Hallo,
das folgende Feedback habe ich auf der Web-SEite der ING-DiBa an die Bank gesendet. (Ich musste dieses dort allerdings in 6 Teile aufteilen.)
Sehr geehrte Damen und Herren,
ich war einigen Jahren zufriedener Kunde Ihres Hauses und Nutzer verschiedener Konto-Produkte.
Seit der aktuellen Änderungen im Rahmen Ihrer PSD2-Umstellung ist die Zufriedenheit in eine deutliche Unzufriedenheit umgeschlagen. Dies hat verschiedene Gründe, die ich Ihnen im Folgenden darlegen möchte.
Erstens die Einschränkungen bei FinTS: Warum um alles in der Welt stellen Sie den Betrieb der sichersten aller Banking-Schnittstellen ein? Bisher konnte ich die Kontoführung und Auftragserteilung mit einer Banking-Software (Buhl/Wiso MeinGeld) bequem und ohne Zeitdruck offline durchführen. Die tagtäglich auftretenden Gefahren des Web-Banking durch unerkennbare JavaScript-Attacken oder gar durch versehentlichen Aufruf von gefälschten Banking-Seiten habe ich so erfolgreich vermeiden können. Sie zwingen mich jetzt, für jede Überweisung einen potentiell unsicheren Web-Browser zu verwenden, der beinahe täglich aktualisiert werden muss, um die regelmäßig auftretenenden Gefahren möglichst abzublocken. Ganz davon abgesehen, dass unterschiedliche Web-Browser dazu tendieren, die gleiche Seite unterschiedlich darzustellen, und es bei jedem Browser von heute auf morgen vorkommen kann, dass Features nicht mehr unterstützt werden, die von den Banking-Seiten vorausgesetzt werden, kann in einem Browser grundsätzlich nicht ausgeschlossen werden, dass fehlerhafte oder gar böswillige JavaScript- oder andere Erweiterungen ihr Unwesen treiben und sich in eine laufende Banking-Sitzung einklinken. Zugegeben, die Gefahr einer dadurch ungewollten Transaktion aufzusitzen ist durch die notwendige und auch sinnvolle Absicherung über eine TAN relativ gering, aber der Abfluss von Information aus einer Banking-Sitzung ist für sich alleine genommen auch schon ein Szenario, das man als Kunde nicht wirlich erleben möchte. Aber gerade dieser Gefahr setzen Sie mich als Kunden aus, wenn Sie mir die weitere Verwendung von FinTS für Transaktionen verweigern.
Zweitens die Veränderung beim Login auf der Web-Seite: Aus den bisherigen drei Faktoren beim Login (Zugangsnummer, PIN und DiBa-Key) wurden durch die neue Anmeldung jetzt fünf Faktoren: Zugangsnummer, PIN und DiBa-Key sind geblieben, zusätzlich muss ich jetzt zweimal(!) eine PIN in der ING-Banking-App eintippen. Davon abgesehen, benötige ich jetzt auch noch ein Smartphone, auf dem die ING-Banking-App laufen muss, dieses ist dann eigentlich schon der sechste Faktor. Und das nur, um mal schnell den Kontostand zu prüfen! (Aber schnell muss man ja sowieso sein, weil mehr als 5 Minuten darf man sich nicht auf einer Seite aufhalten, dann wird man "zur Sicherheit" auch schon mal gerne hinauskomplimentiert. Das, was man eigentlich erledigen wollte kann man ja dann gerne nochmal von vorne beginnen...)
Drittens die Unmöglichkeit, in Ruhe eine Feedback zu verfassen: Die Seite "Feedback" im Service-Bereich der Banking-Seite erlaubt die Eingabe von gerade mal 1024 Zeichen. Davon abgesehen, dass es für manche Leute seehr schwierig ist, sich unter Verwendung so weniger Zeichen verständlich auszudrücken, besteht außerdem noch das Problem, dass man sich innerhalb von 5 Minuten vollständig darüber klar werden muss, was man überhaupt schreiben will. Braucht man länger, weil man sich bei der Formulierung des Feedback nicht dem üblichen Kurzformat des Internet beugen will, dann wird man gnadenlos aus der laufenden Sitzung herausbefördert, und der gerade begonnene Text des Feedbacks wird unwiederruflich verworfen. Ein solches Verhalten sehe ich mindestens als rüpelhaft an, man könnte allerdings auch der Meinung sein, dass Sie als Bank überhaupt nicht an relevantem Feedback interessiert sind.
Und Viertens die unverholene Überfrachtung mit Werbung: Schon nach dem Login muss man den ersten Werbe-Block wegklicken, damit überhaupt mal mit der Arbeit beginnen kann. Dann wird auf beinahe jeder Seite, ein Werbe-Block eingeblendet, und zwar genau dort, wo man eigentlich die wichtige Informatiion zu seinem Kontostand erwartet. Setzt man dieses Verhalten in den Kontext der beabsichtigten und bereits teilweise durchgesetzten Abkehr von FinTS, dann erkennt man ganz klar den Grund für diese Entscheidung: Mit FinTS kann man dem Kunden keine Werbung unterschieben. Meiner Meinung nach ist das das wesentliche Argument für diese unselige Entscheidung, FinTS zukünftig nicht mehr zu unterstützen.
Bitte zeigen Sie mir und den anderen betroffenen Kunden, dass meine Meinung falsch ist! Bekennen Sie sich dazu, FinTS wieder vollständig zu unterstützen und dem mündigen Kunden die Entscheidung zu überlassen, ob er sich den Risiken des Web-Banking aussetzen möchte oder ob er sich lieber der Sicherheit einer bewährten und bequemen Banking-Schnittstelle anvertrauen möchte.
Zusätzlich möchte ich gleich einem Argument widersprechen, das anscheinend gerne ins Feld geführt wird: Die PSD2 fordernt nicht, dass der Zugang nur noch über Drittanbieter-Schnittstllen laufen darf. Die PSD2 fordert, dass im Falle der Nutzung des Kontos durch einen Dritten eine spezielle Schnittstelle verwendet werden muss, und dass der Dritte sich zur Nutzung dieser Schnittstelle Zertifizieren lassen muss. Bei Verwendung einer Banking-Software mit FinTS ist aber gerade kein Dritter beteiligt, sondern nur ich als Kunde und die Bank als Zweiter Akteur. Dieses Szenario ist durch die PSD2 weder ausgeschlossen noch speziell reguliert, daher ist eben gerade kein Argument für die Einstellung von FinTS.
Mit freundlichen Grüßen
Franz-Josef Kaiser