Banking kaputti!

Früher war Banking noch einfach

Irgendetwas läuft gewaltig schief beim Internet-Banking!

Seit weit über 30 Jahren nutze ich den Kontozugriff über die Telefonleitung. Anfangs noch via BTX, später über das Internet.
Mit Pin/TAN auf Papier oder HBCI per Chipkarte.
Über die Banken-Webseite oder am liebsten mit speziellen Programmen, wie Wiso Mein Geld, StarMoney, Quicken und ähnlichen.
Das hat alles gut funktioniert und war auch hinreichend sicher.

Bis zu dem Zeitpunkt, als die Banken wegen PSD2 in Panik gerieten.
Seither ist alles anders. Es funktioniert nichts mehr und in der Online-Banking-Welt herrscht das totale Chaos.
Allerdings habe ich auch den Eindruck, dass das von gewissen Kreisen in der EU so gewollt ist.
Bankster sind überall!

Online-Banking mit PIN/TAN auf Papier war technologisch ausreichend sicher. Das einzige Problem sind die Benutzer, die gedankenlos überall drauf klicken. Da ist dann mal ein PC Viren-verseucht oder man ist so naiv und gibt auf Anfrage von angeblichen Bank-Sicherheitsberatern seine PIN und die Tanliste auf einer Webseite ein oder verschickt diese per eMail.

Um die Benutzer zu schützen, haben die Banken alternative Wegen eingeführt, TANs via Handy-App, SMS oder mit einem kleinen Lesegerät, das man an den Bildschirm halten musste und das per Blink-Code eine TAN generiert hat.
Auch das ist technisch ausreichend sicher. Der “Schwachpunkt MENSCH” bleibt aber und daher kann auch dieses System ausgehebelt werden.

Banking mit HBCI und Chipkarte war sehr komfortabel und sicher.
Verschlüsselte Kommunikation über spezielle Kanäle, Anfangs über ISDN, später auch über das Internet. Tolle Lösungen mit bankeigenen Programmen wie z.B. SFIRM, aber auch mit universellen Bankingprogrammen wie oben genannt. Aber aus irgendwelchen Gründen war das offiziell nur für Firmen und wurde von den Banken kaum verbreitet.

Diese gut funktionierende Banking-Welt wurde mit PSD2 im Auftrag der EU eingerissen. Seither funktioniert nichts mehr wie zuvor.
Bei der einen Bank funktioniert keine Überweisung mehr über HBCI, die andere schafft das System gleich ganz ab. Wieder eine andere Bank führt ein System ein, das eine andere gerade abgeschafft hat.
Totales Chaos.

Man soll jetzt über die Webseite der Bank arbeiten, Bankingprogramme am PC sind nicht mehr modern genug. Das Tolle am Webseiten-Banking ist natürlich, dass die Banken einem bei jedem Login Werbung präsentieren können. Da freut man sich richtig, wenn man sich erst mal bis zu seinem Konto durchklicken darf.

Besser noch ist das Banking per App.
Wer glaubt, dass die Bank-Apps sicher sind, der glaubt auch an den Weihnachtsmann.

Bankprogramme, die über HBCI mit Chipkarte über einen verschlüsselten Kanal mit dem Bankrechner kommuniziert haben, waren schon immer sicher.
Irgendwelche von der Bank zusammengestückelte APPS auf einem Handy, das schutzlos dauerhaft im Internet hängt und vielleicht seit 2 Jahren keine Sicherheitsupdates mehr erhalten hat, sind es definitiv NICHT!
Ist es besonders sinnvoll, dass jede Bank eine eigene APP hat?
Alle Apps werden unterschiedlich bedient, sind vielleicht von verschiedenen Softwareklitschen programmiert, von denen man sonst noch nie gehört hat. Einen Standard gibt es nicht. Das soll sicher sein?

Wieso muss man bei manchen Banken alles über oder zumindest mit Hilfe einer Handy-App erledigen?
Zugegeben, die Apps sind meistens recht bequem, das ist aber auch schon alles.
Benötigt man wirklich immer und überall, auch unterwegs, Vollzugriff auf sein Konto?
Ein Handy kann herunterfallen, geklaut oder gehackt werden, geht verloren, wird zerstört. Dann ist der Zugriff auf das Konto weg.
Aber die sicheren System sind einfach nicht mehr modern genug. Veraltet, langweilig, unerwünscht.

Beispiele

DIBA:
Wieso sollte man auf der Mini-Tastatur am Handy eine IBAN eintippen? Das geht doch theoretisch komfortabler am PC!
Mit WISO Mein Geld ging das bisher problemlos, mittlerweile ist aber über HBCI nur noch der Kontoabruf möglich, Überweisungen funktionieren nicht mehr, das wurde einfach abgeschaltet.

Der moderne Weg am PC geht so:
Für eine Überweisung geht man auf die Webseite der Bank, geniest die Werbung, loggt sich ein:
Zugangsnummer, Internetbanking PIN, dann im nächsten Feld den DIBA-KEY. Dann das Handy zur Hand nehmen, um das Login zu bestätigen. Anmelden am Handy, App laden, Banking-PIN eingeben.
Anmeldung am PC bestätigen. Zur Bestätigung nochmal die PIN eingeben. Warten. Werbung anschauen. (Beim Schreiben dieses Textes auf dem Handy für “FONDSHELDEN”, am PC irgendeine “ANALYSE”)
Klick auf das Girokonto, Überweisung starten, umschalten zum Handy, Freigabe mit Banking-PIN. Puh, fertig.
Das ist ja super komfortabel – NICHT!

Gleiches bei der N26
Eine lokale Volksbank wurstelt anscheinend weiter wie bisher, die Sparkasse führt ein System ein, das eine andere Volksbank gerade wegen PSD2 abgeschafft hat.
Bei der Comdirect benötigt man eine APP als TAN-Generator.
Alles schön auf dem Handy.

2-Faktor Authentifizierung in einer App?

Seltsamerweise wird der 2. Faktor, also die Auftrennung auf 2 Wege für die Sicherheitsfreigabe, auf dem Handy einfach abgeschafft.

Früher gab es PIN und TAN auf Papier, dann die TAN mit TAN-Generator oder SMS. Getrennte Medien für die Übertragung. Alles hinfällig.

Die APPS machen das alles intern, die haben die Sicherheit ab Werk verbaut und sind sicher. Kann man glauben oder auch nicht.
Mit den meisten Banking-Apps hat man vollständigen Kontozugriff, sobald man sich angemeldet hat.

Jedenfalls herrscht aktuell totales Chaos.

Zweithandy fürs Banking

Ich wollte niemals meine gesamten Bankdaten auf dem Handy mit herumtragen.
Deswegen habe ich mir ein billiges Handy zugelegt, bei einem Hersteller, der regelmäßig Updates verteilt.
Dieses Handy hat eine Prepaid-SIM-Karte von Netzclub (günstigste Lösung für sowas). Es bekommt KEINEN mobilen Datenzugriff und liegt nur zuhause. Damit kann es schon mal nicht verloren gehen.
Außerdem laufen alle Internet-Zugriffe über das hausinterne Netz und können per Firewall und mit verschiedenen Tools einigermaßen gesichert werden. Das Handy ist nur für das Banking zuständig.

Open Banking

Ein “nettes” Feature, welches mit PSD2 eingeführt wurde, ist das “open banking”. Damit müssen Banken Drittanbietern Zugriff auf die Konten ermöglichen. Hört sich komfortabel an, wenn mit einer App die Konten aller Banken auf dem Handy sind. Aber ganz ehrlich – wer ist so bekloppt und gibt irgendeiner unbekannten Firma seine Kontozugangsdaten?
Da bastelt ein Startup eine App, meldet eine GmbH an und bietet ganz tolle Finanzdienstleistungen.
FINTECHS nennt man diese modernen, hippen Firmen.
Superduper Dienstleister, das braucht jeder, ohne sowas ist man hoffnungslos veraltet.
Falls da jetzt irgendein krimineller Mitarbeiter mal eben die Kundenkonten leerräumt, dann ist das halt dumm gelaufen. Man hat ja freiwillig seine Kundendaten weitergegeben.
Tja, denkste, der letzte Satz war eher ein Traum!
Der Witz am “open banking”: man muss da nicht mal wirklich seine Einwilligung geben, die Bank darf das nicht einmal prüfen. Sie muss anfragenden Dienstleistern den Zugriff gewähren. Also irgendein Dienstleister kann problemlos auf ein Konto zugreifen, ohne dass der Kontoinhaber das mitbekommt. Das ist natürlich total im Sinne der DSGVO.

Man stelle sich vor:
Firma XYZ fragt bei der Bank Kontodaten ab, ohne dass der Kontoinhaber zustimmen muss und die Bank muss diese Abfrage ausführen. Das ist ja toll!
Wer das nicht glaubt, darf gerne die PSD2-Richtlinien durchlesen.
Das machen vermutlich die Wenigsten, wie sonst ist zu erklären, dass es noch keinen Aufschrei gibt?

Ich hatte ja schon Probleme mit meinem Prepaid-Handy-Vertrag.
Gerne hätte ich die automatische Aufladung, aber dafür muss ich bei Vodafone “aus Sicherheitsgründen” die erste Ladung per Überweisung über einen Dienstleister durchführen, dem ich PIN und TAN für mein Konto geben soll.
Wie bekloppt ist das denn? Die können (und machen das auch, zumindest nehmen sich die Firmen das Recht per AGB und Datenschutzhinweis – das liest ja auch niemand) erst mal die Kontobewegungen der letzten Wochen und Monate abrufen und ein Profil erstellen, während sie die Überweisung durchführen.

Außerdem: Früher war es mal verboten, PIN und TAN für andere Zwecke als direkt bei der kontoführenden Bank zu verwenden. Heute sehen die Konzerne das nicht mehr so genau. Den Ärger hat ja im Zweifelsfall der Kunde.
Mit PSD2 wird das jetzt alles legalisiert, ausgebaut und sogar zwangsweise eingeführt.

Also nicht wundern, wenn irgendwann mal das Konto leer ist.
Das ist alles nur zum Wohle der Kunden.

Schöne neue Banking-Welt.

Kleine Anekdote:
Der Sparplan unseres Juniors ist ausgelaufen. Ich bin daher mit einer fertig geschriebenen Kündigung zur Bank, habe dort den Schrieb und das Sparbuch übergeben, der Bankmitarbeiter hat alles angeschaut und dann erklärt, es sei soweit ok.
Das Geld würde wie gewünscht nach Ende der Kündigungsfrist auf das angegebene Konto überwiesen.

Er war ganz erstaunt, dass ich eine Quittung wollte. Immerhin hatte ich ihm das Sparbuch übergeben und damit keinerlei Nachweis mehr über das Eigentum am Konto.
Er hat mir dann auf einer Kopie meines Schreibens den Erhalt des Sparbuchs bestätigt, mit mehreren Stempeln und Unterschrift.
Fertige Belege oder Bescheinigungen gibt es bei der Bank dafür nicht, anscheinend ist es nicht vorgesehen, dem Bankkunden eine Quittung auszustellen. Da muss man der Bank schon vertrauen.

Sollte man der Bank wirklich so weit vertrauen, um so etwas ohne Beleg durchzuführen?

Ich vertraue niemandem. Zumindest keiner Bank!


Schreibe einen Kommentar

Deine Email-Adresse wird nicht veröffentlicht.