Schlagwort: Onlinebanking

Re: Ihre photoTAN wurde blockiert

Ich habe aktuell Probleme mit dem Zugang zu einem Onlinebankkonto, denn meine photoTAN-App ist beim erzwungenen Update auf einem SmartPhone gecrashed und meine vorherige Version wurde dabei auf allen meinen Zugangsgeräten (3 unabhängige Geräte, die ich eigentlich für den Fall parallel noch habe) gesperrt. Es kann zwar sein, dass diese Blockade mit Fehleingaben von mir vor und nach dem gescheiterten Update der App zusammenhängt, aber dass dann auch die anderen Geräte gesperrt und ich derzeit keinen Zugang zu meinem Bankkonto habe, ist schon ein Unding.

Der eigentliche Hammer ist, dass ich aber eine Mail bekommen habe, meine photoTAN wäre blockiert und ich solle den Anweisungen in der Mail folgen, um diese und damit meinen Kontozugang wieder freitzuschalten. Nur – es wird eine andere Bank genannt (m.W. Muttergesellschaft meiner Bank) und die E-Mail-Addresse verweist ins Ausland. Phising auf recht gutem Niveau, aber erkennbar.

Mich schockiert jedoch, dass diese Mail samt Bezug auf ein derzeit reales Problem passt. Das kann m.E. kein Zufall sein. „Re: Ihre photoTAN wurde blockiert“ weiterlesen

Ob das wirklich nötig war?

Ich bin am Zweifeln, ob es wirklich notwendig war, mir ein neues SmartPhone zuzulegen. Denn in der Mittagspause kam ein solches an und eigentlich benötige ich keine neuen Features, die in den letzten Jahren im Umfeld von SmartPhones aufkamen. Aber mein aktuelles Honor View hat seit geraumer Zeit einen Riss im Display, der sich komplett über den zentralen Bereich des Displays erstreckt sowie sukzessive größer wird und sich mehr und mehr verästelt. Dazu hat sich die letzten Tage rechts oben ein weiterer kleiner Riss gebildet. Ich fürchte, dass das Gerät irgendwann ausfällt und das ist ein echtes Problem. Denn die elende 2-Wege-Authentifizierung nimmt immer mehr zu und ich komme damit ohne ein SmartPhone nicht mehr an diverse Dienste wie GitHub, SharePoint etc. Dazu muss ich auch beim Onlinebanking, ebay, Paypal etc. Anmeldungen mit dem SmartPhone bestätigen. Ohne die dazu installierten Apps bzw. mobile Erreichbarkeit wäre es einfach elend umständlich. Ich habe wegen des drohenden Ausfalls von dem Honor View die letzten Monate ein ganz einfaches Nokia-SmartPhone als Notfall-Gerät aufgebaut,. Das habe ich vor einigen Jahren geschenkt bekommen und bisher nur als Testgerät für die App-Entwicklung mit Cordova verwendet – insbesondere im Rahmen meiner Vorlesgungen zur Entwicklung von plattformneutralen Apps an der TH Bingen. Allerdings ist das SmartPhone von einem meiner Söhne mit einem Riss im Display (Zufall) so gut wie unbedienbar geworden und ich habe ihm das Nokia abgetreten. Damit fehlt mir aber ein Backup-Gerät, denn mein altes Galaxy S4 ist zwar noch im W-LAN im Einsatz (Bestätigung von Online-Authentifizierungen, Infrarot-Fernbedienung etc.), aber durch die uralte Software nicht sicher außerhalb vom W-LAN einzusetzen und selbst mir etwas zu schwachbrüstig.

Ich beobachte deshalb schon ein paar Monate einige SmartPhones und nachdem mein Favorit, der sich nach vielen Überlegungen und Testberichten herauskristalisiert hat, am Montag in einer Blitzaktion bei einem Händler signifikant unter den Preisen angeboten wurde, die ich die letzten Monate gesehen hatte, habe ich zugeschlagen.

Es ist ein Samsung XCover 5 Pro Enterprise geworden. Das ist ein Outdoor-SmartPhone bzw. ein Gerät, das explizit für den Einsatz auf Baustellen und im dreckigen Umfeld konzipiert ist. Da ich zu einigen „rustikalen“ Hobbies wie Gleitschirmfliegen oder Montainbiken neige, macht bei mir das SmartPhone schon Einiges mit. Wobei der Riss im Display nicht bei den Aktivitäten aufgetreten ist, wenn ich mich nicht täusche.

Anyway – mir war wichtig, dass das neue SmartPhone robuster und damit nachhaltig wird. Ebenso waren Dinge wie die Navigation inklusive sehr gutem GPS- und Telefonempfang sowie eine lange Laufzeit wichtig. Mein erster Eindruck von dem XCover ist, dass es recht „klobig“ daherkommt. Das gefällt mir gut, denn ich kann diese ultradünnen „Pussy“-SmartPhones nicht leiden. Wobei es im Vergleich zu den üblichen Outdoor-SmartPhones (neudeutsch werden die „Rugged-Phone“ genannt) immer noch fast grazil ist. Es sieht ein bisschen so aus, wie die SmartPhones vor 5 – 10 Jahren ausgesehen haben. Sehr angenehm.

Ich habe mich für das Samsung entschieden, weil ich mit dem S2 und dem S4 früher schon gute Erfahrungen gemacht hatte und Samsung der einzige große Hersteller ist, der den Markt der Rugged-Phones überhaupt bedient. Der Rest sind irgendwelche China-Firmen oder Nischenanbieter. Außer Gigaset ist für mich keiner der anderen Anbieter wirklich infrage gekommen, zumal das alte SmartPhone meines Sohns auch ein Outdoor-Gerät von einem dieser China-Anbieter war – von wegen robust.

Wie sich das XCover in der Praxis bewährt, kann ich noch nichts sagen, denn ich werde es erst die nächsten Tage sukzessive einrichten, vom Honor umsteigen und dieses dann als Backup-Gerät aufbewahren (in der Hoffnung, dass das Display nicht weiter kaputtgeht, wenn das Gerät weitgehend in Ruhe gelassen wird). Was aber an Highlights das XCover schon auszeichnet, ist das:

  • Wechselbarer Akku. Unglaublich, dass das andere SmartPhones kaum noch anbieten.
  • Klinkenbuchse. Auch das fehlt mittlerweile bei diversen SmartPhones
  • Diverse Outdoorfeatures.
  • Bis zu 1GByte große SD-Karte wird unterstützt

Nur Bares ist Wahres

Neben der Commerzbank haben jetzt auch die DKB und gerüchteweise die Rabodirect, easybank und BAWG in Österreich und vieleicht sogar noch ein paar mehr Banken Probleme beim Onlinebanking. Und auch teils bei der Auszahlung an den Bankautomaten.

Angeblich handelt es sich aber nicht um Hackerangriffe. Soll das beruhigen? Oder ist das die Kapitulation, dass elektronische Zahlvorgänge unzuverlässig sind bzw. nicht funktionieren?

Ich will hier nicht Onlinebanking diskreditieren. Onlinebanking per se ist ja ok, aber aus dem täglichen Bezahlen in der realen Welt gehören die IT-Systeme verbannt.

Wenn ich diese dummdreisten Agitationen gegen Bargeld sehe – diese Fälle zeigen ganz deutlich, wie unsinnig es wäre kleine Geschäfte des täglichen Lebens vermehrt mit Kreditkarten oder gar einem „SMARTPHONE“ durchzuführen. Da steht man in Zukunft an der Kasse und es bilden sich riesige Schlangen, weil bei einem eCash-Fanboy das Bezahlen eines Kaugummischachtel nicht funktioniert. Ganz toll – wenn schon die komplette Überwachung DAUs nicht beunruhigt – endlose und überflüssige Warterei an der Kasse sorgen hoffentlich dafür, dass diese eCash-Fans oft genug angeraunzt werden und den Mist auf Dauer lassen.

Steuerklärung 2018 führt zu Banking-Apps und neuen Legitimierungsverfahren – zum Teil unsicher bis zur Fahrlässigkeit

Es ist Mistwetter und irgendwann muss ich auch meine Steuererklärung 2018 angehen. Also von daher habe ich in die sauere Banane gebissen und angefangen. Ein Teil von dieser Tätigkeit, die mir irgendwie vollkommen widerwärtig ist, ist das Beschaffen von Jahressteuerbescheinigungen bei Banken etc. Und wenn man sich dabei per Onlinebanking in den Bankingportalen anmeldet, nerven die Banken – sofern noch nicht gemacht – mit dem Hinweis, dass das iTan-Verfahren abgeschafft wird und man sich doch bitte schleunigst für das jeweilige neue Verfahren der Bank anmelden sollte.

Nun bin ich mir ehrlich gesagt gar nicht im Klaren darüber, was denn am iTan-Verfahren so unsicher gewesen sein soll? Da wird immer wieder auf Phishing-Mails verwiesen, auf die Anwender reingefallen sind. Aber DAUs werden auch bei den neuen Verfahren auf solche Phishing-Angriffe mit der Preisgabe aller relevanten Daten reagieren. Ich finde die iTan-Lösung sogar richtig sicher, weil man seine Tan-Listen irgendwo in einem Ordner versteckt hat, schön sauber jede verbrauchte Tan durchstreichen konnte und rein phyiskalisch eine perfekte Trennung der Daten hatte. Wenn man dann noch die Zugangsdaten in einem gut gesicherten Passwortsafe verwaltet – wo ist die Sicherheitslücke?

Ich gehe eher davon aus, dass das Verschicken und Verwalten der Tan-Listen auf Papier für die Banken zuviel Geld gekostet hat und dass viele Entscheider-DAUs in der Politik mit dem Verweis auf die Moderne getäuscht wurden. Natürlich ist mit Tan-Listen, die zuhause liegen, das mobile Banking von unterwegs schwieriger. Was m.E. ein erheblicher Sicherheitvorteil (!!) ist. Denn – und ich ahne schon, welcher meiner Kollegen hier widerspricht 😉 – mobiles Banking ist per Definition unsicher.

Und aus meiner Sicht auch vollkommen unnötig, aber da lasse ich gerne andere Meinungen zu. Bei der Sicherheit muss ich sie zwar auch zulassen, aber ich werde nicht einen Jota von meinem Standpunkt abweichen, dass man niemals und unter keinen Umständen „mobil“ Onlinebanking machen darf.

Ich vermeide schon unter allen Umständen einen W-LAN (wobei dessen Verschlüsselung natürlich eine gewisse Sicherheit bedeutet) und stelle sicher, dass mein PC (mit Linux) ausschließlich per Ethernet an dem Router hängt.

Aber man muss ja gar nicht so vorsichtig (paranoid? – mal sehen, wenn die ersten Attacken auf die mobile Banking-Jünger durch sind) sein – wie kann kann man denn einem SmartPhone oder Tablet Bankdaten anvertrauen? Da muss nicht einmal eine Banking-App so unsicher sein, wie meines Erachtens die von ING Dida ist (dazu gleich mehr).

Wir haben einmal die Datenspione von Apple und Google, welche die Betriebssysteminfrastruktur bereitstellen. Aber selbst, wenn die nicht mitlesen und das Bankinggeschäft protokollieren. Mir langt der Gedanke, dass ich parallel Apps auf dem Gerät habe, von denen ich nicht sicher bin, was die da machen.

Klar – auch bei einem Linux-Rechner verstehe ich nicht alles, aber da liegen Quellcodes offen und genügend Leute schauen sich die Sache an – vom Kernel bis zu den einzelnen Programmquellcodes. Auch wenn mir sicher viele (auch Fachleute) widersprechen – ich finde mobiles Onlinebanking ein NoGo – ein Relikt aus Zeiten, in denen man sich der Probleme mit Sicherheit noch nicht wirklich bewusst war. SmartPhones und Tablets sind einfach Spielzeuge, Unterhaltungsgeräte, Helferlein für die Bequemlichkeit des täglichen Lebens wie Navigation und Kommunikation etc. und vielleicht in kleinem Umfang Hilfsgeräte zum Arbeiten. Aber keine Geräte für kritische Vorgänge.

Und jetzt nochmal zu der App der ING Diba – die ist so mies gemacht, dass ich (vermutlich) alle meine Konten da kündige. Dort wird man zur Installation einer App mit Namen „Banking to go“ gezwungen, welche die komplette Transaktion bei Bankgeschäften in einer einzigen Anwendung zusammenführt, die lediglich per trivialer Zugangs-PIN geschützt ist. Ich bin fassungslos, wie man in heutigen Zeiten noch so eine Sache genehmig bekommt. Da regelt die EU jedes Kleinigkeit des täglichen Lebens und so eine gravierend unsichere und schlechte Technologie wird nicht verboten. Wirklich unglaublich.

Bei einer meiner anderen Banken werde ich zwar auch zu einer App gezwungen, aber die dient nur als TAN-Generator und das kann ich akzeptieren. Das Verfahren ist halbwegs sicher, soweit ich das überschauen kann.

**** Nachtrag ****

Mittlerweile habe ich rausgefunden, dass ING Diba auch die Möglichkeit des mTan-Verfahrens bereitstellt. Zwar ziemlich versteckt, weil wohl die App gepushed werden muss, aber damit muss man das SmartPhone auch nur als Tan-Generator verwenden, wo die Tan per SMS zugeschickt wird, und das ist ok.