@FrankS Rein theoretisch eine gute Idee. Was macht man aber mit den vielen Menschen, die
Muss man nicht gesetzlich einen Personalausweis oder zumindest einen Reisepass haben? 
Logisch, Vinz.
Zwei Dinge: Alle neuen Ausweise, die seit Monaten ausgegeben werden, unterstützen es, wie du sagst. Es ist nicht mehr optional. Und zweitens, warum soll man es für die Leute komplizierter machen als nötig, wenn die das nutzen können? Der Unterschied ist krass! 3 Minuten für eine volle Kontoeröffnung inkl. rechtsverbindlicher Identifizierung.
Euer ID-Partner bietet das an. Sagt ja niemand, dass es die alleinige Option sein muss. Dass das nicht geht, ist klar.
Uns dann gibt es Leute wie mich, die eID zwar gern Nutzen würden, aber leider den Brief mit der Transport-PIN verlegt haben und sich jetzt vor dem kostenpflichtigen Gang zum Bürgeramt drücken… 
Ja, so Schlamper gibts. Aber dank der Gebührenerhöhung für den Ausweis wird das Zurücksetzen der Transport-PIN ja bald kostenlos.
Funny thing: Gerade habe ich mitbekommen, dass eID Identifizierung kommen wird. 
Gut möglich, dass sich auch die Rufnummeränderung damit noch mal überarbeitet wird.
Gute Ideen setzten sich halt durch.
Hallo, ich habe gestern meine Nummer geändert und will hier kurz schreiben wie das abgelaufen ist um dem ein oder anderen die Angst zu nehmen.
Da ich den Beitrag hier vorher gelesen habe, dachte ich mir, dass es eine gute Idee wäre ein bisschen „Puffer“ einzuplanen und das ganze über den Support durchzuführen.
Also habe ich den Support im Chat kontaktiert, daraufhin sollte ich meine E-Mail-Adresse, meinen Geburtsort, meine alte Handynummer und eine kürzlich erfolgte Transaktion angeben. Weil es eine (ausländische) Prepaid-SIM ist, musste ich noch einen Screenshot aus der App des Anbieters schicken. Dabei war wohl wichtig, dass die neue Telefonnummer, meine Adresse und mein Name sichtbar war.
Danach ist dann erstmal nichts passiert, nach 2 Stunden habe ich mal wieder in die Tomorrow App geschaut und dabei gesehen (wurde mir über diesen roten Punkt deutlich gemacht), dass keine Nummer mehr eingetragen ist. Deshalb habe ich im Chat nachgefragt ob ich die neue Nummer selbst eintragen soll, oder ob der Support das macht. Ich musste sie dann selbst eintragen, mit per SMS erhaltenem Code bestätigen und fertig.
War also für mich überhaupt nicht problematisch, allerdings eben mit Umweg über den Support. Der einzige Kritikpunkt wäre, dass man mir noch deutlicher hätte mitteilen können, dass ich jetzt meine neue Nummer eintragen kann. Z.B. über eine Push-Benachrichtigung.
Außerdem habe ich mich ein bisschen gewundert, dass der Screenshot aus der App als Nachweis reicht. So etwas ist doch recht leicht fälschbar, bzw. hätte ich dort jede Adresse und jeden Namen eintragen können.
Hi @Joel danke für den Erfahrungsbericht. So läuft das auch in der Regel ab.
Kurz zu Deinem Feedback: Wir geben Dir in der Regel manuell bescheid, sobald Solaris uns bescheid gibt, dass die Rufnummer gelöscht wurde (das wird dort gemacht). In diesem Fall haben wir wahrscheinlich die Nachricht von Solaris schon vorliegen gehabt, sind nur noch nicht dazu gekommen, Dir bescheid zu geben. Dann hast Du es wahrscheinlich einfach schon schneller gesehen gehabt.
ich habe am Wochenende ebenfalls meine Nummer gewechselt und die Änderung in der App waren recht problemlos.
Wenn man die Nummer in der App ändern möchte, muss man dies mit einer TAN bestätigen. Danach kann man die neue Nummer eintragen. Zum Abschluss des Vorgangs wird eine TAN an die neue Nummer zur Bestätigung verschickt. Diesen Punkt finde ich etwas unglücklich, da ich in 30 Sekunden (das Zeitfenster für die Eingabe der TAN) nicht die SIM-Karte wechseln kann.
Als ich meine SIM-Karte dann gewechselt habe, konnte ich den Vorgang aber bei der Eintragung meiner neuen Telefonnummer erneut beginnen, da ich mit dem vorherigen Prozedere erstmal nur die alte Nummer gelöscht habe. Seitdem kann ich mein Konto/ die App ganz normal weiter verwenden.
Es funktioniert zwar alles wie es soll, trotzdem finde ich den Prozess noch nicht ganz rund. Ich würde ihn in zwei Teile aufteilen, sodass man im ersten Schritt die Telefonnummer mit Bestätigung einer TAN löscht, um dann im zweiten Schritt (& nach erfolgtem SIM-Kartenwechsel) die neue Nummer inkl. TAN bestätigt. Ist dies machbar/ sinnvoll oder hat die derzeitige Vorgehensweise einen tieferen Grund?
Hallo Tomorrow Team,
Ich bin auf ein Problem mit dem Wechsel meiner Rufnummer gestoßen und hätte einen Sinnvollen Vorschlag für euch um die Einschränkung des Zahlungsverkehrs zu umgehen.
Ich zb. kann jetzt nicht einkaufen gehen und mir was zu Essen zu kaufen, da der Wechsel der Rufnummer geprüft werden muss. Das geht nicht!!
Wie wäre es denn, wenn ihr beim Wechsel der Rufnummer einen Zufalls Algorithmus einbaut der folgende Verifizierung mit sich bringt:
Beim Rufnummerwechsel geht das System her und will, bei jedem Rufnummerwechsel in willkürlicher Reihenfolge einige Nummern von der 10Tan auf der Karte.
Hinzu kommt die PIN plus evtl. die Ausweisnr. des Kunden. Das vollautomatisiert.
Als Beispiel: ich Wechsel die Nummer und muß dann die 3, 5, 1, 10 und 1 Nummer der 10stelligen Tan von der Karte eingeben.
Der nächste Kunde der wechselt, muss die
8, 9, 5, 2, und 7 Nummer der 10 stellige Tank ein geben.
Plus Ausweisnr und der PIN die man sich eingestellt hat.
Ausserdem wäre es sehr hilfreich, wenn dieser Verifizierungsprozess auch erkennt, ob ich Biometrischen login nutze da man einen Fingerabdruck nicht fälschen kann.
Wochenende ohne Essen Einkauf weil ich mein Rufnummer ändern will, ist ein absolutes NoGo!
Ich bitte hiermit auch um eine rasche Freischaltung meiner Karte. Das geht nicht Ihr lieben, das haut nicht hin.
Ich bedanke mich.
Mit freundlichen Grüßen
Patrick Schmidtke
Moin Patrick,
tut mir leid, dass du hiermit Probleme hattest.
Leider können wir das Vorgehen beim Nummernwechsel nicht einfach so ändern. Da die Telefonnummer aufgrund der direkten Bindung zu deinem Konto die sensibelste Größe ist, sind wir hier an einige regulatorische und technische Vorgaben gebunden - zu deiner eigenen Sicherheit. Wenn du noch spezifischere Fragen zu deinem Fall hast, wende dich bitte direkt an die Kolleg:innen im Support, denn sie können Einblick in dein Konto nehmen und nachschauen. Schönen Start in die Woche dir. 
Also bei traditionellen Banken und Sparkassen war das nie ein Problem, meine Rufnummer zu ändern. Es musste nie ein Nachweis oder sonst was ein gereicht werden. Das das bei Solaris der Fall ist, ist schade (Bzw. dass das überhaupt so nötig ist).
Fun Fact: Bei mir wurde mein Vivid Konto gekündigt, weil ich meine Adresse geändert hatte und ich keine Nachweise erbracht hatte. Bei meiner Sparkasse musste ich für eine Adressänderung nur eine Mail an meinen Berater schreiben und alles war gut. Kein Nachweis notwendig!
Wie sieht es in diesem Fall mit der eID aus? Gibt’s das jetzt endlich als Legitimationsweg für die neue Rufnummer?
Der Nachweis ist auch bei traditionellen Banken erforderlich, wenn die SIM für SCA verwendet wird. Man kann nicht einfach ein TAN-Medium austauschen, ohne dass die Identität eindeutige festgestellt ist.
(Der Wechsel der Nummer ist kein Problem, wenn man noch Zugriff auf die vorherige Nummer hat.)
Ich wäre hier nicht besonders begeistert. Das ist eine potenzielle Schwäche für einen Angriff auf dein Konto. Hat ein Angreifer per Phishing die Login-Daten fürs Onlinebanking, und kann durch eine Mail die registrierte Adresse tauschen, kann er das TAN-Medium zurücksetzen. Geht dir der Zugriff z.B. auf App-TAN verloren, versendet die Sparkasse Registrierungsbriefe per Post an die registrierte Adresse. Das wäre dann ein Angriff vergleichbar mit SIM-Swapping, einer der erfolgreichsten Betrugsmethoden der letzten 20 Jahre.
Ich gehe davon aus, dass deine Sparkasse dich gut kennt und hier keine große Gefahr besteht. Aber für Neobanken, die erwiesenermaßen deutlich stärker unter Fake-Accounts, Money-Mules und sonstigem neumodischen Kram leiden, vermutlich keine gute Idee.
Ich hatte ja den Thread eröffnet, mit der Hoffnung, dass sich hier etwas für den Kunden verbessert.
In der Tat ist die SIM bzw. die Nummer eine kritische Komponente im Online-Banking, insbesondere wenn man dem Kunden keine Aktivierungs-Briefe per Post zukommen lassen möchte.
Nur ist es so, dass jemand mit Zugriff auf beide Faktoren Handy (App/Gerätecode/Biometrie) und Nummer (SIM/phsyischen Zugriff auf SMS Nachrichten am Lockscreen) bereits Unheil anrichten kann - also z.B. das Kontoguthaben unberechtigt weiter überweisen kann (P.S. könnte bei nicht-Echtzeitüberweisungen evtl. sogar noch aufgehalten werden).
Da ist es doch eigentlich legitim, dass jemand mit beiden Faktoren (Quasi: Kunde = Admin) auch die Legitimität haben sollte, die Nummer zu ändern. Noch dazu ist der Nachweis eine Augenwischerei und sogenanntes „Security-Theater“ - denn eine Rechnung oder ein Screenshot des Kundenportals kann easy gefälscht werden. Für geübte Fraudster eine Sache von 15 Minuten. Bei einem SIM-Swap Angriff wäre die Änderung der Nummer auch nicht notwendig.
Klar, Tomorrow ist hauptsächlich ein Frontend für Solaris, und kann daher die Solaris-Prozesse nicht direkt beeinflussen. Aber evtl. kann es bei den regelmäßigen Meetings mal als Ansatz-Punkt auf die Agenda gesetzt werden. ePA Authentifizierung wäre hier tatsächlich eine gute Methode, aber etwas aufwändig in der Implementierung - oder der Kunde bekommt nochmal eine Super-PIN für Adress- und Mobilfunknr-Änderungen. Oder den Karten-PIN, falls der durch das System abgeglichen werden kann.
Das ist falsch. Bei allen anderen Banken kann man ein neues TAN-Medium registrieren, wenn man noch Zugriff auf das vorherige hat.
Oftmals auch mehrere TAN-Medien parallel (Postbank, Targobank, Revolut, DKB…). Einige Banken benötigen ein Haupt-Gerät, beim Verlust von diesem wird dann ein Aktvierungs-Brief notwendig (Consors, Comdirect), eine SMS (Postbank) oder ein Gesichts-Scan (Revolut).
Bei der Nummer sollte es analog sein. Zugriff auf alte und neue Nummer, Verifizierung per 2x SMS: alles grün. Zugriff nur auf neue Nummer: Authentifizierung per weiterem Faktor (wie oben vorgeschlagen, z.B. Super-PIN, Karten-PIN, ePA, Selie).
Das geht auch bei Tormorrow. Bei Zugriff auf die SIM, die Grundlage fürs Device Binding ist, kann man die Nummer selbst ändern.
Nicht bei der DKB, gerade erst erlebt. Aber das ist nur ein Beispiel, keine Ahnung, wie das bei anderen Banken ist.
Die DKB ist sicher ein Sonderfall zum aktuellen Zeitpunkt, da hier noch verschiedene technische Plattformen parallel laufen, solange die Umstellung auf die neue App und das neue Onlinebanking im Gang ist. Solange man aktuell den Zugriff auf “Tan2go” oder Chip-TAN hat, sollte man gut gerüstet sein.