zur Startseite

Druckausgabe von https://privat.albicker.org
Iveco Daily 4x4, Hunde und multithematisches Blog

Postbank mal wieder: Bestsign und die Abschaltung der chipTAN

veröffentlicht am 18.08.2021 - aktualisiert am 21.08.2021 mit 1733 Worten - Lesezeit: 9 Minute(n) in * GEBRABBEL * SOFTWARE *

Inhaltsverzeichnis

 

Seit gestern beaufschlagt die Postbank ihre Kunden im Online-Banking mal wieder mit einer ultimativen Ansage.

Die Kommunikation der Postbank zur ChipTAN

Nach Anmeldung auf der Online-Banking-Seite erscheint diese “Information”:

Sie nutzen Postbank chipTAN. Dieses Sicherheitsverfahren werden wir bald abschalten.

Warum dieser Schritt? Wir entwickeln uns und unsere Systeme kontinuierlich weiter und möchten unseren Kunden daher auch stets die modernsten, sichersten und komfortabelsten Sicherheitsverfahren anbieten. Dies alles erfüllt das Postbank BestSign-Sicherheitsverfahren. Bereits mehr als 80 % unserer Kunden schenken Postbank BestSign ihr Vertrauen.

(Hervorhebungen durch den Autor)

chipTAN

Zum immer wieder gern gestreßten Begriff “Sicherheit” ist auf der BestSign-Seite der Postbank zu lesen:

Stiftung Warentest/Finanztest hat in der Ausgabe 08/19 die Sicherheitsverfahren der Banken getestet. BestSign mit Zusatzgerät, das digitale Signaturverfahren der Postbank, erhielt im Ranking „Sicherheit“ – ebenso wie chipTAN – die Bewertung „Sehr hoch“.

=Bildbeschreibung=

Warum gibt es dann einen Handlungsbedarf?
Interessanterweise steht dort auch zu lesen:

BestSign per App bewerteten die Tester mit „Hoch“.

Da soll sich also der geneigte Kunde sein sehr sicheres ChipTAN abschwatzen lassen und am liebsten gegen eine nur sichere App tauschen?

Nein, nicht abschwatzen lassen, es wird deutlich gefordert:

Was heißt das für Sie? Sie müssen künftig Postbank BestSign als Sicherheitsverfahren nutzen - entweder mit einem Gerät oder als App. Ein Gerät für Postbank BestSign können Sie versandkostenfrei über unsere Webseite oder in einer Postbank Filiale erwerben. Die Postbank BestSign App erhalten Sie kostenlos im App Store oder Google Play Store.

(Hervorhebungen durch den Autor)

Die nur mäßig sichere App wird als kostenlos beworben, über die Kosten des Geräts schweigen sich die Postbankler wohlweislich aus, hier wird nur auf die Versandkosten abgehoben. Denn:

Die Umstellung wird Ihnen leichtfallen

Selten so gelacht.

SealOne BestSign

Die Firma SealOne schreibt auf ihrer Internetseite über sich selbst:

Die Seal One AG mit Sitz in Frankfurt am Main ist ein innovatives Unternehmen, welches auf die Entwicklung und Vermarktung von benutzerfreundlichen Sicherheitslösungen spezialisiert ist.
Seal One AG – eine 100%ige Tochtergesellschaft der NOVOSEC AG.

Und die Firma Novosec AG bezeichnet sich selbst als Erfinderin der mTAN, wie dieser Artikel zeigt. Mit deren Sicherheit ist es spätestens mit dem Erwerb eines sog. Smartphones (Taschenspion) vorbei.

SealOne selbst sieht sich so:

Die Seal One AG wurde im Jahr 2009 gegründet und hat es sich zum Ziel gesetzt, die veralteten TAN basierten Lösungen durch moderne, benutzerfreundliche Signaturlösungen zu ersetzen und gleichzeitig neue Geschäftsmodelle auf Basis dieser Infrastruktur zu ermöglichen.

Zur Sicherheit haben die Tester der Stiftung Warentest die Online-Banking-Verfahren von 22 Kreditinstituten geprüft. Dazu gehörten aktuell etwa ChipTan, PhotoTan und BestSign in Verbindung mit einem Kartenlesegerät sowie das App-basierte QR-TAN, berichtet “Finanztest” (Ausgabe 11/18).

Das SealOne BestSign-Gerät

Die drei sichersten Methoden gewährleisten die höchste Sicherheit nur, wenn Zusatzgeräte wie TAN-Generatoren und Lesegeräte genutzt werden. Die Kosten für die Hardware liegen je nach Bank zwischen knapp 9 und 30 Euro - das schrieb Finanztest Ende 2018.

Nun stellt SealOne für die angebotenen Geräte ausführliche Unterlagen im Shop zur Verfügung. Diese beschreiben sowohl die Funktion/Anwendung dieser Geräte als auch die Installation für alle unterstützten Betriebssysteme. Dort ist auch die Rede von einer Software, die ausgeführt werden muß, um das Gerät zu betreiben.

SealOne 2200 Gerät

Daraus habe ich für das von mir genutzte Linux einige Fragen abgeleitet und an den Kundenservice gerichtet. Die Antworten waren sehr genau und haben auch Einblick in die Funktion gegeben, ich zitiere auszugsweise:

Wie wird die Software ausgeführt?

Die Applikation benötigt keine speziellen Rechte und kann im Kontext eines normalen oder eingeschräkten Nutzers ausgeführt werden (es muss lediglich Zugriff auf USB / das virtuelle CD-ROM sowie Verbindung mit dem Internet möglich sein).

Welche Änderungen am Betriebssystem führt diese Software herbei?

Es werden keine Änderungen am “Betriebssystem” vorgenommen (keine Treiber, keine kernel modules, keine daemons, …)

Aufgabe dieser Software

Hierzu kam eine sehr lange und ausführliche Antwort, die ich hier etwas sortiere und zusammenfasse:

  1. Anschluss des Gerätes
    Wird das Gerät an den Computer angeschlossen, dann

    • dient der USB-Anschluss dazu, das Gerät mit Strom zu versorgen
    • simuliert das SealOne-Gerät ein CD-Laufwerk, von dem eine Software gestartet wird

    Die gestartete Software hat nun die Aufgabe, vom USB-Anschluss quasi eine Brücke durch den PC zu dessen Internet-Anschluss (WLAN, DSL, Mobilfunk, …) herzustellen.

  2. Durchführung der Transaktion, z. B. Überweisung
    Das läuft in zwei Schritten ab:

    • Man meldet sich bei der Bank wie gewohnt an, z. B. per Browser über die Webseite oder per Banking-Software. Das läuft alles auf dem Rechner und ist damit von der Sicherheit des Rechners selbst (Firewall, aktuelle Software etc.) abhängig. Hier besteht das Risiko, daß sich ggf. prolematische Komponenten wie aktive Sniffer/Trojaner z. B. im Router/Rechner des Kunden einklinken können und die angezeigten Nachrichten mitlesen oder verfälschen könnten.

    • Zur Bestätigung werden im zweiten Schritt die vollständig Ende zu Ende verschlüsselten (RSA mit 2048 Bit) Freigabetexte der Bank zum Seal One Security Device zu übertragen. Nur das Security Device ist in der Lage die Nachricht zu entschlüsseln.

      Das integerierte Display des Security Device zeigt den von der Bank gesendeten und zu prüfenden Transaktionstext (also z. B. die Daten einer Überweisung) sicher an, der nach Prüfung durch den Nutzer und physischer Auslösung durch Knopfdruck mit einer digitalen Signatur versehen wird. Die Signatur selbst wird dann zur Prüfung zurück an die Bank gesendet.

Zusammengefaßt ergibt sich also:
Die Freigabe einer Transaktion passiert dadurch, daß die zugehörigen Daten über einen verschlüsselten Kanal direkt vom Bankserver durch den PC zum USB-Gerät durchgereicht und erst dort wieder entschlüsselt werden. Dort kann man die Daten im Display prüfen und durch Tastendruck freigeben. Der Tastendruck erstellt eine digitale Unterschrift (Signatur), die auf demselben verschlüsselten Kanal zur Bank zurückgeschickt und dort geprüft wird.

Der Kundenservice lieferte folgenden Vergleich mit:

Anders als bei den prinzipbedingt schwachen TAN Verfahren wird hier eine starke kryptographische Signatur erzeugt und nicht nur ein kurzer 6-8 stelliger numerischer TAN-Wert zur Absicherung benutzt (Als einfacher Vergleich: Die Chance beim Lotto zu gewinnen ist im Vergeleich wesentlich geringer als “einfach” eine gültige TAN zu erraten…).

Das Ganze erinnert mich auch ein bißchen an die 2-Faktor-Authentifizierung mittels USB-Keys.

Quelltext dieser Software

Die Applikation steht ausschließlich als compiliertes Binary zur Verfügung und kann entweder über das virtuelle CD ROM (wird beim Verbinden des Geräts zur Verfügung gestellt) gestartet oder auch als Download von unserer Webseite bezogen werden.

Welche Garantie habe ich, daß Ihre Geräte tatsächlich mit meinem Betriebssystem und auch mit meiner Buchführungssoftware zusammenspielen?

Leider ist es bei Linux-Installationen sehr schwer möglich, definitive Aussagen bzgl. Kompatibilität zum Betriebssystem zu treffen, da jeder Linux Nutzer ein unterschiedliches Set an Paketen und Funktionen installiert hat.
Bzgl. sonstiger Drittsoftware wenden Sie sich bitte an den jeweiligen Hersteller. Sollten Sie Bedenken haben, können Sie gemäß Fernabsatzgesetz das Gerät innerhalb von 2 Wochen nach Kauf ohne Angabe von Gründen einfach zurücksenden und erhalten den Kaufpreis des Geräts erstattet.

Auch diese Antwort ist nachvollziehbar. Wer also Banking machen will und Linux einsetzt, der nutze entweder eine große stabile Distribution oder wisse genau, was er zu tun hat, wenn’s klemmt … also eigentlich nix Neues. Für die Einrichtung im von mir genutzten Gnucash gibt es diesbezügliche Hinweise im aqbanking Wiki.

 

Alles in Allem:
Das sind jetzt mal Antworten, für die es sich gelohnt hat, eine Anfrage raus zu schicken.

Die SealOne BestSign App-Variante

Zurück zum oben erwähnten Testbericht in Finanztest, dort heißt es auch: Das Sicherheitsniveau von PhotoTan und BestSign sinkt von sehr hoch auf mittelmäßig, wenn statt der Zusatzgeräte die App-basierte Variante genutzt wird. Smartphone-Apps von Banken, an die TANs geschickt werden (AppTAN-Verfahren) haben ebenfalls nur ein mittleres Sicherheitsniveau.

Das in Verbindung mit dem Hinweis der Verbraucherzentralen

Achtung: Wenn Sie ein TAN-Verfahren per App wählen, müssen Sie wohl regelmäßig ein neues Smartphone kaufen. Wenn es für ein Modell keine Sicherheits-Updates mehr gibt, funktionieren die Apps der Banken meist nicht mehr.

läßt schnell klar werden, daß Apps neben der geringeren Sicherheit auch alles andere als “kostenlos” sind.

Außerdem bleibt es natürlich bei meinen Aussagen zu der App-Variante, einerseits hinsichtlich der “Sicherheit” von Fingerabdruck oder Gesichtserkennung, andererseits auch zur Massenüberwachung durch den gefühlten “Zwang zum Smartphone” aus meinem älteren Artikel.

Fazit

Während die Postbank selbst einen immer fragwürdigeren Eindruck macht, ergeben sich bei näherer Betrachtung des SealOne-Authentifizierungsverfahrens in der Variante mit dem Gerät viele Aspekte, die durchaus eine nähere Betrachtung wert sind.

Offenbar bieten inzwischen auch weitere Firmen das Verfahren von SealOne an.

Wer - wie die Postbank - aber auf drei Fragen zu diesen Themen:

mit Antworten wie der folgenden reagiert, der zeigt in meinen Augen primär Desinteresse:

Ich bedauere Ihre Unzufriedenheit.
Sie möchten wissen, warum die Postbank das chipTAN-Verfahren einstellt. Ich kann Ihre Frage gut nachvollziehen. Der Postbank ist es wichtig, immer auf dem neusten Stand der Technik zu sein. Daher überarbeiten wir unsere Services regelmäßig.
Ihre Bankgeschäfte können Sie weiterhin bequem erledigen. Denn mit Postbank BestSign bieten wir Ihnen ein modernes und gleichzeitig bewährtes Verfahren mit höchsten Sicherheitsstandards. Mit BestSign bietet die Postbank eine Alternative, die noch komfortabler und gleichzeitig genauso sicher ist.
Für weitere Informationen schauen Sie gerne online unter https://www.postbank.de/bestsign (3D"https://www.postbank.de/bestsign”).

Nachtrag 20.08.2021: Es ist nicht zu fassen, aber wenn man lange genug bohrt, kommen doch noch echte Antworten von der Postbank:

Sie fragen nach, ob wir Ihnen die Kosten für ein BestSign-Gerät erstatten. Bitte haben Sie Verständnis, dass die Postbank grundsätzlich keine Kosten für den Erwerb eines neuen BestSign-Gerätes erstattet.

Bei Kauf eines SealOne Geräts möchten wir Ihnen jedoch die Versandkosten in Höhe von 3,90 Euro schenken. Geben Sie dafür einfach auf der Seite des Herstellers bei der Bestellung den Rabattcode BESTSIGN-2020PB ein.

(…)

Ferner möchten Sie wissen, wie lange Sie die BestSign-Geräte nutzen können. Bitte haben Sie Verständnis, dass ich Ihnen zu zukünftigen Entwicklungen der Sicherheitsstandards keine Auskunft geben kann. Aktuell können Sie das BestSign-Verfahren erstmal auf unbestimmte Zeit verwenden.

(Hervorhebungen durch den Autor)

Unter’m Strich bleibt aus meiner Sicht zum heutigen Zeitpunkt nur: Gerät kaufen oder Bank wechseln …

Übrigens: wer darüber nachdenkt, sich eine andere Bank zu suchen, dem sei dieser Artikel im Spiegel als Lektüre empfohlen … die Postbank war mal eine gute Bank … aber das ist lange her.

Denn: heute ist die Postbank keine Bank mehr, sondern nur eine Marke der DB Privat- und Firmenkundenbank AG - eben ein Aufkleber auf dem Deutsche Bank-Konglomerat. Und die Deutsche Bank steht immer mal wieder gern am Abgrund.

 

weitere Artikel