Postbank: App und/oder SealOne statt chipTAN – Teil 1

Aktuell stellen die diversen Banken die Authentifizierung von Transaktionen beim Online-Banking vom sogenannten chipTAN-Verfahren auf andere Verfahren um. In Teil 1 möchte ich einen Blick auf die Postbank werfen, die ihren Kunden das ChipTAN-Verfahren abgeschaltet hat. Stattdessen sollen die Kunden Online-Banking mit einer App durchführen oder Transaktionen per SealOne authentifizieren.


Anzeige

Bisher: mTAN oder chipTAN

In der Vergangenheit versuchten die Banken beim Online-Banking die Transaktionen über mTAN (TAN auf ein Mobilgerät) oder mit dem chipTAN-Verfahren abzusichern. Das mTAN-Verfahren gilt seit Jahren als unsicher und sollte nicht mehr verwendet werden (siehe auch Online-Banking: mTAN und Banking-Apps unsicher). Viele Banken verwendeten chipTAN-Generatoren, bei denen die EC- bzw. Bankkarte zur Verifizierung eingesetzt werden musste.

Nur wer die Bankkarte besitzt, kann mit dem Online-Konto Überweisungen tätigen. Bei jeder Überweisung wird ein optischer "Flickercode" im Browser im Formular angezeigt. Der TAN-Generator kann diesen Flickercode optisch lesen und eine TAN berechnen. Diese wird dann im Browser-Formular zum autorisieren der Überweisung eingetragen. Da die TAN für jeden Vorgang einzeln generiert wird und keine Funkverbindung zum TAN-Generator besteht, gilt dieses Verfahren als sicher. Die Generatoren kosteten nicht viel und laufen mit Knopfzellen über Jahre. Aber das chipTAN-Verfahren läuft nun bei vielen Banken aus.

Mitteilung der Postbank

Ein Blog-Leser hatte mir bereits im Juni 2022 eine Mitteilung der Postbank zukommen lassen, dass das chipTAN-Verfahren eingestellt worden sei. Dort hieß es:

Sehr geehrte Kundin, sehr geehrter Kunde,

vielen Dank für Ihre E-Mail. Sie erhalten bei der Anmeldung im Online-Banking eine Fehlermeldung, dann liegt es wahrscheinlich daran, dass Sie noch das chipTAN-Verfahren nutzen. Dieses Sicherheitsverfahren wird von uns seit dem 24.05.2022 nicht mehr angeboten. Bitte richten Sie sich umgehend ein alternatives Sicherheitsverfahren ein. Sie finden alle weiteren Informationen unter Postbank BestSign.

Auf der verlinkten Seite der Postbank wird erklärt, was nicht mehr geht und wie man wieder am Online-Banking teilnehmen kann. Über die benötigte BestSign-App wird dann ein Zugang mit einer Seal One ID angelegt. Dazu benötigt der Postbank-Kunde ein BestSign-Gerät von Seal One(R), welches er mit einem Lap­top/PC oder über Blue­tooth mit einem mo­bilen End­gerät koppeln muss. Dann kann die Seal One-ID am Gerät generiert und in der Banking-Seite eingegeben werden. Details lassen sich auf der PostBank-Seite nachlesen.

Unschöner Beifang?

Mike Kuketz hatte sich mit dem Thema bereits im Sommer 2022 auseinander gesetzt – siehe folgender Tweet und diesen Artikel. Beim chipTAN-Verfahren wurde der Kunde über seine Bankkarte und den TAN-Generator für Transaktionen authentifiziert. Zudem konnte Banking im Browser durchgeführt werden.

Postbank: Ende des chipTAN-Verfahrens

Das sieht mit dem neuen Ansatz der Postbank für die BestSign-App oder das SealOne-Verfahren anders aus. Das Fazit von Mike Kuketz ist vernichtend:


Anzeige

Statt des sicheren chipTAN-Verfahrens muss der Kunde der Postbank jetzt entweder deren App Postbank BestSign mit Firebase Analytics und FCM (das auf googlefreien-Geräten gar nicht funktionieren dürfte), oder aber ein Gerät von SealOne nutzen.

Zum SealOne-Gerät hat Kuketz auch eine interessante Information in seinem Artikel mitgeliefert. Anwender haben im Ubuntu-Forum herausgefunden, dass das per USB mit dem Rechner verbundene SealOne-Gerät einen permanent laufenden Dienst benötigt. Dieser Dienst hält ständig drei Netzwerk-Verbindungen zu irgendwelchen Dienstleistern offen. Der Zweck der Verbindungen ist nicht klar, Kuketz dokumentiert in seinem Beitrag die drei Verbindungen zu den Dienstleistern. Alles in allem kein gutes Bild, was die Postbank da in Sachen Online-Banking abgibt.

Bei den Volks- und Raifeisenbanken soll zum 30. September 2022 das unsichere SMS-TAN-Verfahren eingestellt werden. Stattdessen wird eine Smartphone-App gebraucht. In Teil 2 werfe ich einen Blick auf diese Sachlage.

Die Volksbanken und die Sparkassen stellen zudem das chipTAN-Verfahren (mit Leser für Flicker-Code) ein – bei den Volks- und Raifeisenbanken wohl bereits zum 1. September 2022 – bei den Sparkassen hängt es vom Kartenwechsel ab. Im Artikel aus Teil 3 werfe ich einen Blick auf die dortige Sachlage. Meine Sparkasse ersetzt das chipTAN-Verfahren durch chipTAN QR oder photoTAN – für beide gibt es Standalone-Leser, die eine Bankkarte (EC- oder Debit-Karte) lesen können.

Artikelreihe
Postbank: App und/oder SealOne statt chipTAN – Teil 1
Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2
Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens – Teil 3
Online-Banking und Apps: Was die Kunden wünschen – Teil 4
Online-Banking und die Sicherheit von Banking-Apps – Teil 5
Online-Banking und Absicherung per chipTAN USB – Teil 6

Ähnliche Artikel
Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?
Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse
Der Edge Effizienzmodus verursacht Probleme beim Flicker-Code beim Onlinebanking mit TAN-Generator
Festes SA SQL-Passwort bei windata 9-Banking-Software
DKB: Online-Banking im Firefox und Opera blockiert?
Banking Startup Dave gehackt, Daten in Hackerforen
Nächste Runde: FluBot-Banking-Malware (Mai 2022)
Online-Banking: mTAN und Banking-Apps unsicher


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

39 Antworten zu Postbank: App und/oder SealOne statt chipTAN – Teil 1

  1. Theo sagt:

    Die Postbank Bestsign-App läuft bei mir auf einem googlefreien LineageOS mit Adblocker (Blokada) ohne Probleme.

  2. A. Nonym sagt:

    Das ChipTan – Verfahren läuft seit Jahren und ist m.E. für Online-Banking von zuhause ideal.

    Alle App-basierten Ansätze erfordert ein download aus dem AppStore, schaffen also eine Abhängigkeit von Google und einem relativ neuen Androit:

    Absolute NICHT zumutbar!

  3. Anonymous sagt:

    Salamischeibe nach Salamischeibe fällt auf dem Weg zu "ohne Smart Device mit persönlicher digitaler Identität wird man am Alltagsleben nicht mehr teilnehmen können", mit den entspr. möglichen Folgen wie z.B. einer einfachen Aussperrung für kritische Personen. Ob man das wirklich will?

    • Paul sagt:

      Salamischeiben gibt es überall.
      Z.B. MUSS man jetzt die DHL-App haben um sein Paketfach an der Paketstation öfnen zu können. Man muß Online ein, da der Code nur wenige 10 sekunden geht. Früher kam eine SMS mit dem Code.
      Kostete natürlich 0,05ct mehr und man konnte keine Daten der Kunden gewinnen, weil SMS ja One-way ist
      Die nächste (bereits existierende) Stufe sind Paketstationen ganz ohne Display. Dort wird das Samartphone per Bluetooth zum Bedienen genutzt.
      Die neueste Entwicklung:
      Man darf, als Nutzer der Paketstation, einen Umweltbonus an DHL zahlen, für jedes Paket darf man den Schaden, den DHL anrichtet, kompensieren…
      Bald wird jede Nutzung der PS kostenpflichtig werden, weil Amazon DHL mit den Preise so knebeln kann, das nix mehr übrig ist…

      Und für die Aluhüte:
      Inzwischen trägt jede Briefmarke einen eindeutigen QR-Code.
      Wie praktisch zum nachverfolgen, z.B. wo die Marke gekauft wurde.
      auch wird das Foto inzwischen dauer-gespreichert, weil es ja den tollen neuen
      Service: Ankündigung von "Sackmail per eMail" gibt. Und man so einen Vorwand hat, nicht nur das OCR zu speichern…

      • Andere Einschätzung sagt:

        Ja, es braucht die App. Ja, sie muss online sein um initial einen Code zu erzeugen. Ist man danach offline, klappte das aber auch – es werden entsprechend auch offline weitere Codes generiert.

      • Ralf S. sagt:

        "Inzwischen trägt jede Briefmarke einen eindeutigen QR-Code. …"

        Ja, das ist auch wieder so eine Sache, die einfach so eingeführt wurde, ohne, dass es irgend jemand näher interessiert hätte (mich auch nicht. Habe es erst bemerkt, als die ersten Briefe damit ankamen …) Auch damit ist der Totalüberwachung wieder ein Stück mehr der Weg geebnet worden …

  4. P.Schöneborn sagt:

    Gut Technik entwickelt sich weiter, also müssen auch die Geräte sich weiterentwickeln. Ich selber habe mal in diesem Bereich bei einer Volksbank gearbeitet. Freude macht das keinem, aber wenn man ein sicheres Banking möchte, müssen die Sicherheitsstandards nunmal verbessert werden.

    Was mir aber damals schon oft aufgefallen ist, ist der schreckliche Kommunikationsstil der Postbank. Die Vorteile bzw. die Notwendigkeit werden den Kunden nicht richtig erklärt. Ich fand das damals immer ärgerlich, weil es auch meinen Bereich betroffen hat. Man darf nicht vergessen, häufig sind die Geräte mit mehreren Bankkarten kompatibel oder die sich ändernden Sicherheitsverfahren müssen auch in die entsprechenden Banking-Programme übernommen werden können.

    Schon damals dachte ich mir, dass es ein kommunikatives Desaster ist was die Postbank da abliefert und ich (obwohl ich bei einer Volksbank gearbeitet habe!) nun mich um deren Kunden kümmern darf.

    Summa Summarum: Ja, manchmal müssen die Sicherheitsverfahren geändert werden, aber man muss das mit dem Kunden ordentlich kommunizieren und ihn bei der Umstellung ordentlich unterstützen

    • Günter Born sagt:

      Ich werde in Teil 2 noch einige Worte verlieren. chipTAN mit Flickercode fällt meines Wissens wegen PSD2 und Austausch der EC-/Bankkarten auf neue Debit-Karten weg. Kann man akzeptieren. Wo es bei mir klemmt: Wie Banken mit der Sicherheit der Kunden umgehen. Eine App als Authenticator für Transaktionen und mit zig Frameworks – finde ich schwierig. Hätte die Branche sich auf chipTAN QR geeinigt und dann noch mit Firmen wie ReinerSCT einen Deal geschlossen – hätte der Leser für ca. 15 Euro angeboten werden können.

      • Ti sagt:

        Viel teurer als 15 Euro ist das Lesegerät für QR-Codes auch nicht.

        DIGIPASS 882

        17,03Euro

        Es macht einen Unterschied, von welcher Seite aus man den Shop aufruft. Wenn man es von seiner lokalen Sparkassen Seite aus macht, dann kosten die Geräte teilweise mehr.

        Ich weiß nicht, ob diese Geräte auch bei anderen Banken verwendet werden können.

        Eine Anmerkung noch. Zuerst ist die Meldung im debianforum aufgetaucht, in forum.ubuntuusers.de ist die Meldung erst paar Monate später erschienen.
        https://debianforum.de/forum/viewtopic.php?t=182004#p1282098

        • Günter Born sagt:

          Werde ich im Folgeartikel thematisieren. Als ich zuerst in den Shop meiner Sparkasse ging, gab es ebenfalls eine Reihe Leser – der digipass 882 für 17,03 Euro war nicht dabei. Hintergrund: Ich hatte den Fehler gemacht, bei der Presseabteilung der Sparkasse nachzufragen, wie ein Kunde wohl erkennen kann, welchen Leser er verwenden darf (gab ja Geräte von 15,41 Euro – Digipass LBW-Edition – bis um die 30 Euro). Tage später wurde nur noch ein Leser (Digipass 882) für um die 20 Euro + 5,95 Euro Versand im verlinkten Shop angeboten. Habe den bestellt und gut war.

          Ob der sich bei anderen Banken verwenden lässt, konnte ich nicht klären – bei einigen der früher im Shop angebotenen Lesegeräte stand explizit "für Volksbanken" dabei. Ich tippe darauf, dass die Leser für verschiedene Banken gehen. Gut ist, dass der Digipass 882 mit 3 Mignon AAA-Zellen statt Knopfzellen daher kommt – für meine letzten Knopfzellen beim chipTAN Flickercode-Reader habe ich um die 8 Euro bezahlt.

      • P.Schöneborn sagt:

        Also mit der PSD 2 hat das nicht so viel zu tun, so mein Kenntnisstand. Da geht es eher um den technischen Standard und die Fehleranfälligkeit. Wenn die Lichtverhältnisse sich geändert haben, war das ja grausam mit Flickercode zu arbeiten. Da habe ich den QR-Code schon als Mehrwehrt empfunden.

        Über die Produkte von ReinerSCT braucht man glaub ich nicht reden. Die sind klasse. Manche Banken gehen ja auch hin und kaufen die Geräte bei ReinerSCT und tun halt ihr Branding drauf.

        Bezüglich der App, sehe ich das genauso wie du, aber Mobile Payment wird vom Kunden gefordert, auf Biegen und Brechen teilweise. In meiner Beratung habe ich den Kunden damals immer darauf hingewiesen, dass dies natürlich unsicherer sei. Ich bin froh, dass die PSD 2 zumindest vorschreibt, dass Banking-App und TAN-App getrennt sein müssen und nicht alles in einer App dargestellt wird!

    • Paul sagt:

      "Was mir aber damals schon oft aufgefallen ist, ist der schreckliche Kommunikationsstil der Postbank. "
      Jupp.

      Die kranke Fehlermeldung der Deutschen Bank, Niederlassung Postbank:

      "„Leider kann Ihr Wunsch aus tech­nischen Grün­den nicht be­ar­bei­tet werden; wir bitten um Ihr Ver­ständ­nis."
      Schließen Sie die Fehler­meldung mit einem Klick auf „Schließen".

      Emm, ja,
      Toll. Eine tolle Info und soooo hilfreich. Da wäre ich ja niiiiie draufgekommen.
      Bin halt nur so ein blöder Kunde.

      Wenn die wissen, was da kaputt ist, warum sagen die das dem
      Kunden nicht gleich?
      Haben die keine vernüftige Fehlerbehandlungsstruktur, oder bezahlen sie T-Systems "Pro Fehlertext" zig tausende Euro?
      (Wir wissen ja wie teuer die Telekomtochter ist, vgl. CoronaWarnApp)

      Übrigens:
      Die Deutsche Bank hatte schon mal, vor ein paar Jahren alle privat Kunden rausekeln wollen, zur Bank24.
      Vielleicht ist das jetzt auch so eine Aktion, weil irgendein Newbie-BWLer festgestellt hat, das sie 80% der Erträge mit 20% der Kunden erwirtschaften,
      also 80% der Kunden komplett unnützer Kostenfaktor sind und zumeist Privatkunden…?

    • Paul sagt:

      "Die Vorteile bzw. die Notwendigkeit werden den Kunden nicht richtig erklärt"

      Welchen Vorteil hat das neue Verfahren denn für den Kunden?
      Was soll sie da denn schreiben?
      Es gibt ja nur Nachteile für den Kunden.

      Für die Bank ist mir das schon klar:
      Sie müssen nicht mehr die "teuren" Crypto-Chips in die Geldkarten einbauen, die alle paar Jahre auf ihre Kosten ersetzt werden müssen.
      Jetzt trägt allein der Kunde die Kosten, weil der Akku des Geräte alle paar Jahre kaputt geht.

      Wenn mißbrauch erfolgt, ist der Kunde schuld, denn er hat das Gerät ja nicht in seinen Tresor eigenschlossen.

      Zusätzlich gibt es noch ein paar weitere daten über der Kunden.
      Wie sagte die Neulandkanzelerin:
      "Daten sind das Öl diese Jahrhunderts"

      BTW:
      Hat die Postbank eigentlich schon das "Verwahrentgelt" wieder abgeschaft,
      oder hat sie das "vergessen"?

      • Anonymous sagt:

        > Zusätzlich gibt es noch ein paar weitere daten über der Kunden.

        Und wenn man die Kunden dann letztendlich (teils über den Zwischenschritt eines demnächst auch wieder "ablaufenden" SealOne Geräts) zu einer alternativlos zu nutzenden App gezwungen hat, gibt es noch viel mehr Daten aus dem Handy abzugreifen, für viele Parteien…

  5. Paul sagt:

    Warum SealOne sicherer sein soll als ChippTAN erklärt die Postbank nirgends.

    Für mich als Kunden hat es nur Nachteile:
    Ich muß ein extra Gerät für 45 Euro kaufen, das es nur beim Hersteller gibt. (Monopol), das einen Akku enthält, der nach einiger Zeit kaputt gehen wird und ein winziges Display hat. Ideal um die unerwünschte Zielgruppe Ü40 auszuschließen…

    Das Gerät hat keine tragfähige Öse.
    Will ich zuhause und im Büro Internetnetbanking machen, muß ich das Gerät mitschleppen. Oder ein 2. Gerät kaufen und registrieren (geht das überhaupt?),
    das dann "freiverfügbar" im Büro liegt,
    während das andere "freiverfügbar" zuhause liegt, weil es den ständigen Transport nicht aushalten würde.
    Ein Krimineller muß nur mein Passwort wissen, und schon geht es rund.
    Die Postbank (Korrekt: "Deutsche Bank, Niederlassung Postbank" ) nutzt auch nicht die möglichkeit, das man seinen Kontostand "einfachso" nach einmaliger 2FA abfragen kann. Man muß den 2. Faktor immer angeben. (Auch wenn man nach nur 5 Minuten zwangs-ausgelogt wurde…).

    Ich sehe darin eine enorme Steigerung des Risikos, für den Kunden.
    Und ein gewolltes Nerven des Kunden, damit der sich die App auf's Handy lädt,
    die ja nichts kostet, und die man immer dabei hat…

    Mit der ChipTAN, die in 2019 noch ein neues Lesegerät erforderlich machte gibt es das Problem nicht:
    Da habe ich 3 Lesegeräte, die ruhig gestohlen werden können:
    1 Zuhause, 1 Büro, 1 Koffer.
    ohne meine Geldkarte sind die wertlos.
    Wird der Koffer gestohlen, muß ich keine hektische Gerätesperrung beantragen,
    deren aufhebung Gebürhen kostet…
    Die Geldkarte habe ich immer bei mir. Einen Verlust würde mir sofort beim Einkaufen auffallen.

    Wo bitte liegt der Sinn in dieser Aktion?
    Die Girocard-Leser können auch mit Bluetooth oder USB, als ohne Flickercode, angesprochen werden…(USB ist sehr sinnvoll. da mache Leser die Zellen sehr schnell leergelutscht haben)

    Wieso genehmigt die BaFin so etwas?

  6. mw sagt:

    Grundsätzlich kann ich beim SealOne keinen Vorteil gegenüber dem ChipTAN erkennen. Ganz im gegenteil, der ChipTAn Reader allein ist völlig wertlos und den SealOne trägt man nicht duerend mit sich herum, muss also zuhause im Safe eingeschlossen werden. Zudem muss jedesmal erst der Kommunikationsdient gestartet werden, weil bei mir grundsätzlich nichts automatisch startet. Die Anzeige ist a) winzig und b) dauert es eine Ewigkeit bis der ganze Text sichtbar wurde. Fazit: unbrauchbar aber leider alternativlos. Die Bafin sollte ein Verfahren definieren, das alle Banken unterstützen *müssen* und die dazu notwendigen Lesegräte sollten *frei* verfügbar sein, d. h. das Protokoll soll normiert und die Implementierung für jeden möglich sein.
    Was die Banken wollen, ist ihre ranzigen Apps den Kunden aufpressen, so dass sie möglichst viele Daten abziehen können. Ganz schlimm ist Überweisung und Authorisierung vom selben unsicheren Android oder iOS Gerät aus zu machen. Der Chip in der Bankkarte gilt als relativ sicher und ich kann nicht verstehen, wieso man dieses Verfahren abschaltet. Ein Sicherheitsgewinn war das nicht, ganz im Gegenteil.
    Ein Plus für SealOne: Der Hersteller ist sehr auskunftsbereit zu technischen Aspekten des SealOne.

  7. Paul sagt:

    "oder aber ein Gerät von SealOne nutzen. "

    Nicht nur ein Gerät! Ein muß auch ein Usermode-Treiber installiert werden.
    Der Treiber kommt (für Windows) mit in einer emulierten CD auf dem Gerät.
    Das Gerät merkt, das kein Treiber installiert ist, und geht dann in den CD-Mode.
    Logo, mit Autorun.inf…man will den generell als zu blöde betrachteten Kunden ja nicht überfordern,

    Der Treiber telefoniert unter Windows und Anroid nachhause, nicht nur unter linux.
    Angeblich um sicher zustellen, das man die aktuelle Version hat…

    Ja, klar. so bekommt man dann auch die NSA-Version…

    • Günter Born sagt:

      Habe ich der Einfachheit unterschlagen, dass es einen Treiber braucht. Lustig wird das mit Windows 11, wenn der Treiber ggf. veraltet ist.

      • Paul sagt:

        So weit ist sehe ist dsa User mode und ich bin guter Hoffnung, das ds auch unte w11 funktioniert. Die "flicker"- und "QR"-Geräte benötigen keinen Treiber zwangsweise und sind zu allen Betriebssystemen kompatibel.. Der seal kram benötigt zwingend Treiber, sei es für USB oder Bluetooth.

        Wenn ich so überlege, welcher Aufwand nötig ist um die privaten Keys in der Girocard zu schützen (z.B. gg. Abschleifen/Ätzen/Fräsen, Elektronen-Microskopie, Analyse der Stromaufnahmen etc.) kann ich die Bänkster "verstehen" dass sie diese Kosten nebst Risiko auf die Kunden umlegen wollen. Ich finde aber widerwärtig zynisch zu behaupten, das das neue Verfahren "sicherer" sei…was es schon durch das Handling nicht sein kann.

        • Anonymous sagt:

          Alles muss an eine persönliche digitale Identität des Bürgers geknüpft werden, die demnächst jeder alternativlos mit dem Handy herumtragen wird, inkl. auch der Microsoft Login für Windows 11 usw., so sieht die aktuelle Agenda aus, die von den meisten globalen Playern derzeit Schritt für Schritt umgesetzt wird.

          Die meisten Leute tragen eine digitale Identität ohnehin schon in Form von Impfzertifikaten mit sich herum, tracken ihre Aufenthaltsorte und Bewegungsmuster wegen Corona, das wird dann Schritt für Schritt auf eine generelle App aufgebohrt bzw. umgestellt, ohne die man rein gar nichts mehr machen kann.

          Und wer mit Widerworten kommt, der bekommt die App gesperrt, fertig.

          Wem das als Aluhutverschwörung vorkommt, der sehe sich mal aufmerksam die knapp 5 Minuten "What is the Great Reset? | Davos Agenda 2021" des World Economic Forum WEF vom Januar 2021 bei YouTube an, insbesondere die unmissverständliche Einblendung auf dem Handybildschirm bei ca. 1:45 "Account Suspended":
          https://www.youtube.com/watch?v=uPYx12xJFUQ

          • Ralf S. sagt:

            "Wem das als Aluhutverschwörung vorkommt, der …"

            Nein, wird wohl niemand ernsthaft bestreiten, der sich entsprechend weitergehend (!) informiert und befähigt ist, auch nur etwas in die Zukunft zu denken. Zumal China es uns doch allen schon ewig vormacht … Ist alles nur noch eine Frage der Zeit … Wie heißt es so schön: "Steter Tropfen höhlt den Stein …" Corona war ein gefundenes Fressen (wenn nicht sogar ein geplantes (?) – dies ist jetzt natürlich wirklich eine Verschwörungstheorie, oder halt auch nicht) um schon einmal auszutesten, was das (dämliche) Volk so alles mit sich anstellen lässt, wenn es in Angst und Panik verfällt. Ich bin echt gespannt auf diesen Herbst/Winter! Auch diese herbei politisierte "Verwaltung der Mangel- und Planwirtschaft" (kannte man früher aus der DDR; inklusive Einmischung in alle Bereiche des intimen Privatlebens, wie Wasch- und Duschtipps, Abschaltung von Heizung und Warmwasser ab 22:00 Uhr, usw.) könnte ein weiterer, bewusster Test sein, was wir so alles mit uns anstellen lassen … Hoffe nur, dass es nicht allzu schlimm kommt und wir nicht wirklich einen echten "EU-Blackout" (u. U. bewusst serviert???) bekommen … Seit ich diese hochinteressante Reportage

            https[:]//auf1.tv/elsa-auf1/inside-mainstream-was-ex-mitarbeiter-ueber-die-medien-berichten/

            gesehen habe, ist mein Vertrauen gegenüber Leitmedien und Politik nochmals ein ganzes Stück tiefer in den Keller gefallen … (Wenn selbst ehemalige Mitarbeiter von ARD und ZDF kündigen und offen darüber sprechen, weil sie die verlogenen Diskrepanzen in der Berichterstattung nicht mehr ausgehalten haben, dann sollte dies jedem so langsam mal wirklich zu denken geben …)

          • Tom sagt:

            …und nochmals: solches gehört (meiner Meinung nach) nicht in einen technikbasierten Blog wie diesen hier und zieht nur noch weiteres noch mehr nicht-Blog-bezogenes wie den unten stehenden Kommentar von Ralf S. hinter sich her.
            Herr Born, bitte übernehmen Sie!

          • Anonymous sagt:

            @Tom: Die globale persönliche digitale Identität ist bzw. wird derzeit das Kernthema aller technikbasierten Themen, einfach mal z.B. ID2020.org lesen.

            Wer das noch nicht wahrhaben will oder kann, braucht einfach nur noch etwas Zeit.

          • Anonymous sagt:

            @Tom: Ganz aktuell erklärt auch unser Bundesfinanzminister Herr Lidner die Tragweite der pesönlichen digitalen Identität, Ausschnitt der Rede z.B. hier https://twitter.com/behindthematrix/status/1565046896288202753

          • Ralf S. sagt:

            @ Kommissar Tom:
            Ich glaube eher nicht, dass Hr. Born einen Blog- und Zensur-Polizisten benötigt, um zu entscheiden was falsch und was richtig ist.
            Somit:

            Fall gelöst – weitergehen!
            Hier gibt es nichts zu sehen …

  8. Anonymous sagt:

    @Günni
    "Meine Sparkasse ersetzt das chipTAN-Verfahren durch chipTAN QR oder photoTAN – für beide gibt es Standalone-Leser, die eine Bankkarte (EC- oder Debit-Karte) lesen können."
    Aber das ist doch eigentlich immer das Gleiche!
    ChipTan-XY ((aka SmartTan bei VR Banken)
    wobei XY nur der Weg ist wie die Daten in das Gerät kommen.
    Danach wird es mit einer einzusteckenden Karte (kann auch eine Girocard sein) entschlüsselt.
    Oder meinst du das uralten Tan Generator ohne Karte (Einschrittverfahren?!)
    das dürfte schon länger tot sein.

    XY:
    – manuell = abtippen
    – Flicker = Flickercode vom Bildschirm ablesen
    – QR / Photo = QR oder anderer Code vom Bildschirm ablesen
    – USB = Per USB/BT empfangen

    • Günter Born sagt:

      chipTAN QR ist der Ersatz des Flicker-Codes durch einen QR-Code – benötigt aber einen neuen Leser. Auf USB oder Bluetooth habe ich bewusst verzichtet, weil ich keine Verbindung zwischen TAN-Generator und meinem Browser, in dem ich Banking mache, will (gibt immer wieder Ärger mit Treibern und Funktionen).

      • Paul sagt:

        USB habe ich bei meinem bisherigen Leser bewust genommen,
        nach dem mir meine "Kobil"-Leser die CR3025 nach kurzer Zeit des Rumliegens leer gelutscht hatten. Ich habe mir dann einen von ReinerSCT mit USB und BT gekauft, den ich zur Not an meine PowerBank hängen konnte, falls die Zelle leer war. Kam bei diesem aber nie vor…
        Nun ist der Müll, danke Postbank, danke BaFin, danke PSD…

    • Günter Born sagt:

      Mein Schlussabsatz konnte falsch interpretiert werden – ich habe es etwas präzisiert. Aber die Begriffe chipTAN (für Flicker-Code-Geräte) und chipTAN QR sind imho feststehend – zumindest bei den mir bekannten Banken und Anbietern von Lesegeräten.

  9. Paul sagt:

    Der Flicker-Code ist bei manchen Touch-Sreens ätzend, da diese das Gerät u.U. als "Touch" erkennen…

    • Steter Tropfen sagt:

      Das Geflimmere lässt sich leicht umstellen auf manuelle Eingabe. Ein paar Zahlen mehr eintippen, was soll's. Dann weiß man wenigstens,wozu die Maschinchen überhaupt Zifferntasten haben.
      Ich möchte wetten, dass das mit der neuen Methode nicht mehr gehen wird. Sonst wäre es ja widersinnig, die alten Geräte bloß wegen ihrer nicht mehr passenden Lichtsensoren zu Elektroschrott zu erklären.

      Wir haben immer noch viel zu viele Ressourcen. Aber irgendwann fällt uns diese Hau-wech-das-olle-Zeug-Mentalität vor die Füße. Hoffentlich bald.

      • StealOne sagt:

        Sehe ich genauso.

        Die Kombination TAN-Generator+Karte ist mit eines der sichersten Verfahren überhaupt; mir fällt kein sinnvoller Grund ein, warum eines der Übertragungsverfahren (manuelle Eingabe oder Flickercode oder QR-Code) abgeschafft werden.

        Vermutlich wieder geplantes aus-dem-Verkehr-ziehen von funktionsfähiger Hardware.

        • Pau1 sagt:

          Es ist klare Kosten Reduzierung.
          Die Chips auf den Karten sind mit Crypto natürlich teuerer.

          Auch kann die Bafin das kontrollieren.
          Ob SealOne durch die BaFin überwacht wird?

  10. Thierry sagt:

    Da ich im Rahmen meines Vortrags zum Thema "Die Digitalisierung und ich" von Online Banking mit Smartphone abrate, komme das Verfahren für mich mehr als überraschend. Insbesondere, das Unternehmen Seal One ergibt mit dem Syntax tracert mittels https://tools.keycdn.com einen Datenübergang in Argentina und siehe dar bei einem unter den five eyes nämlich Australien. NSA und CIA liest jetzt alles mit. Ich bin mal gespannt, wann die Spaßkasse diesen Weg auch befolgt. Bald nur noch eine Identität? Das ist wohl das Ziel im New Normal. Mehr? Die totale Kontrollübernahme auf unseren Körper und unsere Seele schreitet voran. Innerhalb 26 Minuten mittels eines sehr informativen Videos zeigt Norbert Häring, wie perfide die Staaten unter Druck privater Interessen unserer Person zu einem digitalen Gefangenen umwandeln: https://theplattform.net/de/kanal/norbert-haering/digitale-kontrolle-und-die-soziale-megamaschine-wie-weit-sind-wir-in-europa-bereits

  11. Pau1 sagt:

    Es sollte klar sein, das das das SealOne Gerät eine permanente Verbindung mit dem Internet benötigt.
    Es scheint da ein erhebliches Verständnis Problem zu geben.

    Diese Internet Verbindung ist nötig um die Daten die heute bei beim ChipTAN per Flickercode übertragen wurde, zu úbertragen… Natürlich ist diese Verbindung nur nötig, wenn dass Gerät eingeschaltet ist.
    Die Postbank weiß genau, welcher Kunde welches Gerät hat und kann genau dieses Gerät mit den Daten versorgen und nur dieses Gerät kann die Daten entschlüsseln.
    Aus der Sicht der Bänker ist das Verfahren sicher und erspart der Bank die Kosten für einen Crypto-Teil in der Bankcard. Das das Verfahren für den Kunden Nachteil ist (das Gerät ist sehr teuer, sehr dick, nicht wasserdicht und hat einen endlichen Akku.) interessiert die Banken nicht.
    Sicherer ist nicht, denn auch beim Chiptan hat man eine eigene Tastatur, Display und Prozessor..

    Übrigens dauert die Code Erzeugung mit SealOne nur halb so lang wie mit Flickercode, aber immer noch verdächtig lange 3..5 sec.
    Mit der BestSign App dauert es immer deutlich unter einer Sekunde. Ein Schelm der…

  12. Ilona Kosmowsky sagt:

    Leider habe ich kein Smartphone und will mir auch nicht nur eins anschaffen, damit ich wieder in mein Postgirokonto komme (es ist ja auch nicht gerade billig). Es wird behauptet, dass man ohne Smartphone dann einfach das Seal One Geraet mit seinem Computer nutzen kann. Das stimmt aber so nicht. Ich habe ein Chromebook. Als es noch Chip TAN gab war es kein Problem online ins Konto zu kommen mit Hilfe des Chip TAN Geraetes und mit meinem Chromebook. Jetzt hatte ich mir zwar ein Seal One Geraet gekauft, aber die Herstellungsfirma musste dann zugeben (nachdem ich es nicht geschaft hatte es an meinem Chromebook zu benutzen), dass es leider nicht fuer Chromebook konzipiert wurde. Heisst das jetzt, dass ich mehrere hundert Euro ausgeben muss, nur im wieder in mein Konto zu kommen, weil man ja scheinbar einen neuen Computer kaufen muss, um das Geraet zu nutzen. Ich muss jetzt einen Fremdcomputer benutzen, um in mein Konto zu kommen. Ich kann mir nicht vorstellen, dass das sehr sicher ist, wenn ich mir einen Computer von jemanden anderen leihen muss und dann auch noch das selbe Seal One Geraet wie derjenige benutze, dem der Computer gehoert. Im Prinzip kann man die Best Sign App im google store auf sein Chromebook laden und am Anfang hat das auch geklappt, aber vor mehr als einem Jahr weigerte die App sich einfach aufzugehen. Ich konnte bis jetzt nicht herausfinden, warum die App am Anfang funktionierte und dann nicht mehr. Ich finde, dass neue Sicherheitsverfahren so konziepiert werden muessen, dass jeder, der vorher das Konto benutzen konnte, es immer noch machen kann. Warum kann die Postbank es nicht wie andere Banken machen, wo man einfach als zweiten Verifizierungsschritt eine Code auf sein Handy (geht auch mit nicht Smartphones) geschickt bekommt. Oder etwas wie Verified by Visa (geht auch mit einfachen Handy)?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.