ING (DiBa) - Die Bank für mich?

[chirlu]

vor 3 Minuten von hattifnatt:

Äh, doch, natürlich ...

 

Bei Apps ist das ganz anders als bei anderer Software, weißt du das nicht?

[SlowHand7]

Immer wieder unterhaltsam wenn Wissen, Halbwissen und Nichtwissen aufeinander treffen. 

 

Die eine App kennt die Zugangsdaten zur Bank, hat vollen Zugriff und darf auch Transaktionen frei geben.

 

Die andere hat nur einen Security Token den sie mal von der Bank erhalten hat.

Damit darf sie Anfragen für eine Freigabe empfangen, anzeigen und eben auf Anweisung des Nutzers frei geben.

 

Wer den Unterschied nicht versteht sollte da gar nicht weiter diskutieren.  

 

Eine viel wichtigere Frage ist doch wie der Token vor Diebstahl geschützt ist. Klar müsste ein Angreifer auch die Zugangsdaten haben was eigentlich kaum möglich erscheint. Etwas Phishing und eine böse App auf dem Handy? Nicht ganz undenkbar.

Die photoTAN der Commerzbank startet einfach so ohne Passwort. 

[trying]

Wenn es euch stört beschwert euch über die Lösung bei der Bank. Nichts gegen Apps und das Handy.  Aber die Produktverantwortlichen vermuten scheinbar, dass Sicherheit keinen mehr interessiert und das alle alles ausschließlich auf dem Handy machen möchten. Der eigentliche Ärger ist doch dass die Banken kein höheres Sicherheitsniveau mehr anbieten wollen.

[dimido]

vor 9 Stunden von SlowHand7:

Die photoTAN der Commerzbank startet einfach so ohne Passwort. 

Jein, es ist zwar kein Passwort erforderlich(!), aber man kann es in den Settings trotzdem einstellen. Daher geht bei mir die photoTAN App auf dem IPad nur mit(!) Touch-ID und auf dem IPhone nur mit(!) Face-ID.

[Holgerli]

vor 56 Minuten von dimido:

Daher geht bei mir die photoTAN App auf dem IPad nur mit(!) Touch-ID und auf dem IPhone nur mit(!) Face-ID.

Die PhotoTAN-Hardware funktioniert(e aber bis Ende des letzten Jahres, dann bin ich weg von der CoDi) aber ohne PIN.

[dimido]

Ja, aber eigentlich sind die photoTAN App bzw. die PhotoTAN Hardware ja auch der Besitz-Faktor und nicht der Wissens-Faktor bei der 2 FA. Also "formal" nicht zwingend nötig (obwohl ich mich wohler fühle wenn ich es zusätzlich eingestellt habe).

[wpf-leser]

vor 3 Stunden von dimido:

Ja, aber eigentlich sind die photoTAN App bzw. die PhotoTAN Hardware ja auch der Besitz-Faktor und nicht der Wissens-Faktor bei der 2 FA. Also "formal" nicht zwingend nötig (obwohl ich mich wohler fühle wenn ich es zusätzlich eingestellt habe).

Das ist tatsächlich etwas, was einige nicht verstehe(n [wollen]). 

(Ich bitte um allgemeine Lesart an dieser Stelle - ich bin überzeugt davon, dass z.B. Holgerli die Theorie hinter der 2FA grundsätzlich durchblickt. Ich empfand die Kürze und Darstellung des Sachverhalts einer nicht notwendigen Sicherung des Besitzfaktors durch Wissen (z.B. eine PIN) elegant.)

 

vor 10 Stunden von trying:

Der eigentliche Ärger ist doch dass die Banken kein höheres Sicherheitsniveau mehr anbieten wollen.

Ein guter Grund dafür ist, dass sie es nicht müssen.

 

Das höhere Sicherheitsniveau ist überhaupt meiner Auffassung nach aus der Historie / Not heraus erwachsen.

Einerseits war 2FA ohne die weitgehende Verbreitung des Smartphones nun einmal ein denkbar schwieriges Unterfangen. Andererseits ist die Anforderung einer 2FA i.d.R. nachträglich an die Entstehung der Interfaces/Software aufgekommen.

Beides führt auf Hard- und Softwareseite zu Erweiterungslösungen, die ursprünglich so nicht unbedingt angedacht waren.

 

Wenn man aber Software auf der grünen Wiese und in einer anderen Systemlandschaft neu schreiben darf, lassen sich die (harten, i.S.v. nicht verhandelbaren) Anforderungen nun einmal anders umsetzen und denken. Und das tun die Banken hier IMHO (aus ebenso guten Gründen).

 

Es ist mMn. zudem fraglich, ob das "neue" Sicherheitsniveau nicht vielerorts (negativ) verzerrt dargestellt wird, indem man sich insbesondere auf hinzugekommene Angriffsvektoren fokussiert.

[trying]

vor 14 Stunden von SlowHand7:

Eine viel wichtigere Frage ist doch wie der Token vor Diebstahl geschützt ist. Klar müsste ein Angreifer auch die Zugangsdaten haben was eigentlich kaum möglich erscheint. Etwas Phishing und eine böse App auf dem Handy? Nicht ganz undenkbar.

Die photoTAN der Commerzbank startet einfach so ohne Passwort. 

Wenn alles so läuft wie es soll wäre der Token sicher vor Diebstahl. Smartphones trennen ihre Apps und sind was das angeht besser als PCs. Das Problem ist daß nie alles so läuft wie es soll. Es gibt ständig Sicherheitslücken. Teilweise gravierende, die ausgenutzt werden können, um alle erdachten Barrieren zu umgehen. Man muss mit dem schlimmsten Fall daher als Standard planen. Daher sind zwei getrennte Faktoren auch so gut. Die Hürde durch zwei getrennte Geräte ist viel höher.

 

Nur an Online zu denken reicht aber nicht. Ich möchte für mein Depot oder Tagesgeld nicht permanent meinen Bankzugang dabei haben. Eine der Gründe wäre, wenn das Handy herunterfällt komme ich nicht mehr an mein Konto.

[trying]

vor 47 Minuten von wpf-leser:

Ein guter Grund dafür ist, dass sie es nicht müssen.

 

Das höhere Sicherheitsniveau ist überhaupt meiner Auffassung nach aus der Historie / Not heraus erwachsen.

Einerseits war 2FA ohne die weitgehende Verbreitung des Smartphones nun einmal ein denkbar schwieriges Unterfangen. Andererseits ist die Anforderung einer 2FA i.d.R. nachträglich an die Entstehung der Interfaces/Software aufgekommen.

Beides führt auf Hard- und Softwareseite zu Erweiterungslösungen, die ursprünglich so nicht unbedingt angedacht waren.

 

Wenn man aber Software auf der grünen Wiese und in einer anderen Systemlandschaft neu schreiben darf, lassen sich die (harten, i.S.v. nicht verhandelbaren) Anforderungen nun einmal anders umsetzen und denken. Und das tun die Banken hier IMHO (aus ebenso guten Gründen).

 

Es ist mMn. zudem fraglich, ob das "neue" Sicherheitsniveau nicht vielerorts (negativ) verzerrt dargestellt wird, indem man sich insbesondere auf hinzugekommene Angriffsvektoren fokussiert.

Das ist Gegenstand der Diskussion ob sie es nicht mehr müssen. Die Banken sagen sie müssen nicht weil Gerät und Pin zwei Faktoren sind. Das mag sein, aber eben nicht unabhängige Faktoren. Ich denke da kann man geteilter Meinung sein. Die PSD2 ist an der Stelle nicht ganz eindeutig.

 

Du hast recht das nicht alles negativ ist. Aber deine Argumente gehen am eigentlich Problem vorbei. Natürlich gibt es Aspekte die bei der Applösung gut sind. Phishing dürfte deutlich schwerer sein. Auch Malware hat es auf Smartphones schwerer. Bei Android kann man geteilter Meinung sein denn gefühlt 90% der Geräte laufen mit veraltetet Sicherheitspatches. Verzerrt wird hier nichts dargestellt. Denn das Problem des "single point of failure" bleibt bestehen und der wiegt sehr schwer. Zumal es dabei nicht nur um die Softwaresicherheit geht. Sie mein letzter Beitrag oben.

 

Die Lösung wäre meiner Meinung nach Folgende. Wenn die Banken es gut machen würden, dann würden sie mich entscheiden lassen was die App alles darf (oder wo die Limits liegen) und gleichzeitig ein Hardwareverfahren bereitstellen. Das Problem ist daß eine minimal ausreichende Sicherheit zum Standard erklärt wird und nicht unterschiedliche Sicherheitsniveaus je nach Schutzbedürfnis angeboten werden.

 

Am Ende dürfen wir uns aber auch nichts vormachen. Wenn ich das richtig verstehe, ist das Zurücksetzen der Anmeldedaten die größte Schwachstelle. Mir scheint wir sind nicht wirklich weiter als SMS-Tan an der Stelle. Einfach mal schauen wie das bei eigenen Bank funktioniert. Ich bin gespannt wie Gerichte urteilen, sollte je durch einen Hack der Email ein Bankaccount übernommen werden, was die Sicherheitsgarantie der ING angeht. Für mich wirkt es fast so als ob die Sicherheit auf den Kunden ausgelagert wird.

 

 

[CorMaguire]

vor 16 Minuten von trying:

....Am Ende durfen wir uns aber auch nicht vormachen. Wenn ich das richtig verstehe, kann man mit Email, SMS und minimalen Personendaten die man leicht besorgen kann eh den ganzen Bankaccount zurück setzen. Ich bin gespannt wie Gerichte urteilen wenn durch einen Hack der Email der Bankaccount übernommen werden konnte was die Sicherheitsgarantie der ING angeht. Für mich sieht es so aus als ob die Sicherheit auf den Kunden ausgelagert wird um Supportkosten zu sparen.

Was verstehtst Du unter Bankaccount zurücksetzen? Und minimalen Personendaten?

[Holgerli]

vor einer Stunde von wpf-leser:

Das ist tatsächlich etwas, was einige nicht verstehe(n [wollen]). 

(Ich bitte um allgemeine Lesart an dieser Stelle - ich bin überzeugt davon, dass z.B. Holgerli die Theorie hinter der 2FA grundsätzlich durchblickt. Ich empfand die Kürze und Darstellung des Sachverhalts einer nicht notwendigen Sicherung des Besitzfaktors durch Wissen (z.B. eine PIN) elegant.)

Worauf ich hinaus wollte war, dass es einen Unterschied gibt zwischen der CoDi und der ING. Mehr nicht.

 

Es ist mir aber schon an diversen anderen Stellen bei anderen Unternehmen aufgefallen, dass wirklich redundant Sicherheiten eingebaut werden.

Bis ich meinen Echo Show im Netzwerk hatte, musste ich mehrmals mein Passwort eingeben, über die App bestätigen und zusätzlich noch Ad-hoc-Codes eingeben.

Microsoft Autenticator reicht es mittlerweile nicht mehr, dass ich mich für 2FA per Fingerabdruck am Authenticator anmelde, nein, zusätzlich muss auch noch eine auf dem Bildschirm angezeigte Nummer im Authenticator eingegeben werden, um mich erst danach zu authentifizieren

[trying]

Wie gesagt, am besten selber mal schauen wie man sein Passwort zurück setzt und eine App neu registriert und selber bewerten. Ist auch hier vor paar Monaten auch besprochen worden zu ING bei der Umstellung daß man jetzt auch die Mobilnummer angeben muss. Mir ist wohler bei einer Bank wo das Zurücksetzen nur unbequemer über die Post geht.

 

Hier ein Beispiel

 

[wpf-leser]

vor 2 Stunden von Holgerli:

Bis ich meinen Echo Show im Netzwerk hatte, musste ich mehrmals mein Passwort eingeben, über die App bestätigen und zusätzlich noch Ad-hoc-Codes eingeben.

Microsoft Autenticator reicht es mittlerweile nicht mehr, dass ich mich für 2FA per Fingerabdruck am Authenticator anmelde, nein, zusätzlich muss auch noch eine auf dem Bildschirm angezeigte Nummer im Authenticator eingegeben werden, um mich erst danach zu authentifizieren

Nette Einblicke, die mir den (davon unabhängigen, allgemeinen) Hinweis wert sind, dass es auch eine "Scheinsicherheit" gibt. Wenn ich günf Mal ein und dasselbe Passwort am gleichen Gerät einzugeben habe, kommt das manchem vielleicht auch wie ein großer Sicherheitsgewinn vor. 

 

vor 3 Stunden von trying:

Das ist Gegenstand der Diskussion ob sie es nicht mehr müssen.

Nein, kann es nicht sein. Denn sie mussten es schlicht noch nie.

 

vor 3 Stunden von trying:

Aber deine Argumente gehen am eigentlich Problem vorbei. [... D]as Problem des "single point of failure" bleibt bestehen und der wiegt sehr schwer.

Das "Problem" des "Single point of failure"s sehe ich; bei seiner Wägung aber auch einen heftigen Parallaxenfehler. 

 

[trying]

vor 1 Stunde von wpf-leser:

 

 

Nein, kann es nicht sein. Denn sie mussten es schlicht noch nie.

Ich lasse es mir gerne erklären. Aber für mich sieht es nicht so klar aus.

 

Zitat

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32015L2366

„starke Kundenauthentifizierung“ eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist), die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist;

Wenn mein Smartphone mit einem Trojaner infiziert ist, hat der Angreifer dadurch mein Wissen und kann je nach Fähigkeiten des Trojaners durch Remotekontrolle den Faktor Besitz aushebeln. Ich denke damit ist die Zuverlässigkeit beider Kriterien durch fehlende Unabhängigkeit in Frage gestellt. Mit einem zusätzlichen Hardware-Generator zur Freigabe der Transaktion wäre der Faktor Besitzt vom infizierten Gerät unabhängig und das Szenario deutlich erschwert. Oder wie wäre deine Interpretation?

 

Das BSI sieht auch Klärungsbedarf.

Zitat

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Elektronischer-Zahlungsverkehr/Veroeffentlichungen/Starke_Kundenauthentifizierung/Starke_Kundenauthentifizierung_node.html

 

Das BSI schlägt daher vor, in Anlehnung an die eIDAS-Verordnung das Vertrauensniveau "substanziell" für entsprechende Zugangsgeräte und Zugangssoftware vorzusehen. Basiert die starke Kundenauthentifizierung auf dem Einsatz dedizierter Geräte, z. B. sogenannter TAN-Generatoren, kann das Vertrauensniveau "substanziell" erreicht werden. Der RTS erlaubt als Zugangsgerät unter bestimmten Voraussetzungen aber auch den Einsatz von nicht dedizierten Mehrzweckgeräten wie z. B. Smartphones oder Tablets. Verfügen Mehrzweckgeräte über einen hardwaretechnisch geschützten und separierten Bereich, z. B. ein "Secure Element", kann dieser zur Verarbeitung und Speicherung der für die Authentifizierung benötigten personalisierten Sicherheitsmerkmale genutzt und das Vertrauensniveau "substanziell" erreicht werden.

Offen ist, wie die Anforderungen aus dem RTS zu interpretieren und detailliert umzusetzen sind, so dass auch Mehrzweckgeräte ohne hardwaretechnischen Schutz ein angemessenes Vertrauensniveau erreichen können.

 

 

Zitat

Das "Problem" des "Single point of failure"s sehe ich; bei seiner Wägung aber auch einen heftigen Parallaxenfehler. 

 

Ich denke das Risiko ist eher gering aber nicht so klein um sich darum keine Gedanken zu machen. Es ist doch naheliegend, daß man für den Zugriff auf das eigene Vermögen ein geringeres Risiko als beim zahlen an der Kasse mit überschaubaren Schadenspotential haben möchte.

 

Einen Parallaxenfehler beim Betrachten der Probleme erkenne ich daher nicht. Gerade von heute. Ich zitiere.

Zitat

Die gravierenden Schwachstellen wurden offenbar ausgenutzt, um Überwachungs-Tools auf Apple-Hardware einzuschleusen. Patches gibt es auch für ältere Hardware.

https://www.heise.de/news/iOS-16-5-1-Co-Apple-beseitigt-Zero-Day-Luecken-in-allen-Systemen-9194404.html

[Totti3004]

 

vor 23 Stunden von hattifnatt:

Äh, doch, natürlich ...

https://de.wikipedia.org/wiki/Komplexität_(Informatik)

Zitat

die Praktische Informatik [...] bewertet damit Software oder Softwareteile hinsichtlich der Anzahl von Interaktionen.

[...]
Ähnlich dazu erhöht eine hohe Komplexität das Risiko, dass Änderungen an einer Stelle ungewollte Auswirkungen an einer anderen Stelle bewirken. Das führt zu einer höheren Wahrscheinlichkeit, Fehler in die Software einzubauen, und zu größeren Aufwänden, die Ursache dieser Fehler zu finden bzw. diese zu beheben.

Und solche Fehler führen oft zu Sicherheitsrisiken.

Nein, mit Interaktionen ist hier nicht die Interaktion zwischen Anwender und Software über das UI gemeint, sondern die Interaktionen innerhalb der Software. Deshalb: Man kann nicht pauschal vom (für den Anwender nutzbaren) Funktionsumfang einer Software auf ihre (interne) Komplexität schließen. 

[SlowHand7]

Wenn eine App gar keinen Zugriff auf das Konto hat dann kann sie dort auch keinen Unsinn anstellen. 

 

[hattifnatt]

vor 57 Minuten von Totti3004:

Nein, mit Interaktionen ist hier nicht die Interaktion zwischen Anwender und Software über das UI gemeint, sondern die Interaktionen innerhalb der Software.

Ja, genau. Bei einer typischen Banking-Software oder -App wären das zumindest folgende:

- 2FA für bestimmte Interaktionen 

- Zugriff auf das Konto zur Darstellung der Transaktionen, Freigeben von Überweisungen

- Zugriff auf die Postbox

- Zugriff auf das Depot

 

Alles vermutlich externe Schnittstellen, und das ohne zusätzliche Komplexität??

[Totti3004]

vor 44 Minuten von hattifnatt:

Ja, genau. Bei einer typischen Banking-Software oder -App wären das zumindest folgende:

- 2FA für bestimmte Interaktionen 

- Zugriff auf das Konto zur Darstellung der Transaktionen, Freigeben von Überweisungen

- Zugriff auf die Postbox

- Zugriff auf das Depot

Das sind wieder Funktionalitäten. Keine Interaktionen im Sinne des Wikipedia-Artikels, den du bei Google gefunden hast. 

 

vor 45 Minuten von hattifnatt:

Alles vermutlich externe Schnittstellen, und das ohne zusätzliche Komplexität??

Nein, hat auch niemand behauptet. 

 

Versuch einfach nochmal meinen Satz zu verstehen:

vor 1 Stunde von Totti3004:

Man kann nicht pauschal vom (für den Anwender nutzbaren) Funktionsumfang einer Software auf ihre (interne) Komplexität schließen. 

 

[chirlu]

vor einer Stunde von Totti3004:

im Sinne des Wikipedia-Artikels, den du bei Google gefunden hast.

 

vor einer Stunde von Totti3004:

Versuch einfach nochmal meinen Satz zu verstehen

 

Alle dumm außer dir.

 

vor 3 Stunden von Totti3004:

Man kann nicht pauschal vom (für den Anwender nutzbaren) Funktionsumfang einer Software auf ihre (interne) Komplexität schließen. 

 

Schon richtig; man kann nicht pauschal darauf schließen, dass eine Fahrt von Köln nach Bonn kürzer ist als eine von München nach Hamburg, denn vielleicht nimmt man ja für Köln–Bonn den Weg über Regensburg, Peking und Boston.

[cjdenver]

Und zum gefühlt Hundertsten Male: was hat diese ganze Diskussion jetzt mit der ING zu tun?

 

Ist schon irgendwie ein bisschen nervig, ich komm mir langsam vor wie bei Groundhog Day.

[chirlu]

vor 9 Minuten von cjdenver:

was hat diese ganze Diskussion jetzt mit der ING zu tun?

 

Die ING hat keine separate Freigabe-App, sondern nur eine große Allzweck-App.

[hattifnatt]

vor 8 Stunden von Totti3004:

Keine Interaktionen im Sinne des Wikipedia-Artikels, den du bei Google gefunden hast. 

Der Artikel sollte nur Leuten, die selbst keine Software-Entwickler oder -Architekten sind, einen Einblick in das Thema geben. Aber OK, ich geb's auf.

[cjdenver]

vor 15 Stunden von chirlu:

 

Die ING hat keine separate Freigabe-App, sondern nur eine große Allzweck-App.

 

Und das ist jetzt News seit wann genau?

[Totti3004]

vor 17 Stunden von chirlu:

Schon richtig

Danke

vor 10 Stunden von hattifnatt:

Der Artikel sollte nur Leuten, die selbst keine Software-Entwickler oder -Architekten sind, einen Einblick in das Thema geben. Aber OK, ich geb's auf.

Und ich habe dir nur gesagt, dass mit den erwähnten Interaktionen in dem Artikel nicht das 

vor 19 Stunden von hattifnatt:

- 2FA für bestimmte Interaktionen 

- Zugriff auf das Konto zur Darstellung der Transaktionen, Freigeben von Überweisungen

- Zugriff auf die Postbox

- Zugriff auf das Depot

gemeint ist. 

[wpf-leser]

Meinerseits abschließeder Post zum Thema 2FA an dieser Stelle:

Am 22.6.2023 um 19:23 von trying:

Ich lasse es mir gerne erklären. Aber für mich sieht es nicht so klar aus.

Du lieferst die Wege dorthin, teilweise sogar die Antworten frei Haus mit. 

Am 22.6.2023 um 19:23 von trying:

Zitat

[...] die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, [...]

Zentraler Punkt hier: "Nichterfüllung eines Kriteriums".

Hat jemand meine Zugangsdaten zum Online-Banking / App-PIN (Wissen), hat er noch lange nicht das Gerät (Besitz).

Hat jemand mein Gerät (Besitz), hat er noch lange nicht die Zugangsdaten zum Online-Banking / PIN (Wissen).

Am 22.6.2023 um 19:23 von trying:

Wenn mein Smartphone mit einem Trojaner infiziert ist, hat der Angreifer dadurch mein Wissen und kann je nach Fähigkeiten des Trojaners durch Remotekontrolle den Faktor Besitz aushebeln. Ich denke damit ist die Zuverlässigkeit beider Kriterien durch fehlende Unabhängigkeit in Frage gestellt. Mit einem zusätzlichen Hardware-Generator zur Freigabe der Transaktion wäre der Faktor Besitzt vom infizierten Gerät unabhängig und das Szenario deutlich erschwert. Oder wie wäre deine Interpretation?

Die Unabhängigkeit der Faktoren bleibt bestehen. Wenn du dem Angreifer, der (z.B. über einen Trojaner) Besitz über (bzw. die Nutzungsmöglichkeit für) dein Smartphone erlangt hat, (unwissentlich / versehentlich) auch noch deine Zugangsdaten hinterherschmeißt, bleiben die Faktoren rein logisch natürlich weiterhin unabhängig voneinander - nur hat der Angreifer theoretisch wie praktisch beide nun vorliegen und kann loslegen. Das ist vergleichbar mit dem klassischen "Abschnorcheln" der PIN per Zwischentastatur oder Kamera und Auslesen / Zugriff auf die Girocard per "Zwischenleser" am Geldautomaten. Zwei Faktoren, beide dem Angreifer (unwissentlich / versehentlich) übergeben - tadaaa!

 

Am 22.6.2023 um 19:23 von trying:

Das BSI sieht auch Klärungsbedarf.

1.) Das BSI sieht lt. Zitat Klärungsbedarf in Bezug auf den Einsatz "Mehrzweckgeräte ohne hardwaretechnischen Schutz".

2.) Das BSI sieht diesen Klärungsbedarf im Hinblick auf seinen nicht in der ursprünglichen Vorschrift enthaltenen Vorschlag (-> nicht mehr, nicht weniger), "in Anlehnung an die eIDAS-Verordnung das Vertrauensniveau "substanziell" für entsprechende Zugangsgeräte und Zugangssoftware vorzusehen" bzw. daraus abgeleitete Anforderungen an den Einsatz von "Mehrzweckgeräte[n] ohne hardwaretechnischen Schutz".

 

Nach Lektüre z.B.  hier  und da würde ich abschätzen, dass sich ein solcher Vorschlag zugunsten der Praxistauglichkeit, für die das eklatante Nachteile mit sich brächte, auf absehbare Zeit nicht durchsetzen wird und der Vorschlag schlicht die Anforderungen übertrifft.

 

Ich möchte mich aber natürlich auch für das Zitat bedanken und habe mich (nach den o.g. Gedanken) interessiert mal von der genannten RiLi (EU) 2018/389 über deren "Unterbau" (EU) 2015/2366, Begründung (94) in Richtung EBA ("European Banking Authority") durchgehangelt, die die entsprechende Authentifizierung ausgestalten soll.

 

Der BSI-Artikel scheint mir eher gegen Verabschiedung der 2018er-RiLi entstanden zu sein denn gegen heute. Bei der EBA gibt es einige Dokumente und eine (für mich auf den ersten Blick überraschend, auf den zweiten Blick wiederum nicht) umfangreiche Q&A-Abteilung - man hat sich dem Thema offenbar gewidmet.

 

So auch dem eigentlichen Diskussionsthema - 2FA (bzw. vielmehr "SCA") mit einer App auf einem Gerät?

Hier der Eintrag:

Zitat

Published as Final Q&A: 19/06/2020

 

Final Answer:

In accordance with Article 9(1) of the Delegated Regulation (EU) 2018/389, “payment service providers (PSPs) shall ensure that the use of the elements of strong customer authentication (SCA) … is subject to measures which ensure that, in terms of technology, algorithms and parameters, the breach of one of the elements does not compromise the reliability of the others”. In addition, Article 9(2) requires PSPs to “adopt security measures, where any of the elements of SCA or the authentication code itself is used through a multi-purpose device to mitigate the risk which would result from that multi-purpose device being compromised”.

Article 9(3), in turn, provides that “…the mitigating measures shall include each of the following:

(a) the use of separated secure execution environments through the software installed inside the multi-purpose device;

(b) mechanisms to ensure that the software or device has not been altered by the payer or by a third party;

(c) where alterations have taken place, mechanisms to mitigate the consequences thereof.“

It follows from the above that a one-time password evidencing possession used together with a knowledge element on the same multi-purpose device (e.g. a smartphone) may constitute a valid strong customer authentication and thus be compliant with the requirements of the Delegated Regulation, provided that the PSP has put in place measures to ensure that the breach of one of the elements does not compromise the reliability of the other element.

Paragraph 26 of the EBA Opinion on the elements of SCA under PSD2 provides further details on when a mobile app can evidence possession.

Für mich wird hier nochmal klar, dass die EBA die hardwareseitige Sicherung nicht als Voraussetzung für die SCA betrachtet und der zum Abschluss erwähnte "Paragraph 26" sieht dann (von  hier ) so aus:

Zitat

26. The EBA is of the view that approaches relying on mobile apps, web browsers or the exchange of (public and private) keys may also be evidence of possession, provided that they include a device-binding process that ensures a unique connection between the PSU’s app, browser or key and the device. This may, for instance, be through hardware crypto-security, web-browser and mobile-device registration or keys stored in the secure element of a device. By contrast, an app or web browser that does not ensure a unique connection with a device would not be a compliant possession element.

Hier wird auch explizit eine Alternative zum "secure element of a device" genannt, womit die Forderung des BSI nach einer solchen Definition erfüllt sein sollte; gleichzeitig ist dieser Weg auch "nur" exemplarisch, womit Raum für weitere Alternativen bleibt.

 

Wenn ich mir so die jeweiligen Einrichtungsprozedere ansehe und den Umstand berücksichtige, stets eine Internetverbindung zum Empfang aktueller Daten zu benötigen, arbeiten möglicherweise alle Institute unter Android heute genau mit der genannten Alternative (und denkbar legitimem Ersatz des "Web-Browsers" durch die jeweilige "(Web-)App"). (Unter iOS könnte es - siehe o.g. Wiki-Artikel - ja auch gut das Secure Element sein - oder eben auch nicht...)