SmartSecure oder auch Hindernis Online-Banking

Seit einiger Zeit bin ich Kunde der ING-DiBa, nachdem mich die Weigerung der DKB auf neue Technologien zu setzen zunehmend veraergert hat. Bei der DiBa kann ich nun endlich zum Beispiel das mTan-Verfahren nutzen und muss mich nicht mehr damit herum aergern eine iTan-Liste mit mir zu fuehren oder aber von unterwegs keine Ueberweisungen machen zu koennen…

Vor Kurzem stellte die DiBa dann ihre neue App “SmartSecure” vor, die angeblich alles viel schneller und einfacher machen sollte. Zudem sollte man eine Banking-App und die SmartSecure-App zusammen auf dem gleichen Geraet nutzen koennen, was ja bei Banking-App und mTan-Verfahren nicht erlaubt ist.

Die SmartSecure-App wird damit beworben, dass sie besonders sicher sei und “als ein unabhängiges virtuelles Device umgesetzt” sei. Dabei wird auch eine eigene Tastatur verwendet, die mich inzwischen so geaergert hat, dass ich die App wieder deinstalliert und auf das mTan-Verfahren zurueckgestellt habe. Warum? Ganz einfach: Die in-App-Tastatur hat eine Usability wie ein Backstein. Als erstes startet sie immer im numerischen Eingabemodus. Prima Sache, wenn man sein App-Passwort auf eine Zahlenfolge setzen moechte, sonst aber sehr hinderlich. Dann interessiert die App und ihre Tastatur sich nicht im Geringsten dafuer, dass die Systemsprache (und auch meine Standardeingabemethode) auf US-Englisch gestellt sind. Und zu guter Letzt ist das Layout der Tastatur von der Usability Lichtjahre von der Usability der heutzutage aktuellen Smartphone-OnScreen-Tastaturen entfernt…

Nun kann man sich vielleicht mit der Tastatur noch irgendwie anfreunden allerdings was gar nicht geht: Diese App soll eine Sicherheitsfunktion im Online-Banking darstellen. Ergo ich muss alle Transaktionen und sonstigen Aktionen, die bisher eine Tan brauchten mit dieser App bestaetigen. Wenn die App mir dann nach dem Entsperren fuer einen Bruchteil einer Sekunde die freizugebende Transaktion anzeigt, sich dann wieder sperrt und dabei die Transaktion noch eigenmaechtig ohne meine Interaktion abbricht, sehe ich rot. Zum Glueck hatte ich es bisher nur, dass die Transaktion dabei abgebrochen wurde und nicht, dass sie ohne meine Interaktion freigegeben wurde. Das verursacht im Zweifel zwar Mehraufwand, da die Ueberweisung neu angelegt werden muss aber immerhin keine Kosten…

Was sich leider auch heraus stellte: Die DiBa unterstuetzt es leider nicht, dass man mehr als ein Authentifizierungsmedium gleichzeitig verwendet. Also nicht wie z.B. der Login bei Google mit einem Hardware-Token oder der Authenticator-App oder einer SMS sondern nur die SmartSecure-App. Um wieder zur mTan zurueck zu kommen, muss man zuerst von SmartSecure auf das iTan-Verfahren umstellen, sich seine iTan-Liste suchen und dann wieder auf das mTan-Verfahren wechseln. (Jeder Wechsel muss mit der gerade aktuellen Authentifizierungsmethode authorisiert werden.)