comdirect

EU_1 · ‎19.10.2020

Der Kunde ist König! Das war lange Zeit die Parole im Handel und bei vielen Dienstleistern. Aber heute?

Da bekomme ich von unserer comdirect folgende Nachricht:

Hauptversammlung der Eutelsat Communications S.A.
Datum: 05.11.2020 Ort: 75015 Paris, Frankreich
Stück xxxx Aktie(n) mit Stimmrecht
Sehr geehrter Herr abcxyz,
wir möchten Sie auf die bevorstehende oben aufgeführte Hauptversammlung aufmerksam machen. Möchten Sie an einer ausländischen Hauptversammlung teilnehmen, senden Sie bitte einen Auftrag an Ihre
depotführende Filiale

Das tat ich dann auch, an die first(at)comdirect.de und erhielt folgende Antwort:

Herr abcxyz, bitte senden Sie zu Ihrer eigenen Sicherheit Ihre Fragen und Aufträge aus dem Persönlichen Bereich Ihrer Kundenverbindung. Klicken Sie hierfür nach dem Login auf Hilfe & Service. Anschließend scrollen Sie bis zur Überschrift "Allgemeine Kontaktdaten“. Wählen Sie nun "Kontaktformular für Kunden“ und dann "Kontaktformular“. Füllen Sie das Formular aus und schicken Sie uns Ihre Nachricht. So wird die E-Mail sicher übertragen und sofort Ihrem Konto zugeordnet.

Das machte ich dann auch, ist aber sehr umständlich und viel click & clack.

Warum geht sowas nicht einfacher? Und e-mails sind heute zumindest bei bei verschlüsselter Übertragung genauso sicher wie die mailboxen der Banken - oder?

Ich arbeite ja nicht mit so einem i-phone oder ähnlichem.

Und ob eine Eintrittskartenbestellung etwas Sicherheitsrelevantes ist, frage ich mich auch, das ist doch keine Millionen-Transaktion.

EU-1

Necoro · ‎19.10.2020

@EU_1 schrieb:
Und e-mails sind heute zumindest bei bei verschlüsselter Übertragung genauso sicher wie die mailboxen der Banken - oder?

Nein. Emails sind durchgehend unsicher. Zwar wird inzwischen häufig (aber nicht immer) mit Transportverschlüsselung zwischen den einzelnen Hops gearbeitet, aber nicht mit durchgehender Verschlüsselung. Die Zertifikate (d.h. die Identitäten der zwischengeschalteten Server) wird in der Regel auch nie überprüft, d.h. jeder kann sich als Mailserver ausgeben.

Auch weitergehende Techniken zur Adressprüfung (DMARC, DKIM, ...) ist zwar ausgerollt, aber mE sind Auffälligkeiten da immer ohne Konsequenzen (werden maximal beim SPAM-Ranking berücksichtigt). Folglich kann also jeder in deinem Namen und mit deiner Email-Adresse, eine Mail schicken¹.

E-Mail basiert einerseits noch auf den 80er-Jahre-Gedanken, dass im Netz alle lieb sind und nur das machen, was sie dürfen. Dazu kommt, dass sehr viele Server sich nicht an die Standards halten², folglich kann kein Server diese wirklich forcieren, weil sonst Mails verloren gehen.

Gruß,

Necoro

¹ Im Namen eines anderen eine Mail zu senden ist in der Tat trivial und mit kurzer Fingerübung machbar (in den meisten Mailprogrammen kannst du den Absender ja frei eintragen). Ist im Endeffekt genauso, wie einen anderen Absender auf einen Briefumschlag schreiben.

² Habe bei meinem privaten Server mal forciert, dass der Name der Gegenstelle zu seiner Adresse passen muss. Hui, brach da die Hölle los. Und das hielt ich eigentlich für eine Trivialität.

dg2210 · ‎19.10.2020

@Necoro schrieb:
@EU_1 schrieb:
Und e-mails sind heute zumindest bei bei verschlüsselter Übertragung genauso sicher wie die mailboxen der Banken - oder?
Nein.

Doch.

Ende-zu-Ende-Verschlüsselung ist sogar NSA-sicher (sagt Edward Snowden).

Das Problem ist nicht, welches Verfahren sicher IST, sondern welches Verfahren von der Bankenaufsicht als sicher ANGESEHEN WIRD.

Necoro · ‎19.10.2020

@dg2210 schrieb:
@Necoro schrieb:
@EU_1 schrieb:
Und e-mails sind heute zumindest bei bei verschlüsselter Übertragung genauso sicher wie die mailboxen der Banken - oder?
Nein.
Doch.

Ende-zu-Ende-Verschlüsselung ist sogar NSA-sicher (sagt Edward Snowden).

Das Problem ist nicht, welches Verfahren sicher IST, sondern welches Verfahren von der Bankenaufsicht als sicher ANGESEHEN WIRD.

Nenne mir ein E2E-Verschlüsselungsverfahren, das von Banken unterstützt wird.

Bzw: Das ist doch genau meine Aussage von oben: E2E wäre sicher, wenn es denn jemand einsetzen würde/könnte. Die handelsübliche Mail ist aber gerade nicht!

ehemaliger Nutzer · ‎19.10.2020

Das Problem ist viel grundsätzlicher:

Er könnte seinen E-Mail-Account z.B. mit seiner Frau teilen, ganz legal. Oder er könnte sein Handy ohne Displaysperre verwenden, und dann jeder, der Zugriff auf das Handy hat, auch E-Mails in seinem Namen verschicken (während die Banking-App separat gesichert wäre). Und und und.

Die Comdirect hat völlig Recht hier.

Auch sein Argument, dass es hier um nichts Sicherheitskritisches geht, ist nur auf den ersten Blick richtig. Wenn die Comdirect nämlich auf random E-Mails antworten würde, würde dies massenweise potentielle Angriffsvektoren eröffnen, beispielsweise könnten Bots Informationen darüber gewinnen, wer überhaupt Kunde ist und wer nicht.

Die Comdirect hat völlig Recht hier.

JRK · ‎19.10.2020

Du bist leider auf dem Holzweg.

Die comdirect handelt richtig. Deinen E-Mail Account besitzt viel zu viele Angriffspunkte; das hat mein Vorrender sehr gut ausgeführt.

comdirect, bitte weiter so!

ehemaliger Nutzer · ‎19.10.2020

Email kann sehr wohl zum Vornehmen von Rechtsgeschäften verwendet werden. Signierung und/oder Verschlüsseln mit S/MIME (oder PGP…) ist seit zig Jahren ein nutzbarer Standard. Nutzt bspw. auch Elster.de. Die Bank müsste ihren Kunden ein Zertifikat (bspw. digital oder auf einem Hardwaretoken) überlassen, oder man könnte den E-Perso verwenden. Prinzipiell ist es also möglich und machbar.

Necoro · ‎19.10.2020

@ehemaliger Nutzer schrieb:
Email kann sehr wohl zum Vornehmen von Rechtsgeschäften verwendet werden.

Wie oben geschrieben: In der Theorie schon, in der Praxis nicht

Signierung und/oder Verschlüsseln mit S/MIME (oder PGP…) ist seit zig Jahren ein nutzbarer Standard. Nutzt bspw. auch Elster.de. Die Bank müsste ihren Kunden ein Zertifikat (bspw. digital oder auf einem Hardwaretoken) überlassen

PGP ist frickelig (und der ganze Trust-Teil über die WoT-Probleme angreifbar). Benutzen wir z.B. bei uns in der Firma, aber das wird alles ganz hässlich, sobald z.B. Outlook oder viele Mobile-Clients involviert sind.

S/MIME ist einfach (und wird viel unterstützt), hier gestaltet es sich nur schwierig, an ein Zertifikat zu kommen. Elster stellt natürlich eh eins aus -- aber wenn ich da schon sehe, wie viele Nicht-Techniker mit dem Prinzip "diese Datei ist ein Schlüssel" ein Problem haben, wahrscheinlich auch nicht das Gelbe vom Ei.

oder man könnte den E-Perso verwenden.

Leider wohl nicht: meines Wissens ist die Verwendung als Zertifizierungstoken beim nPA nicht möglich. Wahrscheinlich haben die Telekom und (ja auch!) die Bundesdruckerei da erfolgreich lobbyiert, wollen sie doch ihre Trust-Geschäftsbereiche nicht verlieren.

Fazit: Machbar, aber eben unpraktisch. Wenn ich ein (sicheres/authentifiziertes) Kommunikationssystem designen würde, würde ich, wie die CoDi, auf eine Integration in die normale Applikation setzen. Ist unaufwändig und ohne technische Hürden für den Anwender.

Ihr Nickname · ‎20.10.2020

@ehemaliger Nutzer schrieb:
Das Problem ist viel grundsätzlicher:

Er könnte seinen E-Mail-Account z.B. mit seiner Frau teilen, ganz legal. Oder er könnte sein Handy ohne Displaysperre verwenden, und dann jeder, der Zugriff auf das Handy hat, auch E-Mails in seinem Namen verschicken (während die Banking-App separat gesichert wäre). Und und und.

Du vermischt hier aber zwei Dinge, nämlich Sicherheit von Daten auf dem Transportweg und Sicherheit von Daten in der Ablage. Die Sicherheit von Daten in der Ablage ist immer schon Sache des jeweiligen Halters gewesen. Sobald die Daten bei Dir sind (sei es jetzt E-Mail oder ein analoges postalisches Einschreiben), bist Du verantwortlich und nicht mehr der Absender.

Deswegen kann ich die PDFs aus der Postbox ja auch herunterladen und unverschlüsselt abspeichern oder ausdrucken und auf den Küchentisch legen. Nicht das Problem der Bank.

Es geht also nur um den autorisierten Abruf der Daten, und den kann man mit regulärer E-Mail (S/MIME-Signatur) genau so problemlos machen wie über einen Login auf einer TLS-gesicherten Webseite.

Das Verwenden des S/MIME-Keys kann man natürlich ebenfalls separat sichern, genau wie meinetwegen die App. Das geht sogar schön länger, als es Smartphones überhaupt gibt.

Funktional besteht zwischen S/MIME und PGP kein Unterschied, ob Du nun ein Web of Trust oder eine CA verwendest ist ja völlig egal. Die Bank kann vorschreiben, dass ein Schlüssel durch ein bestimme Instanz signiert sein muss, bevor sie ihn akzeptiert. Ganz easy.

Technisch gibt es also durchaus eine valide Lösung, die auch vielfach im B2B-Bereich eingesetzt wird. Für die comdirect ist das aber nichts, und im letzten Beitrag steht der eigentliche Grund: Der Implementierungsaufwand für so eine Lösung ist astronomisch, die Anforderungen im Privatkundengeschäft rechtfertigen das in keiner Weise. HTTPS-Login und Kontaktformular sind hier ein guter Kompromiss.

Elster hat einen viel größeren Adressatenkreis, der zudem vielfältigere Anforderungen mitbringt. Dort lohnt es sich eher, ein so komplexes System aufzubauen.

EU_1 · ‎21.10.2020

@Necoro

Dann frage ich nocheinmal:

Warum erlauben Finanzamt, Amtsgericht etc, Ministerien und andere Behörden den e-mail Verkehr?

Und dies auch in den anderen Staaten, mit denen ich zu tun habe.

Haben die weniger Angst vor den neuen Techniken als die Deutschen und deren Datenschützer?

EU-1