DSGVO-konformes Banking nur noch gegen Aufpreis?
kuketz-blog.de/dsgvo-konformes…
DSGVO-konformes Banking nur noch gegen Aufpreis?
Immer mehr Banken vollziehen derzeit Umstellungen, die kostenloses Online-Banking nur noch mit der jeweiligen mobilen App ermöglichen – die nur über Play/Apple-Stores (und mit Ausnahme…Kuketz IT-Security Blog
Brodulf 🇮🇱 🇺🇦
in reply to Mike Kuketz 🛡 • • •Ich bin gerade dabei die DKB zu verlassen. Ich habe als Alternative die PSD Nürnberg gefunden.
psd-nuernberg.de/service-banki…
Kann aber leider noch keinen Erfahrungsbericht abgeben, die Unterlagen zum neuen Konto sind erst letzte Woche angekommen. 😁
IzzyOnDroid ✅
in reply to Brodulf 🇮🇱 🇺🇦 • • •IzzyOnDroid ✅
Unknown parent • • •@brodulf Ich warte noch auf die finale Antwort der DKB. Die drängelt zwar schon, dass ich den neuen AGB noch nicht zugestimmt habe – darauf habe ich geantwortet, dass ich sie zuvor am Zug sehe.
Habe ihnen sogar angeboten, Ihnen beim "zu F-Droid bringen" helfen würde. Und einen Tipp gegeben, wie sie "Firebase Analytics" komplett aus der App verschwinden lassen können.
Muss wohl wieder einmal nachharken – das ist schon wieder 3 Wochen her…
IzzyOnDroid ✅
Unknown parent • • •@brodulf … und davon ganz abgesehen, funktioniert die Visa-Debit offensichtlich nicht so toll, wie die Hochglanzfolien uns glauben lassen wollen. Versuch mal mit dem Teil in kleinen Shops (in denen die Girocard problemlos funktionierte) zu bezahlen. Im Netz sammeln sich die Berichte von Fällen, in denen das halt nicht ging: "Karte nicht akzeptiert".
Sinnvoller wäre aus meiner Sicht, die Girocard kostenlos beizubehalten und die Visa kostenpflichtig. Nicht gewollt wie es scheint. Warum?
Jakob
in reply to Mike Kuketz 🛡 • • •IzzyOnDroid ✅
in reply to Jakob • • •@Jakob Sicher? Nach meinen Informationen kommt auch die App der GLS mit Firebase (FCM) und, je nach Ausprägung, zusätzlich mit Crashlytics. Laut Exodus sogar zusätzlich noch mit Firebase Analytics: reports.exodus-privacy.eu.org/…
Außerdem braucht es auch dort wieder ein Google-Konto – da die App nur in den "offiziellen Stores" verfügbar ist. Und nein, Aurora ist da keine Antwort, allenfalls ein Work-Around.
εxodus
reports.exodus-privacy.eu.orgsibylla
in reply to IzzyOnDroid ✅ • • •Die TAN-App der GLS-Bank "SecureGo Plus" kommt ohne Tracker aus, nicht die Online Banking App.
Die PSD München-Augsburg wechselt jetzt auch von SecureGo (2 Tracker) auf SecureGo Plus.
Ich mache bei der PSD-Bank auch Chip-TAN. (Hab aber noch eine GiroCard)
IzzyOnDroid ✅
in reply to sibylla • • •IzzyOnDroid ✅
in reply to sibylla • • •sibylla
in reply to IzzyOnDroid ✅ • • •Ich hab die App via Aurora bezogen und nutze sie auf einem Google-freien LOS-Phone ohne MicroG.
IzzyOnDroid ✅
in reply to sibylla • • •@sibylla Klingt nach einem "halbwegs brauchbaren" Work-Around. Wäre trotzdem wünschenswert, dass es sowas auch außerhalb der US-Stores gäbe.
Habe übrigens gerade mal geschaut: Erfreulich viele der reinen 2FA-Apps scheinen zumindest Tracker-frei zu sein. Leider nicht alle, und leider bieten auch nicht alle Banken eine solche an. Die könnte ja analog zu ChipTAN auch per NFC den Chip und per Camera den QR-Code lesen, also ohne Netz auskommen… Ach so, die Karte fehlt ja dann 🤦♂️
sibylla
in reply to IzzyOnDroid ✅ • • •ich reg mich ständig darüber auf, dass es viele Apps nur im PlayStore gibt. Vor allem solche, die ich mit meinen Steuern bezahlt hab. 😡 Für mich ist Aurora aber kein Workaround sondern die Rettung, wenn ich eine solche App brauche.
reports.exodus-privacy.eu.org/…
play.google.com/store/apps/det…
SecureGo Plus hab ich nur aus Neugier installiert. Ich wollte wissen, ob es auf meinem Handy läuft.
SecureGo plus - Apps on Google Play
play.google.comIzzyOnDroid ✅
in reply to sibylla • • •sibylla
in reply to IzzyOnDroid ✅ • • •Ich weiß nur, dass sie bei der GLS-Bank und bei der PSD-München läuft. Bei den Zweien sieht auch das Online-Banking sehr ähnlich aus. Und sie wird mit der neuen Kreditkarte laufen. Ich vermute, dass sie bei allen PSD-Banken läuft. Darüber hinaus wage ich keine Vermutung anzustellen. 🤔
IzzyOnDroid ✅
in reply to sibylla • • •sibylla
in reply to IzzyOnDroid ✅ • • •Firebase? Ist das für die Push-Nachrichten?
Also:
ich habe die App SecureGo plus mehrfach für Überweisungen von der GLS-Bank erfolgreich mit meinem Handy benutzt. Bei der PSD-München habe ich sie noch nicht freigegeben, aber ich gehe davon aus, dass sie da genauso funktioniert.
Man bekommt halt keine Push-Nachrichten. Die kognitive Leistung, dass man eine App, die man benutzen möchte, auch öffnen muss, muss man spontan ohne Anstoß von außen (Google) erbringen. 😎
IzzyOnDroid ✅
in reply to sibylla • • •@sibylla "Die kognitive Leistung…" 🤩 DANKE! Made my day. Endlich mal jemand, der Bequemlichkeit (soweit möglich) hinten anstellt (ist ja sooo umständlich¹). Joa, dann könnte man doch eine Variante ohne Feuerbasis für F-Droid machen. (TRÄUM)
Wer klopft da mal an?
¹ Oh wunder, bei der Postbank muss man das TROTZ Push, wie ich letztens festgestellt habe. Gucke 3min doof auf das Teil, dann langt's mir und ich öffne die App – und sehe gerade noch das Timeout… 🤦♂️
sibylla
in reply to IzzyOnDroid ✅ • • •Timeout trotz Push, ich lach mich schlapp. 🤣 🤣
Falls du die SecureGo plus mal mit PSD testen willst, musst du zum Freischalten der App das NEUE Online-Banking benutzen, das alte bietet nur die SecureGo an. Die sind auch in der Umstellung.
Das wäre natürlich super, die App bei F-Droid. 👍
IzzyOnDroid ✅
in reply to sibylla • • •@sibylla Ich wusste nicht ob ich lachen sollte oder heulen, aber ja 🤣
Und nein, ich nutze kein "Online-Banking". Ich mach das Offline, und meine Banking-Software kümmert sich um den Abgleich via HBCI/FinTS. Damit habe ich alle Daten lokal, wenn ich mal was suche – was des Öfteren vorkommt…
IzzyOnDroid ✅
in reply to sibylla • • •@sibylla Hm, was mir dennoch leichte Kopfschmerzen macht sind die Berechtigungen (obwohl sie u.U. berechtigt (oops) sind): Internet + GMS zusammen mit QUERY_ALL_PACKAGES. Wer will denn da wissen, welche Apps ich so installiert habe? Und wofür wird die CAMERA gebraucht – ah, QR Scanner, OK. Vielleicht auch vom Bildschirm? Oder woher kommen die Überweisungs-Details?
Vielleicht bin ich nur paranoid – aber hinterfragen darf man ja, oder? 😉
sibylla
in reply to IzzyOnDroid ✅ • • •@IzzyOnDroid
Leider weiß ich nicht, ob/wie ich eine Berechtigung wie QUERY_ALL_PACKAGES in LineageOS entziehen kann. Sonst würde ich das einfach mal testen.
Die Camera-Berechtigung hab ich entzogen, die Überweisungsdetails kommen über das Netz und werden dann am Handy-Display angezeigt.
Ach ja und ein bisschen Paranoia schadet doch wirklich nicht. 😀 😎 🕵️
IzzyOnDroid ✅
in reply to sibylla • • •@sibylla Manche Berechtigungen kann man als normaler User nicht behandeln – diese gehört wohl dazu. Anahnd der Beschreibung konnte ich allerdings nicht erkennen, wozu die App sie bräuchte.
Überweisungsdetails über's Netz: Wenn Du keine GApps installiert hast, sollten die schonmal nicht via FCM kommen – also hoffentlich direkt vom Bankserver. Da closed-Source kann man nicht nachschauen (allenfalls mit zB PCAPDroid den Netzwerkverkehr beobachten).
Und ja, ein wenig Para-Neu-Jaaa! 🤣
lluni
in reply to IzzyOnDroid ✅ • • •@IzzyOnDroid
Es gibt hier einen aktuellen Artikel aus dem Handelsblatt:
12ft.io/proxy?q=https%3A%2F%2F…
(Paywall gebypassed)
TL;DR: Die Debitkarten ermöglichen Online-Bezahlung, Bezahlung im Ausland und natürlich (deutlich) höhere Umsätze für Visa/Mastercard
12ft |
12ft.ioIzzyOnDroid ✅
in reply to lluni • • •Cordialis
in reply to IzzyOnDroid ✅ • • •@IzzyOnDroid @brodulf Danke für deine Arbeit! Ich bin gespannt, ob und was dann kommt.
Halte uns gerne auf dem Laufenden 😊
IzzyOnDroid ✅
in reply to Cordialis • • •BIBOKoeln
in reply to Mike Kuketz 🛡 • • •Was ich nicht weiß, erleichtern diese "Tools" dem App-Programmierer seine Arbeit durch nützliche Funktionen in Bezug auf die App an sich?
Axel
in reply to BIBOKoeln • • •Vielen Dank @IzzyOnDroid für den tollen Artikel im @kuketzblog
Leider scheint mir @BIBOKoeln's Einschätzung sehr realistisch: Auf meine Anfrage hin, warum die 'DKB die App nicht auf #FDroid anbietet und den Betrieb der App auf CustomROMs
verhindert, kam die Antwort:
"Für Sie ist die Möglichkeit zur individuellen Anpassung sicherlich sehr
komfortabel. Jedoch sind damit erhebliche Sicherheitsrisiken für die
Nutzung des Bankings auf Ihrem Gerät verbunden.
(1/3)
IzzyOnDroid ✅
in reply to Axel • • •@tetrapyloctomist @BIBOKoeln Muahahaha… Nur weil ich auf einem Standard-Android-Gerät keinen Playstore nutze und meine Apps lieber von F-Droid beziehe? Da sehe ich eher einen Sicherheitsgewinn. Es gibt schließlich auch zertifizierte Google-freie ROMs direkt vom Hersteller (z.B. @shiftphones – Artikel dazu in Kürze bei mir). Bootloader zu, SafetyNet grün. Und jetzt, DKB?
Wen das noch stört: Schreibt Eure Bank an! Je mehr das tun, desto größer die Chance auf Besserung.
Axel
in reply to IzzyOnDroid ✅ • • •Axel
in reply to Axel • • •@IzzyOnDroid @BIBOKoeln
"Dieses Problem
greift auch die EU-Zahlungsdiensterichtlinie PSD2 auf. Sie schreibt unter
anderem vor, dass unsere Apps für das Banking geeignete Sicherheits-
maßnahmen nutzen müssen, zu denen z.B. eine Root-/Jailbreak-Erkennung
gehört.
Bitte haben Sie Verständnis, dass Ihre und die Sicherheit unseres Bankings
für uns oberste Priorität haben. Daher können wir die Nutzung der
TAN2go-App auf Handys mit Administrationsrechten nicht zulassen."
(2/3)
IzzyOnDroid ✅
in reply to Axel • • •für uns oberste Priorität haben" – dann gebt die Girocard (oder die für Eure Geschäftskunden reservierte Bankingcard) gratis raus. Nebenbei: Wird auch unterbunden, Tan2Go auf dem gleichen Gerät wie die Banking App zu nutzen? Nein? 🤔 Da liegt aus meiner Sicht ein weit größeres Risiko. Oder auf veralteten Android-Versionen? Sicherheitspatch 2018? Hoppla… Falsche Ausrede liebe Bank, sorry.
IzzyOnDroid ✅
Unknown parent • • •@th_willenbrink @brodulf Man könnte den Kunden auch die Wahl lassen, ob sie die Girocard behalten oder auf die Debit-Visa wechseln möchten. Die JEWEILS ANDERE Karte könnte dann OPTIONAL zusätzlich (und dann natürlich auch gegen Aufpreis) bereit gestellt werden.
Damit wäre dann allen geholfen: Die ChipTAN-User bleiben bei der Girocard, wer will wechselt zur Vida Debit, und beide sind happy.
IzzyOnDroid ✅
Unknown parent • • •@th_willenbrink @brodulf Haha, mache ich genau umgekehrt: Wenn der Händler partout ein Smartphone will, muss er sich selbst eins kaufen 🙈 Ich lass mich doch nicht auf Schritt und Tritt verwanzen.
Dass die Girocard nicht gepflegt wird, ist dann wohl auch gewollt (sonst hätte man sie ja pflegen können). Aber sich deswegen jetzt von Cloud-Diensten und US-Unternehmen abhängig zu machen, halte ich für den völlig falschen Weg.
IzzyOnDroid ✅
Unknown parent • • •IzzyOnDroid ✅
Unknown parent • • •IzzyOnDroid ✅
Unknown parent • • •@th_willenbrink Kann ich nachvollziehen, ja. Andererseits gibt es da auch gesetzliche Verpflichtungen (ich erwähne nochmal das böse Wort: DSGVO), and die sich die Banken halten müssen (aber wie getippst nicht tun).
Aber gut jetzt: unsere Meinungen gehen da leicht auseinander, und das ist völlig in Ordnung. Ich denke wir können das gegenseitig akzeptieren (was ich toll finde). Wir müssen uns da ja nicht gegenseitig überzeugen 😄