Good guy DHL Web Security für alle: Content-Security-Policy

Windows ist dafür nicht sicher genug

Published on Monday, October 10, 2016 5:00:00 AM UTC in Skit & Security

Ich muss gestehen, dass ich bis vor kurzem - und zwar viele Jahre lang - mit einem absolut mangelhaften und fahrlässigen Sicherheitsverständnis beim Thema Online-Banking unterwegs war: per iTAN. In meiner grenzenlosen Arroganz dachte ich, dass mit einem eigenen System, dediziertem Browser inklusive aktiviertem NoScript zusammen mit der Unterstützung meiner Bank, die Überweisungen lediglich vormerkt, damit sie (auch auf anderen Geräten) nochmals kontrolliert und ggfs. storniert werden können, auf der sicheren Seite beim Online-Banking sei. Weit gefehlt! Anscheinend ist die gängige Expertenmeinung, dass das bloße Vorhandensein einer iTAN-Liste in der eigenen Schreibtisch-Schublade automatisch dazu führt, dass monatlich Beträge im unteren einstelligen Millionenbereich von meinem Konto an Betrüger abgedrückt werden. Außerdem seien die Phising-Mails heutzutage so clever, dass ich jederzeit und beliebig oft dazu überredet werden könnte, auf Links zu klicken, um dort bereitwillig hunderte TAN-Nummern einzutippen. Scho-ckie-rend! Kurz, so teilte mir meine Bank jedenfalls mit, sei es alternativlos, das Verfahren zum Ende des Jahres einzustellen. Ich solle mich doch gefälligst für eine der Alternativen anmelden.

Also griff ich zum Telefon, um mit dem Hotline-Mitarbeiter meines Vertrauens - ich möchte ihn an dieser Stelle Fredbert nennen - die möglichen Optionen zu besprechen. Zunächst einmal legte Fredbert dar, dass neuere Verfahren wesentlich sicherer seien als iTAN, weil es einen alternativen Übertragungsweg für die TAN-Nummern gäbe, beispielsweise per Handy. Nun muss ich vielleicht dazusagen, dass ich gerne den technophoben Redneck mime, wenn ich mit vermeintlichen Experten spreche, um sowieso schon amüsante Gespräche noch künstlich in die Länge zu ziehen und damit meinen persönlichen Spaß zu maximieren. Beim Thema TAN-Verfahren lasse ich mich gerne auf eine sachliche Diskussion ein, und die Nachteile klassischer Verfahren grade für die breite Masse (da ist sie wieder, die Arroganz) sind unbestritten; aber wenn ein Hotline-Mitarbeiter als einziges Argument für den Umstieg auf digitale Verfahren vorzubringen weiß, dass es damit einen alternativen Übertragungsweg für die TANs gäbe, muss ich auf jeden Fall kritischer nachfragen. "Ist es kein alternativer Übertragungsweg, wenn ich einen Zettel mit TANs bekomme? Immerhin kommt der per Post", entgegnete ich, woraufhin Fredbert selbstsicher konterte: "Ja aber per Handy ist das sicherer!" Wow. Das sind die Momente, die bei mir immer zu einer Art kurzzeitiger perplexer Schockstarre in weiten Teilen meines Gehirns führen. Ist es das, was Menschen heutzutage wirklich glauben? Dass eine SMS aufs Handy sicherer ist, als ein Blatt Papier per Post zu verschicken? Lustigerweise pries Fredbert übrigens das Verfahren "mobile TAN" an, das ebenfalls zum Jahresende eingestellt wird. Ich ließ also nicht locker: "Also ich glaube, dass mir ein Blatt Papier, das ich in meinem Schreibtisch einschließen kann, deutlich sympathischer ist als dieser Handy-Mummpitz", erwiderte ich mit entwaffnender Einfältigkeit. Sofort schwenkte mein Gegenüber auf die gesetzlichen Verpflichtungen um, die mir leider keine Wahl lassen würden. Am Ende des Jahres, ob ich wolle oder nicht, wäre der Spaß mit iTAN zuende. Er könne mich aber gerne mit der zuständigen Abteilung verbinden, die mir die einzelnen Alternativen im Detail erklären und meine Sicherheitsbedenken ausräumen könne. Aber natürlich, verbinden bitte!

Bei der Task Force zur Verbreitung irreführender Fehlaussagen[1][1]
Wie die Abteilung wirklich hieß, habe ich vergessen; aber angesichts des folgenden Gesprächs wäre das ein ganz angemessener Name, denke ich.
sprach ich dann mit einer Mitarbeiterin, der Einfachheit halber Jaqueline-Bernadette genannt, die mir die Vorzüge der hauseigenen "SecureApp" anpries. Kurz war ich versucht, die Frage nach dem System meines Handys mit "Symbian OS" zu beantworten, besann mich dann aber doch eines besseren und entgegnete wahrheitsgemäß "Android", was - wie ich erfuhr - neben iOS das einzige unterstützte System ist. "Dann ist es ja gut", witzelte ich, "dass ich vor kurzem mein Windows Phone entsorgt habe." Die Antwort von Jaqueline-Bernadette kam unerwartet und unmittelbar: "Ja, auf jeden Fall. Windows ist für sowas nicht sicher genug. Zum Glück gibt's davon ja nicht mehr so viele."

...

Woher kommt so eine Aussage? Ist das nun eine private Meinung? Oder zitiert aus dem Schulungshandbuch für Hotline-Mitarbeiter? Vielleicht ist es sogar der offizielle Standpunkt des Kreditinstituts? Windows ist nicht sicher genug, sogar meine Bank sagt das, es muss also stimmen! Man kann über Microsofts Produkte denken, wie man möchte. Meine persönliche Erfahrung ist aber, dass sie häufig gänzlich willkürlich und unbegründet als nachteilig oder minderwertiger dargestellt werden. Das war schon ein Problem, als Windows Phone auf den Markt kam und man in Elektromärkten o.ä. völlig hanebüchene Argumentationen gegen den Kauf eines solchen Gerätes mitverfolgen konnte ("für die Herstellung eines Windows Phone müssen zehn süße Robbenbabys sterben!"). Gerade bei Verkäufern, Hotline-Mitarbeitern und anderem Personal in den "entscheidenden" Positionen ist das natürlich besonders fatal, da sie als Multiplikatoren zur allgemeinen Meinungsbildung gelten müssen.

Ein wichtiger Gedankengang für mich in diesen Situationen ist immer dieser: bei solchen Aussagen erkenne ich leicht, dass mir der Gegenüber Nonsens erzählt. Was aber passiert in den Kompentenzbereichen, in denen ich als Laie gelte? Sind die Aussagen der Bankmitarbeiter genauso "fundiert", wenn ich mich zu Investitionen oder Krediten beraten lasse? Habe ich dann auch eine Chance, den Nonsens noch zu erkennen?

wir-haften-nicht-fuer-unsere-app.png

Ja wie jetzt? Wir haften nicht für unsere App? :)

Besonders amüsant ist übrigens, dass die "SecureApp" auch als Desktop-Version verfügbar ist, bis hinunter zu Windows Vista. Anscheinend ist Windows nur auf dem Smartphone ein Risiko :).

Die geschilderten Sachverhalte und Ereignisse liegen in der Vergangenheit. Aus Sicherheitsgründen wurde die Veröffentlichung des Posts verzögert, bis der Umstieg zu einem alternativen Verfahren vollständig abgeschlossen war ;).

Tags: Hotline · Schockstarre