Mobilfunknummer ändern erfordert Nachweise

ich habe am Wochenende ebenfalls meine Nummer gewechselt und die Änderung in der App waren recht problemlos.
Wenn man die Nummer in der App ändern möchte, muss man dies mit einer TAN bestätigen. Danach kann man die neue Nummer eintragen. Zum Abschluss des Vorgangs wird eine TAN an die neue Nummer zur Bestätigung verschickt. Diesen Punkt finde ich etwas unglücklich, da ich in 30 Sekunden (das Zeitfenster für die Eingabe der TAN) nicht die SIM-Karte wechseln kann.
Als ich meine SIM-Karte dann gewechselt habe, konnte ich den Vorgang aber bei der Eintragung meiner neuen Telefonnummer erneut beginnen, da ich mit dem vorherigen Prozedere erstmal nur die alte Nummer gelöscht habe. Seitdem kann ich mein Konto/ die App ganz normal weiter verwenden.

Es funktioniert zwar alles wie es soll, trotzdem finde ich den Prozess noch nicht ganz rund. Ich würde ihn in zwei Teile aufteilen, sodass man im ersten Schritt die Telefonnummer mit Bestätigung einer TAN löscht, um dann im zweiten Schritt (& nach erfolgtem SIM-Kartenwechsel) die neue Nummer inkl. TAN bestätigt. Ist dies machbar/ sinnvoll oder hat die derzeitige Vorgehensweise einen tieferen Grund?

1 „Gefällt mir“

Hallo Tomorrow Team,

Ich bin auf ein Problem mit dem Wechsel meiner Rufnummer gestoßen und hätte einen Sinnvollen Vorschlag für euch um die Einschränkung des Zahlungsverkehrs zu umgehen.

Ich zb. kann jetzt nicht einkaufen gehen und mir was zu Essen zu kaufen, da der Wechsel der Rufnummer geprüft werden muss. Das geht nicht!!

Wie wäre es denn, wenn ihr beim Wechsel der Rufnummer einen Zufalls Algorithmus einbaut der folgende Verifizierung mit sich bringt:

Beim Rufnummerwechsel geht das System her und will, bei jedem Rufnummerwechsel in willkürlicher Reihenfolge einige Nummern von der 10Tan auf der Karte.
Hinzu kommt die PIN plus evtl. die Ausweisnr. des Kunden. Das vollautomatisiert.

Als Beispiel: ich Wechsel die Nummer und muß dann die 3, 5, 1, 10 und 1 Nummer der 10stelligen Tan von der Karte eingeben.

Der nächste Kunde der wechselt, muss die
8, 9, 5, 2, und 7 Nummer der 10 stellige Tank ein geben.

Plus Ausweisnr und der PIN die man sich eingestellt hat.

Ausserdem wäre es sehr hilfreich, wenn dieser Verifizierungsprozess auch erkennt, ob ich Biometrischen login nutze da man einen Fingerabdruck nicht fälschen kann.

Wochenende ohne Essen Einkauf weil ich mein Rufnummer ändern will, ist ein absolutes NoGo!

Ich bitte hiermit auch um eine rasche Freischaltung meiner Karte. Das geht nicht Ihr lieben, das haut nicht hin.

Ich bedanke mich.

Mit freundlichen Grüßen
Patrick Schmidtke

Moin Patrick,
tut mir leid, dass du hiermit Probleme hattest.
Leider können wir das Vorgehen beim Nummernwechsel nicht einfach so ändern. Da die Telefonnummer aufgrund der direkten Bindung zu deinem Konto die sensibelste Größe ist, sind wir hier an einige regulatorische und technische Vorgaben gebunden - zu deiner eigenen Sicherheit. Wenn du noch spezifischere Fragen zu deinem Fall hast, wende dich bitte direkt an die Kolleg:innen im Support, denn sie können Einblick in dein Konto nehmen und nachschauen. Schönen Start in die Woche dir. :slight_smile:

Also bei traditionellen Banken und Sparkassen war das nie ein Problem, meine Rufnummer zu ändern. Es musste nie ein Nachweis oder sonst was ein gereicht werden. Das das bei Solaris der Fall ist, ist schade (Bzw. dass das überhaupt so nötig ist).

Fun Fact: Bei mir wurde mein Vivid Konto gekündigt, weil ich meine Adresse geändert hatte und ich keine Nachweise erbracht hatte. Bei meiner Sparkasse musste ich für eine Adressänderung nur eine Mail an meinen Berater schreiben und alles war gut. Kein Nachweis notwendig!

Wie sieht es in diesem Fall mit der eID aus? Gibt’s das jetzt endlich als Legitimationsweg für die neue Rufnummer?

Der Nachweis ist auch bei traditionellen Banken erforderlich, wenn die SIM für SCA verwendet wird. Man kann nicht einfach ein TAN-Medium austauschen, ohne dass die Identität eindeutige festgestellt ist.

(Der Wechsel der Nummer ist kein Problem, wenn man noch Zugriff auf die vorherige Nummer hat.)

Ich wäre hier nicht besonders begeistert. Das ist eine potenzielle Schwäche für einen Angriff auf dein Konto. Hat ein Angreifer per Phishing die Login-Daten fürs Onlinebanking, und kann durch eine Mail die registrierte Adresse tauschen, kann er das TAN-Medium zurücksetzen. Geht dir der Zugriff z.B. auf App-TAN verloren, versendet die Sparkasse Registrierungsbriefe per Post an die registrierte Adresse. Das wäre dann ein Angriff vergleichbar mit SIM-Swapping, einer der erfolgreichsten Betrugsmethoden der letzten 20 Jahre.

Ich gehe davon aus, dass deine Sparkasse dich gut kennt und hier keine große Gefahr besteht. Aber für Neobanken, die erwiesenermaßen deutlich stärker unter Fake-Accounts, Money-Mules und sonstigem neumodischen Kram leiden, vermutlich keine gute Idee.

2 „Gefällt mir“

Ich hatte ja den Thread eröffnet, mit der Hoffnung, dass sich hier etwas für den Kunden verbessert.

In der Tat ist die SIM bzw. die Nummer eine kritische Komponente im Online-Banking, insbesondere wenn man dem Kunden keine Aktivierungs-Briefe per Post zukommen lassen möchte.

Nur ist es so, dass jemand mit Zugriff auf beide Faktoren Handy (App/Gerätecode/Biometrie) und Nummer (SIM/phsyischen Zugriff auf SMS Nachrichten am Lockscreen) bereits Unheil anrichten kann - also z.B. das Kontoguthaben unberechtigt weiter überweisen kann (P.S. könnte bei nicht-Echtzeitüberweisungen evtl. sogar noch aufgehalten werden).

Da ist es doch eigentlich legitim, dass jemand mit beiden Faktoren (Quasi: Kunde = Admin) auch die Legitimität haben sollte, die Nummer zu ändern. Noch dazu ist der Nachweis eine Augenwischerei und sogenanntes „Security-Theater“ - denn eine Rechnung oder ein Screenshot des Kundenportals kann easy gefälscht werden. Für geübte Fraudster eine Sache von 15 Minuten. Bei einem SIM-Swap Angriff wäre die Änderung der Nummer auch nicht notwendig.

Klar, Tomorrow ist hauptsächlich ein Frontend für Solaris, und kann daher die Solaris-Prozesse nicht direkt beeinflussen. Aber evtl. kann es bei den regelmäßigen Meetings mal als Ansatz-Punkt auf die Agenda gesetzt werden. ePA Authentifizierung wäre hier tatsächlich eine gute Methode, aber etwas aufwändig in der Implementierung - oder der Kunde bekommt nochmal eine Super-PIN für Adress- und Mobilfunknr-Änderungen. Oder den Karten-PIN, falls der durch das System abgeglichen werden kann.

Das ist falsch. Bei allen anderen Banken kann man ein neues TAN-Medium registrieren, wenn man noch Zugriff auf das vorherige hat.

Oftmals auch mehrere TAN-Medien parallel (Postbank, Targobank, Revolut, DKB…). Einige Banken benötigen ein Haupt-Gerät, beim Verlust von diesem wird dann ein Aktvierungs-Brief notwendig (Consors, Comdirect), eine SMS (Postbank) oder ein Gesichts-Scan (Revolut).

Bei der Nummer sollte es analog sein. Zugriff auf alte und neue Nummer, Verifizierung per 2x SMS: alles grün. Zugriff nur auf neue Nummer: Authentifizierung per weiterem Faktor (wie oben vorgeschlagen, z.B. Super-PIN, Karten-PIN, ePA, Selie).

Das geht auch bei Tormorrow. Bei Zugriff auf die SIM, die Grundlage fürs Device Binding ist, kann man die Nummer selbst ändern.

Nicht bei der DKB, gerade erst erlebt. Aber das ist nur ein Beispiel, keine Ahnung, wie das bei anderen Banken ist.

Die DKB ist sicher ein Sonderfall zum aktuellen Zeitpunkt, da hier noch verschiedene technische Plattformen parallel laufen, solange die Umstellung auf die neue App und das neue Onlinebanking im Gang ist. Solange man aktuell den Zugriff auf “Tan2go” oder Chip-TAN hat, sollte man gut gerüstet sein.

Ja, das sind alles gute Infos. Soweit ich weiß, ist bei Comdirect & Co die TAN-App separat und basiert nicht auf einer SIM als „Besitz-Element“. Postbank klappt nicht ohne Zugriff auf die SIM, und Revoluts Methoden unterliegen nicht der deutschen Aufsicht. Fotos des Persos statt Video-Ident zur Kontoeröffnung ist hier nicht zulässig.

Ich stimme zu, dass man eine Re-Identifizierung besser gestalten kann als das bei Tomorrow aktuell der Fall ist. Der Komfort-Gewinn der „versteckten“, in der Banking-App selbst im Hintergrund ablaufenden Autorisierung, bei der man TANs eigentlich nicht mehr zu Gesicht bekommt, braucht eine zuverlässige Gerätebindung.

Ob eine „Super-PIN“ hier taugt, kann ich nicht beurteilen, denkbar wäre es. eID wäre sicher zumindest für einen Teil der Kundschaft sehr gut und sollte meines Erachtens als Option angeboten werden.