Postbank mal wieder: Bestsign und die Abschaltung der chipTAN
veröffentlicht am 18.08.2021 - aktualisiert am 23.03.2022 mit 2117 Worten - Lesezeit: 10 Minute(n) in * GEBRABBEL * HARDWARE * SOFTWARE *
Inhaltsverzeichnis
Seit gestern beaufschlagt die Postbank ihre Kunden im Online-Banking mal wieder mit einer ultimativen Ansage.
Die Kommunikation der Postbank zur ChipTAN
Nach Anmeldung auf der Online-Banking-Seite erscheint diese “Information”:
Sie nutzen Postbank chipTAN. Dieses Sicherheitsverfahren werden wir bald abschalten.
Warum dieser Schritt? Wir entwickeln uns und unsere Systeme kontinuierlich weiter und möchten unseren Kunden daher auch stets die modernsten, sichersten und komfortabelsten Sicherheitsverfahren anbieten. Dies alles erfüllt das Postbank BestSign-Sicherheitsverfahren. Bereits mehr als 80 % unserer Kunden schenken Postbank BestSign ihr Vertrauen.
(Hervorhebungen durch den Autor)
Zum immer wieder gern gestreßten Begriff “Sicherheit” ist auf der BestSign-Seite der Postbank zu lesen:
Stiftung Warentest/Finanztest hat in der Ausgabe 08/19 die Sicherheitsverfahren der Banken getestet. BestSign mit Zusatzgerät, das digitale Signaturverfahren der Postbank, erhielt im Ranking „Sicherheit“ – ebenso wie chipTAN – die Bewertung „Sehr hoch“.
Warum gibt es dann einen Handlungsbedarf?
Interessanterweise steht dort auch zu lesen:
BestSign per App bewerteten die Tester mit „Hoch“.
Da soll sich also der geneigte Kunde sein sehr sicheres ChipTAN abschwatzen lassen und am liebsten gegen eine nur sichere App tauschen?
Nein, nicht abschwatzen lassen, es wird deutlich gefordert:
Was heißt das für Sie? Sie müssen künftig Postbank BestSign als Sicherheitsverfahren nutzen - entweder mit einem Gerät oder als App. Ein Gerät für Postbank BestSign können Sie versandkostenfrei über unsere Webseite oder in einer Postbank Filiale erwerben. Die Postbank BestSign App erhalten Sie kostenlos im App Store oder Google Play Store.
(Hervorhebungen durch den Autor)
Die nur mäßig sichere App wird als kostenlos beworben, über die Kosten des Geräts schweigen sich die Postbankler wohlweislich aus, hier wird nur auf die Versandkosten abgehoben. Denn:
Die Umstellung wird Ihnen leichtfallen
Selten so gelacht.
Hinweis des Bundesamtes für Sicherheit in der Informationstechnik in diesem Zusammenhang:
Nutzen Sie mehrere Geräte, z.B. die Push-TAN-App auf einem anderen Gerät als die Banking-Anwendung - nur so sind die Verfahren sicher anwendbar
… also doch auch bei der tollen App: zweites Gerät … aha.
SealOne BestSign
Die Firma SealOne schreibt auf ihrer Internetseite über sich selbst:
Die Seal One AG mit Sitz in Frankfurt am Main ist ein innovatives Unternehmen, welches auf die Entwicklung und Vermarktung von benutzerfreundlichen Sicherheitslösungen spezialisiert ist.
Seal One AG – eine 100%ige Tochtergesellschaft der NOVOSEC AG.
Und die Firma Novosec AG bezeichnet sich selbst als Erfinderin der mTAN, wie dieser Artikel zeigt. Mit deren Sicherheit ist es spätestens mit dem Erwerb eines sog. Smartphones (Taschenspion) vorbei.
SealOne selbst sieht sich so:
Die Seal One AG wurde im Jahr 2009 gegründet und hat es sich zum Ziel gesetzt, die veralteten TAN basierten Lösungen durch moderne, benutzerfreundliche Signaturlösungen zu ersetzen und gleichzeitig neue Geschäftsmodelle auf Basis dieser Infrastruktur zu ermöglichen.
Zur Sicherheit haben die Tester der Stiftung Warentest die Online-Banking-Verfahren von 22 Kreditinstituten geprüft. Dazu gehörten aktuell etwa ChipTan, PhotoTan und BestSign in Verbindung mit einem Kartenlesegerät sowie das App-basierte QR-TAN, berichtet “Finanztest” (Ausgabe 11/18).
Das SealOne BestSign-Gerät
Die drei sichersten Methoden gewährleisten die höchste Sicherheit nur, wenn Zusatzgeräte wie TAN-Generatoren und Lesegeräte genutzt werden. Die Kosten für die Hardware liegen je nach Bank zwischen knapp 9 und 30 Euro - das schrieb Finanztest Ende 2018.
Nun stellt SealOne für die angebotenen Geräte ausführliche Unterlagen im Shop zur Verfügung. Diese beschreiben sowohl die Funktion/Anwendung dieser Geräte als auch die Installation für alle unterstützten Betriebssysteme. Dort ist auch die Rede von einer Software, die ausgeführt werden muß, um das Gerät zu betreiben.
- SealOne 2200 Gerät
Daraus habe ich für das von mir genutzte Linux einige Fragen abgeleitet und an den Kundenservice gerichtet. Die Antworten waren sehr genau und haben auch Einblick in die Funktion gegeben, ich zitiere auszugsweise:
Wie wird die Software ausgeführt?
Die Applikation benötigt keine speziellen Rechte und kann im Kontext eines normalen oder eingeschräkten Nutzers ausgeführt werden (es muss lediglich Zugriff auf USB / das virtuelle CD-ROM sowie Verbindung mit dem Internet möglich sein).
Welche Änderungen am Betriebssystem führt diese Software herbei?
Es werden keine Änderungen am “Betriebssystem” vorgenommen (keine Treiber, keine kernel modules, keine daemons, …)
Aufgabe dieser Software
Hierzu kam eine sehr lange und ausführliche Antwort, die ich hier etwas sortiere und zusammenfasse:
-
Anschluss des Gerätes
Wird das Gerät an den Computer angeschlossen, dann- dient der USB-Anschluss dazu, das Gerät mit Strom zu versorgen
- simuliert das SealOne-Gerät ein CD-Laufwerk, von dem eine Software gestartet wird
Die gestartete Software hat nun die Aufgabe, vom USB-Anschluss quasi eine Brücke durch den PC zu dessen Internet-Anschluss (WLAN, DSL, Mobilfunk, …) herzustellen.
-
Durchführung der Transaktion, z. B. Überweisung
Das läuft in zwei Schritten ab:-
Man meldet sich bei der Bank wie gewohnt an, z. B. per Browser über die Webseite oder per Banking-Software. Das läuft alles auf dem Rechner und ist damit von der Sicherheit des Rechners selbst (Firewall, aktuelle Software etc.) abhängig. Hier besteht das Risiko, daß sich ggf. prolematische Komponenten wie aktive Sniffer/Trojaner z. B. im Router/Rechner des Kunden einklinken können und die angezeigten Nachrichten mitlesen oder verfälschen könnten.
-
Zur Bestätigung werden im zweiten Schritt die vollständig Ende zu Ende verschlüsselten (RSA mit 2048 Bit) Freigabetexte der Bank zum Seal One Security Device zu übertragen. Nur das Security Device ist in der Lage die Nachricht zu entschlüsseln.
Das integerierte Display des Security Device zeigt den von der Bank gesendeten und zu prüfenden Transaktionstext (also z. B. die Daten einer Überweisung) sicher an, der nach Prüfung durch den Nutzer und physischer Auslösung durch Knopfdruck mit einer digitalen Signatur versehen wird. Die Signatur selbst wird dann zur Prüfung zurück an die Bank gesendet.
-
Zusammengefaßt ergibt sich also:
Die Freigabe einer Transaktion passiert dadurch, daß die zugehörigen Daten über einen verschlüsselten Kanal direkt vom Bankserver durch den PC zum USB-Gerät durchgereicht und erst dort wieder entschlüsselt werden. Dort kann man die Daten im Display prüfen und durch Tastendruck freigeben. Der Tastendruck erstellt eine digitale Unterschrift (Signatur), die auf demselben verschlüsselten Kanal zur Bank zurückgeschickt und dort geprüft wird.
Der Kundenservice lieferte folgenden Vergleich mit:
Anders als bei den prinzipbedingt schwachen TAN Verfahren wird hier eine starke kryptographische Signatur erzeugt und nicht nur ein kurzer 6-8 stelliger numerischer TAN-Wert zur Absicherung benutzt (Als einfacher Vergleich: Die Chance beim Lotto zu gewinnen ist im Vergeleich wesentlich geringer als “einfach” eine gültige TAN zu erraten…).
Das Ganze erinnert mich auch ein bißchen an die 2-Faktor-Authentifizierung mittels USB-Keys.
Quelltext dieser Software
Die Applikation steht ausschließlich als compiliertes Binary zur Verfügung und kann entweder über das virtuelle CD ROM (wird beim Verbinden des Geräts zur Verfügung gestellt) gestartet oder auch als Download von unserer Webseite bezogen werden.
Welche Garantie habe ich, daß Ihre Geräte tatsächlich mit meinem Betriebssystem und auch mit meiner Buchführungssoftware zusammenspielen?
Leider ist es bei Linux-Installationen sehr schwer möglich, definitive Aussagen bzgl. Kompatibilität zum Betriebssystem zu treffen, da jeder Linux Nutzer ein unterschiedliches Set an Paketen und Funktionen installiert hat.
Bzgl. sonstiger Drittsoftware wenden Sie sich bitte an den jeweiligen Hersteller. Sollten Sie Bedenken haben, können Sie gemäß Fernabsatzgesetz das Gerät innerhalb von 2 Wochen nach Kauf ohne Angabe von Gründen einfach zurücksenden und erhalten den Kaufpreis des Geräts erstattet.
Auch diese Antwort ist nachvollziehbar. Wer also Banking machen will und Linux einsetzt, der nutze entweder eine große stabile Distribution oder wisse genau, was er zu tun hat, wenn’s klemmt … also eigentlich nix Neues. Für die Einrichtung im von mir genutzten Gnucash gibt es diesbezügliche Hinweise im aqbanking Wiki.
Alles in Allem:
Das sind jetzt mal Antworten, für die es sich gelohnt hat, eine Anfrage raus zu schicken.
Die SealOne BestSign App-Variante
Zurück zum oben erwähnten Testbericht in Finanztest, dort heißt es auch: Das Sicherheitsniveau von PhotoTan und BestSign sinkt von sehr hoch auf mittelmäßig, wenn statt der Zusatzgeräte die App-basierte Variante genutzt wird. Smartphone-Apps von Banken, an die TANs geschickt werden (AppTAN-Verfahren) haben ebenfalls nur ein mittleres Sicherheitsniveau.
Das in Verbindung mit dem Hinweis der Verbraucherzentralen
Achtung: Wenn Sie ein TAN-Verfahren per App wählen, müssen Sie wohl regelmäßig ein neues Smartphone kaufen. Wenn es für ein Modell keine Sicherheits-Updates mehr gibt, funktionieren die Apps der Banken meist nicht mehr.
läßt schnell klar werden, daß Apps neben der geringeren Sicherheit auch alles andere als “kostenlos” sind.
Außerdem bleibt es natürlich bei meinen Aussagen zu der App-Variante, einerseits hinsichtlich der “Sicherheit” von Fingerabdruck oder Gesichtserkennung, andererseits auch zur Massenüberwachung durch den gefühlten “Zwang zum Smartphone” aus meinem älteren Artikel.
Fazit
Während die Postbank selbst einen immer fragwürdigeren Eindruck macht, ergeben sich bei näherer Betrachtung des SealOne-Authentifizierungsverfahrens in der Variante mit dem Gerät viele Aspekte, die durchaus eine nähere Betrachtung wert sind.
Offenbar bieten inzwischen auch weitere Firmen das Verfahren von SealOne an.
Wer - wie die Postbank - aber auf drei Fragen zu diesen Themen:
- Wo finde ich Spezifikationen zu Hardware/Software-Voraussetzungen zu den tollen Geräten, die ich offenbar - im Gegensatz zu ChipTan-Geräten - direkt an einen Computer anschließen muß?
- Wer kommt für die Investitionen auf?
- Wie lange ist diese Investition gesichert, bis Ihnen die nächste “tolle Verbesserung” einfällt?
mit Antworten wie der folgenden reagiert, der zeigt in meinen Augen primär Desinteresse:
Ich bedauere Ihre Unzufriedenheit.
Sie möchten wissen, warum die Postbank das chipTAN-Verfahren einstellt. Ich kann Ihre Frage gut nachvollziehen. Der Postbank ist es wichtig, immer auf dem neusten Stand der Technik zu sein. Daher überarbeiten wir unsere Services regelmäßig.
Ihre Bankgeschäfte können Sie weiterhin bequem erledigen. Denn mit Postbank BestSign bieten wir Ihnen ein modernes und gleichzeitig bewährtes Verfahren mit höchsten Sicherheitsstandards. Mit BestSign bietet die Postbank eine Alternative, die noch komfortabler und gleichzeitig genauso sicher ist.
Für weitere Informationen schauen Sie gerne online unter https://www.postbank.de/bestsign (3D"https://www.postbank.de/bestsign").
Nachtrag 20.08.2021: Es ist nicht zu fassen, aber wenn man lange genug bohrt, kommen doch noch echte Antworten von der Postbank:
Sie fragen nach, ob wir Ihnen die Kosten für ein BestSign-Gerät erstatten. Bitte haben Sie Verständnis, dass die Postbank grundsätzlich keine Kosten für den Erwerb eines neuen BestSign-Gerätes erstattet.
Bei Kauf eines SealOne Geräts möchten wir Ihnen jedoch die Versandkosten in Höhe von 3,90 Euro schenken. Geben Sie dafür einfach auf der Seite des Herstellers bei der Bestellung den Rabattcode BESTSIGN-2020PB ein.
(…)
Ferner möchten Sie wissen, wie lange Sie die BestSign-Geräte nutzen können. Bitte haben Sie Verständnis, dass ich Ihnen zu zukünftigen Entwicklungen der Sicherheitsstandards keine Auskunft geben kann. Aktuell können Sie das BestSign-Verfahren erstmal auf unbestimmte Zeit verwenden.
(Hervorhebungen durch den Autor)
Nachtrag März 2022: Ein Leser hat mich darauf hingewiesen, daß die Postbank den genannten Rabattcode nicht mehr anbietet.
Unter’m Strich bleibt aus meiner Sicht zum heutigen Zeitpunkt nur: Gerät kaufen oder Bank wechseln …
Übrigens: wer darüber nachdenkt, sich eine andere Bank zu suchen, dem sei dieser Artikel im Spiegel als Lektüre empfohlen … die Postbank war mal eine gute Bank … aber das ist lange her.
Denn: heute ist die Postbank keine Bank mehr, sondern nur eine Marke der DB Privat- und Firmenkundenbank AG - eben ein Aufkleber auf dem Deutsche Bank-Konglomerat. Und die Deutsche Bank steht immer mal wieder gern am Abgrund.
Nachtrag: Nutzung des Bestsign-Geräts auf dem Linux-Rechner
Ein Leser machte mich auf zwei Diskussionen aufmerksam: eine in einer Security-Mail-Liste und eine im Ubuntu-Forum. In beiden geht es darum, ob und wie die Sealone-Software auf dem Rechner ausgeführt wird.
Ich möchte das hier anhand einiger Screenshots von meinem Rechner (Betriebssystem: Debian Buster) konkret zeigen.
Steckt man das SealOne-Gerät am Rechner an, dann zeigt sich - wie in der Beschreibung des Herstellers beschrieben - ein neues “CD-Laufwerk”:
Dieses Laufwerk wird allerdings nur eingebunden, wenn - wie in der Readme-Datei beschrieben - eine sog. udev
-Regel erstellt wird:
root@{rechnername}:~# echo "SUBSYSTEMS==\"usb\", ATTRS{idVendor}==\"219c\", ATTRS{idProduct}==\"0010\", MODE=\"0666\"" > /etc/udev/rules.d/11-sealone-usb.rules
root@{rechnername}:~# service udev restart
Im Dateimanager sieht der Inhalt des “CD-Laufwerks” so aus:
Je nach Einstellungen des Rechners startet das Programm SealOne
entweder von selbst
oder man startet es händisch, z. B. durch Doppelklick. Es erscheint ein “Willkommen-Bildschirm”:
Nach dessen Start wird ein Verzeichnis .sealone
im Benutzerverzeichnis angelegt (und ab diesem Zeitpunkt wird dieser Willkommensbildschirm auch nicht mehr angezeigt), darin findet sich eine Datei sealone.cfg
mit diesem Inhalt:
PROXY_MODE = 1
FWVER = 60C20F4B
DISPLAY_ZOOM = false
USB_2-2 = false
SETUP_DONE = true
Achtung: Neben dieser Datei mit Einstellungswerten werden auch weitere Programm-Dateien in den besagten Ordner kopiert, sobald die Option Seal One (R) USB Schnellstart aktivieren
eingeschaltet ist.
Bei den Einträgen in der Konfigurationsdatei handelt sich um die abgelegten Einstellungen, die der Benutzer in der Software selbst hier vornehmen kann:
Die Systemüberwachung zeigt danach 3 Prozesse, die aktiv sind:
Lt. Beschreibung des Herstellers liefert SealOne
den verschlüsselten Verbindungskanal zum z. B. Bankserver, während S1GUI
als Client die gezeigte Bedienoberfläche erzeugt (die über ein USB-Stick-Symbol in der Taskleiste geöffnet werden kann). Wer die GUI nicht benötigt, der kann aus dem “CD-Verzeichnis” per Kommandozeile den Befehl ./SealOne --nogui
ausführen - dann wird einzig der Prozess SealOne
gestartet.
Nun kann das Gerät benutzt werden.
Nach Beenden der SealOne-Applikation
verschwinden die Prozesse allesamt wieder:
Mission beendet!
weitere Artikel
- Die Postbank und sichere Transaktionen: Bestsign
- Android installieren auf RockPi 4B
- Noch ein eingesperrtes Android ...
- Ein eingesperrtes Android auf dem Desktop
- Postbank Bestsign und die Alternativen