Meine Bank hat entschieden, das SIM-TAN-Verfahren einzustellen, sodass nur noch zwei Apps für die 2FA verwendet werden können. Die Voraussetzung dafür, dass die Apps funktionieren, ist, dass Google-Dienste auf dem Smartphone installiert sind. Auf meinem Smartphone befindet sich jedoch LineageOS ohne Google-Dienste, weil ich meinen Datenschutz erhöhen wollte. Jetzt könnte ich mich beugen und mir ein weiteres Smartphone anschaffen, das ich dann extra für das Online-Banking verwenden kann.
Die Alternative ist, eine Bank zu finden, die insgesamt datenschutzfreundlich ist und ein Verfahren anbietet, welches ich ohne Google-Dienste oder gar ohne Smartphone verwenden kann.
Aus diesem Grund bin ich schon am Recherchieren und möchte eine Übersicht veröffentlichen, in der Andere herausfinden können, welche Bank gut mit den eigenen Daten umgeht.
Meine Frage an euch ist: Was ist euch wichtig, um den Datenschutz einer Bank bewerten zu können? Was und wie sollte so etwas in einer Übersicht dargestellt werden?
Meine bisherigen Kriterien:
Auflistung der Anfragen an Drittanbieter beim Besuch der Website einer Bank (ist für das Online-Banking direkt nicht so relevant, sagt aber was darüber aus, was eine Bank vom Datenschutz hält)
Auflistung der Anfragen an Drittanbieter beim Besuch der Website für das Online-Banking einer Bank (allerdings nur im Login-Bereich, da ich mich ja nicht überall einloggen kann)
Weitergabe der Daten an Dritte: Ja/Nein (was Ausführlicheres ist zu aufwändig)
Auflistung der Sicherheitsverfahren-Verfahren
Auflistung der Tracker pro Sicherheitsverfahren, das eine App voraussetzt
Die Anfragen an Drittanbieter würde ich dabei mit dem Addon Lightbeam und die Tracker bei den Apps mit Exodus Privacy herausfinden.
Ich bin selbst zur Zeit auf der Suche nach einer anderen Bank und daher für eine Übersicht - sowie die Meinungen und Tipps dazu.
Dabei lege ich ein Augenmerk auf derartige Kriterien:
Werden Buchungen und Daueraufträge analysiert?
Wie „clean“ ist die Login-Seite? Ohne Javascript nutzbar? Fremde Domains im uBlock?
Gibt es eine reine Girocard ohne Cobadging mit maestro oder V-pay, die ggf. Daten sammeln?
Tan-Generator als eigene Hardware: mit / ohne Girocard? Können Hardware-Generator und eine Tan-App abwechselnd genutzt werden (siehe * 1)?
Tan-Generator Verfahren: Flickercode oder QR-TAN und/oder photoTAN? Eher ein Usability-Thema.
Tan-App: separat von einer evtl. angebotenen Banking-App (* 2)? Tracker lt. Exodus? Auf mehreren Geräten abwechselnd nutzbar?
Geht Tan-Erzeugung nur per Push und/oder kann der zweite Faktor offline genutzt werden?
(* 1) Die ING Diba ermöglicht anscheinend photoTAN entweder auf dem Hardware-Generator oder in der Banking-App.
(* 2) Der Trend bei einigen Banken geht ja leider zum Alles-in-einer-App-Banking. Gerne auch nur 4-stellige PIN für die Tan…
Bezüglich Sicherheit ist das für mich ein Rückschritt. Klar, es ist Zweifaktor - eine Kombi aus Wissen und Haben - aber eben schwächer als ein weiteres Gerät oder eine separate App mit langem Passwort.
Auch von meiner Seite ein für die Initiative, wobei ich mich frage wie du Online Banken definierst? Nur solche, die kein Filialnetz und persönliche Ansprechpartner haben?
Ich würde, auch wenn du von Online Bank redest den folgenden Punkt bezüglich Maßnahmen zum Datenschutz aufnehmen:
Für mich gehört zum Datenschutz auch die Möglichkeit im Inland (Schwerpunkt) als auch im Ausland kostenlos oder zumindest kostengünstig Bargeld abheben zu können, um nicht immer mit Karte bezahlen zu müssen.
Für den Datenschutz spielt das IMHO keine Rolle. Eher für die Bequemlichkeit.
Oder vielleicht auch für Barrierefreiheit wichtig, wenn das Flackern zu epileptischen Anfällen führen kann. Aber wie gesagt, hier geht es um den Datenschutz
Ist das wirklich wichtig? Die Bank weiß ja, wann du deine Überweisung tätigst.
Hmm, erstmal dachte ich wohl wirklich an Banken ohne Filialen, aber ich denke, dass die Übersicht auch gut auf diese Banken ausgeweitet werden kann.
An alle: Danke für die ganzen Anregungen und Hinweise!
Ich finde schon.
Meines Wissens läuft Push-TAN (oft bis immer?) Über Drittanbieter wie FCM, also Firebase Cloud Messaging / Google Server, und damit weiß der Drittanbieter auch von der Banking Aktivität. Er kennt so auch die IP des Geräts, selbst wenn ansonsten gar nichts anderes über diesen Service läuft.
Je nach Inhalt der Message (nur TAN oder auch Betrag, Empfänger) werden gleich noch meine Überweisungsdaten dem Drittanbieter offengelegt.
Oder übersehe ich dabei was? Verschlüsselt kommt das ja nicht, richtig?
Aus der eigenen Praxis weiß ich: Wenn die Play Dienste deaktiviert und/oder die Google-IPs mit Netguard gefiltert werden, kommt ohne geöffnete TAN-App keine Push-TAN an. Die Bank sendet sie natürlich trotzdem an FCM Server.
Bei einem Offline-TAN-Verfahren, egal ob TAN-App oder Hardware-Generator, kriegt kein Drittanbieter die Daten in die Hände.
Ich hätte da auch noch einen Zusatzpunkt, mehr in Richtung Security: Folgt der erste Faktor (Passwort) aktueller Best Practice? Manche Banken haben auch im Jahr 2023 Passwortrichtlinien, die aus der prä-digitalen Zeit des Telefonbankings stammen: x numerische Zeichen, nicht mehr, nicht weniger, und x ist kleiner gleich 6…
Statt Daten von Privatnutzern zu verarbeiten und speichern, soll der neue Standort Dienste für gewerbliche Kunden von Google Cloud bereitstellen. Als Kunden nennt Google die Lufthansa Group, die Commerzbank und Automobilzulieferer Fehrer.
Der Standort wäre damit in Deutschland, aber Google ist für mich einfach nicht vertrauenswürdig, selbst wenn sie sich dann offiziell an die DSVGO halten. Man muss echt vorsichtig sein, weil sich diese Datenkraken an immer mehr Stellen einnisten.
Danke für dieses Kriterium! Ich hätte nicht gedacht, dass Banken Apps anbieten, die auch offline als TAN-Generator funktionieren. Zwei Banken, über die ich bisher Infos gesammelt habe, erlauben dies aber
Ein Test der Consorsbank mittels tracerout führte zu einem unschönen Ergebnis.
Mit Prolexic Technologies wird ein US-amerikanisches Unternehmen das zu Akamai Technologies Inc gehört als DDos-Schutz vorgeschaltet.
traceroute to www.consorsbank.de (155.140.84.35), 30 hops max, 60 byte packets
Akamai Technologies hat mit Cloudflare gemeinsam, daß es ein CDN anbietet und folglich Inhalte der Kunden ausliefert (also den größten Teil des Traffics übernimmt).
Das ist an sich harmlos und derer gibt es viele: hier eine Auswahl der Bekanntesten. Da kommt es auf die Inhalte an und die liegen in der Verantwortung der Kunden.
Muss zum DDoS Schutz nicht generell das MiTM-Prinzip angewandt werden, sprich Akamai wäre letztlich nicht wirklich besser, da es ebenfalls unter den patriot act fällt.
Ich schicke mal voraus, ich weiß nicht, wie DDoS-Schutz in allen Variationen funktioniert und ich kenne den patriot act nicht inhaltlich.
Aber ein Beispiel, das meinem Verständnis entspricht, mit Obst.
Mal angenommen, ich esse gerne Äpfel aber ich bin empfindlich für „sauer“, mag also nur süße Äpfel.
Da gibt es nun ganz viele grüne Apfelsorten (Granny Smith, Golden Delicous usw.).
Manche sind teuflisch sauer und andere sind lecker süß – obwohl sie alle grün sind.
Cloudflare bietet nicht nur einen Service, sondern verschiedene, auch nützliches CDN zum Beispiel.
Aber es setzt in einem Service die DNS-Adressierung seiner Kundenwebseiten um in eigene Adressen.
Das ist ähnlich zur Firewall-Funktion NAT, eines „Routers“.
Die Folge ist, wenn Cloudflare ausfällt, gibt es KEINEN Weg zu allen seinen Kunden dieses Services! Egal, ob es gewollt ist oder Versehen, ob es ein Fehler im Management oder ein feindlicher Angriff gegen Cloudflare ist:
Das (vermutlich mehr als) halbe Internet ist dann tot. Vor 5 Jahren sprach man schon von einem Drittel und täglich werden es mehr …
Manchmal bekommt man als völlig harmloser Besucher eine Sperrseite gezeigt und dann hat man einfach keine Chance, durchzukommen – das empfindet man schnell als Zensur des www.
Und sage nicht, Cloudflare passiert das nicht. Sowas ist auch schon Microsoft passiert, das ist noch gar nicht lange her. Technische Pannen können jedem passieren, menschliche „Fehler“ auch und Angriffe …
Und sage nicht, wegen der paar Seiten … das wird schon nicht so schlimm sein. Immer mehr durchaus wichtige, seriöse Seiten buchen diesen Service und liefern sich dem Wahnsinn aus.
Ausschnitt aus meinem nach oben offenen Detektionen
Nein. Für einen DDOS-Schutz ist das nicht erforderlich.
Notwendig wird das immer dann, wenn ein Caching Proxy vor den eigentlichen Dienst geschaltet werden soll. Und das ist, bei vielen Webseitenbetreibern, der primäre Einsatzzweck für Cloudflare.
So, ich habe eine neue Website an den Start gebracht, die sich mit Datenschutz auseinandersetzen soll (ergänzend zu dem, was Mike und Digitalcourage schon machen). Die Übersicht über den Datenschutz bei Banken macht den Anfang: https://datendiaet.de/listen/banken/.
Das ist jetzt erstmal ein Anfang. Es fehlen noch Erklärungen zu fast allen Kriterien und ihr habt ein paar Kriterien genannt, die noch nicht drin sind, über die ich aber erst noch nachdenken muss.
Bisher sind auch „nur“ folgende Banken enthalten:
1822direkt
comdirect
Commerzbank
Consorsbank
Deutsche Bank
Deutsche Kreditbank (DKB)
Ethikbank
GLS
Triodos Bank
Da kommen definitiv noch welche dazu.
Das Ganze würde ich außerdem noch so optimieren, dass es leichter ist, die Banken zu vergleichen und Infos zu finden.
für eine Übersicht - sowie die Meinungen und Tipps dazu.
für die Tan…