Sparkassen, Volksbanken, DKB und Co.: Interview über Sicherheitsprobleme beim mobilen Banking

Wie kann es dazu kommen, dass man mit einem Schlag mehr als 30 Finanz-Apps manipulieren kann? Anlässlich seines auf dem 34C3 vorgestellten Banking-Hacks sprachen wir mit Vincent Haupert über Sicherheitsprobleme bei mobilen Transaktionen, die Kurzsichtigkeit der Banken, Regulierungsbedarf und Tipps für Nutzer:innen.

Bequem und sicher? Auf dem 34. Chaos Communication Congress zeigte Vincent Haupert, wie er Transaktionen diverser Banking-Apps manipulieren konnte. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Alejandro Escamilla

Vincent Haupert ist IT-Sicherheitsforscher der Uni Erlangen-Nürnberg und warnt schon lange vor App-basierten TAN-Verfahren. Vor einem Jahr offenbarte er gravierende Mängel beim Banking-Startup N26. Auf dem 34. Chaos Communication Congress in Leipzig hat er gestern gezeigt, wie er mit seinem Kollegen Nicolas Schneider durch einen Angriff auf einen einzigen Sicherheitsdienstleister 31 Finanz-Apps manipulieren konnte.

Ein Sicherheitssystem geknackt, 31 Finanz-Apps übernommen

netzpolitik.org: Laut eigener Aussage konntet ihr 31 Mobil-Apps aus dem Finanzbereich hacken, darunter millionenfach genutzte Anwendungen wie die der Volksbanken-Raiffeisen Gruppe, der Sparkassen, der Commerzbank und der DKB. Ihr habt dafür einen Angriff auf einen einzigen Sicherheitsdienstleister umgesetzt, den alle Anwendungen der betroffenen Banken genutzt haben. Wie sah euer Angriff auf dieses System aus?

Vincent Haupert: Der Großteil der relevanten deutschen Banking-Apps setzt auf das gleiche Produkt des norwegischen Herstellers Promon, weshalb es eine besondere Relevanz hat. Aufgrund der gleichartigen Funktionsweise der Lösung bei verschiedenen Apps war es uns möglich, ein Programm zu entwickeln, dass die durch Promon eingeführten Sicherungsmaßnahmen automatisiert deaktivieren kann. Im Anschluss waren Angriffe, wie zum Beispiel eine Transaktionsmanipulation, ohne große Mühen zu realisieren.

netzpolitik.org: Wie kommt es, dass die Banken sich bei einem so wichtigen Thema auf Dritte verlassen?

Vincent Haupert: Mit der Einführung des Mobilebankings hat sich eine konzeptionelle Schwäche aufgetan, weil sich nun zum ersten Mal die Möglichkeit ergibt, die Kontrolle über alle am Transaktionsprozess beteiligten Authentifizierungselemente zu erlangen, indem man nur ein Gerät kompromittiert. Den Banken ist diese Problematik bewusst, weshalb sie das konzeptionelle Sicherheitsdefizit durch technische Maßnahmen versuchen auszugleichen. Die Technik dafür kommt oft nicht aus dem eigenen Haus, sondern von sich auf den Bereich der App-Sicherheit spezialisierten Dritten. Hierbei hat es sich herausgestellt, dass das Gros des deutschen Finanzwesens auf ein und denselben Hersteller setzt, dessen Schutzmaßnahmen aber auch auf ein und dieselbe Art und Weise wieder deaktiviert bzw. sogar umgekehrt werden können.

netzpolitik.org: Welche Rolle spielt dieser Dienstleister im Normalfall für die Sicherheitsarchitektur der Apps?

Vincent Haupert: Der eigentliche Kernbereich dieser Hersteller war zunächst die App-Härtung, also zum Beispiel solche Schutzmaßnahmen, die die statische oder dynamische Analyse verhindern sollen. Noch zentraler ist der Schutz der Integrität der App, um sogenanntes Repackaging zu verhindern, bei dem eine bestehende App mit Schadcode versehen und anschließend verbreitet wird. Heute lässt sich aber beobachten, dass zunehmend auch Best-Practices der IT-Sicherheit Aufgaben dieser Sicherungsprodukte geworden sind, etwa Zertifikatspinning oder auch das verschlüsselte Ablegen von Daten. Das wird von den Banken auch gut aufgenommen und führt schlussendlich dazu, dass Banking-Apps bereits mit dem Wissen, dass eine Drittherstellerlösung gewisse Sicherheitsaufgaben übernimmt, entwickelt werden. Das rückt die Hersteller solcher Lösungen natürlich weiter in den Fokus.

Sicherheitsproblem mit System

netzpolitik.org: Was führt dazu, dass ein einziges Sicherheitssystem in so vielen Apps eingesetzt wird?

Vincent Haupert.

Vincent Haupert: Das lässt sich von außen schwer beantworten, es spielen aber vermutlich mehrere Faktoren eine Rolle: der Umfang der gebotenen Sicherungsfunktionen, die Performanz, die Zuverlässigkeit – False Positives sind ein echtes Problem – und nicht zuletzt natürlich auch der Preis. An der fehlenden Konkurrenz liegt es jedenfalls nicht. Die wirkt aufgrund der prävalenten Stellung Promons im Markt der deutschen Banking-Apps aber relativ abgeschlagen. In welchen der genannten Faktoren Promon im Vergleich zur Konkurrenz besonders gut ist, wissen aber auch wir nicht, was auch an der schlechten Vergleichbarkeit der einzelnen Produkte liegt.

netzpolitik.org: Wer trägt die Verantwortung für dieses „Outsourcing von Sicherheitsmaßnahmen“? Machen es sich die Banken zu leicht oder machen die Dienstleister falsche Versprechen?

Vincent Haupert: Es ist definitiv so, dass die Erwartungen der Banken und das Leistungsangebot der Sicherheitsdienstleister nicht identisch sind. Die Hochglanzbroschüren der Produkte sind sicher nicht unschuldig an den hohen Erwartungen und man kann von den Banken kaum erwarten, dass sie alle Aussage auf deren Validität überprüfen. Ein Plädoyer der Banken, sie wären doch nur verführt worden, griffe aber ebenfalls zu kurz: Die Institute haben nicht selten fähiges Personal in ihren IT-Sicherheitsabteilungen, denen die erhöhte Angreifbarkeit im Vergleich zur unabhängigen Zwei-Faktor-Authentifizierung auch durchaus bewusst ist. Vermutlich ist es aber gerade das Wissen darüber, dass man einen strukturellen Mangel niemals mit nur rein technischen Maßnahmen beheben kann, das zur Inanspruchnahme einer nicht eigens entwickelten Lösung führt. Das Problem liegt demnach eher in dem, was nicht, statt in dem was gesagt wird: Nämlich dass Härtungs- und Schutzmaßnahmen eben kein äquivalentes Maß an Sicherheit bieten.

Kurzsichtige Lösungen

netzpolitik.org: Wie groß ist das Phänomen Mobilebanking überhaupt? Gibt es Zahlen dazu, wie viele Menschen solche Anwendungen nutzen, welche Funktionalitäten sie bevorzugen und welche Rolle App-basierte TAN-Verfahren, bei denen alles auf einem Gerät stattfindet und die auf eine Zwei-Faktor-Authentifizierung verzichten, spielen?

Vincent Haupert: Obwohl es einige Studien zur Verbreitung und Nutzung von Mobilebanking gibt, versäumen diese oft eine Definition dessen, was unter dem Begriff Mobilebanking eigentlich zu verstehen ist. Während wir unter Mobilebanking solche Geschäftsvorfälle verstehen, bei denen Transaktionen von ein und demselben Gerät durchgeführt werden können, betrachten andere bereits das Nutzen einer Banking-App nur zur Überprüfung des Kontostands als Mobilebanking. Das führt dann zu zum Teil widersprüchlichen Aussagen: Mal steht Mobilebanking gefühlt kurz vor dem Durchbruch, manchmal scheint es nahe der Bedeutungslosigkeit. Studien zeigen, dass gerade die deutsche Bevölkerung viel Wert auf Sicherheit legt. Es dürfte aber als gesichert gelten, dass App-basierte Verfahren gerade bei jungen Kunden in Zukunft weiter an Fahrt aufnehmen werden. Von einem Run kann man aber auch nicht sprechen: Laut einer Umfrage der Norisbank aus dem Jahr 2016 bewegt sich der Marktanteil App-basierter Sicherungsverfahren bei 5-8%. Die Zahlen sollen sich im Vergleich zu diesem Jahr kaum geändert haben.

netzpolitik.org: Banken und Branchenverbände haben jetzt darauf verwiesen, dass bislang keine Kunden durch die von dir aufgezeigten Sicherheitsmängel zu Schaden gekommen seien. Wie groß ist die Gefahr deiner Meinung nach wirklich?

Vincent Haupert: Das ist natürlich eine beliebte, wenn auch aussagenlogisch problematische Reaktion. Zum einen ist es so, dass die Banken oder auch die Sicherheitsdienstleister kaum damit hausieren gehen dürften, dass sie schon Schadensfälle auf ihre Verfahren zu verzeichnen hatten. Das bedeutet aber nicht, dass ich der Behauptung keinen Glauben schenke, ich halte sie sogar für plausibel: Wie bereits erwähnt, sind die App-basierten Verfahren aktuell weitgehend ohne Bedeutung, weshalb sich auch für Kriminelle weitgehend uninteressant sind. Es ist aber davon auszugehen, dass sich das in Zukunft ändern wird. Es scheint mir aus Sicht der IT-Sicherheit eher unangebracht, sich hauptsächlich auf die Gegenwart zu konzentrieren und eine rein reaktive Strategie zu fahren.

Bankenaufsicht setzt falsche Anreize

netzpolitik.org: Schauen wir mal auf die politischen Rahmenbedingungen: Siehst du Handlungsbedarf?

Vincent Haupert: Ab Januar 2018 tritt die Zahlungsdiensterichtlinie II (PSD2), in Kraft, die weitreichende Änderungen einführen wird. Die Europäische Bankenaufsichtsbehörde hatte hierzu das Mandat zur Ausarbeitung der Technischen Regulierungsstandards (RTS), die unter anderem auch starke Kundenauthentifizierung vorschreibt und somit unmittelbaren Einfluss darauf hat, welche Voraussetzungen auch an Mobilebanking und App-basierte Authentifizierungsverfahren zu stellen sind.

Diese Richtlinie ist in vielen Aspekten gerade aus Kundensicht zu begrüßen und es werden mit ihr auch endlich einheitliche Standards für alle Kanäle gesetzt. Die Anforderungen an die starke Kundenauthentifizierung gelten im Wesentlichen schon seit zwei Jahren, allerdings nur, wenn zur Transaktionsauslösung ein Internetbrowser verwendet wird. Das führte zu der abstrusen Situation, dass Banken Apps entwickelten, die im Kern nur aus einer Webview bestanden, die dann aus regulatorischer Sicht aber nicht mehr erfasst waren. Die PSD2 macht diese Unterscheidung erfreulicherweise nicht mehr.

netzpolitik.org: Setzt die Aufsicht in Hinblick auf App-basierte TAN-Verfahren die richtigen Anreize?

Vincent Haupert: Obwohl die Anforderungen an die starke Kundenauthentifizierung seit kurzem final vorliegen, ist es für uns nach wie vor unklar, ob aktuelle Smartphones die Gegebenheiten mitbringen, um den Regularien zu entsprechen. Hierbei geht es uns vor allem um die Nichtkopierbarkeit des Besitzelements und die sichere Anzeige der Transaktionsdetails. Obwohl die Standards beides fordern, hat die Aufsichtsbehörde bereits in der öffentlichen Anhörung am Anfang des Jahres klargemacht, dass sie eine Gerätetrennung auch im Falle eines Mehrzweckgeräts nicht für erforderlich hält. Statt – wie noch in einer früheren Entwurfsversion der RTS – Ansätze zu fordern, die auf eine Trusted Execution Environment zurückgreifen, ist nun nur noch von Softwaremaßnahmen zur Wahrung der Sicherheit die Rede. Und das ruft wiederum Produkte zur App-Härtung auf den Plan.

netzpolitik.org: Eines der für App-basierte TAN-Verfahren auf einem Gerät vorgebrachten Argumente ist, dass die Kunden es eben möglichst einfach und bequem wollen. Der Erfolg der ersten Mobile-Only-Bank, N26, scheint ihm Recht zu geben – auch wenn du erst im letzten Jahr gezeigt, dass Sicherheit bei dem Unternehmen damals nicht die oberste Priorität hatte. Sind die Nutzer:innen also schlicht selber schuld?

Vincent Haupert: Wenn die Banken der IT-Sicherheit die gleiche Bedeutung beimessen würden, wie der Bedrohung durch FinTechs, dann hätten wir vermutlich schon viel erreicht. Ich spüre in der Finanzbranche, gerade von Seiten der etablierten Kreditinstitute, einen großen Respekt gegenüber den FinTechs. Ich frage mich aber, ob die Banken die Produkte der FinTechs am Ende nicht sogar besser finden, als die potenziellen Kunden. Die Sparkassen hatten für ihr App-basiertes TAN-Verfahren pushTAN sogar Fernsehwerbung geschaltet. Dass das für einen durchschlagenden Erfolg gesorgt hat, kann man angesichts der Verbreitung der Verfahren eher nicht behaupten. Die Kunden werden sich vor allem auf das Verfahren einlassen, das ihnen von ihrer Bank empfohlen wird. Zum aktiven Wechsel scheinen aber nur wenige bereit.

Wer sichergehen will, nutzt zwei Geräte

netzpolitik.org: Welche drei Tipps würdest du denn Menschen geben, die jetzt eine Bank mit mobilem Banking suchen? Worauf sollten sie achten?

Vincent Haupert: Die einzelnen Mobilebanking-Angebote unterscheiden sich hinsichtlich ihres Konzepts und der daraus erwachsenden Angriffsfläche kaum. Es ist aber natürlich wichtig, dass eine Bank auch innerhalb dieses Konzepts für bestmögliche Sicherheit sorgt. Nachdem Sicherheit nichtfunktional ist und somit erst mal keinen unmittelbaren Mehrwert für den Kunden bietet, sehe ich das eher bei den schon fest im Markt etablierten Banken gewahrt als bei den FinTechs, die meist weniger finanzielle Mittel haben dürften. Als Kunde selbst sollte man grundsätzlich immer dafür sorgen, dass die entsprechenden Apps und vor allem das Gerät auf dem aktuellsten Stand ist. Leider ist es gerade bei den Android-Geräten so, dass bereits nach kürzester Zeit schon keine Sicherheitsupdates mehr angeboten werden. Wer aber auf Nummer Sicher gehen will, verlässt sich auch unterwegs bei Bankgeschäften auf den TAN-Generator.

netzpolitik.org: In einem SZ-Artikel zum Thema werden zudem nicht näher genannte Quellen aus der Finanzbranche genannt, die sich darüber beschweren, dass du die Unternehmen nicht rechtzeitig gewarnt habest. Findest du den Vorwurf gerechtfertigt?

Vincent Haupert: Es ist tatsächlich so, dass sich die direkt und indirekt Betroffenen gewünscht hätten, vorher informiert zu werden. Dabei fällt auch oft die Forderung nach Responsible Disclosure. Das greift unserer Auffassung nach aber aus zwei Gründen nicht: Erstens gibt es keine unmittelbare Bedrohung für Kunden. Wäre die Schwachstellen von ähnlicher Natur gewesen, wie jene bei N26 vor einem Jahr, dann hätte eine Veröffentlichung der Details unter Umständen zu echten Schäden für die Kunden führen können. Unsere aktuelle Arbeit hat aber eher aufklärenden Charakter, der darauf hinweist, dass Schäden für die Zukunft nicht auszuschließen sind. Zweitens käme ein Responsible Disclosure nur in Frage, wenn man das Problem auch ganz konkret beheben könnte. Bei unserem Angriff hätte das aber nur dazu geführt, dass dann gerade eben solche Maßnahmen implementiert werden, um dann öffentlich sagen zu können, dass das jetzt schon gar nicht mehr geht – obwohl das konzeptionelle Problem weiterbesteht.

netzpolitik.org: Vielen Dank für das Gespräch!

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

21 Ergänzungen

  1. Ich habe nur nur ein Dumbphone und lasse mir die mTANs per SMS zuschicken. Ist das jetzt auch unsicher?

    1. Eine Lösung die einem Tan-Generator nutzt, ist erheblich besser.
      Du hast deine Bankkarte und der Generator erstellt lokal mit der Bankingsoftware und er Karte die Tan.
      Aktuell sind keine Fälle bekannt wo da was schiefgegangen ist.

      1. Mal so eine „VT“ in den Raum gestellt, wie man eine ungeliebte Person wie z.B. einen Menschenrechtler, einen Gefährder also, los werden könnte!

        Man klinkt sich als Politischer Dienst, wie z.B. der Verfassungsschutz einer ist, per gesetzlicher Regelung in das Bankkonto des Menschrenrechtlers ein und wartet, das dieser eine Überweisung tätigt.
        Sobald dieser es tut, zieht man die Überweisung zurück und erstellt mit einer geänderten Kontonummer eine neue Überweisung, z.B. an den IS, gleicher Betrag, gleicher Name/Verwendungszweck und damit es nicht auffällt, wird der reale Betrag von einem Geheimkonto des Dienstes überwiesen, damit die Falle nicht durch eine Mahnung auffliegt!
        Nun beantragt das BKA eine Durchsuchung wegen Unterstützung einer terroristischen Vereinigung und aus dem Menschenrechtler wird ein Terrorist!
        Nun beginnt die öffentliche Hexenjagd und selbst wenn der Menschenrechtler nach jahrelanger Prozessverzögerung doch rein waschen darf, so ist sein soziales Umfeld sowie sein Job weg und als politisches Problem nicht mehr real Existent!

        1. Soetwas würde die AFD oder unsere dann regierenden Innenminister niemals tun!
          Niemals nicht!
          Nicht das sie nicht die Möglichkeiten hätten, aber sie würden es nicht tun, weil weil sie dann in Amt und würden wären und ihre Ziele der Anständigkeit opfern würden, wie es jeder Politiker machen würde, sobald er in eine solche Position gewählt würde!

      2. @Hans Georg, ich habe mir den Artikel über die veraltete Technik durchgelesen und bin zu der Auffassung gelangt, das wir Deutschen einen WW3 anzetteln sollten, der die alte technische Infrastruktur zerstört und wir in Kooperation mit den Siegermächten, diese neu und Modern wieder aufbauen!

        Ich sehe Vollbeschäftigung und blühende Landschaften!
        Klar gibt es sicher wieder ein paar Kollateralschäden, aber auf 10% Arbeitslose müssen wir eben verzichten lernen!

  2. Das Problem ist meiner Ansicht die Technik des Smartphones. Diese sind absolut ungeeignet Sicherheitsrelevante Dinge zu tun, da zum einen zuviele Akteure Zugriff auf die Geräte haben und zum anderen die Anbieter der Betriebsysteme diese zuviel vor dem Anwender verschliessen.

    Ich habe so gut wie keine Kontrollmöglichkeit auf einem normalen Android oder IOS was mir welche Daten stiehlt. Leider ist da auch keine Ende in Sicht.

    Solange gilt: Online Banking würde ich nicht auf einem Telefon machen.

  3. HI, ich habe da noch einen Hinweis auf die starke Verbreitung eines Herstellers: die Aufsicht oder vielmehr die Bequemlichkeit der Banken. Kenne das Verhalten auch aus der GKV.
    „Das Verfahren / den Hersteller kennt die Aufsicht schon von XY. Da kommen wir auch damit durch. Einfacher als einen anderen Hersteller / andere Lösung zu präsentieren und erstmalig bewerten und freigeben zu lassen.“ Quasi ein selbstverstärkender Effekt :(
    Hinzukommt vermutlich noch, dass die Anzahl der Beraterfirmen, die solche Apps bauen/entwerfen überschaubar ist … die ziehen quasi mit ein und dem selben Design von Kunde zu Kunde …

  4. Ich finde es auch interessant, wie es viele Banken zulassen, die SMS-Tan auf das Smartphone zu senden, von dem die Überweisung ausgeführt wird.

    Gleichzeitig in ihren AGB dafür aber die Haftung ausschließen, ohne das jemals offen den Kunden zu kommunizieren.

    1. Vor nicht allzulanger Zeit wurde von Bankseite noch davor gewarnt ein und das selbe Gerät für Überweisung und Tanempfang zu nutzen. Ich bilde mir ein, das da sogar die Haftung flöten ging wenn die sowas nachweisen konnten und was schiefgelaufen ist.
      Aus nicht nachvollziehbaren Gründen haben die das sehr sinnvolle Konzept von zwei Kommunikationswegen seit ca zwei bis drei Jahren über Bord geworfen.
      Vermutlich kann man drei fünfzig einsparen solange alles gut geht.
      Oder viele Leute sind inzwischen so arm, das sie sich nicht mal mehr ein billiges Subnotebook leisten können. Zu dumm um eine Bankingsoftware zu installieren, kann eigentlich nicht sein.
      Wie hier schon von Anderen geschrieben, kleiner billiger Rechner nur für diesen Zweck, Bankkarte und Tangenerator (Hardware) sind aktuell das Sicherste.
      Mobilgeräte sind, so wie sie im Moment konzipiert sind, grundsätzlich als unsicher anzusehen.

      1. Es gibt im Moment werden sehr viele aufbereitete Geräte angeboten, bei Amazon, Pollin usw..
        Zumeist i5 für 200€.
        Die Maschinen sind OK, Leistungsstark und wenig gebraucht, unsere Firma kauft diese gern für Bürotätigkeiten.
        Ergänzt man RAM und investiert noch in eine SSD, hat man ein schnelles Notebook für die Hälfte des Neupreises!
        Garantie ist auch drauf und da es sich um Markenserien handelt, auch erweiterbar auf 3 Jahre!

  5. Aus meiner Sicht kein Thema wenn man sich den einen Grundsatz mal einprägt, das Smartphone ist ein öffentlicher Bereich, es gibt und es wird hier in naher Zukunft keine Kontrolle darüber geben wer oder welcher Prozess auf welche Bereiche des Handy zugreift.
    Wer sich hier also auf Mobile Banking einlässt oder noch besser auf irgend so eine Globale Finanz Lösungs App verlässt der wird wohl bald feststellen das einem nicht wie versprochen das Leben leichter gemacht wird sondern nur das Bankkonto.
    Banken werden hier erst reagieren wenn die anfallenden Kosten, z.B. bei Ersatz von Kundengeldbeträgen über den Kosten für eine vernünftige Infrastruktur und Sicherungsmaßnahmen liegen. Das kennt man doch schon vom normalen Banking mit Karte am Automaten auch nicht richtig Sicher, aber auch hier ersetzt man dem Kunden eher den Kontostand. (Sofern der Kunde das Rückrat hat diesen Kampf zu führen)

  6. Viel schlimmer finde ich ja, wenn Banken mit digital generiertem Geld großzügig Kredite geben und dann ebenso großzügig sind, wenn es um das Abbezahlen der Kredite geht.

    Also jetzt nicht den Schuldnern gegenüber, sondern beim Einsacken der mit den Krediten, viel hart erarbeitetem Grundkapital und einer guten Portion Schweiß und Herzblut gebauten Bauprojekte.

    Aber irgendwie müssen die vielen Maschinen ja bezahlt werden…

  7. Die im Artikel mehrfach prominent platzierte Frage, wie es dazu kommen könne, „dass man mit einem Schlag mehr als 30 Finanz-Apps manipulieren kann“ klingt aus Eurem Munde etwas scheinheilig, da es tatsächlich „wir“, die Verfechter quelloffener Software sind, die immer wieder (gebetsmühlenartig und IMO zu Recht!) den Verzicht auf Homebrew-Kryptographie zugunsten etablierter Standards und Bibliotheken fordern.

    Dass es sich in diesem Fall um die proprietäre Lösung eines kommerziellen Anbieters handelt und nicht um eine freie Bibliothek, ist aus „unserer“ Perspektive also eher ein Glücksfall und die Stoßrichtung der Kritik kontraproduktiv.

    1. Falsch. Banking-Apps verwenden sehr wohl Standard-Libs für Krypto. Und Zertifikatspinning.
      Der auf dem 34C3 gezeigte Angriff hat einfach die App manipuliert und ein Zertifikat ausgetauscht. Die Promon-AppHärtung sollte das eigentlich erkennen und dann die App beenden damit keine manipulierten Überweisungen durchgeführt werden können, wurde aber ausgetrickst.
      Die Krypto wurde aber nicht angegriffen.

  8. ALARMSTUFE ROT

    @ Markus Beckedahl & Team:

    Habt Ihr das auf dem Schirm?
    https://www.heise.de/newsticker/meldung/Neue-EU-Geldwaescherichtlinie-Die-Privatsphaere-faellt-praktisch-weg-3931149.html

    Es kommt (von der Öffentlichkeit mal wieder kaum beachtet) eine neue Konto-/Finanz-Mega-VDS auf uns zu.

    1. Alle Konto- und Transaktionsdaten (alle Buchungen wie Überweisung, Lastschrift, Kartenzahlung etc.) sollen bis zu 10 Jahre nach Ende der Geschäftsbeziehung (bisher bis zu 10 Jahre nach Geschäftsvorfall) gespeichert werden.
    2. Die Daten sollen nicht bei den Banken, sondern auch zentral beim Staat (!) von einer sog. FIU (Financial Intelligence Unit) gespeichert werden (in Deutschland zuständig: das Zollkriminalamt).
    3. Die Zugriffsmöglichkeiten und Nutzungszwecke sind sehr weit gedehnt (u.a. kein Richtervorbehalt).

    Während wir uns bei der Telko-VDS darüber beschwert haben, dass „nur“ 6 Monate Telekommunikationsverhalten „nur“ bei den Providern gespeichert, und teilweise „nur“ nach Richtervorbehalt von den Behörden abgerufen wurden, so haben wir bei der neuen Finanz-VDS alles doppelt so schlimm wie bei der inzwischen stark wackelnden Telko-VDS.

    Beispiel:
    Eine Person wechselt über Jahrzehnte nicht die Hausbank. Jede Buchung (z.B. Überweisung, Lastschrift, Kartenzahlung) wird über Jahrzehnte nicht gelöscht (bisher: 10 Jahre nach der jeweiligen Buchung). Es entsteht somit ein jahrzehntelanges Persönlichkeits-, Bewegungs- und Interessenprofil aller Aktivitäten mit Finanzbezug (d.h. alles, das nicht bar abgewickelt wurde; in der heutigen Zeit kostet sehr viel, was man so macht und tut, Geld). Dies wird nicht nur bei der eigenen Hausbank, den Zahlungspartnern/Händlern, bei den Banken der Zahlungspartner/Händler und unzähligen zwischengeschalteten Zahlungsdienstleistern gespeichert, sondern zentral vom Staat. Staatliche Behörden (Zoll-FIU, alle anderen befugten Polizei-/Geheimdienst-/Steuer-/Sozialbehörden) können ohne Richtervorbehalt, ohne nennenswerte Beschränkungen und ohne wirkungsvolle Aufsicht/Kontrolle auf diese finanziellen Lebensprofile zugreifen.

    @netzpolitik
    Was ist da los? Bitte nehmt Euch dieses Thema vor. Was macht die GFF? Sind irgendwo Klagen dagegen in Sicht?

    Wenn die Telko-VDS in der im Vergleich schon moderaten Form nicht haltbar zu sein scheint, wie kann dann die neue Finanz-VDS auch nur ernsthaft in Kraft bleiben?

      1. @ Constanze:

        Hm, ok, das ist besser als nichts.
        Ich habe jedoch die Befürchtung, dass die stetig in kurzem Abstand aktualisierten/erweiterten EU-Antigeldwäscherichtlinien (inzwischen bei Auflage Nr. 5) mit falschem Fokus betrachtet werden könnten.

        Dass Bitcoins und andere Kryptowährungen in den Regelungskreis geraten, dass hierbei auch die Identifizierungs- und Meldepflichten gelten, dass „anonyme“ Prepaid-Kredit-/Guthabenkarten wie Paysafecard weiter beschränkt werden (da ist Deutschland mit seiner bereits geltenden 100€-Grenze schon länger voraus), das ist ebenso bemerkenswert, meiner Meinung nach für die breite Masse der Menschen hingegen nicht so relevant, wie die beschriebene Finanz-VDS.

        Die Parallele der Finanz-VDS zur Telko-VDS kommt mir irgendwie zu kurz. Einen breiten Widerstand sehe ich ebenfalls nicht. Es erscheint mir gar unfassbar dreist und grundrechtsmissachtend, dass die Finanz-VDS so eindeutig über die schon oft genug als verfassungs- und europarechtswidrig erklärte Telko-VDS hinausgeht.

        Und jetzt? Wie geht es jetzt weiter? Was machen CCC, GFF, DigiGes? Auf die grünen EU-Abgeordneten, die bei der EU-DSGVO (vor allem Herr Albrecht) so hilfreich waren, können wir uns bei der Finanz-VDS offenbar nicht verlassen.

        Wenn es alles so kommt wie angekündigt, müssen wir wohl einen weiteren Tipp in unsere immer länger werdende Sammlung von Ratschlägen zum Schutz unserer Privatsphäre aufnehmen:

        Alle 10 Jahre die Hausbank wechseln. Sonst bleiben Deine Kontobewegungen über Jahrzehnte gespeichert.

        Bei einer durchschnittlichen Lebenserwartung von 70-80 Jahren braucht man 6-7 Banken in seinem Leben (wenn man vor 18 schon ein eigenes Konto hat, entsprechend mehr). Finde erstmal so viele Banken, die auch sonst akzeptable Bedingungen/Konditionen haben…

        1. Oder wir ändern unsere innere Einstellung und finden Zugang zu Glaubenssätzen, die im Einklang sind mit den bei den Grünen bzw. der Heinrich-Böll-Stiftung beschriebenen Ideen zum Thema Fundraising:

          „Ich entdecke meine Potentiale für ein wirksames Fundraising, das ich in erster Linie selbst realisieren kann.“

          „Ich entwickele Fundraisingmaßnahmen, die nicht nur Geld-, sondern auch (geldwerte) Kompetenz- oder Zeitspenden erschließen.“

          Und schon braucht es kein Wunder mehr. Dann wissen wir:

          „Das Geld liegt auf der Straße.“

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.