On Thu, 22 Feb 2024, Florian Snow wrote:
im Rahmen meiner Arbeit bei der FSFE habe ich mich mit dem Thema Freie
Software im Bereich Banken beschäftigt und möchte meine Erfahrungen und
Gedanken mit euch teilen. Das Thema ist Teil des größeren Themas der
Appifizierung/des Drucks zur Verwendung unfreier Apps für bestimmte
Interaktionen.
Ich bin bei der GLS- und der EthikBank. Bei beiden kann ich den gleichen
PhotoTAN-Generator benutzen. Die Anbindung an meine Buchhaltung mit
hledger schaffe ich mit dem CSV-Export.
Beide Banken sind vor zwei bzw. einem Jahr intern von der Software Bank21
auf Agree21 umgestiegen, was anscheinend ein Umstieg von der besseren auf
die schlechtere Software war, aber die Volksbanken wollten ihre
Softwarebasis vereinheitlichen und die Entscheidung trifft das Management
und nicht die Techniker, wie mir ein Informatiker der Volksbanken verraten
hat, und Agree21 hat mehr die Smartphone-App-Optik auf dem Desktop. Egal,
PhotoTAN und CSV-Export funktionieren weiterhin.
Ein Handy besitze ich nicht. Deswegen musste ich mich von der
HypoVereinsbank trennen. Die hatte 2019 von Papier-TAN auf drei TAN-Arten
umgestellt, wo von einer versprochen wurde, dass sie ohne Handy
funktionieren würde. Für diese eine TAN-Art sollte ich mir einen eigenen
TAN-Generator kaufen, was ich gemacht habe. Nach Erhalt stellte sich
heraus, dass zum Freischalten eine Handy-Nummer erforderlich ist. Ich habe
die Bank gefragt, wozu sie eine Handy-Nummer braucht, warum da keine
Festnetznummer geht. Naja, sie müssten mir einen Bestätigungscode senden.
Warum das mit Festnetz nicht geht, weiß am Bankschalter und in der Hotline
keiner. Es leuchtete mir nicht ein, wie die Bank irgendwas mit einer ihr
bislang unbekannten Handynummer authentifizieren will, wohingegen sie eine
Festnetznummer von mir bereits besitzt und erfolgreich genutzt hat. Ich
hatte mich beim Datenschutzbeauftragten beschwert, dass die Bank
anscheinend Handynummern ohne erkennbaren Zweck sammelt. Der
Datenschutzbeauftragte hat ausgerichtet, dass die Bank frei aussuchen
dürfe, wie sie Authentifizerungen gestaltet. Naja.
Papier-TAN war auch eine Zwei-Faktor-Authentifizierung und nicht
schlechter als das Smartphone-Zeugs. Inzwischen sind auch einige
erfolgreiche Fälle von Enkeltricks bekannt geworden, wo Betrüger trotz 2FA
Konten abgeräumt haben. Ich denke, man kann recht zuverlässig feststellen,
dass diese Smartphone-Zwei-Faktor-Authentifizierungen nicht sicherer sind
und wenn beide Faktoren auf einem Gerät laufen, sogar noch unsicherer als
Papier-TAN. Es wird den Nutzern auch nicht erklärt, welche Arten von
Betrug die 2FA-Systeme abwehren sollen, wie sie Betrug erkennen, welche
Zahlen sie mit dem TAN-Generator vergleichen müssen und was im Falle einer
Abweichung zu tun ist. Ganz im Gegenteil: Nahezu alle Firmen erziehen ihre
Kunden dazu, Fehlermeldungen wegzuklicken und sich an ständig wechselnde
Designs zu gewöhnen und sich nicht über alternative Domains zu wundern,
alle Cookies und JavaScripte zu akzeptieren._______________________________________________
FSFE-de mailing list
FSFE-de@lists.fsfe.org
https://lists.fsfe.org/mailman/listinfo/fsfe-de
Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt.
Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu
behandeln: https://fsfe.org/about/codeofconduct
