Unseriöses Tracking und der freie Wolf

Meine mittlerweile jahrelange Suche nach dem (!) besten Browser für meine Zwecke ist immer noch nicht von Erfolg gekrönt. Aber ich habe einen neuen Kandidaten, den ich mir jetzt genauer ansehe – LibreWolf. Das ist ein auf Sicherheit optimierter Fork von Firefox.

Konkreter Anlass war, dass meine Hausbank ihr Onlinebanking aktualisiert hat und nun m.E. vollkommen unseriöses Tracking bzw. Fingerprinting betreibt. Vor der Umstellung musste ich mich alle 3 Monate einmal mit meinem TAN-Generator verifizieren und ansonsten konnte ich mich einfach mit Userid und Passwort anmelden. Das geht offiziell immer noch, doch bei jedem Login-Versuch bekomme ich jetzt die Meldung, dass mein Gerät, Browser, Standort etc. unbekannt wären und ich werde bei jedem Login gezwungen, den TAN-Generator und meine EC-Karte rauszusuchen, bevor ich angemeldet werde. Unmöglich, denn vorher war das nicht notwendig und ich sehe es nicht ein, warum die Zugangsmöglichkeiten so verschlechtert wurden. Andere Banken bzw. Anbieter können es doch auch – selbst wenn sie 2-Wege-Authentifizierung verlangen. Einfach im Zweifelsfall eine SMS geschickt und gut ist, ohne dass man unterwegs den TAN-Generator dabei haben muss.

Aber ich mache wohl ziemlich viel richtig, wenn dieses neue Fingerprinting bzw. Tracking von der Bank nicht funktioniert. Ich habe mich darüber schon beschwert, aber das wird vermutlich keinen Erfolg haben und ich werde das Konto da wohl kündigen müssen. Was mir schon leid tut, denn für den Verbund hatte ich nach meinem Studium 5 Jahre gearbeitet und ich bin ihm eigentlich noch immer verbunden. Aber dieses Fingerprinting/Tracking geht gar nicht und ist aus Sicherheitsgründen auch vollkommen unlogisch. Nichts geht einfacher als ein Faken der Clientumgebung. Es ist darüber hinaus kontraproduktiv, weil es nur nervt und Anwender ob einer gewissen Bequemlichkeit zu unsicheren Verhaltensweisen nötigt.

Aber zurück zum freien Wolf. In der aktuellen C’t wurde er gerade vorgestellt und wegen meinem Ärger über das Fingerprinting der Bank kamen mir die Sicherheitsfeatures des Firefox-Forks sehr interessant vor. Insbesondere den klassischen Fingerprinting-Techniken gaukelt der Wolf immer neue Umgebungen vor und das Auslesen von Canvas wird gefaked.

Denn obwohl ich mit Opera und Vivaldi zwei alternative Browser im Einsatz habe, lande ich doch immer wieder beim Firefox als Standardbrowser. Es ist einfach das „rundeste“ Paket, das ich über meine vielen Jahre Praxis erlebt habe. IE und Edge gehen gar nicht, Chrome will ich wegen der dauerhaften Sendung aller Daten zu Google nicht, Chrorium ist irgendwie zu sperrig, Safari vollkommen uninteressant und dann ist es eben Firefox, der immer wieder übrig bleibt. Auch der Tor Browser (ebenso ein Firefox-Fork) ist nur für besondere Anfragen eine Option und daher gibt es einfach keine Alternative für das Brot-und-Butter-Surfen im Internet. Da der Tor-Browser mir meist zu langsam ist und viele Seiten damit gar nicht gehen, erhoffe ich mir von dem LibreWolf den Komfort des Firefox und (halbwegs) die Sicherheit bzw. Anonymität des Tor-Browsers.

Opera mit dem integrierten VPN und Vivaldi für manche Inhalte, die nicht mit Firefox oder erst recht LibreWolf richtig gehen, werde ich aber als Alternativen in der Hinterhand behalten. Und natürlich auch Firefox selbst, denn beim Anmeldeversucht auf Google-Seiten bekam ich gerade mit LibreWolf einen Fehler. Vermutlich wegen dem Blockieren von Tracking/Fingerprinting/Cookies, was Google unbedingt erzwingt. Entweder versuche ich LibreWolf für die Seiten etwas weniger streng zu konfigurieren oder aber dann doch einen anderen Browser zu nehmen. Es muss es natürlich wert sein, wenn eine Seite so eine Einschränkung der Sicherheit erzwingt, aber natürlich räumt man nach Verlassen der Seite wieder komplett auf und löscht, was immer auch die Seite hinterlassen hat.

 

Steuerklärung 2018 führt zu Banking-Apps und neuen Legitimierungsverfahren – zum Teil unsicher bis zur Fahrlässigkeit

Es ist Mistwetter und irgendwann muss ich auch meine Steuererklärung 2018 angehen. Also von daher habe ich in die sauere Banane gebissen und angefangen. Ein Teil von dieser Tätigkeit, die mir irgendwie vollkommen widerwärtig ist, ist das Beschaffen von Jahressteuerbescheinigungen bei Banken etc. Und wenn man sich dabei per Onlinebanking in den Bankingportalen anmeldet, nerven die Banken – sofern noch nicht gemacht – mit dem Hinweis, dass das iTan-Verfahren abgeschafft wird und man sich doch bitte schleunigst für das jeweilige neue Verfahren der Bank anmelden sollte.

Nun bin ich mir ehrlich gesagt gar nicht im Klaren darüber, was denn am iTan-Verfahren so unsicher gewesen sein soll? Da wird immer wieder auf Phishing-Mails verwiesen, auf die Anwender reingefallen sind. Aber DAUs werden auch bei den neuen Verfahren auf solche Phishing-Angriffe mit der Preisgabe aller relevanten Daten reagieren. Ich finde die iTan-Lösung sogar richtig sicher, weil man seine Tan-Listen irgendwo in einem Ordner versteckt hat, schön sauber jede verbrauchte Tan durchstreichen konnte und rein phyiskalisch eine perfekte Trennung der Daten hatte. Wenn man dann noch die Zugangsdaten in einem gut gesicherten Passwortsafe verwaltet – wo ist die Sicherheitslücke?

Ich gehe eher davon aus, dass das Verschicken und Verwalten der Tan-Listen auf Papier für die Banken zuviel Geld gekostet hat und dass viele Entscheider-DAUs in der Politik mit dem Verweis auf die Moderne getäuscht wurden. Natürlich ist mit Tan-Listen, die zuhause liegen, das mobile Banking von unterwegs schwieriger. Was m.E. ein erheblicher Sicherheitvorteil (!!) ist. Denn – und ich ahne schon, welcher meiner Kollegen hier widerspricht 😉 – mobiles Banking ist per Definition unsicher.

Und aus meiner Sicht auch vollkommen unnötig, aber da lasse ich gerne andere Meinungen zu. Bei der Sicherheit muss ich sie zwar auch zulassen, aber ich werde nicht einen Jota von meinem Standpunkt abweichen, dass man niemals und unter keinen Umständen „mobil“ Onlinebanking machen darf.

Ich vermeide schon unter allen Umständen einen W-LAN (wobei dessen Verschlüsselung natürlich eine gewisse Sicherheit bedeutet) und stelle sicher, dass mein PC (mit Linux) ausschließlich per Ethernet an dem Router hängt.

Aber man muss ja gar nicht so vorsichtig (paranoid? – mal sehen, wenn die ersten Attacken auf die mobile Banking-Jünger durch sind) sein – wie kann kann man denn einem SmartPhone oder Tablet Bankdaten anvertrauen? Da muss nicht einmal eine Banking-App so unsicher sein, wie meines Erachtens die von ING Dida ist (dazu gleich mehr).

Wir haben einmal die Datenspione von Apple und Google, welche die Betriebssysteminfrastruktur bereitstellen. Aber selbst, wenn die nicht mitlesen und das Bankinggeschäft protokollieren. Mir langt der Gedanke, dass ich parallel Apps auf dem Gerät habe, von denen ich nicht sicher bin, was die da machen.

Klar – auch bei einem Linux-Rechner verstehe ich nicht alles, aber da liegen Quellcodes offen und genügend Leute schauen sich die Sache an – vom Kernel bis zu den einzelnen Programmquellcodes. Auch wenn mir sicher viele (auch Fachleute) widersprechen – ich finde mobiles Onlinebanking ein NoGo – ein Relikt aus Zeiten, in denen man sich der Probleme mit Sicherheit noch nicht wirklich bewusst war. SmartPhones und Tablets sind einfach Spielzeuge, Unterhaltungsgeräte, Helferlein für die Bequemlichkeit des täglichen Lebens wie Navigation und Kommunikation etc. und vielleicht in kleinem Umfang Hilfsgeräte zum Arbeiten. Aber keine Geräte für kritische Vorgänge.

Und jetzt nochmal zu der App der ING Diba – die ist so mies gemacht, dass ich (vermutlich) alle meine Konten da kündige. Dort wird man zur Installation einer App mit Namen „Banking to go“ gezwungen, welche die komplette Transaktion bei Bankgeschäften in einer einzigen Anwendung zusammenführt, die lediglich per trivialer Zugangs-PIN geschützt ist. Ich bin fassungslos, wie man in heutigen Zeiten noch so eine Sache genehmig bekommt. Da regelt die EU jedes Kleinigkeit des täglichen Lebens und so eine gravierend unsichere und schlechte Technologie wird nicht verboten. Wirklich unglaublich.

Bei einer meiner anderen Banken werde ich zwar auch zu einer App gezwungen, aber die dient nur als TAN-Generator und das kann ich akzeptieren. Das Verfahren ist halbwegs sicher, soweit ich das überschauen kann.

**** Nachtrag ****

Mittlerweile habe ich rausgefunden, dass ING Diba auch die Möglichkeit des mTan-Verfahrens bereitstellt. Zwar ziemlich versteckt, weil wohl die App gepushed werden muss, aber damit muss man das SmartPhone auch nur als Tan-Generator verwenden, wo die Tan per SMS zugeschickt wird, und das ist ok.