ONLINE-BANKING10. September 2019

Aufregende Tage bei der Postbank

Einen Vorgeschmack auf die Einführung der 2-Faktor-Authentifizierung gemäß PSD2 gab diese Woche die Postbank mit erheblichen Login-Problemen. Aufgebrachte Kunden, überlastete Systeme und nicht mehr funktionierende Postbank Online Banking-Software sorgten am Montag für Aufregung und Verärgerung bei vielen Kunden. Ein Protokoll der Verzweiflung.

Postbank Online Banking: Die Postbank preschte vor und stellte bereits vergangenen Sonntag auf starke Authentifizierung um.
Die Postbank preschte vor und stellte bereits vergangenen Sonntag auf starke Authentifizierung um. postbank.de
Seit Wochen bekamen Postbank-Kunden bei jedem Login den Hinweis, dass aufgrund der Umstellung gemäß der PSD2-Richtlinie der Zugang zum Online-Banking künftig nur noch mit dem Einsatz von starken Authentifizierungsverfahren möglich sein sollte. Auch der Umstellungstermin wurde klar kommuniziert, und wie angekündigt: am 8. September 2019 war es soweit.

Möglicherweise war dies schon ein erster Schritt zum folgenden Dilemma. Denn die Pflicht zur 2-Faktor-Authentifizierung (2FA) gilt ja erst ab dem 14. September – so ist es überall zu lesen. Vielleicht glaubten viele Kunden, dass sie trotz anderslautender Online-Meldungen und Mails der Postbank noch bis dahin Zeit hätten für die Umstellung. Doch dieses Datum ist ein Freitag. Die Postbank (Website) setzt aber grundsätzlich Wartungs- und Update-Arbeiten am Sonntag an, um den regulären Betrieb möglichst wenig zu stören. Um nicht in Verzug zu kommen, blieb daher nur der vor diesem Termin liegende Sonntag.

Überrascht wurde anscheinend auch Klarna – Online-Käufe konnten nach der Umstellung auf 2FA nicht mehr über den Zahlungsdienstleister beglichen werden. Dieser nutzt noch die Schnittstelle FinTS und stellt erst zum 14.9. auf PSD2-konforme Prozesse um.

Sonntagnachmittag: Das Abenteuer beginnt

Sonntag, Schlag Mitternacht, klemmte die Postbank den Login zum Online-Banking vorübergehend ab, es erschien ein Hinweis auf laufende Wartungsarbeiten. Ab 14:00 Uhr waren die Systeme wieder erreichbar – nun aber nur noch mit starker Authentifizierung zugänglich.

Die Postbank bietet dafür zwei Verfahren an: ChipTAN, bei dem ein TAN-Generator im Zusammenspiel mit der eingesteckten Girocard eine TAN erzeugt, sowie BestSign. Dieses funktioniert wahlweise per App, die die Identität per Gesichtserkennung oder per Fingerabdruck bestätigt, oder über ein USB-Security-Token von SealOne. Das häufig als unsicher kritisierte mobileTAN-Verfahren hat die Postbank bereits am 11. August deaktiviert.

Natürlich fühlten sich die Kunden, die rechtzeitig ein sicheres Verfahren konfiguriert hatten, auf der sicheren Seite. Doch die BestSign-App-Nutzer hatten Pech: Das Verfahren funktionierte nicht mehr, auch nicht nach neuerlicher Konfiguration. Das Problem: die bisherigen Versionen der App spielten nicht mit dem umgestellten System zusammen. Die Freigabe der neuen App-Version verzögerte sich in Apples App Store bis 18:00 Uhr, beim Google Playstore sogar bis 19:20 Uhr. Allerdings sei in den bisherigen Versionen ein Hinweis auf das nötige Update angezeigt worden, betont die Postbank, gesteht zugleich aber ein, dass am späteren Abend noch über eine Stunde technische Probleme mit dem BestSign-Verfahren aufgetreten waren.

Postbank Online Banking: Drei bis sechs Wochen Wartezeit bis zum Versand müssen Postbank-Kunden für TAN-Generatoren bei den Vertriebspartnern ihrer Bank derzeit einplanen. <q>ReinersSCT.de/deutschepost.de
Drei bis sechs Wochen Wartezeit bis zum Versand müssen Postbank-Kunden für TAN-Generatoren bei den Vertriebspartnern ihrer Bank derzeit einplanen. ReinersSCT.de/deutschepost.de

Geduldsprobe

Kunden, die sich für ChipTAN entschieden und einen TAN-Generator bei einem der beiden Vertriebspartner bestellt hatten, die direkt über die Postbank-Seite verlinkt sind, sahen aber unter Umständen ebenfalls in die Röhre. Denn statt der im Postbank Info-Center chipTAN ausgewiesenen Lieferung innerhalb von 2 bis 3 Tagen werden die Geräte derzeit frühestens nach sechs (ReinerSCT) beziehungsweise drei Wochen (Kobil via Deutsche-Post-Shop) versendet. In Social-Media-Foren berichten Kunden von Trostschreiben, nach denen eine Lieferung „später im Jahr“ angekündigt wird. In anderen Online-Shops sowie im Handel sind die Geräte dagegen vorrätig.

Doch auch wer sich dort noch schnell einen TAN-Generator besorgt oder erstmals die BestSign-App herunterlädt, kann nicht einfach loslegen. Es lohnt sich, den Login-Hinweis bei der Postbank genau zu lesen: „Wenn Sie bisher kein gültiges Sicherheitsverfahren besitzen, erhalten Sie den Aktivierungscode innerhalb von drei bis fünf Werktagen per Post.“

Montag: Heute geschlossen

Wie heißt es so schön auf dem Platz: „Erst hat man kein Glück und dann kommt auch noch Pech dazu“. Bei der Postbank war es neben den Problemen vom Vortag noch ein Warnstreik der Gewerkschaft Verdi, der möglicherweise zu mehr Online-Verkehr führte. Denn in Folge des Streiks blieben manche Filialen geschlossen, in anderen bildeten sich lange Schlangen an den wenigen geöffneten Schaltern und Automaten funktionierten zum Teil nicht.

Doch es dauerte nicht lange, da streikte auch das Online-Banking und -Brokerage der Postbank. Beim Postbank Login kam irgendwann nur noch der drehende Kreisel – sowohl beim Zugang via Browser wie in der (hoffentlich schon upgedateten) App. Man kann nur vermuten, dass massenhaft Kunden, die über mehrere Minuten hinweg versuchten, die starker Authentifizierung für ihren Online-Zugang zu konfigurieren, zusammen mit jenen, die sich immer wieder vergeblich einzuloggen versuchten, die Server überlasteten. Erst am Nachmittag normalisierte sich die Situation und das System funktionierte wieder vollständig.

Banking-Software ausgesperrt

Komplett außen vor waren zumindest zeitweise die Nutzer von Banking-Software – obwohl die Hersteller kurzfristig neue Versionen bereitstellten, die für 2FA vorbereitet waren. Banking-Software, für die es noch kein entsprechendes Update gibt, kann seit Sonntag nicht mehr genutzt werden.

Die Kommunikation der Postbank Online Banking-Software über die HBCI-Schnittstelle machte nach der Postbank-Umstellung ebenfalls Probleme.
Die Kommunikation von Banking-Software über die HBCI-Schnittstelle machte nach der Umstellung ebenfalls Probleme. Screenshot BankX

Nach Informationen von IT-Finanzmagazin.de waren auch aktualisierte Produkte, die per HBCI-Schnittstelle zugreifen, betroffen. In einem Herstellerforum wurde der Verdacht geäußert, dass der HBCI-Server der Postbank keine Infos gemäß HKTAN Segmentversion #6 ausliefert. Jedoch wäre dies zwingend notwendig, um auf Seiten der Banking-Software den Prozess der starken Authentifizierung anzustoßen. Trotzdem habe der Postbank-Server eine Bestätigung für eine starke Authentifizierung erwartet, die jedoch nicht geliefert werden konnte. Damit sei keine erfolgreiche Kommunikation möglich gewesen.

Konkret zu diesem Punkt befragt, äußert sich die Postbank-Pressestelle nicht. Sie verweist lediglich auf die Verantwortung der Software-Hersteller: „In einigen Fällen unterstützt die vom Kunden verwendete Finanzsoftware die 2-Faktor-Authentifizierung unzureichend. Wir empfehlen daher unseren Kunden, ihre Finanzsoftware zu aktualisieren. Einige Hersteller haben Updates bereits vorgenommen bzw. für heute angekündigt.“ Immerhin: Im Laufe des Dienstags nahmen einige Banking-Anwendungen – teils nach weiteren Updates – wieder erfolgreich Kontakt mit dem HBCI-Server der Postbank auf.

Und täglich grüßt das Murmeltier

Wer sich in das Online-Banking der Postbank einloggt, muss sich nun per 2-Faktor-Authentifizierung legitimieren – und zwar immer. Zwar gesteht PSD2 den Banken zu, dass sie nur alle 90 Tage die 2FA erneut durchführen müssen. Nach Lesart der Postbank dürfte sie dann aber beispielsweise keinen Zugriff auf aktuelle Kontoauszüge erteilen. Mit dem Einsatz von Fingerprint oder Gesichtserkennung in der BestSign-App biete man jedoch einen bequemen Zugang, der sogar die Eingabe der PIN überflüssig mache, so die Postbank auf Nachfrage. Für ChipTAN-Nutzer heißt das: Bei jedem Login muss die Girocard griffbereit sein – zumindest wenn man das Web-Fronten nutzt. Anders liegt der Fall dagegen, wenn eine HBCI-Banking-Software eingesetzt wird. Deren Hersteller schöpfen in der Regel die 90-Tage-Frist voll aus.

postbank.de

Auch an anderer Stelle kam es zu unschönen Wiederholungen. So beschwerten sich Kunden über die ständig wiederkehrenden Cookie-Hinweise, die normalerweise für jede Website nur einmal bestätigt werden müssen. Ebenso poppt immer noch der Hinweis auf die nötige 2-Faktor-Authentifizierung auf. Dies sollte eigentlich nach der Konfiguration des 2FA-Verfahrens nicht mehr auftreten. Darüber hinaus haben die Webdesigner eine Checkbox eingebaut, damit der Benutzer bestätigt: „Ich habe den Hinweis gelesen“. Doch auch die zeigt keine Wirkung. Hier hat wohl die IT-Abteilung bis zum Dienstagabend noch nicht alle Hausaufgaben gemacht.

Fazit

Nicht alles, was für Aufregung bei den Kunden sorgte, ist der Postbank anzulasten. Online-Shopping, -Banking und -Brokerage können nur problemlos funktionieren, wenn alle Komponenten des Finanzsystems fehlerfrei zusammenspielen. Die Umstellung aufgrund von PSD2 ist daher keine Kleinigkeit und erfordert Aufwand auch auf Seiten der Kunden, der Software-Hersteller, bei Zahlungsdienstleistern und Shop-Betreibern. Nach drei Tagen intensiver Arbeit scheint die Postbank-IT die wichtigsten Punkte im eigenen Verantwortungsbereich einigermaßen erfolgreich bewältigt zu haben.

Auch bei anderen Finanzinstituten dürfte mit großem Interesse verfolgt werden, wie die Postbank als Vorreiter mit der PSD2-Umstellung zurechtkommt. Wenn sie am kommenden Freitag nachziehen, profitieren sie beispielsweise von aktueller Banking-Software, die bei Postbank-Kunden den ersten großen Feldtest bewältigt hat. Ebenso wenn Kunden durch die aktuelle Berichterstattung dafür sensibilisiert werden, Apps zu aktualisieren, TAN-Generatoren zu besorgen und sich intensiver mit den Veränderungen zu befassen, die die starke Authentifizierung mit sich bringt.

So werden ihre Online-Nutzer möglicherweise mit weniger Problemen konfrontiert – zumindest auf Bankenseite. Gespannt sein darf man auf die Konsequenzen beim Online-Shopping, sprich: wie Klarna und Ratepay, Paypal, Amazon Pay & Co. den Wechsel in die PSD2-Finanzwelt meistern. hj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert