Fortschritt? Sicherheit? Nö!

Nachdem sich die Europa Richtlinie PSD2 auch national inzwischen durchgesetzt hat, werden die meisten Onlinebanking-User bestimmt ein ungeheurer dolles Sicherheitsgefühl bei ihren Bankgeschäften bekommen haben. m(
Doppelt genäht hält besser, denn was ist noch sichererer als sicher? Na, Sicherheit hoch 2, eben.
Die unsicheren, papierenen iTAN Listen sterben aus, was sie mit weiteren sinnvollen Dingen, wie bspw. dem Neanderthaler gemein haben.

Stattdessen gibts nun also angeblich sichere, neue Technik, die doch eigentlich keinen Nährwert bietet, außer dem, mehr kriminelle Stellen beim Onlinebanking-Prozess an einem potentiellen Angriff teilhaben zu lassen.
Ich habe nie verstanden, warum die zugeschickten und papierenen iTAN Listen unsicher sein sollen, als eine App unter Andoid.

Das alte Prozedere bestand aus einem Brief, in dem eine quasi versiegelte Liste mit Nummern steckte. Falls der Brief nicht ankam, orderte man eine neue Liste und die alte verlor ihre Gültigkeit. Falls der Brief eröffnet und die Versiegelung erbrochen war, konnte man sicher sein, diese Liste ist keine gute mehr – Anruf und neue Liste, alte verliert ihre Gültigkeit.
Wollte man ein Bankgeschäft tätigen, wurde man -nachdem man sich via Kontonummer oder Usernamen und PIN eingeloggt hatte- zur Bestätigung der Buchung gebeten eine Nummer(von der Papierliste) einzugeben, danach war diese verbrannt, also die Nummer, nicht die Liste.

Wenn man nun nicht komplett dumm war oder ist, dann gab man diese TAN Nummern eben gerade nicht dem freundlichen Mann von Microsoft Indien, der einen am Telefon anrief und nett darum bat, auch dem, als Sicherheit, fürs dann in Milliardenhöhe vererbte Vermögen eines nigerianischen Prinzen in Not per E-Mail angefordert -oder einem ähnlich herz -und hirnzerreissenden Ansinnen- gab man nicht nach. Und siehe da, die Nummern und das Verfahren waren und blieben sicher.

O.k. zugegeben, der Einbrecher, der statt Bargeld oder Schmuck lieber die Aktenordner nach iTAN Listen beim nächtlichen Stelldichein in der fremden Wohnung mitnahm, konnte man nicht ausschließen…allerdings half auch da der Anruf bei der Bank, die alte Liste wurde gesperrt und die neue versandt.
Kein hackbares, elektronisches Medium mit listigen backdoors von amerikanischen oder chinesischen Freunden war in diesem Prozess involviert, einzig Papier der heimelige Hüter der geheimen Nummern.

Ja! Ich gebe zu, das Grabbeln in diversen Aktenordnern nach der jeweils passenden TAN Liste, sofern man mehr als ein oder zwei Konten sein eigen nennt, war und ist nervend.
Aus diesem Grund fand ich die sogenannte mTAN einen Quantensprung in Sachen Bequemlichkeit, jener Bequemlichkeit, die ja heutzutage -und vermutlich auch sonst im Laufe der Menschheitsgeschichte- Element des Fortschritts, und dies dann immerzu auf Kosten der Sicherheit, war.
Vorweg der Hinweis:
Ich besitze kein Smartphone, sondern ein altes total dummes, aber kleines und mobiles Telefon mit dem man zweierlei Ding tun kann, erstens telefonieren und zweitens eine sogenannte SMS empfangen oder senden.
Nebenbei lade ich besagtes Telefon nur einmal alle zwei Wochen auf, was ich deutlich performanter und energiesparender finde, als ein Smartphone täglich wenigstens einmal an die Dose zu zimmern, dies aber nur nebenbei.

Auf dieses Telefon, frei von möglichen Viren oder trojanischen Pferden, ließ ich mir besagte mTANs schicken, ein Service den es kostenlos bei meiner Bank gab.
Ich vermute jedoch, für die Bank war dieser ‚Service‘ ein unbedeutender, aber dennoch ein Kostenfaktor, den man in Zeiten von EZB Geldflutung und dauerhaften Garnix-Zinsen gerne eliminiert hätte, aber aus Konkurrenztaktischen-und historischen Gründen beibehielt.
Nun bot sich an, dies elegant im Rahmen der Umsetzung jener PSD2 Richtlinie gleich mitzumachen und sich so ganz nebenbei von einem unliebsamen weiteren Kostenfaktor zu trennen.

Stattdessen setzt man nun auf Chip-TAN, ein Verfahren welches ich parallel bei höheren Buchungen ebenfalls schon lange eingesetzt habe; eine kleine externe Plastikbox nimmt die Bankkarte auf und wird an einen flackernden Balkencode am Bildschirm gehalten.
Die so generierte TAN erscheint im Gerät und wird dann am PC oder sonstigem Endgerät eingetippt. Saubere Sache.

Allerdings krankt -zumindest bei mir- die Umsetzung hin und wieder deftig.
Aber wie heißt es so schön:In der Theorie sind Theorie und Praxis praktisch dasselbe, in der Praxis nicht.
Nicht nur nach durchzechten Nächten, mit zittrigen Händen und wummerndem Kopf, gelang es mir nicht oder nur nach einer wahren Odyssee, das Lesegerät zu einer funktionierenden Übertragung zu bewegen.
Häufig blieb nur das manuelle Eintippen ins Lesegerät und die Erstellung einer TAN quasi zu Fuß. Unbefriedigend, aber dafür ziemlich sicher.
Einige Banken bieten inzwischen auch eine Senkung oder Erhöhung die Wiederholfrequenz der Flackerbalken an, was zumindest in meinem Fall zu häufiger erfolgreichen Versuchen führt. Die aktuelle Bank, die sich mit meinem Girokonto gütlich hält, gehört leider nicht dazu.

Um mich nun aber endgültig ins Grübeln zu versetzen, nötigt mich besagte Girokontobank inzwischen, nachdem man sich ein neues Portal nebst stumpfsinnigem neuen Anmeldeprozess gegönnt hat, zum Herunterladen einer Banking-App für iOS oder Android.
Stumpfsinnig, deswegen, weil zuerst der Anmeldeprozesse mit Kontonummer und PIN hin zu Username und Passwort geändert wurde, wo da ein Sicherheitsgewinn zu verbuchen ist, erschließt sich mir nicht wirklich, sieht man einmal von der potentiell möglichen längeren Passwortkette ab.
Allerdings sperren Banken, soweit mir bekannt, doch sowieso nach spätestens drei Fehlversuchen den Zugang, sodass selbst das ehemalige 5 oder 6 stellige PIN Verfahren nicht wirklich als unsicher einzustufen war.

Stattdessen nun also die Nötigung der Bank, sich deren App aufs Smartphone herunterzuladen.
Wir haben damit eine Verlagerung aufs unsichere Medium Smartphone, bei dem neben den unzähligen Apps -die schnüffeln und Daten senden- noch das als unsicher einzustufende OS Android dazukommt(beim Apfel ist das eventuell aufgrund von längeren Support/Updatezyklen besser, weiß ich aber nicht aus eigener Ansicht).
Unsicher auch deshalb, weil es eben nur eine begrenzte Zeit (Sicherheits-)Updates bekommt, die -außer bei den „Muss-immer-das-neueste-Smartphone-haben“ Konsumzombies dazu führt, dass eine ganze Menge Smartphones und Tablets mit alten und unsicheren Versionen des Androiden unterwegs sind.(Aktuell sind noch 25% mit einem Android vor Version 6 unterwegs, wenn wir davon ausgehen könne, dass besagtes Marshmellow auch schon eine ganze Zeit keine Sicherheitsupdates mehr gesehen hat, wären es damit 42% mit unsicheren Smartphones oder Tablets, die potentielle Onlinebanking Nutzer wären. Statistik gibt’s da.)

Wenn ich nun davon ausgehe, dass Menschen, die vorher bereitwillig ihre iTAN Nummern auf Fake-Webseiten, gespeist aus Links in Phishing Mails, oder am Telefon herausgegeben haben, vermutlich nicht unbedingt zu den hellsten Kerzen auf der Torte des Lebens gehören, nun also ihre Smartphones mit Daten füttern, sehe ich den Sicherheitsgewinn dadurch nicht.
Nebenbei gibt es keinen ewig sicheren Code, alles nur eine Frage der Zeit, der Rechenpower oder der kriminellen Energie dahinter, die aufgewendet wird um sich Zugang zu verschaffen – sofern der nicht schon bauartspezifisch ab Werk eingepflanzt wurde(siehe bspw. Cisco Router, siehe diverse China Handys).

Wenn man nun also mehr Menschen dahin nötigen will, sich ihrer Geld Geschäfte via Fingerabdruck oder Bank-App zu entledigen, wird dies auf der Seite der Kriminellen vermutlich zu einer Erhöhung der manpower und des Aufwands führen, sind doch die kritischen Mengen bei denen es sich nun lohnt auf Dummenfang zu gehen oder Sicherheitslücken ausnutzen, im Zweifelfall deutlich höher, als noch zuvor und somit potentiell auch deutlich profitabler.

Was von Fingerabdrucksyste (oder Irisscannern) zu halten ist, hat Starbuck bereits auf dem 31C3 gezeigt, nebenbei auch -auf dem 35C3- was von Venenbildern als Sicherheitsschranke bspw. für Geldgeschäfte(Bankautomaten) zu erwarten ist(Die unterhaltsamen und lehrreichen Vorträge gibts in der Mediathek vom CCC – Ich sehe, also bin ich … Du , Venenerkennung hacken… es lohnt sich imho immer, wenn man etwas Zeit übrig -und das Interesse- hat, sich nochmal durch die alten Beiträge von den Congressen zu pflügen…gar manche Perlen kann man dort finden… 😉 🙂 ).

Ich für meinen Teil werde, zum Einen aus Ermangelung eines Smartphones und zum Anderen aus Ermangelung von Vertrauen in Softwarelösungen auf unsicheren Hosts beim einzigen Verfahren bleiben, dass mir die Bank bietet – ChipTAN.

Zum Banking benutzte ich jahrelang die Lösung der Zeitschrift c’t, die aber leider seit 2016 nicht mehr weiterverfolgt wird, das feine Bankix; ein Minimallinux auf schreibgeschützten USB Stick und mit gesperrtem Zugriff auf alle internen Datenträger.
Seit Beginn des Projekts war das mein treuer Begleiter, inzwischen sind jedoch die grassierenden Lücken in Prozessoren der Firma Intel so garstig, die darin verwendeten Browser so veraltet, dass man damit guten Gewissens kein Homebanking mehr mit Bankix betreiben sollte.
Die aus der heise community gestarteten Lösungen für einen Nachfolger kranken für mich an zwei Schwachstellen, mein Vertrauen in die Menschen, die das Projekt mit Leben erfüllen(kenne ich nicht persönlich,…beim Heise Verlag, so komisch das klingen mag, war ich mir da sicher), ist aus meiner kritischen Einstellung meinen Mitmenschen (und deren Absichten) gegenüber, nicht sehr groß – und auch der Erstellungsprozess mit dem zu einem entsprechenden Abbild gelangt ist für mich noch zu nerdig und unbequem.

Als Mittelfristlösung nutze ich deswegen nun ein aktuelles Linuxderivat vom USB Stick, dessen einzige Aufgaben das Booten und starten des Browsers ist, in dem ich zu allen Banken entsprechende Lesezeichen hinterlegt habe.
Dazu eine virtuelle Tastatur und das tatsächliche Banking, also die Überweisung, wird dann via Chip-TAN erledigt.
Scheint mir so ausreichend sicher zu sein.
Die heruntergeladene OS-Version wurde mit GPG Key verifiziert, der Key selbst mit SHA256 Hash.
Ich tippe mal: die meisten meiner Mitbürger treiben da nicht so viel Aufwand, sondern nutzen einfach weiterhin ihren guten, alten Windows XP Rechner -den anno 2005 der damalige Computerversteherfreund aufgesetzt hat, und der über die Jahre nun einen stattlichen Stall voller griechischer Holzpferde angesammelt hat.
Aber immerhin braucht man zum Betrieb nun keine Papierlisten mehr. 😀

Ihnen Ihr Blödbabbler

P.S. Es ging mir nicht um Kritik an der PSD2, dem Zugriff von Drittfirmen aufs Bankkonto oder um die potentiellen Möglichkeiten bspw. via Fake-DNS im Router elegant TANs abzugrasen…mein Aufhänger war Kritik an der Propaganda einer Entwicklung von der angeblich unsicheren PapierTan hin zur App.

8 Gedanken zu “Fortschritt? Sicherheit? Nö!

  1. Ich glaube, ich weiß, bei welcher Bank Sie sind. Darüber habe ich mich erst vor kurzem auch geärgert und ernsthaft in Erwägung gezogen, die Bank zu wechseln. Eigentlich habe ich ja ebenfalls so einen Tan-Generator, aber irgendwie will das Teil nicht mehr, selbst wenn ich neue Batterien einsetze. Nur deshalb bin ich dann auf mTan umgestiegen, weil ich keine Lust hatte, mir schon wieder so ein Gerät kaufen zu müssen. Aber diese Android-App gefällt mir auch überhaupt nicht, obwohl ich ein Smartphone besitze, doch die endlosen Apps für jeden Sch… finde ich inzwischen sowieso nervend. So bleibt mir wohl nichts anderes übrig, falls ich die Bank nicht wechsel, als nochmal so ein Teil zu kaufen – ich hoffe, man kriegt sie noch.

    Liken

    1. Hallo Frau Zuckerwattewolkenmond,
      in der guten alten Zeit gabs bei den Sparkassen diese Chip-TAN Leser sogar mal kurzzeitig kostenlos…inzwischen sind es meist um die 15 €…die ich -so ärgerlich dies in ihrem Fall auch sein mag- dennoch nochmal investieren würde – erscheint mir deutlich sinnvoller, als sich mit der App angreifbarer zu machen. Und was die App Flut angeht, verstehe ich gut, dass sie davon enerviert sind, da ja auch in diversen Bereichen inzwischen eine ehemalige Freiwilligkeit einer zunehmenden Verpflichtung gewichen zu sein scheint.
      Ist vermutlich ähnlich wie mit facebook und Konsorten…inzwischen macht man sich bereits verdächtig dort eben nicht vertreten zu sein – lustigerweise auch bei diversen Behörden, die doch so gerne in den Kassandrachor einsteigen wenn es um Social Media Kritik geht, aber dennoch selbst dort mit offiziellen Auftritten vertreten sind. Ich bin mal gespannt, ab wann ich als Staatsfeind gemarkert werde, weil ich weder facebook, WhatsApp noch Twitter oder Pinterrest benutze um mich freiwillig gläsern zu machen. Verdächtig sowas. 😉

      Liken

  2. Ich denke, wir sind bei derselben Bank Konteninhaber, einem Institut, das unlängst von einem anderen übernommen wurde und dessen neuer Internetbankingauftritt mich ein wenig irritiert. Indes, im Gegensatz zum Hund schüttle ich meinen Kopf eher.

    Ich fragte dort auch, nach Erhalt diverser „wir stellen das SMS-TAN-Verfahren ein“ Mitteilungen, wie sich die Bank das denn bitte vorstelle? Ich sei doch einen Großteil meiner Arbeitszeit im nichteuropäischen Ausland unterwegs, habe dort dann eine lokale Mobilfunknummer und auf meinem deutschen Handy kein Datenroaming eingerichtet (die Preise dazu sind eine echte Einnahmequelle für jeden Mobilfunkbetreiber, 4,99 € für 50 MB, aber nur 24 Stunden lang hier in Ägypten), also, wie soll ich dann bitte meine Bankgeschäfte per Fingerabdruck oder Augenscan verifizieren? Wobei ich auch anmerken möchte, dass die technikaffine Gattin mit ihren diversen Smartphones beim Entsperren per Fingerabdruck oder Augenscan immer wieder feststellen muss, dass es nicht im ersten Anlauf funktioniert. Als Antwort kam ein lapidarer Verweis auf die Geräte von Drittanbietern, die man käuflich erwerben soll. Ein schönes Geschäftsmodell, bei Preisen von 15 bis 85 Euro für solche Geräte (Kartenleser ab 15, TAN-Generator als Bluetooth-Gerät [wie sieht es da mit der Abhörsicherheit aus?] bis zu 85 Euro) und einigen Millionen Kontoinhabern, die die Geräte nun kaufen müssen. Ein Schelm, der Böses dabei denkt.

    Aber wir wissen ja: wir leben in einer kapitalistischen Welt, in der es unbegrenztes Wachstum gibt, und bald der Beweis der Exponentialfunktion als „Fake News“ gebrandmarkt werden wird.

    Liken

    1. Hallo Herr pathologe, wobei -wenn wir beide bei der gleichen Bank sind- ihnen noch die Möglichkeit mit der Chip-TAN bleibt, zumindest soweit ich das verstanden habe; falls ich da falsch liege werde ich schlicht die Bank wechseln; einer weniger für die Postbank wäre dann sicherlich als Ergebnis zu verzeichnen. 😉
      Ich finde es inzwischen auch lustig, dass der Kunde für die Sicherheitsmaßnahmen zur Kasse gebeten wird und nicht der Dienstanbieter. Aber es ist eben ein Geschäft mit Geld zu machen, solange es eben nicht in Papierform vorliegt, weswegen auch die Versuche der Abschaffung und die Lancierung von interessierten Seiten in den Medien sicherlich früher oder später Erfolg haben werden. Im Ergebnis haben wir dann eine lückenlose Nachvollziehbarkeit jeglicher Zahlungshandlungen, inklusive der Inhalte und des Zeitpunkts der Tätigung. Als positiven Nebeneffekt werden auf dem Weg des Geldes dann weitere Parasiten ihren Reibach machen können, sei es durch Hardware, Software oder die aufgenötigte Dienstleistung an sich. Ein weiterer Schritt hin zu einer totalitären Gesellschaft wäre damit gemacht. Gerade in Länder in denen sie sich aufhalten, würde ich sowieso möglichst wenig mit dem Smartphone abwickeln, nicht das man ihnen noch einen Stein an den Kopf wirft und Frauen in angeklebte Bärte „Jehova!“ murmeln.

      Liken

  3. „Even if you 100% trust the US government with your biometric information (which you shouldn’t) this is a reminder that once your face is scanned and stored in a database, it’s easily shared across government agencies, stolen by hackers, other governments, etc.“
    [Quelle]

    Das ist ein brandneuer Bericht, der mir gerade ins Postfach flatterte – sehr passend zum Thema, weil auch meine Bank(-en) mir gerade diese *viel sichereren Zugangsmöglichkeiten* angeboten haben …. und ich mir schon beim lesen dachte ‚Irisscan und Fingerabdruck und Banken und Smartphone, das ist eine tolle Giftmischung!‘

    Der viel schwerwiegendere Aspekt scheint mir allerdings folgender:
    Unsere Regierung ist computertechnisch derart hinter dem Mond, dass solche Winkelzüge der Banken ohne Regulation ablaufen können – wobei das Mögliche gemacht wird, anstatt das Einfachere und damit Sicherere zu behalten / vorzuziehen.

    Liken

    1. Hallo Herr wvs,
      mich ärgert ja die vorgebliche neue Sicherheit, obwohl doch nahezu alle biometrischen Verfahren, wie Starbug und andere auf den Congresses des Chaos Computer Clubs zeigten, angreifbar und überwindbar sind, dennoch so getan wird, als sei das des Pudels Kern. Unterm Strich ist es vermutlich, wie ich oben schrieb, schlicht eine Anfrage an das interne Controlling der Banken, die für den Wandel maßgeblich ist.
      Papierlisten bedrucken und per Post verschicken vs. SMS Versand vs. Softwarelösung. Auslagern der Hardware auf den Kunden…bzw. Einnahmen durch Verkauf derselben.

      Was die Fortschrittsgläubigkeit unserer Regierung/Parlament angeht, zumindest in diesem Punkt, wo sie wohl nicht angebracht erscheint, würde ich mir davon viel mehr wünschen, sobald es um CRISPR/Cas, Gesundheitswesen und Religion(und Indoktrination) im öffentlichen Raum geht. Doch dort sitzt man stattdessen in der Vergangenheit fest, ohne Mut und Verstand.

      Liken

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.