Hallo zusammen, ich bin über den Blog-Artikel zu Online-Banking und da speziell zu den 2FA Apps hier gelandet.
Ich frage mich ob die 2FA Apps von Direktbanken und Neobrokern irgendwelche Daten über mich und/oder meine Bankgeschäfte an Google bzw. Apple übermitteln und wenn ja (ich gehe eigentlich davon aus, dass das in irgendeiner Form stattfindet) würde mich interessieren ob ein IT-Experte das als sicherheitsrelevantes Risiko einstufen würde (und wenn, warum oder warum nicht).
Ich bin kein IT-Experte, meine aber, die eher transaktions- oder sytembezogenen Sicherheitsriskien bei 2FA Apps schon zumindest grob verstanden zu haben und versuche jetzt noch rauszufinden, ob der von mir beschriebene „Privatsphärenaspekt“ auch sicherheitsrelevant ist (der tauchte in den Blog-Artikeln nur am Rande auf, es sein denn ich habe da was übersehen).
Mir gehts nicht darum, dass sich jemand über die in den Apps enthaltenen Google-Tracker etc. reinhacken könnte, das habe ich als Risko schon erfasst, sondern dass ggf. Daten über meine Bankbeziehungen bei Apple oder Google landen (was dann ggf. auch gerade so gewollt ist, also gar keinen kriminellen Aspekt hat). Wenn, fände ich das nicht so gut (ist aber wie gesagt alles ein eher difuses Störgefühl).
Ich komme daher, dass die im Blog empfohlenen ChipTan Geräte bei vielen Online-Brokern nicht mehr verfügbar sind. Die Sparkassen und Volksbanken haben das zwar noch, und die sind für normale Bankgeschäfte auch OK, aber Wertpapierhandel (einschl. ETF für Altersvorsorge) ist dort sehr teuer.
Unterm Strich gehts also um die Frage einer Abwägung zwischen den Risiken von 2FA Apps und den Mehrkosten bei einer Bank, die einem auch ChipTan anbietet (und wenn ChipTan irgendwann ganz abgeschafft wird, stellt sich die Frage ganz generell).
Wenn die Banking-App eh schon Adobe-, Facebook- und Google-Tracker eingebaut hat, kommt es auf die Push-TAN-App desselben Instituts auch nicht mehr an
Ok, ist ein wenig zynisch formuliert, denn diese ganzen proprietären Authentifikatoren sind schon eine merkwürdige Entwicklung. Dass die Banken kein TOTP anbieten, kann ich verstehen (nicht an ein Gerät gebunden und schon gar nicht an eine bestimmte Transaktion), aber die Bindung an ein Secure Element wie bei FIDO2 oder Passkeys würde schon ein Merkmal des Pflichtenhefts erfüllen (registriertes Device).
Wie wäre es mit der Registrierung der Push-TAN-App auf einem zweiten, für andere Zwecke genutzten Mobilgerät? Habe dazu vor Jahren mal ein wenig genutztes Tablet eingesetzt, doch dann war mir dieses ‚echte‘ 2fa (zwei verschiedene Geräte) zu umständlich.
Danke für Deine Antwort nick. Verstehe ich das richtig, Du nutzt solche Apps auch und für Dich persönlich ist das etwas, womit Du leben kannst, also dass Google oder Apple „irgendwie“ bei deinen Banking-Transaktionen dabei sind? Das war ja das, was mich interessierte, also wie „kundige“ Menschen darüber denken würden.
Dass Du aus dem App- bzw. Play-Store heraus die App der Bank XYZ heruntergeladen hast und z.B. seit drei Jahren benutzt, das sind in der Tat Daten, die sich kaum vor Apple und Google verbergen lassen (die dann daraus schließen könnten, dass Du Kunde bei der Bank bist). An die Custom-ROM-Kundigen hier im Forum: Gibt es Banking-Apps bei F-Droid? Würde mich ja wundern, wenn das der Fall wäre, denn die Banken stehn auf Kriegsfuß mit allem, was nicht aus den offiziellen Stores kommt.
Hab auf meinem iPhone gerade mal im „Datenschutzbericht“ nachgeguckt: Die Apps von Comdirect und Trade Republic kontaktieren fleißig den Firebase-Service von Google. Die Banken werden dann Performance-Berichte zurückbekommen, mit Informationen wie Verweildauer in der App und häufiger bzw. weniger häufig benutzte Funktionen. Das sind aber ‚nur‘ Metadaten und keine Inhaltsdaten, sprich ich kann mir nicht vorstellen, dass auf Google-Servern Deine Kontotransaktionen ausgewertet werden. Die Bank selbst hat da natürlich vollen Zugriff, würde die Verwaltung solch sensibler Daten aber schon aus Selbstschutz nicht einer Firma wie Google überlassen.
Aber ich stimme zu: Tracking hinterlässt immer einen schalen Nachgeschmack (bei Finanz- oder Gesundheits-Apps ganz besonders). Darum verwende ich auch AdGuard als DNS-Server, damit Werbung und Tracking geblockt werden. Wie effektiv das gegen Firebase und Konsorten ist, das werden andere hier im Forum besser wissen. Da ich AdGuard per Config-File in iOS hinterlegt habe und weder die App noch die selbst gehostete Lösung verwende, bekomme ich darüber kein Reporting.
