Furchtbar, dieser App-Zwang. Selbst im ÖRR wird man plötzlich aufgefordert, mit seinem Handy einen QR-Code einzuscannen anstelle der Nennung einer einprägsamen Webadresse O.o
Neulich bei immoscout24 zur App wegen 2FA genudged worden, daraufhin mit Kundenberaterin gesprochen, dass ich gerne wieder zurück wollte zur 2FA per E-Mail, was allerdings nicht ginge, denn es sei ein Sicherheits-Feature um den Kunden zu schützen auf falsche Links zu klicken - ja, nee, klar!
Meine bisherigen Negativbeispiele: 2FA-Apps diverser Banken (Kunde bei einer solchen Bank, prinzipielles Interesse bei wenigen anderen solcher Banken), die zwingend auf einem Gerät wie Smartphone oder Tablet (iOS, Android) laufen. Warum keine regulären OTP-Anwendungen (OTP-Apps als Open-Source-Software oder HW z.B. von Reiner SCT). Ich selbst bin Kunde bei einer Bank (GLS), bei der ich eine extra Chip-Karte (nicht die reguläre Bankkarte, sondern eine extra Chip-Karte explizit für Online-Banking) habe (plus den passenden Leser, in meinem Fall von Reiner SCT). Wenn möglich nutze ich bei weiteren Diensten gerne reguläres OTP: parallel in KeePassXC, Aegis Authenticator und einem Gerät von Reiner SCT. — Aber mein Vater musste für sein Tagesgeldkonto (d.h. 2FA) jetzt vor kurzem extra eine App installieren (iOS, Android). Murks!
Aber mein bestes Negativbeispiel: der Müllkalender unseres örtlichen Abfallwirtschaftsbetriebs. Bis zum Ende des letzten Jahres wurde der als ICS-Kalender per CalDAV angeboten. So konnte ich ihn bei diverser HW (Desktop-PC, Notebook, Smartphone, Tablet) und Software (Kalender auf Windows, macOS, Android, iOS, Thunderbird) einbinden. Seit Jahreswechsel gibt es dieses Angebot nicht mehr, sondern nur noch eine App. Dieses bietet natürlich weitere Informationen über den eigentlichen Kalender hinaus, die ich aber weder nutze noch überhaupt brauche. Auf meine Nachfrage beim örtlichen Abfallwirtschaftsbetrieb hieß es: ja, der Dienstleister erstellt natürlich immer noch ICS-Kalender für CalDAV. Aber der Betrieb hat nur die App und die Daten darin gebucht. Natürlich seien die Kosten und der Wartungsaufwand für ICS und CalDAV nicht erheblich. Aber so etwas wolle heute quasi keiner mehr. Eigentlich nur ich. Ich war extra auf der Sitzung des Landkreises mit Ausschuss für Abfallwirtschaft und habe explizit noch einmal nachgefragt und um Stellung gebeten (von wegen Nicht-Nutzung offener und standardisierter Schnittstellen, Open-Source-Software, etc.). Nein, da sei ich allein, außer meinen Einwand hätten sie keinen weiteren (vorgetragen bekommen — ich kann mir nicht ernsthaft vorstellen, dass es sonst niemanden außer mich selbst stört!). Ich sei da allein. Also keine Nachfrage. Es bleibe dabei. Basta! Außerdem: die App! So etwas sei modern, so etwas sei funktionell, so etwas sei zeitgemäß. So etwas wolle man heute! Nicht eine URL, die man im Kalender seiner Wahl hinterlegt.
Das glaub ich auch nicht. Ich würde eher vermuten, dass es andere nicht stark genug stört bzw. der Aufwand als zu hoch betrachtet wird dagegen etwas zu machen und die Alternative einfach weniger mühsam ist.
Es stört viele einfach nicht genug bzw. ist ihnen nicht wichtig genug. Das ist leider bei vielen Punkten zum Thema Privatssphäre, Datenschutz und Datensparsamkeit.
Und dann wird es noch viele geben, die Alternativen zur dedizierten App für einen Service gar nicht kennen.
Das übliche Bla-blubb, das vermutlich die Mehrheit der Bevölkerung auch so sieht (die können wahrscheinlich gar nicht anders als mit App).
Aber die Termine kriegt man ja hoffentlich noch ohne App? (Papierform, Webseite)?
Mache ich auch so und freue mich darüber, dass die Seeds für TOTP ‚klonbar‘ sind: nicht so gut für deren Sicherheit, aber gut in Sachen Backup und Nutzung auf mehreren Geräten.
Ist das nicht sogar der Regulatorik geschuldet? Läuft bei Dir die dedizierte App, geht die Bank davon aus, „dass Du es bist“ - daher ja auch die gängige Praxis Initialisierungs-OTPs an die hinterlegte Adresse mit der gelben Post zu schicken. Außerdem könnte man mit TOTP keine Transaktionsdaten abgleichen.
Ich kenne immer noch Banken, die mit mTAN via SMS arbeiten, was anerkanntermaßen unsicherer ist als TOTP. Dennoch scheint das die Regulatorik zuzulassen (nicht mehr lange, denke ich), weil die hinterlegte Mobilnummer als Authentifzierungs-Merkmal gilt, was für TOTP-Seeds nicht gilt.
Vielleicht brauchen wir eine Art Universal-Push-TAN-App für alle Arten von Banken (nicht ganz ernst gemeint…).
Äh, ja, tatsächlich!
Der Dienstleister erhält die eigentlichen Daten von den Kommunen, so auch unserer. Er breitet sie dann auf: für die App (eine eigene App für jede Kommune, obwohl sie nicht grundsätzlich unterschiedlich sind, aber halt das Branding etc.), ICS per CalDAV (wenn die Kommune das wünscht und anbietet — intern ist es gar kein Problem!) sowie ein PDF z.B. zum Download und Ausdruck (wird über die Website der Kommune bereitgestellt — natürlich: wenn der Dienstleister aus den Daten ein PDF generieren kann, dann auch ebenso ein ICS!).
Ich habe mir ein Download des PDF besorgt. Mangels eigener Coding-Skills aber dank ChatGPT habe ich erst die konkreten Daten aus dem PDF in ein CSV exportiert (ein reiner Text-Export mit einem PDF-Viewer, in meinem Falle Okular, war nicht so ganz brauchbar, da das PDF recht einige Strukturierungen und Formatierungen aufweist) und dann weiter in ein ICS konvertiert. Mit etwas Probieren und Korrigieren hatte ich dann ein nutzbares Ergebnis. Der Schritt CSV->ICS ließe sich automatisieren, ChatGPT könnte mir hier z.B. auch ein passendes Skript bereitstellen. Aber für den eigentlichen Schritt PDF->CSV ist mir das nicht gelungen: dort musste ich etwas interaktiv arbeiten. Aber ich vermute, mit etwas besserem Verständnis und Skills von ChatGPT und/oder erweiterten Fähigkeiten von ChatGPT in Zukunft sollte auch das möglich sein (nur ich selbst habe es halt bisher leider nur interaktiv hinbekommen).
So, jetzt bin ich auch ein Opfer.
Hab durch meine Steuererklärung Geld zurückbekommen und wollte es auf mein Tagesgeldkonto überweisen. Nun hat meine Bank die letzten Wochen ihr Portal „modernisiert“ und jetzt ist es freigeschaltet. Das war schon länger angekündigt und ich hatte schon leichte Bauchschmerzen, was da wohl auf mich zukommt. Nunja, die neue 2FA-App benötigt natürlich die Play-Dienste. Zwingend.
Bisher war das schön altmodisch über Login mit Nutzername und Passwort und für Transaktionen ein gesondertes Passwort. Konnte ich alle selbst wählen, wunderbar.
2FA ist natürlich sicherer, aber so geht das für mich nicht. Komme also nicht mehr in das Konto rein…
Mal gespannt, was sie antworten. Mich haben sie wohl als Kunden verloren…
Sie werden dich lapidar darauf hinweisen, den neuen „Service“ zu nutzen, selbst wenn du dafür ein neues Handy kaufen musst. So war es bei mir bei einer anderen Bank.
So wird es wohl oft sein. In diesem wie in anderen Fällen.
Bei meinem Müllkalender habe ich ziemlich eskaliert: mehrere E-Mails an Kommune und Abfallwirtschaft, Anwesenheit bei Sitzung des Kreistagesausschusses zur Abfallwirtschaft und Nachfrage… — hat mich nur Zeit, Energie und Nerven gekostet: am Ende war ich ziemlich bedient. Ich hatte extra ausführlich(!) auf offene und standardisierte Schnittstellen sowie Open-Source-Software Lösungen u.ä. verwiesen: das scheint die alles nicht zu interessieren.
Ja, ärgerlich, wenn es doch so einfach bei denen zu bewerkstelligen wäre… Aber: Ist das bei Euch so unregelmäßig, wann geleert wird? Ich kenne es nicht anders als dass jede Müllform an einem bestimmten Wochentag in einem bestimmten Rhythmus geleert wird (außer Sperrmüll, aber die max. 2 Termine/Jahr…)
Geht das nicht noch persönlich in der Filiale?
Wüsste jetzt nicht, dass die eine Filiale haben. Ist die BMW-Bank und hatte da mein Tagesgeldkonto.
Ich hab jetzt doch in einem extra Profil das Play-Gedöns installiert und dann die 2FA-App von denen aktiviert. Das Konto ist jetzt leergeräumt und geschlossen und ich schau mich nach was anderem um.
Kann aber berichten: Unter GrapheneOS funktioniert die neue 2FA-App der BMW-Bank wunderbar. Sie baut folgende Verbindungen auf:
Es funktioniert auch, wenn man dem PlayStore und den Play-Diensten den Zugang zum Internet verbietet. Ein Deaktivieren verhindert allerdings, dass die App funktioniert.
Dürfte schon wegen der PSD2-Richtlinie für Banken ein Auslaufmodell sein. Der 2. Faktor darf darum nicht noch einmal Wissen sein, sondern entweder Haben oder Sein (Biometrie). mTAN via SMS gilt zur Zeit noch als Haben trotz SIM-Swapping-Risiken. Geht bei manchen Banken also wohl noch per Dumbphone, ohne App-Zwang.
Apropos App-Zwang: Könnte die Kartellgerichtsbarkeit nicht einmal dagegen vorgehen, dass es außer dem Duopol App Store / Play Store nichts Drittes geben darf, das als banken-sicher gilt? Dann müssten die alternativen Anbieter nach der aktuellen Regulatorik sich allerdings als ‚compliant‘ ausweisen können.
GrapheneOS wollte da ja mal sogar klagen. Sie sehen nicht ein warum ihr deutlich sichereres Betriebssystem nicht die höchste PlayIntegrity Stufe bekommt von Google und damit Apps nicht starten die gesteigerte Anforderungen haben.
Mit dem neuen Android 16 kann das ja erst recht Probleme machen mit der Advanced Protection.
Das denke ich mir auch oft.
Gab es nicht sogar ein Urteil, dass Apple auch andere Shops zulassen muss?
Wäre wieder eine tolle Möglichkeit wenn die EU ein Open Source basierten Store wie F-Droid anbietet.
Dann könnte man dort Bezahlapps Apps ohne Apple und Google Verbindung nutzen und kaufen.
Mit der Zeit würden man dort bestimmt die wichtigsten Apps finden.
Wäre auch wieder ein Stück unabhängiger von 2 Konzernen die faktisch auf allen Geräten Duopol haben.
Hallo @sekret, wenn ich dich richtig verstehe braucht die App installierte Play Services. Den Play Services selbst kann man aber die Internetverbindung (network) entziehen? War das so bei Dir? Nutzt du auch so etwas wie Netguard und hast nur die beiden genannten Verbindungen zugelassen? Bei mir klappt das nicht so recht. Was hattest du denn bei sonst noch in den App Einstellungen der 2FA-App konfiguriert?
Hi @8tt8 Hier mein Setup:
Ich nutze NextDNS und hab da eine Filterliste aktiv, die alle Auflösungen von Google-IPs unterbindet. Es ist also nicht gleichwertig mit Netguard / RethinkDNS, weil die auch direkt IPs blockieren können.
Als ich die Play-Dienste in dem separaten Nutzer-Profil eingerichtet habe, musste ich diese Verbindungen temporär zulassen. Ob dafür jetzt alle nötig waren oder nicht, weiß ich nicht. Den Aufwand, das feingranular zu machen, habe ich mir gespart.
Als die Play-Dienste eingerichtet waren, habe ich die BMW-App installiert. Daraufhin hab ich ihnen die Netzwerk-Berechtigung entzogen.
Dann habe ich die BMW-App eingerichtet. Hat funktioniert.
Das Konto ist mittlerweile gekündigt, ebenso ist also das separate Nutzer-Profil gelöscht.
Die Playdienste hatten also zu Beginn Internetverbindung. Hast du dich auch eingelogged oder ging das ohne Konto?
Ne, man muss sich einloggen, also brauchen sie zunächst ne Internetverbindung. Ich hab es auch ohne Einloggen versucht, aber dann kommt in der BMW-App der Anmeldedialog der Play-Dienste.
Ok. Also ohne Google-Konto geht es nicht. Das ist natürlich doof, aber immerhin geht es überhaupt. Evtl. will die Bankenapp dann irgendwann doch wieder über Googleplay ins Internet. Du sagst ja, dass du es nur vorübergehend genutzt hast. Muss mal gucken, was ich da mache.
Ja, das ist leider so. Leg dir halt ein temporäres an. Ich hab das Ding dafür ne gmail-Adresse anlegen lassen, natürlich nicht personalisiert. Wenn du Glück hast, musst du auch keine Handynummer anlegen. Manchmal geht es wohl ohne, manchmal mit. Wenn ich mich richtig erinnere, ist die Wahrscheinlichkeit höher, dass man keine angeben muss, wenn man „ganz normal“ auf Google geht, also nicht via Tor, vielleicht mit deaktiviertem Adblocker usw.
Ja, kann natürlich sein, dass die Anmeldung irgendwann verfällt. Dann müsstest wohl den Diensten wieder Zugang zum Internet gewähren, dich wieder anmelden und dann die Berechtigung wieder entziehen.
edit: Ich hab es nur benutzt, um wieder in mein Konto zu kommen, das Geld aufs Girokonto zu überweisen, die letzten Dokumente runterzuladen und es dann zu kündigen. Womöglich wäre das auch rein schriftlich gegangen, aber bei mir war die Wahrscheinlichkeit für 2 Wochen recht hoch, dass ich kurzfristig das Geld brauche, daher war das für mich leider keine Option.