LNP312 Wo sehen Sie mich in fünf Jahren?

Die Live-on-stage Sendung von der "Das ist Netzpolitik!" Konferenz in Berlin

Kaum vom Camp runter steigen wir wieder auf die Bühne und machren unsere Sendung heute auf der "Das ist Netzpolitik!" Konferenz von netzpolitik.org im Roten Salon in der Volksbühne in Berlin. Wir sprechen über dsa aktuelle Drama rund um die Umsetzung der sog. PSD2-Richtlinie, die uns allen die Verbindung zur Bank abschneidet, über das juristische Scheitern des deutschen Leistungsschutzrechts, Massenhacks auf iOS und Datenleaks bei Facebook, wie die DSGVO der AfD das Fürchten lehrt und vieles anderes mehr.

Dauer: 1:07:22

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Bitcoin Icon Liberapay Icon Amazon Wishlist Icon

Prolog

Payment Services Directive 2

Deutsches LSR unwirksam

iOS Massenhack

AFD-Spitzelportal in MV verboten

In Hamburg nicht den Hafen fotografieren!

Extinction Rebellion

Datenleck Facebook

Linus Vortrag zu Demokratie

Termine

Klimastreik

Datenspuren

Hackumenta

47 Gedanken zu „LNP312 Wo sehen Sie mich in fünf Jahren?

  1. Zur PSD2:
    (Disclaimer, ich mache das nicht beruflich, verfolge nur den ganzen Fintech-Kram interessiert.)

    Dass jetzt auch für Kontoinformationen TANs notwendig sind kommt auch aus der PSD2, das ist die Vorschrift der starken Kundenauthentifizierung (SCA). Es gibt übrigens auch Ausnahmen davon, innerhalb von 90 Tagen nach einer Authentifizierung darf die Bank bei Abfrage des Kontostands oder Umsätzen der letzten 90 Tages davon absenden eine neue TAN zu verlangen. Darf.

    Ebenfalls aus der PSD2 kommt auch das Ende von iTAN und einigen anderen Verfahren: die TAN muss jetzt nur für eine bestimmte Transaktion gültig sein um MITM-Angriffen, die die Transaktion verändern, zu begegnen. smsTAN ist afaik aber kein Problem, das ist jeweils eine Entscheidung der Banken das einzustellen.

    Welche Banken haben denn noch HBCI eingestellt? Ich weiß nur von der ING, und dort überdenkt man die Entscheidung wohl gerade noch mal. (Betrifft auch nur Girokonten dort, für Tagesgeld und Depot gilt die PSD2 nämlich nicht, nur für Zahlungskonten.)

    Im gleichen Kontext kommt übrigens dann auch SCA für Zahlungstransaktionen die vom Kunden ausgelöst werden, also z.B. Kreditkartentransaktionen, weil die Händler haben das mit der Deadline verkackt und deswegen haben die Bankenaufsichten die dafür nochmal verschoben. (https://www.bargeldlosblog.de/bafin-zieht-die-psd2-notbremse/) Aber bei Kreditkarten wird es dann bspw. grundsätzlich (es gibt wieder Ausnahmen) 3DSecure-Verifizierung geben, allerdings in der neuen Version 2 bei der man nicht mehr rätseln muss, ob man gerade gephisht wird…

    Verordnung zu den Details: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32018R0389

    Das Desaster der Umsetzung bei vielen Banken ist dann noch so eine andere Sache… Man muss sich dazu nur mal das Blog von Olaf Willuhn angucken, dem Entwickler der freien Bankingsoftware Hibiscus, da haben diverse Banken einiges verkackt: https://www.willuhn.de/blog/ So was wie eine Sandbox wäre ja schon sinnvoll, damit Entwickler nicht am lebenden Konto debuggen müssen…

    PSD2 gilt übrigens im ganzen EWR. ;)

    Zu Android- und iPhone-Exploitpreisen:

    Ich finde das immer etwas unglücklich da alle Android-Geräte über einen Kamm zu scheren. Da gibt es doch eine große Spanne von Google Pixel und Android One-Geräten (und weiteren) die die monatlichen Patches bekommen, über Geräte bei denen sich der Hersteller alles halbe bis ganze Jahr dazu herablässt Patches zu liefern bis hin zur Masse der billigen Geräte, die selten einen Patch zu Gesicht bekommen.

    Für die „Was ist sicherer”-Frage und der Preise der Exploits ist es doch sinnvoller die gut versorgten Android-Geräte und iPhones zu vergleichen. (Google Pixels und Android One-Geräte werden monatlich versorgt, „Android Enterprise Recommended“-Geräte min. alle 90 Tage) Das sind sicherlich auch die Geräte, an denen sich die Exploit-Preise messen. Bei den Geräten ohne Patches (die leider der Großteil sind) ist Hopfen und Malz natürlich verloren, da reichen Googles Versuche diverses in die Play Services zu tun um es selber Patchen zu können sicher nicht. Für die muss man dann aber auch keine Zero Days mehr kaufen.

    Als Android-Nutzer (mit Patches) finde ich das gar nicht so schlecht, dass die Exploits jetzt teurer sind. :p

    • Hallo,

      Die iTAN muss nicht durch die PSD2 abgeschafft werden. In der PSD2 bzw. in der EBA Vorschrift steht zwar, dass die Bank auch die Kontrolle über den Übertragungsweg benötigt, aber nicht, dass die iTAN dieses nicht erfüllt. Einige Berater haben dieses genutzt den Banken die iTAN als Unsicher zu verkaufen und haben auf einen Artikel (dessen URL ich nicht mehr kenne) des BKAs verwiesen, wo auf die Sicherheitsprobleme der iTAN hingewiesen wird.

      • Nein, die iTAN ist nicht konform, weil sie nicht dynamisch verknüpft ist: Zahlungsempfänger und Betrag müssen angezeigt werden zusammen mit der TAN, und die TAN darf auch nur für diese Transaktion mit diesem Betrag und diesem Empfänger funktionieren. (Artikel 5 https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32018R0389#d1e482-23-1)

        Der Hintergrund der Vorschrift ist, dass kein MITM, also bspw. Malware auf dem Nutzergerät, statt 42 € an Kai-Uwe wie angezeigt 2323 € an Phishing-im-Internet.de Ltd. beauftragen kann und der*die Kund*in das nicht merkt.

  2. Was euren Rant über die PSD2 angeht: Zumindest beim Abruf hat die Bank an sich die Option den zweiten Faktor nur alle 90 Tage zu verlangen. Zumindest für den regelmäßigen Abruf durch die Anwendung ist das also, abgesehen vom initialen Ärgernis, kein großes Hindernis. Das Problem das hier kundenfreundliche Schnittstellen vor dem Altar der Fintechs geopfert werden bleibt allerdings leider.

        • Ich habe es auch gehört, so etwa zwischen Minute 23 und 25. Wobei ich nicht nochmal ganz genau nachgehört habe, ob ein Auf-die-Goldwaage-legen des gesprochenen Wortes auch so ausgelegt werden könnte, dass der Rant ausschließlich der Implementierung galt, aber die Verteidigung dürfte Linus schwerfallen.

      • joa der haken an der psd2 verappelung ist die implementierung
        ein beispiel für vollpfosten:
        wenn ich an den haken in der felswand vor mir an dem ich bereits mit einem seil hänge
        ein zweites seil mache an dem ich dann noch mal dran hänge, dann wird der haken nicht sicherer.
        der haken an dem haken ist das er physisch der selbe zweite faktor ist und damit logisch angreifbar und wer mir jetzt mit sandboxing kommt darf sich selbige setzen und weitertrielen sonst box ich ihn eine.

  3. Frage an Linus:Wieso sollte eine App, installiert auf einem Smartphone, sicherer sein, als der Zugriff per Webbrowser von einem gepatchten PC? Inklusive der nächsten Frage: Wie mache ich denn den 2. Faktor auf dem Smartphone? Habe ich dann ein 2. Smartphone dabei nur dafür? (Klar, Chip-TAN ist eine Option, aber lassen wir das mal weg)

    • Ich verstehe Linus’ Aussage bezüglich Online-Banking via Web-Browser auch nicht ganz. Gibt es außer “ist bäh – macht man nicht” noch andere Gründe, die dagegen sprechen?

    • Webbrowser sind per se verwindbarer durch die ganzen Plugins, Script-Sprachen wie Javascript und nicht zuletzt Angriffe wir Phishing.

      Das Kernproblem ist aber, dass man nicht für jede verfluchte Bank einen anderen Tab auf haben will.

      • OK, das Argument wenn man mehrere Konten bei verschiedenen Banken bedienen muss/will kann ich einsehen. Ist eben umständlich.

        Aber der erhöhte Sicherheitsaspekt erschließt sich mir nicht. Alle Smartphones haben sich unabhängig vom OS als anfällig bis unsicher erwiesen. Den 2. Faktor auf demselben Gerät betreiben auf dem man auch das Banking macht halte ich ebenfalls für problematisch. Da nehme ich doch lieber meine gute Methode eine eigene VM mit minimal Linux und Open Source Webbrowser für mein Online Banking. Klar, ist umständlich, nicht einfach mobil nutzbar, und auch nur bei 1-2 Konten sinnvoll, aber für mich derzeit die beste Lösung.

        • Bei den Apps geht es nicht nur um Smartphones, sondern um beliebige Betriebssysteme.

          Der erhöhte Sicherheitsfaktor kommt aber schon dadurch zum Tragen, dass Du mit dem Web ein zusätzliches “OS” weglässt. Wenn irgendwas wirklich löchrig ist, dann das Web, was um überhaupt zu funktionieren, Webseiten viel Raum anbieten muss.

          Apps, die zielgerichtet nur eine API nutzen und sonst keine Dienste nach außen anbieten, sind da klar im Vorteil. Das heißt nicht, dass die keine Fehler haben, aber die Angriffsfläche ist kleiner und vor allem deutlich umhomogener.

          Aber ich könnte auch noch viele andere Vorteile aufzählen: volle Integration im OS macht die Bedienung einfacher und zugänglicher (think Accessibility), man kann Dinge wie Überweisungen, Daueraufträge etc. Bank-übergreifend machen, man kriegt seine Kontoauszüge gleich als PDF durchgereicht und kann sie nicht vergessen, sie herunterzuladen. Und. Und. Und.

          • Meiner Meinung nach sollte man Online-Banking im Browser nicht so pauschal diskreditieren. Das Argument, keine fünf Tabs für fünf Banken aufmachen zu wollen, ist sicher legitim, für die Meisten wohl jedoch kein Alltags-Szenario.

            Ich vertraue meinem Firefox und den paar Extensions, sonst würde ich damit nicht jeden Tag im WWW unterwegs sein. Das genügt, um mich beim Browser-Banking einigermaßen wohl zu fühlen. Jedenfalls wohler als mit irgendwelchen ranzigen Java-Anwendungen (was man übrigens auch wieder noch als ein weiteres “OS” sehen kann) oder Software, die in diesen Black Boxes namens Smartphone laufen.

            Und mit `userContent.css` hab ich sogar noch die Möglichkeit, mir das Frontend ein bißchen anzupassen, ohne gleich die ganze Anwendung neu bauen zu müssen.

            • Du magst Deinen Browser vertrauen, die Frage ist aber ob Du dem Dienst der Bank vertraust, dass er sich gegen alle potentiellen Fallen und Sicherheitslücken abgesichert hat. Hier mögen mehr TAN-Abfragen ggf. hilfreich sein, aber gegen Programmierfehler hilft das alles nicht und da ist das Web nun mal ein schlimmer Ort inkl. Phishing und anderen Methoden.

              Davon abgesehen sind Apps aber aus vielen anderen Gründen im Vorteil und nicht ohne Grund erleben wir ja auf Smartphones eine Proliferation der dedizierten Clients und natürlich ist es sinnvoll, gleiche Dinge (Bankkonto verwalten) auch mit dem selben Werkzeug tun zu können.

              • > die Frage ist aber ob Du dem Dienst der Bank vertraust
                Das ist aber unabhängig davon, ob ich deren Webapplikation benutze oder deren API-Dienst.

                > da ist das Web nun mal ein schlimmer Ort inkl. Phishing und anderen Methoden.
                Richtig, aber die Alternative “benutzt mehr Apps” ist noch schlimmer (vgl. z.B. [1]). Die ‘Web vs. Native Apps’-Debatte ist schon ausführlichst geführt worden, und darum gehts mir hier auch gar nicht.

                Ich finde nach wie vor, dass eure “Banking im Webbrowser ist böse”-These nicht fundiert argumentiert wurde. Dass Linus fünf Konten bei fünf Banken hat, kann ja wohl nicht das Kernargument sein.

                Die Alternative “nimm lieber Third Party Apps” ist imho ausschließlich dann eine Option, wenn die Anwendung FOSS ist und es vernünftige APIs für mich als Endnutzer gibt. Offenbar ist das ja jetzt nicht mehr der Fall, also bleibt mir nur der Webbrowser, um ohne MitM mit meiner Bank reden zu können.

                [1]: https://www.usenix.org/system/files/sec19-reardon.pdf

          • Lieber Tim ich gestehe bei deiner Behauptung bezüglich Accessibility musste ich jetzt erst mal tief durchatmen.
            Webseiten ließen sich schon Barrierefrei bauen, da gab es das iPhone noch nicht. Das sah dann nicht immer schön aus, war aber mit der entsprechenden Hilfssoftware bedienbar. In den letzten Jahren wurden erhebliche Anstrengungen vom W3C unternommen die HTML Spezifikation derart zu erweitern, dass jede noch so fancy Website sich auch zugänglich programmieren lässt.
            Das heißt nicht, dass das alle tun.
            Genauso wenig implementieren aber App Entwickler ihre Apps immer zugänglich. Auch nicht unter iOS. Ich empfehle dir hier mal den blindflug durch alle deine installierten Apps mit VoiceOver. Was ich aus der Blinden- / und Sehebehinderten/Comunity so mit bekomme ist, dass eben nicht alles mit VoiceOver zugänglich wird. Ebenso, nur vermutlich noch einen ticken schlimmer verhält sich das unter Android, Windows und OSX. Von Linux mag ich da gar nicht reden.
            Es spricht nichts gegen eine offene API und über eine Verpflichtung der Banken zu einer solchen hätte ich mich auch gefreut.
            Im Punkto Zugänglichkeit wirst du aber mehrfachimplementierungen benötigen um den gleichen Effekt mit Apps zu erziehlen, wie mit einer Webapplikation. Die Webapplikation gibt dem Anwender die Möglichkeit unabhängig von seiner Plattform eine mangelhafte Zugänglichkeit bei seiner Bank zu beklagen. Nehmen wir mal an die iOS App meiner Bank lässt sich wunderbar mit Zugangshilfen bedienen, die Android App aber nicht. Dann wird die Bank sichauf dne Standpunkt stellen – kauf dir doch ein iPhone wir haben eine zugängliche App. Ichhalte es für Erstrebenswert, dass mindestens die Webapplikation zugänglich ist.
            Vor allem an Linus, zum Aspekt der Sicherheit:
            Der Browser ist gefährlich weil er durch Plugins erweitert werden kann und Webseiten Codes ausführen können? Ich kann auf meinem Betriebssystem Anwendungen und auch Systemerweiterungen (nennen wir das Plugins) installieren und die können alle Code ausführen.
            Natürlich sind bestimmte Systeme komplett abhängig von der Plattform des Herstellers (Pfui). Beidiesen Systemen habe ich natürlich den Vorteil, dass meine Software immer aus einer als vertrauenswürdig angesehenen Quelle kommt, zum Preis meiner Freiheit auch etwas anderes für Vertrauenswürdig zu halten. Deshalb gibt es ja Laute die bei Ihrem Smartphone versuchen aus diesem Käfig aus zu brechen. In dem Moment wo ich das geeschafft habe Verhällt sich mein System wie ein Windows oder im Falle einer Lineage Installation mit F-Droid bei Android wie eine Linux Distribution.
            Ich muss als Anwender schon wissen welcher Anwendung / welchen Quellen ich vertraue und was ich installiere. Das ist meine Verantwortung. Meine Bank kann folglich nur Haftung übernehmen für Anwendungen die von der Bank gebaut oder kontrolliert worden sind.
            Eine MITM ist bei einer API die über das Netzwerk angesprochen werden muss genauso machbar wie bei einer Webapplikation, Dann baust du halt einen API Proxy. Dann kann man immer noch sagen, wir haben ja aber eine Verschlüsselte und durch ein validierbares Zertifikat beglaubigte Verbindung. Und wer garantiert der Bank, dass die App eines nicht beaufsichtigten dritten nicht mit Schadcode gebaut wurde? Ob mein Browser oder meine Anwendung nur Zertifikaten aus dem System oder einem eigenen speicher vertraut macht da doch wenig unterschied.
            Die eigentliche Absicherung für den Fall der Fälle bleibt der verdammte zweite Faktor. Und der bitte über ein separates Gerät.
            Und hier muss ich Linus zustimmen SMS-TAN hat ja wenigstens funktioniert und ist auch leicht zugänglich.
            Wir müssen immer irgendwo einen Abstrich machen, aber wenn Sicherheit zu lassten der Zugänglichkeit geht, dann müssen wir auch sorgsam abwägen wie viel mehr an Sicherheit wir gewinnen.
            Kenne da eine sparkasse, die hatte Jahrelang in ihrem Onlinebanking die Eingabe der TAN nur über Mausklicks auf zufällig angeordnete Bilder mit Zahlen drin ermöglicht. Ja OK jetzt konnte da keine Schadsoftware mehr durch Erzeugen von Tastatureingaben den Vorgang ohne wissen des Benutzers mit geänderten Daten abschließen. Aber meine blinde Frau konnte auch Jahrelang nur mit einer Drittanbieter Anwendung überweisen, die genau dieses “Sicherheitsfeature” nicht hat.
            Und zum Schluss: Das Problem Sicherheit beim Online-Banking bleibt auch ein psychologisches. Wenn Zertifikatswarnungen auf einmal bei der Bankingseite kommen und die gehackten Personen das ding dennoch akzeptieren, wenn ich nicht lese, was mir mein chipTAN gerät anzeigt weil das ja sicher ist, und die Überweisungsdaten da auch nicht alternativ manuell eingeben will, wenn ich meine SMS n oder TAN-App nachricht nicht ordentlich lese. Dann bleibt das alles umsonst. Die SMS-TAN bleibt übrigens nach wie vor zulässig, gibt nur wie bei den 90 Tagen für die reine Anmeldung immer Banken die übers ziel hinausschießen (wie meine).
            Sicherheit muss, das hattest du Linus ja schon angedeutet eben auch immer einigermaßen bequem sein, sonst fangen Anwender an sich unsicher zu verhalten und ein entnervter Benutzer der nur noch auf “ok” drückt ist dann sehr gefährlich.
            Sorry hab auch nicht die Zeit mich kürzer zu fassen, und ich weiß – die Typos :-)

  4. zur PSD2-TAN-Geschichte:

    Wenn ich meinen Kontostand mit der Bank-App auf meinem Smartphone prüfen will, brauche ich eine TAN, die jetzt mit einer anderen Bank-App auf dem gleichen Smartphone generiert wird. Das ist für mich kein zweiter Faktor.

  5. Fridays for Future-Demo: Vielleicht gibt es Menschen unter Euch, die Lust haben, auf der Demo Musik zu machen? Wenn Du singst oder ein Instrument spielst, sei herzlich eingeladen! Wir proben am Dienstag um 19.30 in einer Schulaula im P-Berg. Noten gibt es hier:
    https://www.mydrive.ch/login
    Benutzername: Noten@Jucinna
    Passwort: Freitag

    Bitte anmelden, genaue Angaben zum Probenort folgen dann: 20.09.2019@posteo.de

  6. Was “Websites müssen sterben, damit Onlinebanking leben kann” angeht:
    Ich kann Linus Unmut über Onlinebankingwebsites nachvollziehen. Allerdings spricht ein wichtiger Faktor für Websites zumindest als Fallback: Sie sind plattformübergreifend verwendbar.
    Dass dies nicht selbstverständlich ist, zeigt ein Blick auf die aktuelle Landschaft der Bankingapps:
    Fast alle Banken pushen ihre proprietären mobile Apps. Die sind alle proprietär, nutzen keine offenen APIs und sind alle nur entweder mit zusätzlichem Vertragspartner Apple (AppStore) oder Google (Play Store + Play Services) nutzbar. Auf dem Desktop ist dann womöglich StarMoney noch offiziell von der Bank abgesegnet, mit MoneyMoney oder dem freien Hibiscus fliegt man schon eher unter dem Radar.

    Damit will ich aufzeigen: Apps gerne, aber nur mit offenen APIs um auch freie Software oder kleine, alternative Plattformen nutzen zu können, auch ohne diese explizit von der jeweiligen Bank abgesegnet sind. Alles andere zementiert das Duopol im mobile Sektor.

    Ähnliches gilt auch für die angebotenen 2. Faktoren: Ich sehe schwarz, wenn Kreditkartenzahlungen nur noch mit 2FA nutzbar sind: Für HBCI nutze ich derzeit einen Hardware-TANgenerator mit Flicker-Code. Die funktionieren aber nicht mit Kreditkarten.
    Eine häufig genannte Problematik sind Menschen ohne Smartphone. Wir sollten aber auch die Menschen nicht vergessen, die zwar Smartphones nutzen, sich aber der Kontrolle der proprietären Apple- & Google-Ökosysteme entziehen wollen.

      • Ja klar ist das der Sinn einer API. (dann aber bitte auch einer standardisierten statt verschiedener APIs je Bank)
        Ich will nur darauf hinweisen, auf dem Weg in die ideale Welt erst die offenen APIs zu schaffen, bevor aus lauter Nerd Pride die Websites geschleift werden.

    • Hi und *meld*,

      ich habe kein Smartphone (*keep it steinzeit*) und stehe bei meinem einen Konto genau vor dem Problem. In der Hoffnung dass das Logbuch drüber berichtet (Danke!!! Ihr habt mich nicht im Stich gelassen) kam ich heute auf die Seite.

      Ich versuche nun zu verstehen, welche Optionen ich auf einem Desktop-PC noch habe. Habe versucht in einem Smartphone-Emulator die Apps herunterzuladen (brauche dafür leider Zugang zu einem App-Store), warum ich gerade noch zögere diesen Weg zu gehen.

      Unter Linux scheint nur Hibiscus verfügbar (auf der Webpage werben sie damit mit dem neuesten Update PSD2 kompatible zu sein). Das scheint genau die Lösung, die ich gesucht hab, wenn das denn für alle Banken funktioniert. Gibt es da Erfahrungen bereits?

      Für jetzt erstmal nur ein Danke fürs Thema Aufgreifen und tolle Community-Sein, gleich Lösungen zu posten (:

      • Du wirst dir separate Hardware-TAN Generatoren zulegen müssen.

        Ich kann bestätigen, dass ChipTAN (das mit den flackernden Codes) mit Hibiscus funktioniert. Der passende TAN-Generator kostet ca. 15-20€.

        Manche Banken setzen stattdessen PhotoTAN ein, dafür sind dedizierte Lesegeräte etwas teurer.

        Zu guter letzt gibt es noch die Möglichkeit, HBCI mit externem USB-Chipkartenlesegerät zu verwenden. Etwas komfortabler und sicherer als ChipTAN, aber auch die teuerste Lösung. Vorher schlau machen, welche Lesegeräte mit Linux funktionieren.

        • hm – Mist – das ist wiederrum ein Problem. Es handelt sich um Vereinskonten, die komplett Online geführt werden und zu denen gar keine EC-Karten geplant sind (zusätzliche EC-Karten erzeugen wiederrum Laufkosten neben den Anschaffungskosten für den TAN-Generator).

          Ich darf morgen mit dem EBL-Support der Bank telefonieren. Ich bin gespannt, welchen Vorschlag die haben -.-

          Hat jemand Erfahrung mit SmartPhone-Emulatoren und Banking.Apps?

          • Das mit dem virtualisieren wird eher nicht gehen, das überlebt wahrscheinlich die „Integritäts“-Checks der TAN-Apps nicht (die erlauben keine gerooteten Devices, etc.)

            Je nach Bank könntest du möglicherweise auch eine andere Karte verwenden, z.B. mglw. eine HBCI-Karte. Kommt dann aber drauf an, welche Bank dahinter steckt, ich weiß nicht ob die Sparkassen z.B. noch neue HBCI-Karten ausgeben (deren veralteter Karten-Standard ist für 2020 abgekündigt), aber eigentlich funktionieren die sogar als chipTAN-Medium. Bei den Geno-Banken scheint dafür die HBCI-Karte inzwischen sogar kostenlos zu sein, zumindest ist sie es jetzt bei der GLS.

            Wenn du dir einen TAN-Leser zulegst und die Bank sm@rtTAN/chipTAN macht: tu dir was gutes und nimm entweder einen mit chipTAN QR und/oder photo (bzw. beides) oder einen mit chipTAN-USB (funktioniert mit HBCI-Software oder unter Windows) und nicht einen mit Flickercode.

  7. Was die Bankumstellungen angeht: Komisch, hatte ich Glück die richtige Bank und Software zu benutzen? Ich frage jeden Abend mein Comdirect-Girokonto samt zweier Unterkonten mit WISO Mein Geld ab und hatte keinerlei Auswirkungen feststellen können. Funktionierte alles wie gehabt normal…

  8. Meine Bank scheint aus ihren alten Fehlern gelernt zu haben was den zweiten Faktor angeht und hat das deutlich besser gemacht als eure Banken:
    Man kann per ChipTAN das Telefon anmelden
    Ab da kann man einfach per App den Login bestätigen (ohne extra login)
    Oder wenn man sich eh auf dem Handy einloggt muss nur Benutzer und Passwort eingegeben werden (die App weiß ja, dass sie auf einem zugelassenen Gerät ist)
    Benutzer und Passwort sind in dem Fall der normale online banking login.
    Also kein extra Passwort für den zweiten Faktor.

  9. Hallo Linus, Hallo Tim
    ich nutze Starmoney und habe mit meinen Konten keine TAN Probleme. Ich nutze HBCI mit Kartenleser. Mich interessiert, wie sicher Ihr das Verfahren einschätzt.

      • Was hat denn die konkrete Bank mit der allgemeinen Frage nach der Sicherheit des Verfahrens zu tun, solange man eine korrekte Implementierung annimmt?

        • Du hast nicht von “Sicherheit” gesprochen, sondern von “TAN Problemen” (bzw, der Abwesenheit dieser). Ich habe mit so einigen Banken Probleme (z.B. Consorsbank, N26, netbank), daher fragte ich, mit welchen Banken du keine Probleme hast (ich habe auch mit ein paar Banken – zumindest noch – keine Probleme).

          Abgesehen davon kann man “korrekte Implementierungen” natürlich annehmen, aber auch hier gibt es ja diverse Vorfälle (wie auch im Podcast beschrieben).

          • Ich war gar nicht der ursprünglich an einer Einschätzung Interessierte, und erst anhand der Antwort fällt mir auf, dass man dessen Formulierung, “wie sicher ihr das Verfahren einschätzt”, auch bezogen auf die Freiheit von Umstellungsproblemen interpretieren kann. Wobei mich der Kontext trotzdem verblüfft; braucht man denn bei HBCI mit Chipkarte überhaupt TANs? Dafür hat man doch die Chipkarte. Darum gehe ich eigentlich weiterhin davon aus, dass es dem Interessierten um eine Einschätzung zur Sicherheit des Verfahrens HBCI mit Chipkarte ging.

            • Da fällt mir ein, dass ich dem Interessierten dazu auch selbst kurz eine Einschätzung geben könnte: Das Verfahren, richtig implementiert, sollte eine hohe Sicherheit bieten, sofern der Kartenleser über ein eigenes Display verfügt, auf dem er die zu signierende Transaktion anzeigen kann, sodass sichergestellt ist, dass nicht irgendeine andere Transaktion signiert wird.

            • HBCI mit Chipkarte hat zwar nichts mit TANs zu tun (die Karte ist ja genau der zweite Faktor), aber trotzdem hat die PSD2 Auswirkungen darauf. Das Haupt-Problem ist, dass die PSD2 RTS vorschreiben, dass dem Kunden Betrag und Empfänger der Transaktion angezeigt werden müssen, so wie es ein chipTAN-Generator tut. Das ist mit normalen Kartenlesegeräten erstmal nicht per se notwendig. Es gibt von der Deutschen Kreditwirtschaft deswegen den sogenannten Secoder-Standard, Secoder-Kartenleser können das dann. Das ist aber nur ein Aspekt, es gibt außerdem noch verschiedene Karten-Standards die das nicht alle unterstützen. Und auf der anderen Seite muss auch noch die Software Karte und Secoder unterstützen.

              Hibiscus unterstützt bspw. nur DDV-Karten, die werden von den Sparkassen ausgegeben. Dummerweise können die das mit dem Secoder nicht, und deswegen haben die Sparkassen das Ender der DDV-Karten für 2020 beschlossen. Und den geplanten Nachfolgestandard haben sie gleich mit beerdigt, als Alternative wird auf chipTAN-USB verwiesen. (Das ist ein TAN-Verfahren, bei dem Transaktionsdetails aus der Banking-Anwendung auf einen TAN-Generator übertragen werden.)
              Die Verfahren der anderen Banken können teilweise Secoder, sind aber offenbar ausreichend nicht-öffentlich oder zu kompliziert, dass Hibiscus sie nicht beherrscht, kommerzielle Software eher schon.

              (Was die PSD2 auch abgeschafft hat sind btw. HBCI-Schlüsseldateien, aus offensichtlichen Gründen.)

  10. Apps wie MoneyMoney erschließen sich den meisten Menschen die privat vielleicht zwei Giro- und ein Tagesgeldkonto nutzen nicht. Meistens wird dann das ChipTAN-Gerät der Filialbank auch für die verbreiteten Onlinekonten wie DKB, ING etc. genutzt und als sicher genug empfunden. Die Bedienung und Nutzbarkeit ist so schlimm meistens auch nicht. Die erwähnten Onlinebanken kriegen das eigentlich gut hin. Sparkassen-Onlinebanking sieht oft etwas schräg oder etwas angestaubt aus. Onlinebanking ist dort aber auch noch das geringste Problem! Was für Banken schweben euch denn so vor, wenn es um vermurkstes Onlinebanking geht?

  11. Hat denn schon jemand verstanden, wie die dritte Forderung der deutschen Extinction Rebellion mit unserer Verfassung in Einklang zu bringen ist?

    Die wollen nämlich Bürgerversammlungen: “Die Regierung verpflichtet sich, die Beschlüsse der Bürger:innenversammlung umzusetzen.”

    Davon abgesehen, dass “die Regierung” gar nichts umsetzt, sondern nur Gesetze in den Bundestag einbringt, möchte die XR hier den kompletten parlamentarischen Prozess umgehen.

    Die britische Extinction Rebellion hat andere Forderungen und möchte eine Citizens’ Assembly haben, die Vorschläge erarbeitet. Das Ziel der Briten ist, den Diskussions-Deadlock zu lösen, das Ziel der Deutschen, die gewählten Volksvertreter/Politiker komplett aus dem Prozess zu nehmen: “A citizens’ assembly on climate and ecological justice gives politicians access to public judgements that have been reached in a fair and informed way. This will help politicians commit to a transformative programme of action justified by the mandate they receive from the citizens’ assembly, reducing the potential public backlash at the ballot-box.
    An explanation of how and when the government will respond to the recommendations should be clear before the citizens’ assembly begins. Recommendations that receive the support of the citizens’ assembly at an agreed threshold could be treated as binding. For example, the government could commit to implementing recommendations that receive the support of 80% of assembly members. Parliament could be required to debate recommendations with less support within a specified time period (e.g. a month) and provide an explanation as to why the proposal has been accepted, modified or rejected.”

Schreibe einen Kommentar zu Tim Pritlove Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.