
.
Ich frage mich, wo der zweite Faktor liegt, wenn ich mich auf demselben Gerät einlogge, auf welchem auch die zweite Authentifizierung läuft. Die Telefonnummer als Identifier ist ja nicht vorhanden, da keine SIM eingelegt ist. Seit Android 10 können zudem keine Hardware Identifier durch Apps abgerufen werden.
Vielleicht war das missverständlich ausgedrückt von mir. Ich habe nicht die Banking-App auf dem Smartphone, sondern nutze nur die TAN2go-App (bzw. im Falle von VW-Bank die Photo-TAN-App) als zweiten Faktor. Das Banking (Faktor 1: das Passwort) geschieht auf meinem Rechner.
Meine Aussage „2FA per App geht also auch ohne Telefonberechtigung und offline.“ bezog sich deshalb auf den zweiten Faktor (TAN).
1 „Gefällt mir“
Achso missverstanden - das macht schon mehr Sinn.
Idealerweise sollte man nicht für jede Bank eine eigene App benötigen… und die dann auch noch unverständlicher Weise Google Play Services voraussetzt, obwohl sie nur die Funktion eines Zweitgerät-Authentikators übernimmt. Ich würde bspw. KeepassXC als Authentificator in Kombination mit TOTP zu jeder Zeit vorziehen - aber das wird nicht passieren 
Vielleicht sollte ich für Mitleser erläutern, dass es von der DKB zwei Apps gibt: Die alte TAN2go-App (nur zur TAN-Erzeugung) und die neue DKB-App, die „das neue Banking“ kann.
Ich verstehe bis heute nicht, warum man die Banken-Apps nicht auch von deren Internetauftritt herunterladen kann, sondern sie nur im Google Play Store oder Apple Store erhältlich sind.
Ich vermute mal, das hat mehrere Gründe. Darunter:
- Es lohnt nicht, da die meisten Kunden zu bequem sind
- Die Banken können maximal Verantwortung auf den Store-Betreiber - hier Google Play - abschieben, falls was schief geht beim Kunden. Stichwort Risikominimierung
- Kostenaspekte: Die Bank spart sich das eigene Hosting-Angebot für Apps.
Zwangsläufig führt das leider in weitere digitale Abhängigkeit, womit digitale Souveränität eher in der Sonntagsrede gepredigt wird.
edit: Es ist ja sogar noch verzwickter: Ohne externe .apk Mirror-Seiten oder Aurora Store lassen sich die Apps ja gar nicht ohne Google account herunterladen…
Weil dadurch mehr Sicherheit gewährleistet wird.
- Stellt die Bank selbst keine APK bereit, können auch keine modifizierten APKs als Download in Umlauf geraten. Das Betrugsrisiko ist ausgeschlossen, z.B. durch falsche E-Mails, die dich über Links auf eine falsche Seite mit falschem Downloadlink leiten.
- Updates müssen nicht manuell nachgeladen werden.
Somit ein reines Angebot über den Play Store das beste Sicherheizskonzept.
Weil ich mich grade der Kreditkarte wegen mal wieder einloggen musste: Es wird wieder ganz prominent „gewarnt“, dass ab September 2024 kein TAN2go mehr funktioniert, sondern nur noch
- die Banking-App oder
- ChipTAN mit TAN-Generator und Girokarte (kostenpflichtig)
Momentan überlege ich, ob ich es einfach aussitzen soll. Es ärgert mich, dass ich eine Girokarte bestellen soll, obwohl ich die überhaupt nicht brauche (das Konzept der DKB war ja, dass man mit der - damals noch kostenlosen - Kreditkarte Bargeld holen kann und die Girokarte somit überflüssig ist), nur um ein sicheres Banking zu haben. Das Online-Archiv für Auszüge und Kreditkarten haben sie vor ein paar Monaten auch abgeschafft.
Dem wage ich zu widersprechen: wie wäre es mit selbst gehosteten Repositorien, die man z.b. über den F-Droid Store zugänglich machen könnte? Dann wären auch automatische Updates möglich.
Zudem könnten die Banken die apk einfach signieren und den hash bereitstellen ganz so wie bei anderen über Drittanbierter-Websites auch…
Ich empfinde diesen Zwang, Kunde von entweder google oder apple zu sein als Frechheit, insbesondere bei mit öffentlichen Geldern finanzierten Unternehmen wie der Bahn: will man kein Kunde von google oder apple sein und möchte die app auch nicht auf irgendwelchen apk-mirrors runterladen (Sicherheit und so), kann man ja nicht mal mehr mit BahnCard bahnfahren…
Bei Banken kann man sich wenigstens noch eine aussuchen, die nicht auf diesen Fake-Zwei-Faktor Blödsinn besteht sondern echte Sicherheit über zwei echt getrennte Faktoren setzt wie z.b. ChipTAN.
3 „Gefällt mir“
Der Google Play Store ist aber nun mal die offizielle Quelle für Android Apps und dort kann sie runtergeladen werden. Warum sollten die Banken dann noch ihre APK auf anderen Websites anbieten und verwalten, was zusätzliche Kosten verursacht? Wozu?
Du widersprichst dir selbst.
Dieser sog. „Fake-Zwei-Faktor Blödsinn“ IST sicher in Bezug auf generierte TANs. Die TANs werden zeitlich begrenzt für einen erteilten Auftrag erstellt und sind NUR für diesen vorgesehen. Wäre es dieselbe App, die Auftrag erteilt und TAN ausgibt, dann wäre deine Aussage richtig. Aber nicht bei zwei unterschiedlichen Apps, die je einer Authentifizierung bedürfen. Glaubst du wirklich, alle Banken in D würden sich selbst in Gefahr bringen bei ihren Angeboten der Kontenverwaltung? Das ist doppelt und dreifach abgesichert.
Wird bei F-Droid nicht ausschließlich freie Software mit Quellcode angeboten? Sollen Banken jetzt wirklich im Sinne der Sicherheit den Quellcode ihrer Apps veröffentlichen? Soll das „sicher“ sein?
Das können sie ja auf ihrer eigenen Webseite anbieten. Bei Signal kann man z.B. auch die APK von der Webseite runterladen und die App prüft automatisch ob es Updates gibt - ganz ohne irgendeinen „Store“.
2 „Gefällt mir“
Die Banken sind nicht die Entwickler der App. Daher wäre dieses Angebot zusätzliche Verwaltung, die mit Kosten verbunden ist und das alles für einen Service, den man schon über den Play Store abgedeckt hat. Eine Bank hat kein Interesse daran, ihre App mit weitreichendem Angebot zu vermarkten. Müssen sie auch nicht.
Gute Smartphones, wie halbwegs aktuelle iPhones und Google Pixels, sind heutzutage so sicher, dass man PushTAN gut und gerne als vollwertigen zweiten Faktor ansehen kann. Zumindest stellt es einen sehr guten Kompromiss zwischen Benutzerfreundlichkeit, Verfügbarkeit, Kosten und Sicherheit dar. Allemal deutlich besser, als früher übliche SMS, E-Mail oder Tabellen als TANs.
Generell würde ich pushTAN befürworten. Nur geht es halt meist auf einen Digitalzwang hinaus.
Ich halte die zwingende Anbindung an Google Play Services außerdem für eine Bevormundung seitens der Bank. Es gibt doch grob zwei Gruppen von Nutzern: die eine nutzen Stock Android inkl. Google Play Services, stören sich nicht an der Datensammelwut und wollen sich nicht mit der Materie beschäftigen. Die andere Gruppe bevorzugt Custom ROMs (Sicherheit/Datenschutz/Abkopplung von Bigtech etc.) und sollte (hoffentlich) ein wenig besser wissen, was sie tut.
Nebenbei laufen so viele Nutzer mit einem Uralt-Android durch die Gegend und sind trotz Google Play nicht „sicherer“. Die Sicherheit von GrapheneOS dürfte da um ein Vielfaches höher sein.
Was würde dagegen sprechen? Wär mal ein innovativer Ansatz. Für security through obscurity gibt es reichlich Kritik. Außerdem wird die Sicherheit von Online-Banking bestimmt nicht auf App-Ebene (Frontend/Client) durchgesetzt, sondern in der Server-Anwendung.