Mobilfunknummer ändern erfordert Nachweise

Ein Kollege von mir, der mir Tomorrow empfohlen hat, hat k√ľrzlich eine interessante Feststellung nach der √Ąnderung seiner Handynummer in der Tomorrow App machen m√ľssen. Da ich vermutlich demn√§chst auch meine Handynummer wechseln werde und es sicher den ein oder anderen vor einer mittleren Katastrophe bewahren wird, teile ich das hier mal.

  1. Nummer geändert, mit mTAN bestätigt, sowohl auf alter als auch auf neuer Nummer
  2. soweit alles gut
  3. kurz darauf werden alle Tomorrow-Karten gesperrt, evtl. sogar das ganze Konto
  4. man erh√§lt eine Nachricht, dass man einen Nachweis √ľber den Besitz der Mobilfunk-Nummer einreichen soll, z.B. den Vertrag.
  5. Wenn dies nicht möglich ist, z.B. bei Prepaid Nummern, dann sollte man das Dokument mit dem PIN/PUK einschicken, zusammen mit einer Ausweiskopie.

Es ist ja legitim, dass Missbrauch vorgebeugt wird, doch eine derartige Prozedur zu durchlaufen, ist alles andere als professionell und kundenfreundlich. Noch dazu ist das Datenschutzrechtlich problematisch, da man bei Vertragskopien oder PUK-Fotos personenbezogene Daten au√üer Hand gibt, die wiederum missbraucht werden k√∂nnen. Man stelle sich vor, das E-Mail Postfach eines Kunden wird gehackt, dann hat der Angreifer gleich den PIN und den PUK f√ľr das Handy parat und kann damit ggf. weitere Passw√∂rter zur√ľcksetzen oder gar Transaktionen per mTAN ausl√∂sen.

Wie seht ihr das? Habt ihr solch eine Anfrage auch schon erhalten? Gibt es im sinne der Service-Verbesserung Ideen, wie man das kundenfreundlich und sicher handhaben kann?

8 Like

Ich kann dir da nur zustimmen, dass dieses Vorgehen absolut problematisch zu sehen ist und eine andere L√∂sung daf√ľr gefunden werden muss.

Man k√∂nnte ja einen Einmalcode an die hinterlegte E-Mail und eine TAN an das Mobiltelefon schicken. Erst nach Eingabe beider Codes wird die √Ąnderung akzeptiert.

6 Like

Wenn die Mailadresse verifiziert ist, ginge es vielleicht. Wobei ich nicht wei√ü, ob das in Deutschland den regulatorischen Auflagen gen√ľgt. Die sind einen Zacken sch√§rfer als anderswo.

Vermutlich wird der Zugang zur E-Mail nicht als starke Kundenauthentifizierung angesehen - denn ein E-Mail Account kann ja mal schnell abhanden kommen, wenn der PC infiziert ist oder man f√ľr den Zugang zum Account ein zuvor geleaktes Kennwort verwendet.

Wenn man davon ausgeht, dass die mTAN sicher ist - denn sie best√§tigt ja auch Transaktionen - dann m√ľsste die Eingabe eines mTAN Codes normalerweise f√ľr die √Ąnderung ausreichend sein. So ist es bei den meisten anderen Banken auch.

Als weiteres Authentifizierungsmerkmal könnte man dann noch einen Code auf der VISA-Karte oder ein speziellen PIN-Code abfragen, den man entweder bei der Kontoeinrichtung per Post erhalten hat oder sich selbst aussuchen konnte. Bei Fidor ist das z.B. die FIN oder bei Revolut der Secure Code.

Tomorrow hat einen Code auf den Karten (nicht die Nummer), der, wenn ich mich recht erinnere, zur Aktivierung der Karte genutzt wird. (Wie N26.)

Das geht mal gar nicht. Sperrung vom Konto ist sowieso immer √ľbel. Auch in Bezug auf die DSGVO ist das etwas fragw√ľrdig und Dokumente mit PIN/PUK zu versenden, ist in etwas so bescheuert wie Passw√∂rter im Klartext zu versenden. Was ist denn hier los.

2 Like

Ich vermute, dass der Bericht des Kollegen nicht den Standard Fall beschreibt, sondern da etwas ‚Äěbesonders‚Äú war. Der Kollege sollte sich meiner Meinung nach an den Support wenden.

@integrator Wenn Du da jetzt selbst verunsichert bist w√ľrde ich Dir auch empfehlen, dazu einmal beim Support nachzufragen. Ggf k√∂nnen sie den regul√§ren Ablauf ja auch in die FAQ aufnehmen.

1 Like

Er ist bereits mit dem Support in Kontakt und es l√§uft darauf hinaus, dass die Identit√§t mit einem Selfie + Ausweis + DIN A4 Blatt gepr√ľft wird. Ist noch das kleinere √úbel, aber wenn dann mal dieses Material √∂ffentlich leakt, weil es auf einem ungesch√ľtzten Amazon S3 Bucket gesichert wurde, dann ist das Kind schon in den Brunnen gefallen.

Ich selbst werde meine Nummer erst mal nicht ändern, bin von solchen Prozeduren etwas abgeschreckt, denn Kontosperrungen - vor allem wenn sie das Hauptkonto betreffen und Lastschriften oder Daueraufträge platzen - sind nicht sehr spaßig.

@integrator vielen Dank f√ľr den Ansto√ü dieser Diskussion. Das ist tats√§chlich ein Thema, dass auch uns im Support besch√§ftigt. Grunds√§tzlich wird nat√ľrlich nicht direkt das Konto und die Karte geblockt. In der Regel passiert sogar gar nichts. Es gibt aber eben auch F√§lle in denen compliance sicher stellen muss, dass die Nummer auch wirklich zu der Person geh√∂rt, die auch das Konto f√ľhrt. Bis zu diesem Punkt sind wir uns wahrscheinlich einig, dass das in Ordnung geht. Was die √úberpr√ľfung der Nummer angeht scheiden sich dann die Geister. Die Solarisbank hat sich nun f√ľr diese Legitimierungsmethode entschieden. Dass da direkt Bedenken hinsichtlich der Sicherheit unverschl√ľsselter Kommunikation ist, ist absolut verst√§ndlich. Aus einer Support Perspektive ist das auch nicht immer ganz leicht zu kommunizieren. Dennoch kennen wir glaube ich Beispiele (andere Fintech Banken aus Deutschland), bei denen die Legitimierung der ge√§nderten Rufnummer oder anderer Sicherheitsrelevanten Merkmale vielleicht etwas unverantwortlich konzipiert wurde und das dann zu einem riesen Aufschrei gef√ľhrt hat. Ich denke das verdeutlicht, dass das Thema nicht ganz einfach so zu gestalten ist, dass immer jede Partei zufrieden ist. Vielleicht wird sich da ja aber bei Solaris langfristig der Vorgang √§ndern. Das Forum ist ja auch ein √∂ffentlicher Platz. Vielleicht wird hier ja mitgelesen. Vorschl√§ge also herzlich Willkommen!!

Ganz einfach: eID. :nerd_face:

3 Like

genau wo zu haben wir denn sonst so tolle Personalausweise

1 Like

@FrankS Rein theoretisch eine gute Idee. Was macht man aber mit den vielen Menschen, die

  • Keinen Perso haben (Ich hatte zum Beispiel jahrelang keinen, weil ich zu faul war meinen verlorenen zu ersetzen)
  • die eID-Funktion nicht im Ausweis haben? Ich bin mir sicher, da kursieren noch Ausweise √§lterer Generationen, die einfach nicht ablaufen wollen :smiley:
1 Like

Muss man nicht gesetzlich einen Personalausweis oder zumindest einen Reisepass haben? :thinking:

Logisch, Vinz.

Zwei Dinge: Alle neuen Ausweise, die seit Monaten ausgegeben werden, unterst√ľtzen es, wie du sagst. Es ist nicht mehr optional. Und zweitens, warum soll man es f√ľr die Leute komplizierter machen als n√∂tig, wenn die das nutzen k√∂nnen? Der Unterschied ist krass! 3 Minuten f√ľr eine volle Kontoer√∂ffnung inkl. rechtsverbindlicher Identifizierung.

Euer ID-Partner bietet das an. Sagt ja niemand, dass es die alleinige Option sein muss. Dass das nicht geht, ist klar.

2 Like

Uns dann gibt es Leute wie mich, die eID zwar gern Nutzen w√ľrden, aber leider den Brief mit der Transport-PIN verlegt haben und sich jetzt vor dem kostenpflichtigen Gang zum B√ľrgeramt dr√ľcken‚Ķ :grin:

Ja, so Schlamper gibts. Aber dank der Geb√ľhrenerh√∂hung f√ľr den Ausweis wird das Zur√ľcksetzen der Transport-PIN ja bald kostenlos.

2 Like

Funny thing: Gerade habe ich mitbekommen, dass eID Identifizierung kommen wird. :slight_smile: Gut m√∂glich, dass sich auch die Rufnummer√§nderung damit noch mal √ľberarbeitet wird.

9 Like

Gute Ideen setzten sich halt durch. :slight_smile:

4 Like