Banken und Freie Software

Fr Feb 23 07:01:00 UTC 2024

Hallo Florian,

Am Thu, Feb 22, 2024 at 07:35:55PM +0100 schrieb Florian Snow:
> Hallo zusammen,
> 
> im Rahmen meiner Arbeit bei der FSFE habe ich mich mit dem Thema Freie
> Software im Bereich Banken beschäftigt und möchte meine Erfahrungen und
> Gedanken mit euch teilen. Das Thema ist Teil des größeren Themas der
> Appifizierung/des Drucks zur Verwendung unfreier Apps für bestimmte
> Interaktionen. 
> 
> Mir persönlich fällt in den letzten Jahren auf, dass Banken sehr stark
> versuchen, ihre unfreien Apps für Bankgeschäfte selbst und auch für die
> so genannte Zwei-Faktor-Authentifizierung zu erfordern. Tatsächlich
> blockieren sie oft andere Authentifizierungsmethoden ganz. Das ist
> natürlich ein Problem für uns, und deshalb habe ich mich mit diesem
> Thema etwas genauer beschäftigt. 

Das ist nicht nur bei Banken so.  Bei Krankenkassen läuft es leider
ähnlich.  Habe da länger mit denen telefoniert und die gefragt, was
Leute ohne Smartphone machen sollen?  (Wohlgemerkt nicht ohne Handy,
seinerzeit hatte ich noch ein Nokia 8910i.)  Die Antwort war
sinngemäß, solche Leute gäbe es ja gar nicht mehr.  Der Verein
Digitalcourage nennt derartiges Geschäftsgebaren ganz treffend
"Digitalzwang".  Mittlerweile erledige ich meine Angelegenheiten mit
denen wieder per Post.

> Das niederländische FSFE-Team hat hier einen wunderbaren Anfang
> gemacht, indem es eine Bank kontaktiert hat, um zu erfahren, warum sie
> es ihren Kunden erschwert, Freie Software zu benutzen. Meine Aufgabe
> war es, das Thema allgemeiner anzugehen. Leider war es sehr schwierig,
> direkt von Banken Antworten zu erhalten. Eine sehr häufige Rückmeldung
> war, dass es rechtliche Anforderungen gibt, die Dinge so zu tun, wie
> sie es tun, und dass die IT-Abteilungen vernünftige Entscheidungen
> getroffen hätten, die nicht zu sehr hinterfragt werden sollten. 
> 
> Ein Grund, den die Banken manchmal anführten, war PSD2, eine
> EU-Richtlinie zur Regulierung von Zahlungsdiensten und
> Zahlungsdienstleistern. So wie ich es nach einigen
> Hintergrundrecherchen sehe, schreibt PSD2 offenbar keine genauen
> technischen Maßnahmen vor, auch nicht für den zweiten Faktor. So wie
> die Banken PSD2 interpretieren, bedeutet dies jedoch, dass sie die
> Authentifizierngs-Secrets an eine bestimmte Hardware binden müssen.
> Meiner Meinung nach ist diese Auslegung bereits das erste Problem für
> Freie Software, denn auch wenn dies keine rechtliche Anforderung ist,
> schließt es Zwei-Faktor-Lösungen wie TOTP aus, bei denen die Secrets
> auf mehreren Geräten verwendet oder einfach durch Verwendung einer
> entsprechenden TOTP-App extrahiert werden können. 
> 
> Das zweite große Problem ist, wie Banken die Secrets an die Hardware
> binden: vollständig in Software. Dies macht es erforderlich, dass die
> Banking-Apps auf gerootete Telefone usw. prüfen, denn wenn ein Telefon
> gerootet ist, könnte das Secret theoretisch extrahiert werden. Die
> Root-Checks erfolgen in der Regel durch die Verwendung von Bibliotheken
> in den Apps, die Sicherheit auch in bösartigen Umgebungen versprechen,
> z.B. auf einem von Malware befallenen Telefon. Die Banken verlassen
> sich derzeit mehr auf solche Sicherheitsversprechen als auf
> tatsächliche Sicherheit, denn echte Sicherheit würde beispielsweise
> bedeuten, eine richtige Zwei-Faktor-Authentifizierung zu implementieren,
> statt zwei Apps auf demselben Telefon laufen zu lassen und dies
> Zwei-Faktor-Authentifizierung zu nennen. 

Been there, done that.  Ich benutze LineageOS und habe das auf allen
Handys in der Familie installiert.  Die App der DAK bspw. hat sich
strikt geweigert Dinge zu tun, weil sie davon ausging das Gerät sei
gerootet.  Ähnlich war es zwischendurch mit der Corona-Warn-App.  Das
wurde später in eine Warnung geändert, die man wegklicken konnte.

> Irgendwann dachte ich, es gäbe ein Beispiel für eine Bank, die TOTP als
> zweiten Faktor (und Anmeldung ohne zweiten Faktor) zulässt: Paypal.
> Aber soweit ich weiß, tritt Paypal hier nicht als Bank, sondern als
> Zahlungsanbieter auf und nutzt seine Banklizenz für andere Dinge. Das
> bedeutet, dass Paypal zwar auf den ersten Blick wie ein positives
> Beispiel in dieser Hinsicht aussieht, es aber doch nicht ist, weil die
> Anforderungen an Zahlungsdienstleister sehr anders als die für
> Banken sind. 
> 
> Ich bin neugierig, was ihr über dieses Thema denkt. Welche Erfahrungen
> habt ihr mit eurer Bank gemacht? Wie macht ihr euer Banking? Gibt es
> einen wichtigen Aspekt, den ich übersehen habe? Ich freue mich über
> jede Rückmeldung.

Ich mache Banking seit jeher am Laptop oder PC im Webbrowser und
überhaupt nicht am Handy.  War zuvor bei der Sparkasse und bin zur
GLS-Bank gewechselt.  So kann ich den alten Sm at rtTAN Generator von
Reiner, den ich vor Jahren von der Sparkasse bekommen hatte, jetzt bei
der GLS Bank einfach weiter nutzen.  Was die Infrastruktur angeht,
nutzt die Bank wohl die Technik der Volksbanken, genaueres weiß ich da
aber nicht.

Grüße
Alex

-- 
/"\ ASCII RIBBON | »With the first link, the chain is forged. The first
\ / CAMPAIGN     | speech censured, the first thought forbidden, the
 X  AGAINST      | first freedom denied, chains us all irrevocably.«
/ \ HTML MAIL    | (Jean-Luc Picard, quoting Judge Aaron Satie)
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20240223/a8ed1e2d/attachment.sig>