Banken und Freie Software

[Henning Thielemann]

On Thu, 22 Feb 2024, Florian Snow wrote:

> im Rahmen meiner Arbeit bei der FSFE habe ich mich mit dem Thema Freie 
> Software im Bereich Banken beschäftigt und möchte meine Erfahrungen und 
> Gedanken mit euch teilen. Das Thema ist Teil des größeren Themas der 
> Appifizierung/des Drucks zur Verwendung unfreier Apps für bestimmte 
> Interaktionen.

Ich bin bei der GLS- und der EthikBank. Bei beiden kann ich den gleichen 
PhotoTAN-Generator benutzen. Die Anbindung an meine Buchhaltung mit 
hledger schaffe ich mit dem CSV-Export.

Beide Banken sind vor zwei bzw. einem Jahr intern von der Software Bank21 
auf Agree21 umgestiegen, was anscheinend ein Umstieg von der besseren auf 
die schlechtere Software war, aber die Volksbanken wollten ihre 
Softwarebasis vereinheitlichen und die Entscheidung trifft das Management 
und nicht die Techniker, wie mir ein Informatiker der Volksbanken verraten 
hat, und Agree21 hat mehr die Smartphone-App-Optik auf dem Desktop. Egal, 
PhotoTAN und CSV-Export funktionieren weiterhin.

Ein Handy besitze ich nicht. Deswegen musste ich mich von der 
HypoVereinsbank trennen. Die hatte 2019 von Papier-TAN auf drei TAN-Arten 
umgestellt, wo von einer versprochen wurde, dass sie ohne Handy 
funktionieren würde. Für diese eine TAN-Art sollte ich mir einen eigenen 
TAN-Generator kaufen, was ich gemacht habe. Nach Erhalt stellte sich 
heraus, dass zum Freischalten eine Handy-Nummer erforderlich ist. Ich habe 
die Bank gefragt, wozu sie eine Handy-Nummer braucht, warum da keine 
Festnetznummer geht. Naja, sie müssten mir einen Bestätigungscode senden. 
Warum das mit Festnetz nicht geht, weiß am Bankschalter und in der Hotline 
keiner. Es leuchtete mir nicht ein, wie die Bank irgendwas mit einer ihr 
bislang unbekannten Handynummer authentifizieren will, wohingegen sie eine 
Festnetznummer von mir bereits besitzt und erfolgreich genutzt hat. Ich 
hatte mich beim Datenschutzbeauftragten beschwert, dass die Bank 
anscheinend Handynummern ohne erkennbaren Zweck sammelt. Der 
Datenschutzbeauftragte hat ausgerichtet, dass die Bank frei aussuchen 
dürfe, wie sie Authentifizerungen gestaltet. Naja.

Papier-TAN war auch eine Zwei-Faktor-Authentifizierung und nicht 
schlechter als das Smartphone-Zeugs. Inzwischen sind auch einige 
erfolgreiche Fälle von Enkeltricks bekannt geworden, wo Betrüger trotz 2FA 
Konten abgeräumt haben. Ich denke, man kann recht zuverlässig feststellen, 
dass diese Smartphone-Zwei-Faktor-Authentifizierungen nicht sicherer sind 
und wenn beide Faktoren auf einem Gerät laufen, sogar noch unsicherer als 
Papier-TAN. Es wird den Nutzern auch nicht erklärt, welche Arten von 
Betrug die 2FA-Systeme abwehren sollen, wie sie Betrug erkennen, welche 
Zahlen sie mit dem TAN-Generator vergleichen müssen und was im Falle einer 
Abweichung zu tun ist. Ganz im Gegenteil: Nahezu alle Firmen erziehen ihre 
Kunden dazu, Fehlermeldungen wegzuklicken und sich an ständig wechselnde 
Designs zu gewöhnen und sich nicht über alternative Domains zu wundern, 
alle Cookies und JavaScripte zu akzeptieren.