In Teil 1 hatte ich ja bereits das Versagen der Banken im Hinblick auf ein einheitliches, kundenfreundliches und sicheres Online-Banking angesprochen. Es gibt keine einheitlichen TAN-Generatoren für das Online-Banking, die man über alle Banken verwenden könnte. Billige Lösung: Man kann die Apps der Banken für Online-Banking verwenden. Bei der Ing habe ich da meine besonderen “Erfahrungen” gemacht, die ich in Teil 2 mal hier im Blog einstelle.
Kurzer Rückmeldung auf Teil 1: Dort hatte ich ja thematisiert, dass die in Deutschland ansässigen Banken es nicht geschafft haben, einen einheitlichen TAN-Generator zu spezifizieren, der für alle Institute die Autorisierung beim Online-Banking ermöglicht. Jede Bank stoppelt da mit was eigenem rum – und mit dem Wechsel der Debit-Karten bis Ende 2023 wurden die alten PushTAN-Generatoren, die noch mit Flicker-Codes arbeiteten, funktionslos.
Wer keinen ChipTAN QR- oder PhotoTAN-Leser oder gar einen Hybrid-Leser kaufen kann oder will (die sind bei Firmen zur Buchung am Desktop imho essentiell), kann auf die Banking-Apps der Geldinstitute ausweichen. Aber auch da ist nicht alles Gold, was glänzt.
Es wollte einer Banking to go machen
Es gibt ja Kaffee to go und Essen to go, habe ich mir sagen lassen. Das “to go” steht da wohl für “kannst mitnehmen” und “kannst Du ggf. auch vergessen” – irgendwie etwas in Richtung “Wegwerfmentalität” – jedenfalls nix nachhaltiges oder wertiges – jedenfalls für meinen Geschmack.
Ging mit gerade beim Schreiben des Texts durch den Kopf, da es nun um die Banking to go-App der Ing geht. Passt aber zur beknackten Werbung der Ing für ihre App (siehe obigen Screenshot).
Die Ing stellte um
Es war im Frühjahr 2023, als Kunden der Ing-Bank darüber informiert wurden, dass die iTAN-Listen auf Papier abgeschafft und durch ein anderes Autorisierungsverfahren für die Transaktionen ersetzt würden.
Schnell war klar: Die Ing benötigt einen eigenen photoTAN-Generator – den DIGIPASS DP772 – zum Preis von 32 Euro, zum Online-Banking. Der TAN-Generator kann zwar für bis zu acht Konten für Transaktionsfreigaben genutzt werden. Der Ing photoTAN-Generator lässt sich natürlich nicht für Konten anderer Banken verwenden – und photoTAN-Generatoren anderer Banken scheinen nicht zu funktionieren – hatte ich in Teil 1 bereits erwähnt.
Von der Ing wurde aber die oben erwähnte Banking to go-App für das Online-Banking propagiert. Auf die Schnelle vor die Wahl gestellt, nochmals einen photoTAN-Generator zu kaufen oder mal die App testweise zu nutzen, habe ich mich für letzteres entschieden.
War fix erledigt: Die Android-App aus dem Google Play-Store heruntergeladen und auf meinem Moto G5 installiert. Danach folgte die Einrichtung – erinnerungsmäßig musste ich die App über eine TAN der damals noch vorliegenden TAN-Liste freischalten (oder es gab einen Brief der Ing mit einem Freischaltcode).
Das klappte zwar, aber erinnerungsmäßig rumpelte es – ich brauchte zwei oder drei Anläufe, bis die App zum Online-Banking benutzt werden konnte. Die Erfahrung musste ich später erneut machen, als ich die App auf anderen Geräten installierte. Beim Einrichten läuft man irgendwann auf einen Punkt, wo die Eingaben (z.B. PIN) nicht möglich waren und eine Bestätigung nicht abgeschlossen werden konnte. App zurücksetzen und die Einrichtung neu starten. Irgendwann klappt es.
Ähem, dein Gerät ist plötzlich zu alt
Die Einrichtung hatte geklappt und ich war wieder Online-Banking-fähig bei der Ing – aber erinnerungsmäßig nur für ca. 3 – 4 Wochen. Denn im Mai 2023 (wenn ich richtig erinnere) kam dann die Benachrichtigung, dass für das Online-Banking mit “Banking to go” bald eine App-Aktualisierung erforderlich sei.
Diese erforderte aber ein Upgrade der Android-Version, Android 8.0 sei nicht mehr ausreichend. Prima – das Moto G5 hing auf Android 8.0 fest. Als die App dann nach der Vorankündigung bereitstand, habe ich noch ein Upgrade versucht, was aber erwartungsgemäß abgelehnt wurde.
Nun musste ich eine schnelle Entscheidung treffen: Doch photoTAN-Generator kaufen, oder ein Android-Smartphone nutzen, was ein neueres Android besitzt und die App-Aktualisierung ermöglicht. Ich hatte ein Moto G30 mit Android 11 beschafft (inzwischen auf Android 12), welches bei meiner Frau im Einsatz war.
Nur mal im Hinblick auf das “es ist gut, wenn alte Smartphones vom Banking ausgeschlossen werden” einige Gedanken. Das Moto G30, auf dem die Ing Banking to go-App läuft, bekommt seit ewigen Zeiten keine Sicherheitsupdates mehr. Da gibt es sich mit dem Moto G5 imho nicht viel. Dass eine eingestellte Android API-Unterstützung für die Verweigerung des App-Updates war, kann ich auch nicht erkennen. Vielleicht lagen den App-Entwicklern Details vor, die mir unbekannt sind – über die Google Play Services können Schwachstellen ja auch adressiert werden. Persönlich empfinde ich den oben skizzierten Sachverhalt, eine App auf einem Smartphone zuzulassen, dann deren Update binnen Monatsfrist zu kicken und die Leute vom Online-Banking auszuschließen, als strange. Wobei wir wieder beim Fail der Banken sind.
Hakelige Banking-App
Also schnell die App auf dem Gerät installiert und dann die Einrichtung versucht. Dabei war die Autorisierung über das bereits eingerichtete Moto G5 erforderlich. War das erste Mal, dass ich mit der oben erwähnten “Versuchsschleife” konfrontiert wurde. Ich brauchte erinnerungsmäßig drei oder vier Versuche, bis die App auf dem neuen Smartphone für das Ing Online-Banking eingerichtet war.
Der Effekt, den ich fast bei jeder Freigabe erlebe: Die Software behauptet “bestätigen Sie die Aufforderung zur Freigabe in ihrer App”. Aber in der betreffenden App (hier auf dem Moto G5) erschien diese Freigabeaufforderung nicht. Dann hängst Du fest und kommst nicht über diesen Schritt hinaus. Was bleibt, ist die App beenden und die Einrichtung erneut probieren.
Inzwischen habe ich dieses Spielchen mit einem zweiten Moto G13-Android-Smartphone hinter mit – das ist also “Standard” bei der Ing. Beim Online-Banking per App habe ich inzwischen auch festgestellt, dass es hilft, sich bei der App ab- und dann anzumelden, um eine am Desktop wartende Transaktion beim Online-Banking über das Smartphone zu bestätigen.
Kürzlich hing ich dann beim Online-Banking am Desktop “in der Luft”, weil die Banking to go-App am Smartphone die auf dem Desktop angezeigten QR-Codes nicht akzeptierte. Die Kamera zeigte den QR-Code scharf, die App versuchte den zu interpretieren, scheiterte aber wiederholt. Der Versuch, den Ing-Support telefonisch zu erreichen, um nachzufragen, ob es eine Störung gibt, erwies sich als aussichtslos.
Telefonsupport ist faktisch nicht mehr möglich, da die wenigen Leitungen, in zwischenzeitlich geschaltet sind, hoffnungslos überlastet sind. Da werden Wartezeiten von 30 Minuten avisiert und der Telefoncomputer legt auf. In mehreren Versuchsdurchläufen ist mir dann aufgefallen, dass das Smartphone einen bestimmten Abstand vom Monitor benötigt, um den QR-Code auswerten zu können. Das ist mit beim photoTAN/QR-Code-Leser der Sparkasse und mit deren App bisher noch nie passiert.
Über die Pleite, dass die Banking to go-App ggf. etwas anderes zeigt, als die Online-Banking-Seiten der Ing hatte ich ja bereits in Teil 1 berichtet. Muss man halt akzeptieren, denn das ist alles modern. Passt auch zum Fall, den ich im Beitrag Fail von Finanzdienstleister und Ing-Empfehlung Scalable Capital (Robo-Advisor) beschrieben habe. Die Scalable Capital-Lösung Robo-Advisor wurde “heiß von der Ing angepriesen”, und ich wollte das Ganze mal mit ein wenig Spielgeld testen.
War eine Erfahrung der besonderen Art – FinTechs patzen noch mehr als die “etablierten” Banken, wenn es um IT geht – das ist alles zwar modern per App oder in per Dark-Mode designten Webseiten übertüncht – aber funktional “siehst Du die Pferde vor der Apotheke kotzen” – die Leute können es einfach nicht. Inzwischen habe ich den Anbieter samt seinem Robo-Advisor gekickt – das schöne “Investitionsmodell” entpuppte sich als Geldverbrennungsmaschine – es Glück, dass ich nur ein wenig Spielgeld für diesen Test eingesetzt hatte.
Bin ich zu alt und zu doof?
Kann natürlich sein, dass Born langsam zu alt für den Scheiß wird – junge Banking-Kunden sind halt willig, unkritisch und daher beliebt. Und wenn eine App zum Banking winkt, “schmilzt die Jugend hin”. Die These wurde mir in obigem Kontext unfreiwillig bestätigt.
Beim Vereinssport, den ich mir derzeit so vier Mal die Woche gönne – damit es nicht allzu langweilig wird – sprach mich eine ältere Dame, so um die 80 an und fragte, ob ich eine “Empfehlung für ein günstiges Android-Smartphone habe, ihres sei zu alt”. Spontan fragte ich “Kundin bei der Ing”, worauf ich groß angeschaut wurde und die Frage mit einem Nicken bestätigt wurde.
Die Dame war mit der Banking to go-Geschichte in die gleiche Falle gelaufen, die ich einige Tage vorher über ein vorhandenes, neueres Android-Gerät, umgangen hatte. Auch ihr wurde – so ca. 3-4 Wochen nach der zwangsweisen Umstellung von iTAN auf die Banking to go-Lösung mitgeteilt, dass das Android-Gerät für App-Updates zu alt sei.
Wunderbares Timing – so geht modernes Banking – Kunden sind zum Knechten da. Zwei Wochen später wusste ich, das die alten Smartphones mit der Banking to go-App nicht mehr funktionierten (mein Gerät verweigerte den Zugriff, aber ich hatte in der Zwischenzeit zwei passende Android-Geräte für Banking to go eingerichtet, die funktionierten).
Auf meine Nachfrage nach 3 Wochen, ob sich das mit dem Banking und dem neuen Android-Smartphone geklärt habe, bekam ich zur Antwort, dass die Dame den Zugriff auf das Online-Konto verloren habe. Sie müsse sich nun kümmern, wie sie Zugriff auf das Konto bekäme.
Fail auf der ganze Linie
Man kann sich natürlich auf den Standpunkt stellen “passiert nun mal, wo ist das Problem, lässt sich doch irgendwo, irgendwie alles lösen”. Erkenntnis des Tages von meiner Seite: Ein Großteil der Kunden ist schlicht nicht in der Lage zu erkennen, welches Folgen eine “IT-Umstellung der Banken”, die in einem Brief mitgeteilt wird, zu erkennen.
Ich befasse mich nun täglich mit IT-Problemen, erinnere mich aber an die Phase, als meine Sparkasse und die Ing mitteilten, dass die TAN-Autorisierung umgestellt würde. Ich habe stundenlang recherchiert, welche Leser passen könnten und welche Vor- bzw. Nachteile die jeweilige Lösung hat. Bei Banking to go war halt der Charme, dass auch zwei Smartphones eingerichtet werden können, während beim photoTAN-Leser nur ein Gerät zulässig ist. Ist das nicht zur Hand, verloren oder die Batterien sind leer, geht nix.
Dass die Ing die Leute auf die neue TAN-Lösung mittels Banking to go-App zwingt (es sei denn die nutzen den photoTAN-Leser), dann aber nach einem Monat um die Ecke kommt und mitteilt, alte Android-Geräte tun ab dem Stichtag nicht mehr, war ein perfektes Timing. Genau das erwartet man von seiner Bank – mit der linken Hand nicht wissen, was die rechte Hand tut.
Ist natürlich ein Rant auf hohem Niveau geworden – am Ende des Tages habe ich die in Teil 1 und Teil 2 beschriebenen Klippen mit Fachwissen, Geduld und ggf. mehreren Versuchen für mich umschiffen können. Ich kann auch noch nachvollziehen, dass die Banken dem (irrigen) Glauben nachhängen, dass nur ein neues Android-Gerät “sicher” sei. Aber die aktuell angebotenen Lösungen sind doch nur “bis zum nächsten Update” halbwegs gesichert funktionsfähig. Jedes Update bietet die Gefahr, dass da wegen Bugs nichts mehr geht.
Europas Bankenwesen leidet doch darunter, das “Kleinstaaterei” die Bereitstellung eines einheitlichen Zahlungsraum und komfortabler Zahlungsdienstleistungen verhindert (einiges kommt durch die PSD2-Zahlungsrichtlinie & Co., die von der EU erzwungen wurde). An dieser Stelle kann ich nachvollziehen, dass die Leute auf PayPal, Apple Pay und Google Pay springen und die “Fails der Banken” schlicht umgehen.
Persönlich bin ich eigentlich froh, dass ich bei meiner Hausbank noch einen persönlichen Ansprechpartner habe, der telefonisch erreichbar ist und sich bei gemeldeten Problemen oder konkreten Fragen “kümmert”. Die örtliche Filiale sieht mich dagegen nur, wenn ich am Drucker Kontoauszüge per Debit-Karte ziehe. Der Rest läuft per Online-Banking – nach der Umstellung auf den photoTAN/QR-Code-Leser sogar ganz gut.
Was nervt, sind halt viele Eigenwilligkeiten, die die “Software-Klempner” der Sparkassen in ihre Prozesse einpflegen. Da stellst Du dir schon mal die Frage, welches Zeug die rauchen. Als ich beispielsweise die Überweisung per EPC-QR-Code für das neue Spendenkonto meines Blogs getestet habe, kam ich aus dem Staunen nicht heraus.
Ich konnte mit der Sparkassen-App sehr komfortabel den QR-Code von der Webseite scannen und bekam in der App auch alle Zahlungsdaten angezeigt. Dann musste ich die Überweisung des einen Euro per photoTAN/QR-Code-Generator autorisieren. Lief dann aber darauf hinaus, dass ich alle Angaben wie IBAN, Betrag und TAN erneut manuell eintippen durfte.
Aber vielleicht bin ich bald reif für “betreutes Altern” und überlasse anderen “den Mist aufzuwischen”.
Artikelreihe:
Der Fail der Banken beim Online-Banking – Teil 1
Fail der Ing beim Online-Banking – Teil 2
Ähnliche Artikel
Postbank-Störungen: Neue Postbank-App – “The Master of Desaster” (2. Jan. 2023)
IT-Umzug der Postbank ab 31.3.2023
Postbank geht am 30. Juni 2023 bis zum 3. Juli wieder in den Wartungsmodus
Postbank Seal One Gerät – Treiber deinstallieren unter Windows nicht möglich
Datenleck bei Postbank und Deutscher Bank; ING und Comdirect
MOVEit-Datenleck: Neben Postbank/Deutscher Bank auch ING und Comdirect betroffen
BaFin: Rüge an Deutsche Bank wegen Postbank- Chaos; DDoS-Angriff auf BaFin-Webseite
Gericht stuft Push-TAN-Verfahren der Banken als unsicher ein
Postbank: App und/oder SealOne statt chipTAN – Teil 1
Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2
Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens – Teil 3
Online-Banking und Apps: Was die Kunden wünschen – Teil 4
Online-Banking und die Sicherheit von Banking-Apps – Teil 5
Online-Banking und Absicherung per chipTAN USB – Teil 6