comdirect

Ich glaube nicht, dass die Bank Ihre Apps als Open-Source anbieten möchte.

Wenn man der Argumentation folgt, dann dürfte die Bank Ihre Apps gar nicht für Android und iOS anbieten, da die Betriebssyteme auch nicht kontrolliert sind.

Über die Mobile-TAN hinaus gibt es auch das PhotoTAN-Gerät, ganz ohne App und ohne amerikanische Betriebssyteme.

Die Frage ist nach einem direkten Download der Apps, von der Webseite von comdirect. Ein ausführbares apk File läuft sehr wohl ohne Google Account.

Auch steht dort, dass sehr wohl der Wunsch existiert, mobile Apps verwenden zu wollen. Und dafür wird eine Lösung gesucht. Das Wissen zur mobilen TAN ist vorhanden.

Die Sicherheit von einem IT-System entsteht nicht durch die Existenz von Google, Apple oder Microsoft Accounts. Sondern durch die Einstellungen vom System und der Applikationen, durch Verwendung von Programmen aus vertrauenswürdigen Quellen, durch die Verwendung von Containern für zusätzliche Programme. Und Weiteres.

Ich kann in meinem Umfeld nicht erkennen, dass Nutzer von Android oder iOS Geräte eine besondere Sorgfalt zeigen, bei der Auswahl von Applikationen, welches Lizenzmodell dort verwendet wird und welche sonstigen Lizenzvereinbarungen mit der Verwendung eingegangen und wie die gewonnen Daten verwendet werden. Ich kann auch nicht erkennen, dass die Verwendung von einem Google oder Apple Account hier eine Verbesserung bringt.

Ich erkenne sehr wohl, dass Personen, die darauf achten, vermulich besser die eigenen Daten oder die Daten von Kunden schützen. Das zeigt sich auch im professionellen Umfeld. Ich sehe System-Administratoren, die sehr wohl sehr sorgfältig arbeiten. Keines dieser IT-Systeme benötigt dazu einen Google, Microsoft oder Apple Account.

Mir persönlich sind Firmen angenehmer, die darauf achten, wie mit sensiblen Kundendaten verfahren wird. Und mit Personal, welches selbst darauf achtet.

Die Bereitstellung der Apps als OSS (Open-Source-Software) wurde im ersten Beitrag zu diesem Artikel gar nicht erwähnt. F-Droid bietet auch die Verwendung von Closed-Source, mit einem OSS-Updater.

Aber dieser Hinweis in einer Antwort zu diesem Artikel ist sehr wohl interessant. Meiner Erfahrung in der professionellen IT-Welt seit langer Zeit: Sobald Arbeitskollegen den eigenen Code zum Review bereitstellen (Pull-Request), offenbaren sich Fehler, die auch die Sicherheit betreffen können.

Ein öffentlicher Pull-Request hat sich über Jahrzehnte als wirksamer Schutz bewahrheitet. Closed-Source lässt sich de-compilieren und offenbart seine Fehler. Der Schutz ist nicht gegeben.

Zum Beispiel lässt Atlassian den Download vom Source Code zu allen Produkten zu. Wenn gekauft. Firmen können den Source Code prüfen (große Konzerne tun das) und geben Feedback zu Fehlern. Heute sind die Produkte recht sicher.

Also, der Beitrag ist interessant. Warum veröffentlicht die comdirect Bank nicht den Source Code? Welche Fehler würden sich denn da zeigen?

Theoretisch wäre es für die comdirect möglich, das APK zum Direktdownload zur Verfügung zu stellen - wahrscheinlich sprechen irgendwelche geschäftspolitischen Dinge dagegen.

Allerdings dürften die meisten Nutzer von Android-Geräten auch die Google Play-Dienste installiert haben (bei iOS bleibt einem ohne größere Verrenkungen eh nichts anderes übrig als die Apple-Dienste zu nutzen) - und für diejenigen, die das nicht haben, gibts eben die von Vorschreibern genannte Alternativen. Die comdirect spricht eine breite Masse an und auf "die paar Exoten" (das ist nicht despektierlich gemeint! Ist mengenmäßig derzeit aber Fakt) kann die Bank notfalls verzichten.

Gibt es denn Banken in Deutschland, die ihre notwendigen Apps (PhotoTAN) auch außerhalb der jeweiligen Stores anbieten (und die dann auch ohne Store-Anbindung funktionieren)?

Viele Grüße,

Jörg

Aus meiner Sicht ist der Datenschutz ein Thema, welches alle Kunden betrifft. Aus meiner Sicht sollte darauf die Bank nicht verzichten.

Wie würde die Lösung für Apple-User aussehen? Die können doch (ohne größere Hacks) doch sowieso kein Sideloading durchführen, oder?

Ansonsten kann ja der @SMT_Service das eventuell mal als Verbesserungsvorschlag weitergeben - aber wie oben geschrieben: Alternativen gibt es (wenn auch nicht so günstig oder komfortabel wie eine App).

Ich erwähne hier mal kurz zwei Telefone, die ohne die erwähnten Accounts auskommen. Es gibt Menschen, die benutzen seit Jahrzehnten mobile Lösungen ohne Google, Apple oder Microsoft Accounts.

Die Frage war im vorherigen Kommentar, was Google oder Apple Nutzer dann tun sollen. Die Frage am Anfang war anders herum: Welche Möglichkeiten haben Personen, die auf Datenschutz achten und deshalb einen Google, Apple oder Microsoft Account ablehnen.

Dieses Telefon führt apk Files in Containern aus und überwacht automatisch die Aktivitäten. Es ist in Deutschland entwickelt, das OS und die HW.

https://volla.online/

Es gibt auch eine US-Alternative dazu:

https://puri.sm/products/librem-5/

Das Librem 5 kostet knapp 2.000 USD. Das Volla Phone ist günstiger. Auch kosten Laptops von Lenovo mit ubuntu circa 3.500 Euro. Es sind Benutzer, die dieses Geld ausgeben, um bestimmte Dinge besser tun zu können. Wir sprechen hier selbstverständlich ein professionelles IT-Umfeld an. Die Einkommen in diesem Umfeld sind hoch und es sind definitiv Kunden von Banken.

Es gibt Millionen dieser Kunden, mit gut bezahlten Jobs rund um den Globus, die Bankkunden und in der mobilen Welt unterwegs sind. Diese Leute arbeiten an mobilen Entwicklungen, die ggf. erst in Jahren auf den Massenmarkt kommen. Diese Kunden wünschen sich Lösungen von Banken, die den Datenschutz berücksichtigen. Und ich denke, alle Bankkunden würden davon profitieren.

Zusammengefasst: Die Photo-TAN-App, zum Beispiel, in einen Container gesperrt, ist definitiv sicherer, als die Ausführung auf einem normalen Android oder iOS Gerät.

Um ein apk-File im Container auszuführen, ist die Vorgehenweise genauso einfach, wie mit einem Android oder iOS Gerät. Dasselbe apk File, welches Android Benutzern bereitgestellt wird, läuft auch auf sicheren Geräten, ohne Anpassung.

Auf einem Gerät, wie das Volla Phone oder das Librem 5 via Updater aus dem F-Droid Store die Photo-App installieren oder eben direkt von der comdirect Webseite als Download.

Die nicht Android oder iOS Geräte, die die apk Files automatisch in Android Containern einsperren und dort kontrolliert ausführen, können ganz normal im Handel gekauft werden. Diese Geräte kosten mehr, als handelsübliche Android oder iOS Geräte; die Käufer verfügen oft über hohe Einkommen und sind in der IT-Branche tätig.

Fehler, die von diesen IT-Spezialisten gefunden werden, werden mit hoher Sicherheit an die comdirect Bank zurückgemeldet. Die comdirect Bank und damit alle anderen Kunden der comdirect, würden davon profitieren.

Die Frage die am Anfang gestellt hatte: Liebe comdirect Bank, möchtet ihr Datenschutz bewussten Benutzern eure Apps zur Verfügung stellen. Einfach als apk Download von eurer Webseite, ohne die Notwendigkeit von einem Google Account.