{"id":256281,"date":"2021-08-01T00:35:00","date_gmt":"2021-07-31T22:35:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256281"},"modified":"2024-06-17T14:13:51","modified_gmt":"2024-06-17T12:13:51","slug":"sicherheit-und-die-s-id-check-app-der-sparkassen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/01\/sicherheit-und-die-s-id-check-app-der-sparkassen\/","title":{"rendered":"Sicherheit und die S-ID-Check-App der Sparkassen"},"content":{"rendered":"

\"SicherheitDie Sparkassen kontaktieren aktuell Kunden mit Kreditkarten von Mastercard und Visa. Die Kunden werden, unter Berufung auf eine EU-Richtlinie, aufgefordert, eine S-ID-Check-App auf ihrem Smartphone zu installieren. In der f\u00fcr Android und iOS verf\u00fcgbaren App sollen dann die Kreditkartennummer und ein pers\u00f6nlicher Identifikations-Code zur Registrierung der Kreditkarte eingetragen werden. Damit sollen die Online-Legimitationsverfahren Mastercard Identy Check ™ und Visa Secure implementiert werden. Ein Konzept, welches jedem sicherheitstechnisch aufmerksamen Menschen den Schwei\u00df auf die Stirn oder den Blutdruck in schwindelnde H\u00f6hen treiben d\u00fcrfte.<\/p>\n

<\/p>\n

EU-Zahlungsdienstleisterrichtlinie PSD2<\/h2>\n

\"\"Zum 15. M\u00e4rz 2021 ist eine Neuerung bez\u00fcglich der PSD2-Zahlungsrichtlinie\u00a0 verpflichtend geworden. Es gen\u00fcgt bei Kreditkartenzahlungen im Internet nicht mehr, nur noch die Kartennummer, das G\u00fcltigkeitsdatum und die Pr\u00fcfziffer einzugeben. Gem\u00e4\u00df PSD2-Richtlinien ist eine starke Kundenauthentifizierung bei Kreditkartenzahlungen im Internet erforderlich.<\/p>\n

Die starke Kundenauthentifizierung soll sicherstellen, dass der Online Bezahlende der tats\u00e4chliche Karteninhaber ist und berechtigt ist, mit dieser Karte im Internet Zahlungen vorzunehmen. Dazu sind zwei der nachfolgend genannten drei Faktoren f\u00fcr Online-Bezahlung erforderlich:<\/p>\n

1. Besitz (z. B. Kreditkarte),<\/p>\n

2. Wissen (z. B. Passwort)<\/p>\n

3. Inh\u00e4renz, also etwas, was dem Nutzer pers\u00f6nlich oder k\u00f6rperlich zu eigen ist (z. B. Fingerabdruck).<\/p>\n

Eine L\u00f6sung besteht darin, die Kreditkarten wie bisher abzufragen, dann aber f\u00fcr den Zahlungsvorgang ein mTAN-Verfahren zur Authentifizierung zu verwenden. Die Alternative besteht darin, die Authentifizierung \u00fcber einen anderen Weg (S-ID-Check-App) durchzuf\u00fchren.<\/p>\n

Laut diesem Artikel<\/a> (oder dieser Pressemitteilung<\/a>) gibt es aber Ausnahmen: Bei Summen unter 30 Euro kann man bis zu f\u00fcnf Mal hintereinander im Internet bezahlen, ohne sich doppelt authentifizieren zu m\u00fcssen. Die Zahlungssumme aller Transaktion darf zusammen gerechnet 150 Euro nicht \u00fcbersteigen. Auch wenn der Kunde der Bank mitteilt, dass ein H\u00e4ndler vertrauensw\u00fcrdig ist, kann die 2-fach-Authentifizierung entfallen.<\/p><\/blockquote>\n

In den Niederlanden wurde die PSD2-Richtlinie bereits 2018, in Italien 2019 und in Luxemburg im Jahr 2020 umgesetzt. \u00d6sterreich will die Richtlinie am 15. M\u00e4rz 2021 vollst\u00e4ndig umgesetzt haben, Frankreich im Jahr 2022.<\/p>\n

Eine Leserinfo<\/h2>\n

Die Tage erreichte mich dann eine Mail von Blog-Leser Jochem S., der von seiner Sparkasse angeschrieben wurde (danke f\u00fcr die Information und den Hinweis auf das Thema). Er sollte sich f\u00fcr eines der vorgeschlagenen Authentifizierungsverfahren entscheiden. Jochem schriebt mir dazu:<\/p>\n

Hallo G\u00fcnter,<\/p>\n

die Tage habe ich von meiner Sparkasse einen netten Brief bekommen, da ich am Online-Banking teilnehme. An sich nichts, das mich gro\u00df aufregt, aber beim zweiten Lesen ging doch mein Blutdruck hoch:<\/p>\n

Da soll ich doch, damit ich weiter am Online-Banking teilnehmen kann, f\u00fcr eine notwendige Registrierung<\/p>\n

– eine App herunterladen und auf meinem Smartphone installieren<\/p>\n

– in diese App meine Kreditkarten-Daten eingeben und speichern<\/p>\n

– weiterhin den zugesandten Sicherheits-Code in die App eingeben und speichern<\/p>\n

WTF?<\/p><\/blockquote>\n

Jochem hat mir noch eine Kopie des Sparkassen-Schreibens mitgeschickt (siehe folgenden Screenshot).<\/p>\n

<\/p>\n

Dazu erg\u00e4nzt Jochem folgendes:<\/p>\n

Auf der einen Seite wird seitens der Geldinstitute generell darauf hingewiesen, dass man Scheckkarte und Pin-Code getrennt voneinander aufbewahren soll und hier werden Kreditkarten-Daten und Sicherheits-Code in einer App gespeichert? OK, ich soll diese App noch per PIN oder biometrischem Merkmal absichern, aber was hilft mir das, wenn irgendeine schlaue App die Daten mit- oder ausliest und ich davon nichts mitbekomme, wobei da nicht unbedingt \"Pegasus\" mit gemeint sein muss?<\/p>\n

Schl\u00e4gt da jetzt meine fast berufsbedingte Paranoia an, oder sehe ich das alles zu schwarz?<\/p>\n

Ach ja, im Kleingedruckten findet sich dann doch die M\u00f6glichkeit, die Verifizierung per mTAN-Verfahren durchzuf\u00fchren. Also funktioniert das auch ohne Smartphone und eine App.<\/p><\/blockquote>\n

Zur Verifizierung per mTAN-Verfahren hatte ich ja diverse Male was im Blog geschrieben (siehe z.B. Online-Banking-Risiko: Trojaner und mTAN-Betrugsmasche<\/a>) – diese Methode gilt schlicht als unsicher. Bez\u00fcglich der S-ID-Check-App der Sparkasse, die es f\u00fcr Android und iOS gibt, findet sich auf dieser Sparkassenseite<\/a> eine Anleitung zur Vorgehensweise:<\/p>\n

\"S-ID-Check-App<\/p>\n

Wenn ich lese, dass ich Kreditkartendaten, sowie die Pin als Sicherheitscode in einer Smartphone-App eingeben soll, kommt sofort der \"mache ich nicht\"-Reflex. Es ist wie der Blog-Leser ausf\u00fchrt: \u00dcberall werden wir angehalten, keine PIN mit Bankdaten gemeinsam zu speichern. Jetzt soll man also genau diese Kreditkarten- und Sicherheitsdaten auf einem unsicheren Smartphone in einer App eintragen, deren Daten jederzeit von anderen Apps abgezogen werden k\u00f6nnen. Also mir str\u00e4uben sich die Nackenhaare, bzw. ich habe arge Bauchschmerzen, was die Sicherheit betrifft\u00a0 – was habe ich \u00fcbersehen? Die Kritik wird in diesem Artikel<\/a> in einem Satz mit aufgegriffen. Die ersten Phishing-Versuche zu diesem Thema gab es<\/a> auch schon.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die Sparkassen kontaktieren aktuell Kunden mit Kreditkarten von Mastercard und Visa. Die Kunden werden, unter Berufung auf eine EU-Richtlinie, aufgefordert, eine S-ID-Check-App auf ihrem Smartphone zu installieren. In der f\u00fcr Android und iOS verf\u00fcgbaren App sollen dann die Kreditkartennummer und … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-256281","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256281","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256281"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256281\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256281"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256281"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256281"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}