Im Rahmen meiner Arbeit bei der FSFE habe ich mich mit dem Thema Freie Software im Bereich Banken beschäftigt und möchte meine Erfahrungen und Gedanken mit euch teilen. Das Thema ist Teil des größeren Themas der Appifizierung und des Drucks zur Verwendung unfreier Apps für bestimmte Interaktionen.
Mir persönlich fällt in den letzten Jahren auf, dass Banken sehr stark versuchen, ihre unfreien Apps für Bankgeschäfte selbst und auch für die sogenannte Zwei-Faktor-Authentifizierung zu erfordern. Tatsächlich blockieren sie oft andere Authentifizierungsmethoden ganz. Das ist natürlich ein Problem für uns, und deshalb habe ich mich mit diesem Thema etwas genauer beschäftigt.
Das niederländische FSFE-Team hat hier einen wunderbaren Anfang gemacht, indem es eine Bank kontaktiert hat, um zu erfahren, warum sie es ihren Kunden erschwert, Freie Software zu benutzen. Meine Aufgabe war es, das Thema allgemeiner anzugehen. Leider war es sehr schwierig, direkt von Banken Antworten zu erhalten. Eine sehr häufige Rückmeldung war, dass es rechtliche Anforderungen gibt, die Dinge so zu tun, wie sie es tun, und die IT-Abteilungen vernünftige Entscheidungen getroffen hätten, die nicht zu sehr hinterfragt werden sollten.
Ein Grund, den die Banken manchmal anführten, war PSD2, eine EU-Richtlinie zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern. So wie ich es nach einigen Hintergrundrecherchen sehe, schreibt PSD2 offenbar keine genauen technischen Maßnahmen vor, auch nicht für den zweiten Faktor. So wie die Banken PSD2 interpretieren, bedeutet dies jedoch, dass sie die Authentifizierngs-Secrets an eine bestimmte Hardware binden müssen. Meiner Meinung nach ist diese Auslegung bereits das erste Problem für Freie Software, denn auch wenn dies keine rechtliche Anforderung ist, schließt es Zwei-Faktor-Lösungen wie TOTP aus, bei denen die Secrets auf mehreren Geräten verwendet oder einfach durch Verwendung einer entsprechenden TOTP-App extrahiert werden können.
Das zweite große Problem ist, wie Banken die Secrets an die Hardware binden: vollständig in Software. Dies macht es erforderlich, dass die Banking-Apps auf gerootete Telefone usw. prüfen, denn wenn ein Telefon gerootet ist, könnte das Secret theoretisch extrahiert werden. Die Root-Checks erfolgen in der Regel durch die Verwendung von Bibliotheken in den Apps, die Sicherheit auch in bösartigen Umgebungen versprechen, z.B. auf einem von Malware befallenen Telefon. Die Banken verlassen sich derzeit mehr auf solche Sicherheitsversprechen als auf tatsächliche Sicherheit, denn echte Sicherheit würde beispielsweise bedeuten, eine richtige Zwei-Faktor-Authentifizierung zu implementieren, statt zwei Apps auf demselben Telefon laufen zu lassen und diese Zwei-Faktor-Authentifizierung zu nennen.
In Kombination sind diese Probleme noch gravierender, da praktisch alle Banken das Verfahren so implementieren und es zu einer Art Best Practice geworden ist. Die Banken befürchten, dass sie bei einer anderen Vorgehensweise im Falle einer angeblich nicht autorisierten Transaktion haftbar gemacht werden könnten. Leider ist es, wie in anderen Bereichen auch, oft einfacher, das zu tun, was alle anderen tun, auch wenn es Schwächen hat, denn dann kann man sein Vorgehen wenigstens damit verteidigen, dass man sich an den "Standard" hält. Und in diesem Fall wird dadurch leider Freie Software eingeschränkt.
Eine Art Ausweg aus dieser Situation ist die Verwendung von Secure Elements in Telefonen. Durch deren Verwendung wären die Secrets tatsächlich an die Hardware gebunden. Das würde bedeuten, dass Freie Software das Secure Element ähnlich wie eine Smartcard nutzen könnte, indem wir es einfach nutzen, um eine Transaktion zu signieren. Dadurch wären Root-Checks und unfreie Apps nicht notwendig. Wie bei einer Smartcard würden jedoch in der Regel immer noch unfreie Schritte stattfinden, nur eben in Hardware. Auch dies wäre also keine perfekte Lösung.
Das größere Problem dabei ist jedoch, dass es keine Standardmethode für die Kommunikation mit Secure Elements gibt, was es für Banken schwierig macht, sie zu verwenden, und es würde erfordern, dass sie eine Liste von Secure Elements führen müssten, so wie eine Liste von CAs. Hinzukommt, dass die Banken wahrscheinlich nicht auf diese Lösung umsteigen, solange es keine Zertifizierung dafür gibt; solange sie eine funktionierende Lösung haben, gibt es einfach keinen großen Anreiz für sie, etwas zu ändern.
Eine Sache, die ich sehen konnte, ist, dass Banken oft noch ältere Standards verwenden, die den Zugang mit Freier Software ermöglichen könnten. Einige Apps geben zum Beispiel Fehlermeldungen mit HBCI-Fehlercodes aus. Das hörte sich zunächst vielversprechend an, denn wenn es irgendwo noch ein System gibt, das mit Freier Software kompatibel ist, dann könnten wir vielleicht darauf zugreifen. Leider ist es offenbar jedoch oft so, dass Banken eine weitere Schicht um eine ältere Schnittstelle herum bauen und dann nur noch die neuere Schicht nach außen verfügbar machen. Das mag aus Sicherheitsgesichtspunkten sogar sinnvoll sein, wenn die Wartung dieser älteren Systeme schwierig ist. Auf diese Weise können Banken intern weiterhin Legacy-Systeme einsetzen, ohne dabei Sicherheitslücken öffentlich angreifbar zu machen, und gleichzeitig haben sie nach außen hin moderne Schnittstellen zur Verfügung. Das bedeutet, dass es leider zu kurz gedacht ist, dass wenn Banken intern HBCI nutzen, sie uns einfach weiterhin Zugang dazugeben könnten.
Ein weiterer Lösungsansatz besteht darin, dass Banken verpflichtet sind, Dritten Zugang zu gewähren, um neue Dienste auf Basis bestehender Bankkonten zu ermöglichen. Dies würde es theoretisch erlauben, einen solchen Dienst in Freier Software anzubieten, aber in der Regel ist für die Anmeldung immer noch die sogenannte Zwei-Faktor-App der Bank erforderlich, sodass uns auch das nicht viel hilft.
Irgendwann dachte ich, es gäbe ein Beispiel für eine Bank, die TOTP als zweiten Faktor (und Anmeldung ohne zweiten Faktor) zulässt: Paypal. Aber soweit ich weiß, tritt Paypal hier nicht als Bank, sondern als Zahlungsanbieter auf und nutzt seine Banklizenz für andere Dinge. Das bedeutet, dass Paypal zwar auf den ersten Blick wie ein positives Beispiel in dieser Hinsicht aussieht, es aber doch nicht ist, weil die Anforderungen an Zahlungsdienstleister sehr anders als die für Banken sind.
Ich bin neugierig, was ihr über dieses Thema denkt. Welche Erfahrungen habt ihr mit eurer Bank gemacht? Wie macht ihr euer Banking? Gibt es einen wichtigen Aspekt, den ich übersehen habe? Ich freue mich über jede Rückmeldung.
Ich nutze chipTAN bei der DKB und der Sparda. Die dritte im Bunde (Haus Kredit) nutzt auch chipTAN, unterstützt aber nur das eigene Gerät (34€) und kann mit dem chipTAN von Reiner nichts anfangen ...oder möchte nicht! Einer App trotze ich nach wie vor entgegen, obwohl mich das einiges extra kostet und ich immer wieder gegängelt werde. Die DKB z.B. hat auf eine neue WebGUI umgestellt und nur für diesen Wechsel musst du zwingend die App nutzen. Danach sollte es wieder mit chipTAN gehen. Total stupide! Ich habe die DKB dazu angeschrieben und erklärt, dass ich die App weder nutzen kann noch möchte. Sollte dies zwingend erforderlich sein, würde ich mein Konto auflösen und die Bank wechseln ...und das ist keine Drohung, sondern ein Versprechen! Antwort DKB Support: Sie arbeiten an einer Alternativ Lösung für den Wechsel der WebGUI. Das versteht kein Mensch. Ich warte also ab wie die das lösen und im Zweifel werde ich die Bank wechseln (großer Aufwand!). Ansonsten lebe ich ganz gut mit chipTAN, musste aber leider über die Jahre hinweg schon mehrere TAN Generatoren kaufen. Mich nervt das Thema einfach nur. Toll das du dich damit beschäftigst und in dem Artikel verfasst hast. Danke
Ich nutze ChipTAN-QR (Reiner) und ChipTAN mit Kartenleser (Reiner) bei der Sparkasse, HBCI mit Kartenleser (Reiner) bei der Volksbank und ChipTAN-QR (proprietär) bei der Volkswagen Bank. Bei allen musste mit Hinweis "das ein Smartphone kein akzeptabler Faktor ist" etwas nachgebohrt werden. Letztendlich hatten aber alle eine akzeptable Lösung. Banking läuft im Browser oder per Moneyplex (unfrei). Letzteres eher "historisch". Das ist von der Migration Windows zu Linux übrig geblieben.
Hallo Leidensgenosse. Ich kann dir als ebenfalls App-loser DKB-Kunde die frohe Botschaft überbringen, dass seit neulich irgendwann der Login im neuen Banking auch ganz ohne App per ChipTAN funktioniert. Du hast bisher aber nichts verpasst. Das neue UI ist furchtbar und dazu noch total unvollständig. Will sagen, man wird für alle möglichen Aktionen ins alte Banking umgeleitet. Ich bin mit dir einer Meinung, dass der Druck, der Richtung App-Nutzung aufgebaut wird, sehr unsympathisch ist.
Hallo,
ich bin ebenfall Kunde der DKB und kann egtl. auch nur schlechtest berichten. Die IT-Kompetenz und damit eine Sensibilität für Sicherheit ist leider sehr gering, was allerdings ein branchenweites Phänomen zu sein scheint. Zum Glück ist es nicht meine Haupt-Bank. Immer wenn sie mir mal wieder etwsa aufzwingen wollen, versuche ich es bestmöglich auszusitzen, aber sie machen es einem wirklich immer schwieriger..
Wirklich interessant. Danke vielmals für den Artikel. Beim Lesen habe ich mir die Frage gestellt, ob es nicht vielleicht doch Banken gibt, die doch neue Wege in technischer Hinsicht beschreiten, weil sie auch sonst nicht unbedingt dem Mainstream folgen. Ich denke hier z.B. an die ABS (Alternative Bank Schweiz), Banca Etica (IT), Triodos (NL) oder auch GLS aus Deutschland. Vielleicht könntest Du Dich ja bei denen Mal umschauen?
Ich habe ein Tagesgeldkonto bei Triodos und muss zur Anmeldung und für Transaktionen als zweiten Faktor die APP SecureGo Plus nutzen, die wohl auch die V&R-Banken verwenden 😖 Hätte ich ein Girokonto mit Karte, ginge es wohl auch mit Kartenleser. Also nicht großartig anders, als bei allen anderen 🤷🏻
Vielen Dank für die Nennung von mehreren Banken, die da vielversprechend sind. Triodos ist tatsächlich die Bank, die das niederländische Team angeschrieben hat und GLS habe ich versucht. Leider kamen aber von egal welchen Banken keine tiefergehenden Antworten.
Viele von den oben genannten sind in einem europäischen Verband zusammengeschlossen. Es könnte eventuell auch helfen, sich direkt an den zu wenden. Vielleicht sind die ja interessiert, sich mit dem Thema zu beschäftigen. https://febea.org/members/
GLS ist eine Genossenschaftsbank und wird damit von der Atruvia betreut. Damit ist das Verfahren festgelegt.
Ich nutze ChipTAN-QR mit einem Reiner Kartenlesegerät bei der Sparkasse. Funktioniert sehr gut. Hoffentlich bleibt diese Möglichkeit erhalten. Ich nutze keine App fürs Onlinebanking sondern nur die Internetseite im Browser.
Ist bei mir auch so. Ich bin bei der Noris-Bank und nutze dort das photoTAN-Lesegerät. Muss man extra bestellen (kostenfrei), aber anschliessend ist man unabhängig von Smartphone oder Betriebssystem. Homepage der Noris-Bank im Browser aufrufen, die üblichen Zugangsdaten eingeben und dann bei Transaktionen mit dem Lesegerät die photoTAN-Grafik einscannen, um den einzugebenden Code zu erhalten.
Die PSD schreibt grob gesagt vor, dass die Authentifizierung durch 2 unterschiedliche Elemente abgesichert werden muss, aus folgenden Kategorien:
Hallo, hätte jemand einen schöne Text-Vorlage, wie ich meine Banken (FYI: Sparkasse, DKB und Triodos NL bzw Triodos DE, GLS) gängeln könnte, so wie sich mich ständig gängeln propritären Mist zu installieren?
Banken und Sicherheit ... Ich bin froh, dass meine Genossenschaftsbank ein TAN-Gerät anbietet. Karte rein, Code vom Bildschirm abscannen und das war's schon. Damals hatte ich nur ein altes Jolla Phone.