comdirect

Es wurde leider verschlafen -- oder, um das Zertifikatsgeschäft von Telekom und Bundesdruckerei nicht zu gefährden, explizit unterlassen -- dem neuen Personalausweis eine Zertifizierungsfunktion mitzugeben, auf dass ich meine Mail als "Necoro" zeichnen kann, unabhängig davon ob ich "necoro@necoro.de"¹ oder "huehnergott19@deinemudda.de.tf" als Mailadresse verwende.

Bei S/MIME-Zertis wüsste ich ja noch nicht mal, wo ich ein bezahlbares herbekomme...

¹ necoro.de gibt es, hat mit mir aber nix zu tun 🙂

---

@KWie2  schrieb:

 

Darum vermute ich ja, dass Du oben:

 

---

@mySenf.cd  schrieb:

Ich sprach nicht von einem signierten PDF, sondern von einer S/MIME-signierten E-Mail. Dabei wird der E-Mail-Absender verifiziert, indem das für das zur Signierung verwendete Zertifikat für eben genau diese E-Mail-Adresse ausgestellt wurde.

in Wirklichkeit etwas anderes gemeint hast, nämlich wenigstens ein körperschaftsvalidiertes S/MIME Zertifikat, zu dessen Erlangung z.B. ein Ausweis vorgezeigt werden muss.

Was kann denn ein Geschäftspartner (hier: Comdirect) damit anfangen, das haeschen_75@großerprovider.TLD ein Zertifikat an haeschen_75@großerprovider.TLD zugesandt bekommen hat? Wer ist dieses haeschen_75@großerprovider.TLD? Ich? Kater Karlo?

Es ging darum, ob ein eine S/MIME-Signatur beweisen kann, dass die E-Mail tatsächlich vom angegeben Absender gesendet wurde. Ich habe beschrieben, dass und warum das so ist.

Du gehst jetzt einen Schritt weiter und willst auch bewiesen haben, dass die E-Mail-Adresse auch tatsächlich dem Kunden gehört.  Das ist ein anderer Aspekt. 

Es ist aber gar nicht notwendig das zu beweisen. Der Kunde hat ja die E-Mail-Adresse selbst angegeben, d.h. er selbst bestätigt, dass dies seine Adresse ist. Im Prinzip funktioniert das genauso wie er eine Mobilfunknummer angibt und diese einmalig verifiziert. Wenn diese Nummer vertrauenswürdig für die Zustellung von mobileTANs ist, dann sollte dasselbe Prinzip auch für eine E-Mail-Adresse anwendbar sein.

Wenn also mein Geschäftspartner mir auf einem sicheren Weg mitteilt, dass seine E-Mail-Adresse aeschen_75@großerprovider.TLD lautet, dann habe ich keinen Grund daran zu zweifeln.

---

@Necoro  schrieb:

 

Bei S/MIME-Zertis wüsste ich ja noch nicht mal, wo ich ein bezahlbares herbekomme...

 

---

S/MIME-Zertifikate kann man sich selbst kostenlos erstellen, genauso wie PGP-Schlüssel. S/MIME und PGP unterscheiden sich durch die PKI (Public Key Infrastructure), d.h. der Art und Weise wie üblicherweise die öffentlichen Schlüssel verteilt werden und vor allem wie ihnen vertraut werden kann.

Zwar ist bei S/MIME eine hierarchische PKI verbreitet, jedoch ist es sowohl theoretisch als auch praktisch machbar, die Schlüssel nicht-hierarchisch zu verteilen. So könnte ein Kunde sich selbst ein kostenloses Zertifikat erstellen und dieses im Onlinebanking hochladen und mit einer pushTAN freigeben. Damit wäre das Zertifikat meines Erachtens sogar um einiges besser zertifiziert als wenn es von einer Zertifizierungsstelle irgendwo in den USA oder sonstwo zertifiziert wird: der Nutzer selbst hat dann garantiert, dass dies sein Zertifikat ist. 

Noch eleganter wäre eine Variante, bei der die comdirect die Zertifikate selbst ausstellt und der Kunde sie nur noch importieren muss. Das wäre echt fortschrittlich, fast schon visionär. Die Zertifikate würden zwar nur für die Kommunikation mit der comdirect taugen, aber auch das wäre schon ein Riesenfortschritt.

Leider ist das nur Theorie, da hierzu viel zu viel Aufklärungsarbeit notwendig wäre, sowohl auf Seite der Bank als auch bei den Kunden.

---

@mySenf.cd  schrieb:

---

---

So könnte ein Kunde sich selbst ein kostenloses Zertifikat erstellen und dies übers Onlinebanking hochladen und über eine pushTAN freigeben. Damit wäre das Zertifikat meies Erachtens sogar um einiges besser zertifiziert als wenn es von einer Zertifizierungsstelle irgendwo in den USA oder sonstwo zertifiziert werde: der Nutzer selbst hat dann garantiert, dass dies sein Zertifikat ist. 

---

Auf die Idee wäre ich gar nicht gekommen, sehr cool. Finde ich prinzipiell auch besser als das mit Ausstellen durch die CoDi, weil ich dann irgendwann ein riesiges Sammelsorium an Zertifikaten habe (eins für jede Bank).

In jedem Fall besser selbst eins generieren, dann hat die Bank den privaten Schlüssel nicht.

---

@Ihr Nickname  schrieb:

In jedem Fall besser selbst eins generieren, dann hat die Bank den privaten Schlüssel nicht.

---

Das stimmt! Es gibt aber schon länger Zertifizierungsstellen, die direkt online ein sicheres Zertifikat generieren können. Dabei wird der private Schlüssel direkt im Browser des Kunden generiert und gerät auch nie in die Hände des Anbieters, sondern verbleibt ausschließlich beim Kunden.

Nachtrag:

Das hat den nicht zu unterschätzenden Nachteil, dass der Kunde nichts installieren muss und auch nicht wissen muss, wie das alles geht.

Hallo,

das ist alles super gut beschrieben und ich kann das natürlich auch nachvollziehen.

Damit bleibt es aber dabei, das das ganze nur funktioniert, wenn die Comdirect (der Geschäftspartner) einen nachvollziehbaren Sicherheitsstandard definiert, auf den ich mich als Kunde auch verlassen kann.

Du setzt einen Handshake voraus (völlig O.K.) aber so etwas muss dann ja auch definiert sein.

Das funktioniert dann, wenn sich die Comdirect weigert, irgendwelche Mails mit Auswirkung auf meine Rechte zu bearbeiten, die nicht S/MIME signiert sind.

Wenn ich das nicht weiss, dann nützt mir die Tatsache, das ich signiert sende wieder nichts.

Kater Karlo, der das Zertifikat nicht hat (also jeder, also auch ich), darf nicht unsigniert mit der Bank kommunizieren können.

Es ist eine Vereinbarung zu einer 100% lückenlos signierten Kommunikation erforderlich, damit wirklich ich und nicht Kater Karlo mit meinem Stimmrecht an der Aktionärsversammlung teilnimmt.

Ich sage daher noch einmal:

Es reicht nicht, dass ich mit dem Geschäftspartner sicher kommunizieren kann.

Es ist erforderlich, das niemand (vor allem Kater Karlo nicht) mit Wirkung auf meine Rechte unsigniert mit der Bank kommunizieren kann.

Damit sind wir wieder bei dem erforderlichen kollektiven Sicherheitsstandard, den vermutlich 99% der Comdirect Kunden nicht erfüllen und entsprechend nachrüsten müssten.

Wenn Du das stillschweigend vorausgesetzt hast, dann haben wir bloß ein wenig aneinander vorbeigeredet.

Und wieder etwas nicht technisches sondern Marktliches:

Weiss ich, weiss Comdirect, ob es morgen auch noch kostenlose domainvalidierte S/MIME Zertifikate gibt? Eine Bank wird einen Sicherheitsstandard nicht von Nicht-Vertragspartnern abhängig machen. Wenn dann die Zertifizierungsstellen die Domainvalidierten S/MIME Zertifikate aus dem Rennen nähmen, wäre die Kommunikation mit der Comdirect für Neukunden nicht mehr so möglich.

Gruß: KWie2

Sorry, @KWie2, aber Deine Argumente sind keine.

---

@KWie2  schrieb:

Damit bleibt es aber dabei, das das ganze nur funktioniert, wenn die Comdirect (der Geschäftspartner) einen nachvollziehbaren Sicherheitsstandard definiert, auf den ich mich als Kunde auch verlassen kann.

---

Ja, das tun Sie doch jetzt schon. "Benutze dieses TAN-System", "Gib hier die Zugangsnummer und PIN ein". Das ganze ist zudem gedeckt von Regulierung, also Gesetzen.

---

@KWie2  schrieb:

Das funktioniert dann, wenn sich die Comdirect weigert, irgendwelche Mails mit Auswirkung auf meine Rechte zu bearbeiten, die nicht S/MIME signiert sind.

---

Das tun sie doch jetzt schon! Keine der genannten Authentifizierungsmerkmale erfüllt, meine Auskunft zu Deinen Daten und Deinem Konto, und insbesondere keine Aufträge.

---

@KWie2  schrieb:

Damit sind wir wieder bei dem erforderlichen kollektiven Sicherheitsstandard, den vermutlich 99% der Comdirect Kunden nicht erfüllen und entsprechend nachrüsten müssten.

Wenn Du das stillschweigend vorausgesetzt hast, dann haben wir bloß ein wenig aneinander vorbeigeredet.

---

Die Kunden haben ja weiterhin andere Möglichkeiten, nämlich handschriftlich unterschriebene Dokumente per Post, Browser-basiertes Banking, etc. Das ist kein Problem, wenn ein Kunde sich kein Zertifikat installieren will.

Übrigens, wusstest Du, dass das Steuerportal Elster nur mit einem Zertifikat benutzbar ist? Ich weiß jetzt nicht, wie hoch der Quote von Leuten ist, die das Nutzen, aber ich würde vermuten mehr als 1% 🙂

Wir reden nicht aneinander vorbei, das Problem ist, dass Du auf Deinem Standpunkt beharren willst, ohne uns zuzuhören oder Dich mal wirklich in das beschriebene Szenario hineinzuversetzen. Das ist wirklich alles nicht so kompliziert wie Du denkst.

---

@KWie2  schrieb:

Weiss ich, weiss Comdirect, ob es morgen auch noch kostenlose domainvalidierte S/MIME Zertifikate gibt? Eine Bank wird einen Sicherheitsstandard nicht von Nicht-Vertragspartnern abhängig machen. Wenn dann die Zertifizierungsstellen die Domainvalidierten S/MIME Zertifikate aus dem Rennen nähmen, wäre die Kommunikation mit der Comdirect für Neukunden nicht mehr so möglich.

---

Nein, tut mir leid, das ist doch völlig absurd.

Was, wenn in den nächsten 10 Jahren etwas komplett anderes als HTTPS entwickelt wird? Darf die Bank deshalb kein Browser-Banking anbieten?

Die Bank stellt zudem Apps für Android und iOS bereit – Du glaubst hoffentlich nicht ernsthaft, dass es mit Google und Apple Verträge gibt, die eine Plattformstabilität garantieren, damit die Apps immer so funktionieren wie heute und nicht angepasst werden müssen.

Und, wie beschrieben, sind externe Zertifizierungsstellen nicht nur unnötig sondern sogar unsinnig, weil es sicherer ist wenn Die Bank nurt selbstausgestellten Zertifikaten vertraut und das auch problemlos geht.

Das Thema ist wirklich beendet. Es geht technisch, es ist sicher und es kann heutzutage von fast allen Menschen verwendet werden. Die Bank macht es nur deshalb nicht, weil sie den Aufwand scheut und den erwarteten Nutzen & Vorteil als zu gering bewertet. Eine rein wirtschaftliche Entscheidung.

Kennt hier (von den IT Experten) jemand  "it's me"?

Das funktioniert im Nachbarland Belgien oder auch in LUX bestens.

https://www.itsme.be/de/get-started