Artikel

Tesla Model 3 und Model Y als Firmenwagen

Vorweg: dieser Beitrag ist für alle Arbeitnehmerinnen und Arbeitnehmer gedacht, welche sich überlegen, ein (reines) Elektroauto als Firmenwagen zuzulegen.

Aktualisierungen

  • 7. März: Kostensenkung bei Tesla und Erhöhung des pauschalen Auslagenersatzes auf 70,- Euro
  • 20. März: Ergänzende Klärung nachträglicher Kauf von EAP oder FSD(=> möglich)
  • 22. März: gültiger Zeitpunkt zur Berechnung des BLP (es gilt Tag der Erstzulassung)
  • 1. Mai: Aufschlüsselung Kosten Arbeitgeber
  • 7. Mai: kleinere Korrekturen und bessere Erklärung Berechnung Umsatzsteuer für Arbeitgeber
  • 9. Mai: Korrektur Bemessungsgrundlage: abrunden auf volle 100,- Euro
  • 14. Juni: Sprungmarken für Direktverlinkungen (der Beitrag ist inzwischen doch ein wenig lang geworden)
  • 14. Juli: Ergänzung Model Y: wer nur 0,25% geldwerten Vorteil versteuern will, muss weiß nehmen
  • 25. September: Tesla stellt Referral-Programm ein
  • 10. November: dank THG-Quote jährlich 275,- Euro und mehr erhalten »
  • 8. Januar 2022: Beispielrechnung nun mit der 3.000,- Euro Preiserhöhung beim Model 3 und kleinere Aktualisierungen
  • 4. April 2022: neue Preise und verringerte Förderung

 

Den Schritt hin zum reinen Elektroauto konnte ich – dank meines Arbeitgebers – im August 2020 vollziehen und bin seitdem extrem froh und glücklich über die Entscheidung, „umgestiegen“ zu sein.

Während der Recherche-Phase im Juni und Juli 2020 habe ich mich mit diversen Regeln, Gesetzen und Abläufen befasst, da dies nicht nur mein erster Firmenwagen wurde, sondern auch der erste im Unternehmen.

Die Vorteile eines reinen E-Autos als Firmenwagen

  • 0,25% Versteuerung geldwerter Vorteil (statt 1% wie bei Verbrennern) bei E-Autos bis 60.000 Brutto-Listenpreis für den Arbeitnehmer
  • 6.000,- Euro Förderung von der BAFA – nicht nur bei Kauf sondern auch bei Leasing-Verträgen, sofern das Basismodell unter 40.000,- Euro netto kostet (gilt seit April 2022 nicht mehr für Tesla Modelle; wer noch zuvor bestellt hat, erhält aber die 6.000,- Euro Förderung)
  • 5.000,- Euro Förderung von der BAFA, sofern das Basismodell mehr als 40.000,- Euro netto (aktuell bei Model 3 und Model Y der Fall)
  • monatlich bis zu 70 Euro pauschaler Auslagenersatz (bspw. statt Tank- bzw. Ladekarte) vom Arbeitgeber (steuerfrei, Erhöhung von 50 Euro 2020 auf 70 Euro 2021)

Die Idee stand im Raum, nun ging es an’s Eingemachte: wie viel Auto geht, um den Rahmen optimal nutzen zu können? Tesla macht es einen hier leider nicht all zu leicht, aktuell gelten beim Model 3 und Y folgende „Spielregeln“:

  • Förderung durch die BAFA mit 5.000 Euro, da das Tesla Model 3 seit April 2022 mehr als 40.000,- Euro netto kostet: Stand 4. April kostet das günstigste Model 3 44.508,40 Euro netto; das Tesla Model Y 2022 erhält ebenfalls 5.000,- Euro Förderung, da netto mit 50.390,76 Euro gelistet. Wichtig: die 49.990,- Euro (Model 3) bzw. 56.990,- Euro (Model Y) brutto, welche Tesla auf der Website im Konfigurator ausgibt, beinhalten die herstellerseitige Förderung in Höhe von 2.500,- Euro netto!
    Die BAFA listet das Model 3 derzeit noch als „Model 3 2022“ – die Varianten Long Range (größerer Akku und Allrad) oder Perfomance (größerer Akku, Allrad und stärkere E-Motoren) gelten als Zusatzausstattung, welche sich nicht auf die Förderfähigkeit auswirken. Stand 4. April ist das Tesla Model 3 über den 40.000,- Euro netto noch nicht gelistet, folgt aber sicherlich zeitnah.
  • 0,25% bis 60.000 Brutto-Listenpreis (BLP): hier wird es jetzt komplizierter: während für die 5.000 Euro Förderung durch die BAFA der Nettopreis des Basismodells als Grundlage herangezogen werden, gilt für die Versteuerung des geldwerten Vorteils der Brutto-Listenpreis des Autos inklusive Sonderausstattung (Long Range, Anhängerkupplung, EAP, teurere Felgen usw.) zum Zeitpunkt der Erstzulassung, jedoch ohne Zusatzkosten wie Winterreifen, Überführungskosten und Bearbeitungsgebühren.
    Extras wie beispielsweise der „Enhanced Autopilot“ (EAP für derzeit 3.800,- Euro brutto) oder gar das „Volle Potenzial für autonomes Fahren“ (kurz FSD für „Full-Self-Driving“) für derzeit 7.500,- Euro brutto zählen dann nicht zum BLP, wenn das Upgrade explizit nach Kauf-/Leasingabschluss erfolgte (im Idealfall also erst nach der Zulassung). Wird es hingegen gleich bei der Bestellung des Fahrzeugs mit geordert (=> eine Rechnung), zählt es zum BLP. Hier muss man abwägen, was sinnvoller ist, da nachträglich erworbene Upgrades an das Fahrzeug gebunden sind und mit Leasing-Ende auch wieder mit zurück gegeben werden. Das Fahrzeug wird mit diesen Käufen also nachträglich aufgewertet: ob das aber bei Rückgabe auch finanziell honoriert wird, darf bezweifelt werden.
    Wichtig für die korrekte BLP-Berechnung ist aber der Abzug des Umwelt- bzw. Innovationsbonus. Tesla selbst gibt in seinem Konfigurator dazu erst mal keine Informationen und auch die Rechnung später muss nochmal abgeändert werden, bis der tatsächliche BLP feststeht. Daher im Folgenden eine Beispielrechnung.

Brutto-Listenpreis aufgepasst

Nochmal die oben erwähnten Punkte bzgl. Sonderausstattung, nachträglicher Upgrade sowie Zeitpunkt der BLP-Berechnung zusammengefasst:

  • wird das Auto im Konfigurator mit EAP bestellt, zählt dieses zum Bruttolistenpreis
  • wird der EAP nachträglich (im besten Falle nach Zulassung) als Upgrade über die Tesla-App gekauft, zählt es nicht zum BLP
  • ausschlaggebend für den BLP ist laut Gesetz der inländische (= deutsche) Bruttolistenpreis zum Zeitpunkt der Erstzulassung: verändert Tesla also ungünstig die Preise (bspw. teurere Farbe), könnte es nachträglich zu einem Problem mit den 0,25% werden, wenn knapp kalkuliert wurde (bspw. ein Model 3 Performance mit aufpreispflichtiger Lackierung). Dieses Risiko ist derzeit durchaus gegeben – Chipmangel, Engpässe in den Lieferketten und hohe Nachfragen lassen die Preise auch bei Tesla aktuell eher konstant oder nach oben schnellen!

Durchhalten, bald ist es geschafft!

Das Model 3 ist auf der Website schnell konfiguriert, jedoch gibt es durch die letzte Preiserhöhung Anfang April 2022 wieder deutlich mehr Stolperfallen. Ein Beispiel:

Screenshot Tesla-Konfigurator mit Preisaufstellung

Nun könnten wir meinen: inkl. Steuern und sogar der Bearbeitungsgebühren ist der Kaufpreis unter 60.000,- Euro – passt. Dem ist aber nicht so, denn der angezeigte Kaufpreis hat nichts mit dem Bruttolistenpreis (BLP) gemein. Denn die Rechnung geht so:

Tesla Model 3 Long Range in silber Netto Brutto (19%)
Model 3 (inkl. Hersteller-Umweltbonus) 42.008,40 € 49.990,- €
Hersteller-seitiger Bonus (verpflichtend für 5.000 Euro BAFA) 2.500,00 € 2.975,- €
Model 3 2022 (ohne Hersteller-Umweltbonus) 44.508,40,- € 52.965,- €
Zusatzausstattung „Maximale Reichweite Dualmotor-Allradantrieb“ 5.882,35 € 7.000,- €
Lackierung 1.008,40 € 1.200,- €
Bruttolistenpreis (BLP) 51.399,00 € 61.165,- €

Hier zeigt sich: obwohl im Tesla-Konfigurator 59.170,- Euro angegeben werden, liegt der BLP über den wichtigen 60.000,- Euro: zwar dürfen die Bearbeitungsgebühren in Höhe von 980,- Euro abgezogen werden (genauso wie Kosten für Winterreifen), der Umweltbonus des Herstellers (also was Tesla auf dem Papier an Rabatt gewährt) muss aber ebenfalls raus. Also minus -2.975,- Euro, das bedeutet 2.975,- Euro oben drauf. Und somit sind es trotz 58.190,- Euro Kaufpreis plötzlich 61.165,- Euro Bruttolistenpreis.

In dieser Konstellation würde der Firmenwagen zwar 5.000,- Euro einmalige Förderprämie von der BAFA erhalten, müsste aber mit 0,5% statt mit 0,25% geldwerten Vorteil versteuert werden, weil der Bruttolistenpreis über 60.000,- Euro liegt.

Im Gegensatz zu den vorherigen Preisen ist das Model 3 mit großem Akku seit April 2022 nur noch mit weißer Lackierung „0,25%-fähig“ – die Variante Perfomance geht sogar nur noch mit 0,5%.

Sonderfall Model Y: nur in weiß unter 60.000,- BLP

Das Model Y gibt es nun seit Anfang September 2021 in Deutschland (Importe aus der Gigafactory Shanghai) und laufen inzwischen auch in Grünheide in Brandenburg vom Band. Zu erkennen sind die deutschen Fabrikate an der VIN, welche mit XP7 beginnen.

Das Model Y gibt es in Deutschland derzeit aber nur als Long Range oder Performance Variante zu bestellen, die Einstiegsversion ist noch nicht erhältlich. Der Nachteil: wer sich ein Model Y als Firmenfahrzeug mit nur 0,25% Versteuerung sichern will, hat Stand heute (4. April 2022) nur eine Möglichkeit: Long Range und in weiß ohne weitere Zusatzausstattung.
Selbst mit einer Lackierung in schwarz (+1.200,- Euro) verwirkt man sich die Möglichkeit auf 0,25% und muss den Firmenwagen mit 0,5% versteuern!

Screenshot Model Y Konfiguration auf tesla.com

Auch hier wieder das gleiche Bild: vermeintlich unter 60.000,- Euro Gesamtkosten, jedoch nicht unter 60.000,- Euro Brutto-Listenpreis! Im Screenshot ist das wichtige Detail rechts unten: „Einschl. 2.500 € Umweltbonus (netto)“. Da das Tesla Model Y nicht unter 40.000,- Euro netto zu haben ist, gibt es von der BAFA keine 6.000,- sondern „nur“ 5.000,- Euro Förderung – entsprechend ist auch der hersteller-seitige Anteil niedriger: 2.500,- Euro netto statt 3.000,- Euro.
Deswegen geht die Rechnung für den korrekten Brutto-Listenpreis für das Tesla Model Y als Firmenfahrzeug so:

Tesla Model Y Long Range in schwarz Netto Brutto (19%)
Model Y 2022 (inkl. Hersteller-Umweltbonus) 47.890,76 56.990,- €
Hersteller-seitiger Bonus (verpflichtend für 5.000 Euro BAFA) 2.500,00 € 2.975,- €
Model Y 2022 (ohne Hersteller-Umweltbonus) 50.390,76 € 59.965,- €
Lackierung 1.008,40 € 1.200,- €
Bruttolistenpreis (BLP) 50.975 € 61.165,-

Wird auf eine kostenpflichtige Lackierung verzichtet und das MY in weiß ohne weitere Extras (also keine Anhängerkupplung, keine größeren Felgen, keine andere Farbe usw.) geordert, beträgt der BLP exakt 59.965,00 € – quasi Punktlandung! Wie bereits oben erwähnt, können Software-Upgrades wie der Enhanced Auto-Pilot auch leicht im Nachgang erworben werden. Dass der Verzicht auf die Traumfarbe beim Model Y durchaus sinnvoll sein kann, zeigt sich beim Vergleich des geldwerten Vorteil.

Auswirkungen der 0,25%-Versteuerung

Wie wirkt sich nun eine 0,25% gegenüber eine 0,5% oder gar 1% Versteuerung aus? Angenommen ein Arbeitnehmer verdient 54.000,- Euro brutto im Jahr, also 4.500 Euro monatlich. Das ergibt regulär ohne Kirche und mit 1,3% Krankenversicherung 2.723,82 Euro netto auf sein Konto (2021).

Mit dem oben zusammengestellten Firmenwagen gelten 50%, also 30.330 Euro Bemessungsgrundlage und es wandern (bei 15km Entfernung zum Wohnort) nur noch 2.570,79 Euro monatlich auf das Konto: 217,18 Euro weniger.

Ändern wir in dem obigen Beispiel die Farbe (rot ist die teuerste Variante) und nehmen schwarz, beträgt der Brutto-Listenpreis des Fahrzeugs nur noch 59.610,- Euro und liegt damit unter den 60.000,-.
Bei selbem Brutto-Gehalt gibt das aber nun 2.679,02 Euro monatlichem Geldeingang und somit nur mehr 108,94 Euro weniger als ohne Auto.

0,5% statt 0,25% bedeuten also in diesem Beispiel allein in einem Jahr mehr als 1.300,- Euro weniger auf’s Konto – nur wegen der höheren Versteuerung des geldwerten Vorteils. Die 660,- Euro „zu viel“ (über 60.000,- Euro BLP) schlagen da also richtig fies zu.

Nicht berücksichtigt in diesem Beispiel: wie der Arbeitgeber den Arbeitnehmer an den Kosten beteiligt – oder umgekehrt, noch die erwähnten 70 Euro pauschalen Auslagenersatz oben drauf gibt. Bei letzterem (wir haben schließlich nette Arbeitgeber!) bekommt der Arbeitnehmer 2.749,02 auf sein Konto und muss damit monatlich gerade mal auf 38,94 Euro vom Netto-Gehalt ohne Firmenwagen verzichten.

Wie wirkt sich eine Konfiguration im Vergleich aus? Beispielrechnung mit einem BLP von 59.770,- Euro:

Posten 0,25% (BEV) 0,5% (PHEV) 1% (ICE)
Bruttolistenpreis 59.770 € 59.770 € 59.770 €
Bemessungsgrundlage (abgerundet!) 14.900,00 € 29.800,00 € 59.700,00 €
Geldwerter Vorteil Privatnutzung 149,00 € 298,00 € 597,00 €
Geldwerter Vorteil Fahrten 0,03% 67,05 € 134,10 € 268,65 €
Geldwerter Vorteil gesamt 216,67 € 433,33 € 865,65 €
Umsatzsteuer auf geldwerten Vorteil 1% (AG) 138,32 € 138,32 € 138,32 €
Gehalt 4.500 Brutto 2.678,72 € 2.573,72 € 2.372,90 €
2.787,96 € (ohne Firmenwagen) – 109,24 € – 214,24 € – 415,07 €

(Umsatzsteuer muss der Arbeitgeber abführen – hier werden keine 0,25% sondern immer die 1% herangezogen, siehe weiter unten). Zur Erklärung:

  • BEV = Battery Electric Vehicle; reines Elektro-Auto ohne Verbrennungsmotor; 0,25% bis 60.000 BLP, darüber 0,5%
  • PHEV = Plugin-Hybrid Electric Vehicle; Plugin-Hybrid aus Elektro mit Verbrenner (Benzin oder Diesel), 0,5%
  • ICE = Internal Combustion Engine; reiner Verbrenner, 1%

109 Euro für das Elektroauto mit BLP unter 60.000 Euro gegenüber 415 Euro bei einem Verbrenner, also über 300 Euro jeden Monat mehr in der Tasche bei gleichem BLP: das ist preislich eine klare Ansage. Also lieber folieren statt andere Lack wählen.

Inzwischen haben auch die Online-Firmenwagenrechner die neuen Regelungen mit 0,25% bei BLP bis 60.000 Euro berücksichtigt (das war im Juli 2020 noch anders).

Kosten für den Arbeitgeber

Mit einem reinen BEV als Firmenwagen unter 60.000 Euro Bruttolistenpreis kommt der Arbeitnehmer also gut weg. Aber wie verhält es sich nun mit den tatsächlichen Kosten für den Arbeitgeber? Hier die wichtigsten Eckpunkte:

  • Beim Geschäftsleasing wird bei der Tesla-Website der Netto-Betrag angegeben, es fehlen also noch die 19% Umsatzsteuer
  • Die Mehrwertsteuer für die Leasingrate kann sich eine Firma (bspw. GmbH) aber wieder holen; durch den Vorsteuerabzug ist die MwSt. ein durchlaufender Posten
  • Die Umsatzsteuer für den geldwerten Vorteil muss jedoch mit den vollen 1% gezahlt werden, in dem Rechenbeispiel oben macht das rund 138,- Euro monatlich aus: zur Berechnung muss der gesamte zu versteuernde geldwerte Vorteil mit 19/119 (19% USt. vom Nettobetrag) berechnet werden: 866,67 € * 19/119 = 138,38 €
  • Versicherungssteuer (für Haftpflicht und Vollkasko) ist ebenfalls nicht abzugsfähig: hier muss also mit den Brutto-Preisen der Versicherung kalkuliert werden, damit die Rechnung am Ende aufgeht
  • Service- und Wartung ist bei Tesla bekanntermaßen sehr überschaubar: wer mit einem großzügigen Puffer planen will, sollte rund 100,- Euro monatlich für Wartung und Reparaturen einplanen. Bei einem Vier-Jahres-Leasing sollte aber bspw. ein Satz Sommer- und Winterreifen halten, HU ist auch nur einmal fällig und Wartung gibt es nicht viel: knapper kalkuliert können also auch 50,- Euro im Monat reichen.
Arbeitgeber-Kosten (Beispiel) Betrag
Leasingrate (netto) 500 €
Wartung und Reparatur 100 €
Versicherung (brutto) 80 €
Umsatzsteuer (1% BLP + 0,03% pro km einfache Wegstrecke zum Arbeitsplatz) 140 €
Ladepauschale* (steuerfrei) 70 €
Kfz-Steuer (10 Jahre steuerfrei bei Zulassung bis Ende 2025) 0 €
Gesamtkosten pro Monat: 890 €

Die Ladepauschale (pauschaler Auslagenersatz) entfällt, wenn bspw. eine Ladekarte zur Verfügung gestellt wird oder verringert sich auf 30,- Euro monatlich, wenn der Arbeitgeber eine Lademöglichkeit zur Verfügung stellt. Das Laden dort ist dafür aber steuerfrei!

Es gilt also für jeden Arbeitnehmer abzuwägen: lohnen sich die 70 Euro oder soll es doch lieber ein eigener Zähler vom Arbeitgeber für Zuhause sein? Bei mir persönlich ist es mit dem pauschalen Auslagenersatz wirtschaftlicher, da wir noch keine firmeneigene Lademöglichkeit haben und ich oft Zuhause lade (was in dem Fall auf meine private Stromrechnung geht).

Knapp 900,- Euro monatlich für ein Auto ist natürlich nicht wenig Geld. Im Gegenzug muss man sich aber immer im Hinterkopf halten: es geht um ein 60.000,- Euro Neuwagen, welcher grundsolide ausgestattet ist (von den Fahrleistungen ganz abgesehen). Selbst wenn der Arbeitgeber nicht alles „selbst zahlt“ und bspw. ein Urlaubs- oder Weihnachtsgeld dafür kürzt oder einige Lohn-Erhöhungen auslässt, geht das zu Lasten des Brutto-Arbeitslohns. Selbst bei einer vollen Anrechnung zahlt der Arbeitnehmer (natürlich abhängig vom gesamten Jahresverdienst) weniger als 500,- Euro monatlich für die gesamte individuelle Mobilität mit einem Tesla Model 3 als Firmenwagen.

275,- Euro pro Jahr für das eigene E-Auto

Falls ich Dir geholfen habe, ein wenig durch den Steuer- und Förder-Dschungel Deutschlands zu kommen und deshalb jetzt ein Tesla kaufst oder least (egal ob privat oder als Firmenwagen), konntest du bis einschließlich 17. September das Referral-Programm dazu verwenden. An dieser Stelle ein großes Dankeschön an alle, die mich auf diesem Weg unterstützt haben und viel Spaß mit Euren Freikilometern sowie eurem Auto!

Wer dennoch Danke sagen möchte, kann das THG-Programm von geld-fuer-eauto.de nutzen: die THG-Quote (Treibhausgasminderungs-Quote) bringt aktuell ca. 275,- Euro jährlich ein und die Prämie kann auch an Firmen für ein oder mehrere E-Fahrzeuge ausgezahlt werden.

Du kannst dich registrieren und eine Kopie der Zulassungsbescheinigung Teil I (ehemals Fahrzeugschein) dann hochladen, sobald du dein Auto hast. Bei erfolgreicher Prämien-Auszahlung an dich bekomme ich zusätzlich einen Bonus. Danke für die Unterstützung!

Jetzt 275,- Euro Prämie für das E-Auto bei geld-fuer-eAutp.de holen »

  • Kommentare deaktiviert für Tesla Model 3 und Model Y als Firmenwagen
  • Veröffentlicht in: Arbeit
Artikel

So geht Banking 2020 – Teil 2

Neues Jahr, neue Vorsätze. Eines der Ziele für 2020: wieder mehr hier im Web schreiben und mittels „Mikro-Blogging“ (vgl. Mike Kucketz‘ Microblog) öfters, aber dafür kürzere Beiträge verfassen.

Logo Schriftzug bunq

Im Oktober 2016 verfasste ich einen längeren Beitrag über N26, dem (damaligen) Fintech-Startup aus Berlin. Ich war schlicht begeistert, wie liebevoll, hübsch und praktisch Online-Banking sein kann und ein echter Mobile-First-Ansatz verfolgt wird. Inzwischen habe ich mein (Haupt-Ausgaben-) Konto nicht mehr bei N26, sondern bin zu bunq gewechselt – mit einigen wenigen Nach-, aber dafür vielen Vorteilen.

Premium? Aber gerne!

Für das eigene Bankkonto bezahlen? Viele Jahre wollte ich genau das vermeiden: DKB und N26 bieten mit ihren kostenfreien Konten so viele Vorteile, dass allen voran die Sparkasse, aber auch Raiffeisenbanken (auch heute noch) nicht mithalten können. Für mich war es fast schon unvorstellbar geworden, einen monatlichen Obolus für die Kontoführung zu bezahlen. Und dann wurde ich auf bunq aufmerksam.

Die Bank aus den Niederlanden bietet zwar kostenfreie Modelle an, jedoch sind diese vom Funktionsumfang weit hinter DKB oder N26. Richtig spannend ist deren Premium-Modell: für 7,99 Euro (einzeln) oder via Joint für 9,99 Euro (für Partner) bietet die Bank so unglaublich viele gute Features, dass ich dafür zu zahlen gerne bereit bin. (Am Rande sei erwähnt, dass es mittels bunq Pack auch noch ein wenig günstiger geht, aber ist hier für mich aktuell nicht relevant).

Echtzeitüberweisung, 25 Konten, Mobile First

bunq punktet mit (für mich relevante!) Premium-Features, dass ich gerne dafür bezahle.

Echtzeitüberweisung

Echtzeitzahlung mit bunq

Rückmeldung, ob die Zahlung auf der Gegenseite auch ankam, automatisches Sparen und weiteres, kleines Sicherheitsfeature: wo wurde diese Überweisung durchgeführt?

Was die Sparkassen und Raiffeisenbanken technisch bereits (größtenteils) überall umgesetzt haben, lässt beim damaligen Innovationsführer N26 bis heute auf sich warten: Echtzeitüberweisungen aka Instant Payments, aka SCT Inst. (SEPA Credit Transfer Instant). Innerhalb von zehn Sekunden Geld von einem Bankkonto auf ein anderes überweisen, IBAN genügt. Was eigentlich eine Revolution in der Bankenwelt und Bezahlwesen sein könnte, wird durch eine dumme Preispolitik torpediert: Sparkassen und Raiffeisenbanken schwanken zwischen kostenfrei bis hin zu 1,50 Euro pro Überweisung. DKB bietet bisher nur den Empfang von Echtzeitüberweisungen an, nicht jedoch das Senden (und schweigt sich leider auch darüber aus, bis wann es kommen soll). Und bunq? Hat es standardmäßig implementiert. Bedeutet: hat der Empfänger ein Konto bei einer Bank, die das Empfangen von SCT Inst. unterstützt, kommt das Geld sofort an. Ohne zusätzliche Gebühren. Punkt für bunq, aber dafür kostet das Konto halt auch monatlich Geld.

25 Konten

bunq Konten

Neues Konto einfach per Klick in der App hinzufügen

Noch deutlicher hebt sich bunq von den Marktbegleitern ab, wenn es um das Thema Anzahl möglicher Konten geht. Hier bieten die Niederländer an, über die App einfach bis zu 25 Konten zu eröffnen: alle mit eigener IBAN, von allen kann Geld gesendet oder empfangen werden. Welche physischen und virtuellen (Kredit-)Karten von welchen Konten abbuchen: alles in Echzeit über die App konfigurierbar. So viele Konten braucht man nicht? Sicher, aber es eröffnet völlig neue Möglichkeiten:

  • ein gemeinsames Ausgabenkonto für Angelegenheiten des alltäglichen Bedarfs: Tanken, Lebensmitteleinkäufe, Restaurantbesuche usw.
  • ein persönliches Ausgabenkonto für eigene Einkäufe
  • ein gemeinsames Fixkosten-Konto: alles, was planbar und wiederkehrend abgebucht/bezahlt werden soll: Internet- und Telefonanschluss für die Wohnung, Strom, Netflix, Amazon Prime, Hausgeld/Miete, Rundfunkbeitrag, Versicherung usw.
  • Ein eigenes Konto für Verkäufe: bei ebay Kleinanzeigen die eigene Kontonummer für Überweisungen rausgeben? Lieber ein Konto, welches regulär immer null Euro Guthaben hat und auch nicht überzogen werden kann. Das dämmt dich Missbrauchsgefahr weiter ein.
  • gemeinsame und/oder persönliche Sparkonten: bei bunq wird ein solches Vorhaben auch unterstützt, indem bei jeder Ausgabe auf den nächsten vollen, zwei oder fünf Euro aufgerundet wird – und die Differenz fließt auf ein entsprechendes Sparkonto
  • gemeinsames und/oder persönliches Konto für Rücklagen: größere Auto-Reparatur? Haustier krank und OP notwendig? Hier wird vorgesorgt!

 

Eine solche Konstellation ist selbstverständlich nur eine von unzähligen Möglichkeiten, wie die vielen Konten verwendet werden können. Nebenbei ist ein vielfach empfohlenes 3-Konten-Modell damit spielerisch zum Umsetzen – und kann auch noch aufgebohrt werden.

Nachteile? Jep.

Ein Konto bei bunq hat nicht nur Vorteile. Neben den monatlichen Gebühren für das Konto ist es vor allem die niederländische IBAN, welche aus unterschiedlichen Gründen leider immer noch für einen gewissen Mehraufwand sorgt. Vorweg: diesen Nachteil sollte es eigentlich gar nicht geben, denn es handelt sich schlicht und ergreifend um die sogenannte IBAN-Diskriminierung. Da ich aber den europäischen Gedanken mit einheitlichen Zahlungsverkehr sehr schätze und fo(e)rdern möchte, habe ich fast alles auf bunq umgestellt. Nachteile beim Bezahlen mit niederländischer IBAN:

    • Manche Online-Shops / Warenwirtschaftssysteme sind nur auf deutsche bzw. numerische IBAN nach der Länderkennung ausgelegt: während diese nur vorne die zwei Buchstaben DE für Deutschland haben, folgen danach nur Ziffern. In den Niederlanden sind jedoch auch Buchstaben erlaubt: NL92 BUNQ […]. Das ist nach Ansicht der Bundesanstalt für
      Finanzdienstleistungsaufsicht (kurz BaFin) rechtlich nicht zulässig, aber trotzdem immer noch weit verbreitet.

      […] vielen Dank für Ihre Bestellung, leider können wir ausländische Lastschriftdaten nicht verarbeiten. Bitte überweisen Sie die Rechnung auf unser nachstehendes Konto. […]

 

Mobile First

Wie N26 ist auch bunq vollständig nach dem Mobile First Prinzip ausgerichtet: zuerst die App für’s Smartphone, dann kommt Desktop. Im Gegensatz zu den Berlinern gibt es aber aus den Niederlanden auch eine geniale App für’s Tablet, welche der Smartphone-App in nichts nachsteht. Die Desktop-Version von bunq, welche in der zweiten Jahreshälfte 2019 veröffentlicht wurde, ist noch extrem rudimentär und aus meiner Sicht noch ein Nachteil, wenn man gerne am Rechner diverse Sachen erledigen möchte.

Der große Vorteil dieser Ausrichtung: die App funktioniert sagenhaft. Das Smartphone & Tablet sind Teil des Sicherheitskonzeptes, was die notwendigen Bestätigungen reduziert. Usability und UX: ganz großes Kino. Aufgrund der schnellen Verfügbarkeit von Kontostand und Ausgaben, Überweisungen und Sparzielen ist das Bezahlen mit Karte angenehmer und übersichtlicher als ein Geldbeutel voll mit Bargeld (und nein, Bargeld gehört deswegen nicht abgeschafft, sondern ist Teil einer offenen, liberalen und demokratischen Gesellschaft).

Sicherheit

Bereits eben kurz angerissen, spielt auch das Thema Sicherheit bei den eigenen Finanzen immer eine Rolle. Kurzfassung: ich fühle mich mit den einzelnen Konten sicherer und mein Geld besser aufgehoben als alles, was ich zuvor hatte. Die Gründe:

  • eine physische oder virtuelle Maestro oder Mastercard wird einem Konto zugewiesen, auf dem nur so viel Geld wie notwendig liegt: bei Scamming am Bargeldautomaten wird so der Schaden drastisch eingeschränkt.
  • größere Rücklagen (empfohlen werden ja mindestens drei Netto-Monatsgehälter) liegen auf einem eigenen Rücklagen-Konto
  • alle Einlagen sind bis 100.000 Euro von der niederländischen Zentralbank abgesichert (gleich wie im deutschen Bankenwesen)
  • Lastschrift-Freigabe: das Geld wird nicht wie üblich einfach nur abgebucht und kann – im Falle eines Missbrauchs – bis zu sechs Wochen noch wieder zurück geholt werden, sondern eine Zahlung wird vorab freigegeben. Für wiederkehrende Zahlungen kann auch eine Whitelist angelegt werden.
  • Push-Mitteilungen über alle relevanten Vorgänge
Push-Mitteilung Lastschrift angefragt
1. Push-Mitteilung Lastschrift angefragt
Details zur angefragten Lastschrift
2. Details zur angefragten Lastschrift
Lastschrift akzeptzieren
3. Angefragte Lastschrift akzeptieren & Zahlung somit freigeben

Lastschrift akzeptiert
4. Lastschrift wurde akzeptiert, Zahlung erledigt.
Lastschrift Whitelist
5. Bei Bedarf (regelmäßige Zahlung) auf Whitelist setzen

Karten

bunq bietet den Kunden eine Auswahl an Karten zum Bestellen an:

  • Maestro: für den europäischen Zahlungsverkehr geeignet, in Deutschland höhere Akzeptanz als Mastercard (geht also oft auch an Verkaufsstellen, die „keine Kreditkarten akzeptieren“)
  • Mastercard (Debit): gibt sich als Debit-Karte aus, zum Bezahlen ebenso geeignet
  • Mastercard (Credit): gibt sich als Kreditkarte aus (wichtig noch z. B. bei Autovermietungen, Hotels u. Ä.)
  • Online-Karten: virtuelle Kreditkarten mit auf Wunsch wechselnden CVC Sicherheitscode

Bis zu drei physische (frei wählbar welche) und fünf Online-Karten können ohne zusätzliche Kosten geordert werden. Eine „Wegwerf-Kreditkarte“ für Online-Shopping ist damit genauso möglich wie zwei verschiedene Karten inkl. Apple Pay (z. B. für Gemeinschafts- und persönlichem Konto). Pro Karte kann ein Haupt- und Zweitkonto hinterlegt werden und diese mittels zwei verschiedener PIN verwenden. Die Möglichkeiten sind also auch hier wieder sehr vielfältig.

Beste Features

Vielleicht schreibe ich noch einzelne Blogbeiträge oder ergänze diesen hier, welche auf einzelne Features näher eingeht. Damit die Vorteile aber jetzt erst mal nicht unerwähnt bleiben, hier noch weitere Funktionen, die ich nicht mehr missen möchte:

  • Fotos, PDF und Notizen zu Transaktionen: alles kann zu einer Transaktion hinzugefügt werden. Die Bilder – z. B. Fotos vom Kassenbon – sind auf Wunsch (extra zu aktivieren, da externer Dienst von Google) durchsuchbar
  • PDF zu bunq laden, auslesen lassen und gegebenenfalls korrigieren (Auto-Erkennung Betrag, Konto, Name). Die PDF wird dann gleich mit zur Transaktion gespeichert und ist später wieder leicht aufzufinden!
  • Egal ob Karten temporär sperren, Zahlungen nur in bestimmten Ländern erlauben, PIN-Code ändern: alles in Echtzeit in der App konfigurierbar.
  • Open API: alles, was in der App gemacht werden kann, kann auch über die Schnittstelle ausgelesen oder geschrieben werden.
  • CVC ändern: unseriös anmutender Online-Shop? Sicherheitscode der Kreditkarten nach der Bezahlung einfach ändern, fertig. Abos, welche über Kreditkarte bezahlt werden, brauchen den CVC nicht.
Anhänge zu Transaktionen durchsuchen
Gewünschte Transparenz: Fotos werden mittels Google Cloud-Vision nach Text durchsucht
bunq Kartenzahlungen in Ländern
Wo darf mit der Karte bezahlt werden? In der App sind einzelne Länder oder Kontinente wählbar. Wer sich an einem Flughafen befindet, wird daran erinnert, diese Einstellungen zu prüfen.

 

Kontenvergleich

FeaturesDKBN26 (Premium)bunq
Konto & Gebühren
Gebühren0,00 €9,90 €9,99 €
IBANDEDENL
Konten2*125
Spaces / Unterkontenneinjaja, mit IBAN
Gemeinschaftskontoja (eines)neinja (bis zu 25)
Bezahlen
Echtzeitüberweisung (empfangen/senden)nur empfangenneinja
girocardjaneinnein
V Payjaneinnein
Maestroneinjaja
Mastercardneinjaja
Visajaneinnein
Bezahlen Sicherheit
Lastschrift-Freigabeneinneinja
PIN-Wechselneinjaja
Karten temporär sperrennur Kreditkartejaja
Karten beschränkennur Kreditkartejaja
Push-Benachrichtigungen Abbuchungennur Kreditkartejaja
Push-Benachrichtigungen Geldeingangneinjaja
App & Desktop
Smartphone-Appjajaja
Mobile Firstneinjaja
Tablet-Appjaneinja
Desktopja (alle Funktionen)ja (viele Funktionen)ja (eingeschränkt)
Weitere Features
Aufrunden-Sparen beim Bezahlenneinneinja
Foto(s) zu Transaktionenneinja (eines)ja (mehrere)
Fotos zu Transaktionen durchsuchbarneinneinja (auf Wunsch)
Notizen zu Transaktionenneinneinja
Tags zu Transaktionenneinjanein
Kategorisierung von Transaktionenneinjaja
Überziehung möglichjajanein
SCHUFA-Benachrichtigungjajanein

bunq-Konto eröffnen​?

Zufriedene Kunden empfehlen weiter. Bisher wurde das mit 10,- Euro auf jeder Seite belohnt. Ob dies aktuell noch der Fall ist, weiß ich gerade nicht. Falls ihr es mit mir herausfinden wollt:
bunq.com/invite/SebastianEggersberger

Empfehlenswerte Lektüre und Infos zu DKB & bunq gibt es auch bei blackwater.live

  • Kommentare deaktiviert für So geht Banking 2020 – Teil 2
  • Veröffentlicht in: Banking
Artikel

„Das Problem ist mir bereits bekannt“

Sicherheit bei Online-Produkten sind immer so eine Sache: die Absolute gibt es eben so wenig wie im realen Leben. Aber es können viele Maßnahmen ergriffen werden, um Sicherheit zu erhöhen und Gefahren zu verringern.

Kostet halt leider Zeit und Geld.

Der wahrscheinlich häufigste Grund, warum das Thema sowohl bei Unternehmen wie Privatpersonen niedriger priorisiert wird als es sollte. Wenn es dann mal kracht, ist die Überraschung groß – zumindest bei manchen. Andere haben sich eine „kann man eh nichts machen“ Mentalität zugelegt. Ole.

Wie Unternehmen reagieren sollten, wenn Sicherheitsforscher Probleme aufdecken, hat N26 gezeigt: im Gegensatz zu ihren desaströsen Maßnahmen mit Kündigung ohne Ankündigung, was dann zu ihrer Fair-Use-Policy führte, haben sie bei den aufgedeckten Schwachstellen durch den Sicherheitsforscher Vincent Haupert solide reagiert. Wer eine halbe Stunde Zeit hat, kann sich bei C3TV den gesamten Vortrag ansehen. Hierbei wird klar, dass ein paar grundlegende Design-Entscheidungen falsch getroffen wurden und bei der Sicherheit einfach geschlampt wurde. Umso erfreulicher ist es immerhin, dass sie die angesprochenen Schwachstellen zeitnah beheben konnten.

Bei anderen Seiten kann so etwas leider länger dauern. Eine kompromittierte WordPress-Seite zum Beispiel, die neben den eigentlichen Neuigkeiten auch noch Links und Weiterleitungen zu phänomenalen Gewinnspielen beinhaltet. Per E-Mail auf diese Tatsache hingewiesen, kam vom zuständigen Administrator eine freundliche Antwort mit dem Inhalt:

„Vielen Dank für die Info.
Das Problem ist mir bereits bekannt. Leider ist WordPress sehr anfällig für Angriffe.
Die Seite wird in Kürze auf ein anderes CMS umgestellt.“

Ich muss gestehen, hier war ich überrascht. Die Antwort kam vor über einer Woche, der Schadcode befindet sich noch immer aktiv auf der Seite. Wird ja bald umgestellt. Auf ein „sicheres“ CMS. Auf die neue Seite bin ich gespannt.

  • Kommentare deaktiviert für „Das Problem ist mir bereits bekannt“
  • Veröffentlicht in: Datenschutz
Artikel

So geht Banking 2016 – Teil 1

iTANs, TAN-Generatoren, kostenpflichtige Mobil-TAN, Push-TAN und weitere teils sichere, teils unsichere Verfahren haben mich die letzten Jahre beim Online-Banking begleitet. Kurzum: alles Unfug.
Zu unflexibel, zu aufwändig, zu teuer, zu unsicher, zu umständlich. Das ist das Kurz-Fazit zur deutschen Banking Welt im Jahr 2016.

Volksbanken und Raiffeisenbanken, Sparkassen und Konsorten haben die Chance verpasst, sinnvolles Online-Banking auf der (technischen und nutzerfreundlichen) Höhe der Zeit zu etablieren, das gut aussieht und einfach funktioniert.
Selbst die DKB, bei der ich eigentlich zufriedener Kunde bin, schaffte es nicht, neue Maßstäbe zu setzen. Richten muss es ein Startup, das mit dem unscheinbaren Giganten und B2B-Zahlungsdienstleister Wirecard kooperiert, um mit deren Banklizenz frischen Wind in die verstaubte Online-Banking Welt zu bringen: N26 (zuerst Number26).

Um es an dieser Stelle bereits vorwegzunehmen: nein, ich bekomme (leider) kein Geld von dem Startup, sondern schreibe diesen Beitrag aus freien Stücken. Zum einen, weil mich die Idee und die Umsetzung von N26 schlicht begeistert. Zum anderen, weil ich gerne andere Menschen überzeugen möchte, dass Online-Banking einfach sein kann.

„Ich kann dir das Geld am Wochenende überweisen, da bin ich wieder zu Hause.“ Aussage von ehemaligen Kommilitonen, wohlgemerkt dieses Jahr. Das geht einfacher – und ich versuche hier von mehreren Seiten zu beleuchten, wieso und warum.

Die Grundidee

Dreh- und Angelpunkt des N26 Kontos ist das eigene Smartphone. Also das Gerät, welches jeder heutzutage ständig bei sich hat, mit über 90% Wahrscheinlichkeit mit Android oder iOS läuft und somit für sehr sehr viele Menschen die perfekte Basis für ein sichereres und einfaches Banking bietet. Wenn das Smartphone einmal plötzlich den Dienst versagen sollte oder gegen ein neues ausgetauscht wird: es gibt natürlich ein Web-Interface, über das sich die Smartphone-Kopplung regeln lässt. Mehr dazu später bei der Darstellung des Sicherheitskonzepts.

Die Kontoeröffnung

Für eine Kontoeröffnung wird im ersten Schritt die N26 App installiert. Damit ist der erste von drei großen Schritten geschafft. N26 wirbt mit einer Kontoeröffnung in 8 Minuten. Das ist natürlich übertrieben. Ich hatte mitgestoppt – bei mir waren es 10 Minuten!
Die App fiel aber bereits bei diesem Prozess sehr positiv auf: liebevoll gestaltete Animationen, durchdachtes Design, extrem nutzerfreundliche und intuitive Benutzerführung: Hut ab, hier wurde alles richtig gemacht!

Eine Kontoeröffnung verlangt eine Identitätsprüfung. Die Bank muss wissen, dass ich der bin, der ich sage, dass ich bin. Das läuft bei anderen Banken entweder über das weit verbreitete PostIdent-Verfahren oder über die dermaßen komplizierte Authentifizierung mit dem elektronischen Personalausweis. Da letzteres gut gedacht, aber schlecht gemacht ist, pfeift N26 (völlig zu Recht) auf diese Lösung und setzt auf eine App innerhalb eigenen App. Über den Dienst IDnow wird bis 24 Uhr in der Nacht bestätigt, dass ich die im Registrierungsprozess angegebene Person bin und tatsächlich existiere. In meinem Fall telefonierte ich per Video-Chat um halb elf nachts mit einem sehr gut gelaunten Mitarbeiter, der fließend deutsch sprach und alles reibungslos abwickelte.

Fazit: nach dem Herunterladen und Starten der App hatte ich innerhalb von zehn Minuten ein neues Konto eröffnet mitsamt der dazugehörigen IBAN: ich konnte also ab jetzt bereits Überweisungen empfangen – Geld war ja natürlich noch keines drauf und einen Dispo gibt es ohne Antrag nicht. Dafür wird aber nicht mal der Datenkrake Schufa was mitgeteilt – wozu auch.

Die Master- und Maestro Card

Danach hieß es natürlich erst einmal warten, bis Geld eingetroffen ist (immerhin inzwischen nach einem Werktag) und bis die MasterCard kam. Drei Tage später im Briefkasten wird die Kreditkarte verifiziert und freigeschaltet – auch hier unterstützt die App durch eine einfache Bedienung und nutzerfreundlichem Design.

Die Maestro Card – quasi ein naher Verwandter der bekannten EC-Karte mit ähnlich hohem Akzeptanz-Grad bei den Geschäften, kann der Neukunde von N26 erst bestellen, wenn mindestens einmal 100 Euro drauf sind. Ist ein fairer Deal, wenn man die bisherigen Kosten von null Euro bedenkt und bereits eine Kreditkarte in den Händen hält.

Das Sicherheitskonzept

Wie eingangs erwähnt bin ich kein Freund der aktuell etablierten Lösungen der Bankenwelt – auch mit den neuen Secure Apps für die TAN-Generierung: zu kompliziert. Bei N26 ist die App mit dem physischen Gerät gekoppelt und mit dem Login-Passwort bzw. dem Fingerabdruck geschützt. Ebenfalls Bestandteil der Einrichtung ist das Festlegen eines sogenannten Überweisungscodes, mit dem Transaktionen nochmal geschützt werden. Dieser ist vierstellig, natürlich geheim und frei wählbar. Also keine TAN, die sich ständig ändert, sondern vergleichbar mit dem PIN für die EC-Karte.

Konto leerräumen

Das bedeutet: wer Geld über mein N26 Konto überweisen will, benötigt also mein Smartphone, die TouchID bzw. den PIN-Code für das Entsperren des Gerätes, nochmal die TouchID bzw. das Passwort zum Entsperren der App und meinen geheimen Überweisungscode. Das ist doch okay, oder?

N26 bietet neben der App für das Smartphone auch eine Website für die Desktop-Nutzung (und Tablet-Nutzung im Querformat – das wiederum ist Mist). Unter my.number26.de kann sich der N26-Nutzer also mit E-Mail Adresse und dem Passwort (welches auch für die App verwendet wird) anmelden, den Kontostand und Analysen einsehen und natürlich auch überweisen. Hierzu wird ebenfalls noch der Überweisungscode benötigt und – hier kommen wir wieder zum Sicherheitskonzept – die Freigabe der Transaktion mittels Smartphone.
Das bedeutet, dass selbst wenn die Zugangsdaten zum Online-Banking kompromittiert werden, können Angreifer lediglich den Kontostand und die Transaktionen sehen (wie bei jedem anderen Online-Banking auch), jedoch keine Überweisungen durchführen (fehlender Überweisungscode und fehlendes Smartphone zum Freigeben).

Screenshot N26 Geldabhebung

Push-Benachrichtigung über eine soeben erfolgte (kostenfreie) Abhebung an einem Geldautomaten.

Sicherheit durch sofortige Transaktionsanzeige

Egal ob Bezahlen mit der Mastercard, Maestro Card, bei Online-Bestellungen oder normale Daueraufträge: jede Transaktion (auch eine Vorab-Belastung) wird umgehend angezeigt. Kein mehrtägiges Warten, bis das Geld des letzten Restaurant-Besuchs auch wirklich in der Umsatzanzeige auftaucht, sondern eine umgehende Push-Benachrichtigung aufs Smartphone über die soeben erfolgte Abbuchung (oder Gutschrift). Das bedeutet: wenn meine Kreditkarte für eine Bezahlung verwendet wird, erfahre ich das sofort – und kann sie umgehend sperren, wenn die Transaktion nicht ich ausgelöst habe.

Screenshot N26 Karteneinstellungen

Kreditkarte vermeintlich verloren? Einfach sperren! Wieder gefunden? Wieder entsperren und weiter nutzen!

Fortsetzung folgt im Teil 2 mit einer Übersicht von Vor- und Nachteilen, Alternativen und einer Erfahrung aus einem halben Jahr N26-Nutzung.

  • Kommentare deaktiviert für So geht Banking 2016 – Teil 1
  • Veröffentlicht in: Banking
Artikel

WordPress mit FIDO U2F absichern – so geht’s (mit Update Oktober 2016)

Yubikey Neo und WordPress

WordPress kann den neu aufkeimenden Standard FIDO U2F. Was das ist? Yubico erklärt das Verfahren anschaulich auf ihrer Webseite ». Um nicht nur den eigenen Google-Account und hoffentlich bald viele weitere Dienste mit dem eigenen Sicherheitsschlüssel absichern zu können, sondern auch WordPress, braucht ihr Folgendes:

Zutatenliste

Durchführung

Yubico empfiehlt U2F-Plugin
Teil 1 des Plugins auf Github
Achtung! Hier fehlt was!

Das muss ebenfalls runtergeladen werden, sonst läuft nix!
Standardmäßig ist der leer – deswegen funktioniert das Plugin nicht sofort.
Teil 2 (php-u2flib-server auf Github) muss hier rein.

WordPress-Installation: Plugin manuell installieren.
Das zusammengesetzte Plugin als u2f.zip hochladen
Wichtig: die U2F klappt momentan nur im Chrome!

Register klicken, Schlüssel rein, kurz warten bis er blinkt, draufdrücken.
Et voilà: so sieht es aus, wenns funktioniert hat.
Anmeldung wie man’s kennt.

Das ist jetzt neu: Hallo Zwei-Faktor-Authentifizierung!

HILFE! Klappt nicht!

Ja, leider kann das sein. Die größten Stolperfallen:

  • Kein PHP 5.5 oder höher aktiv  (all-inkl setzt z. B. bei der Standard-WordPress-Installation PHP 5.4 ein!)
  • Du hast die PHP-U2F-Library nicht mit in das Plugin kopiert
  • Du verwendest nicht den Chrome Browser (keine Sorge: Mozilla Firefox will bald nachziehen und Microsoft ist ebenfalls in der FIDO-Allianz; die Zukunft wird’s richten)

Und was, wenn ich den sicherheitsschlüssel verliere?

Das U2F Plugin für WordPress ist – abgesehen von der eher komplizierten Installation – eigentlich richtig mächtig: wenn du dein Sicherheitsschlüssel gerade nicht zur Hand hast, kannst du die integrierte Rückfall-Lösung verwenden: du bekommst einen kurzen Schlüssel bestehend aus Buchstaben und Zahlen an die in deinem WordPress-Account hinterlegte E-Mail Adresse zugesendet. E-Mail öffnen, Code rauskopieren, bei der 2FA-Anmeldung eingeben und WordPress normal nutzen wie zuvor!

2FA auch für Benutzer ohne Sicherheitsschlüssel

Einen weiteren Vor- oder auch Nachteil (Bequemlichkeit!) bringt das U2F-Plugin dadurch ebenfalls mit: alle Benutzer, egal ob mit oder ohne registrierten Sicherheitsschlüssel, benötigen bei aktivem Plugin eine Zwei-Faktor-Authentifizierung. Für die ohne Schlüssel heißt das: Mails checken. Eine einfache aber effektive Möglichkeit, unerlaubte Logins in den eigenen WordPress Account abzuwehren.

Update 30. Oktober 2016: Plugin Two-Factor

Ein Plugin, das es eigentlich schon vor geraumer Zeit (zu Recht) in den WordPress-Core schaffen sollte, hört auf den schlichten aber eingängigen Namen Two-Factor.

Das 2FA-Plugin wird noch als dev-Version ausgegeben, funktioniert aber bei meinen WordPress-Installationen absolut reibungslos und ist richtig fein konzipiert: statt nur einen zweiten Faktor einzurichten, kann jeder Nutzer nach persönlicher Vorliebe seine eine oder mehrere 2FA-Lösung verwenden. Sinnvollerweise nisten sich die Möglichkeiten zur Einrichtung da ein, wo sie hingehören: in das persönliche Profil unter das Passwort. Das Plugin erlaubt auch – vorausgesetzt, es wird entsprechend eingestellt – den einfachen Wechsel des zweiten Faktors, sollte der Yubikey grad nicht am Mann sein.

Fazit aus mehreren Wochen Einsatz: so gehört ein Sicherheitsplugin aus Usability-Sicht! Einfach zu bedienen, unaufdringlich und sauber. Bitte weiter so!

2FA-Möglichkeiten bei dem WordPress-Plugin Two-Factor
Aktuelle 2FA-Möglichkeiten: OTP via E-Mail, Sicherheitsschlüssel, TOTP und Liste
Login mit einem Yubikey mittels Two-Factor
Login mit präferierter Methode
Login mit der Authenticator-Methode mittels Two-Factor
Login mit erlaubter Alternative

Artikel

Erweiterter Passwortschutz: Datenschutz Teil II

Im ersten Teil der Serie ging es darum, wie andere Seiten beim einfachen Surfen Informationen über uns und unsere Gewohnheiten sammeln. Hier geht es um etwas viel tiefgreiferenderes: die eigene Online-Identität. Denn die ist voll mit Daten: den persönlichen E-Mails, vertraulichen Facebook-Nachrichten, dem eigenen Adressbuch, teils sogar den persönlichen Suchverlauf bei Google. Alles Inhalte, die fremde Personen nun wahrlich nichts angehen.

Es ist so schön einfach: du hast ein langes, (vermeintlich) sicheres Passwort. Mit Zahlen. Und Großbuchstaben. Und Sonderzeichen! Und du kannst es dir merken. Denn du brauchst es überall: Bei Facebook. Bei Twitter. Beim Bezahlen via PayPal. Und natürlich für deinen Google Account. Und eine eigene Website hast du inzwischen auch. Da nimmst du es natürlich auch her. Ist so ja so schön lang und sicher.

Und ich sage: am Arsch. Du weißt nicht, wie der billig programmierte Dienst von nebenan dein super langes und sicheres Passwort speichert. Du gibst es bei Online-Diensten ein, die ihren Login nicht über TLS (http:// statt https://) verschlüsseln und somit kann jeder, der sich im gleichen Netzwerk befindet, deine Anmeldeinformationen mitlesen. Und du weißt auch nicht, ob dir beim letzten Eintippen nicht vielleicht doch jemand ganz genau auf die Finger geschaut hat. Oder einen Keylogger auf seinem PC mitlaufen lässt, auf dem du dich „mal eben kurz“ anmeldest.

Die schlechte Nachricht: du solltest dir unbedingt einen Passwort-Tresor zulegen. Und für jeden Dienst im Web ein eigenes Passwort verwenden. Und ja, das ist umständlicher als dein einzelnes Standard-Passwort. Unbequemer. Aufwändiger. Aber es schützt vor Viagra-Werbung auf der Seite und einem plötzlich geleertem Bankkonto.

2FA und U2F

Die gute Nachricht: du kannst dein super Passwort behalten. Zumindest bei Diensten, die dir eine Zwei-Faktor-Authentifizierung anbieten. 2FA kurz erklärt: du hast einen Benutzernamen und ein Passwort, brauchst aber neben diesen Authentifizierungsdaten noch eine zweite Instanz, die dich autorisiert. Das kann ein PIN-Code sein, der an dein Handy geschickt wird, das kann eine TAN sein, wie man es vom Online-Banking kennt. Es kann aber auch ein Sicherheitsschlüssel sein. Letzteres ist Hardware und kostet Geld. In der Top-Ausstattung und mit allen fancy Funktionen um die 50-60 Euro. Einmalig. Für einige Dienste ist er bereits nutzbar und viele weitere Folgen hoffentlich in Zukunft. Denn es gibt endlich einen Standard, auf den sich die großen Unternehmen im Markt verständigt haben: Intel, Lenovo, Microsoft, PayPal, RSA, Visa, Samsung, um nur einige wenige zu nennen.

Richtig Schwung in die Sache hat aber der Online-Gigant Google gebracht: dieser bietet seit Mai 2015 die sogenannte U2F (Universal 2. Factor) Authentifizierung an, um den eigenen Google-Account abzusichern. Kein Warten auf eine Bestätigungs-SMS inklusive Abtippen, sondern einloggen, Sicherheitsschlüssel schnell in den USB-Port, einmal drauf tippen, fertig.

Also selbst wenn jemand eure Zugangsdaten rausfindet: der unerwünschte Eindringling benötigt dann immer noch die zweite Authentifizierungs-Stufe – und die hängt im Idealfall an eurem Schlüsselbund und somit nicht in Reichweite von dem Übeltäter.

Schwachstelle: aktuelle Verbreitung

Der Standard ist geschaffen, aber noch längst nicht etabliert. PayPal lässt leider noch auf sich warten (bieten aber bereits 2FA via SMS und ihren proprietären TOTP-Schlüssel), Microsoft will FIDO 2.0 in Windows 10 integrieren und bei den hiesigen Banken sieht es noch richtig mau aus. Den eigenen Google-Account aber mit einer Zwei-Faktor-Authentifizierung abzusichern ist bei der Vielzahl an Diensten goldwert. Und wer WordPress nutzt, sollte sich ebenfalls mal mit dem genialen Plugin 2FA beschäftigen.

Weiterführende Informationen

  • Kommentare deaktiviert für Erweiterter Passwortschutz: Datenschutz Teil II
  • Veröffentlicht in: Datenschutz
Artikel

Keine neue Vorratsdatenspeicherung!

Kurz notiert: eigentlich wollte ich einen schönen Artikel zum Thema Vorratsdatenspeicherung (kurz VDS) veröffentlichen, aber mit diesem Kommentar von Judith Horchert auf Spiegel Online ist eigentlich alles gesagt: » „Lassen Sie sich nicht für dumm abspeichern!“

Also bitte liebe Politik: einfach mal in die Richtung nichts tun und die eigene Zeit und Aufmerksamkeit den viel wichtigeren Themen widmen. Danke.

P.S.: eigentlich sollte das Ganze gar nicht Vorratsdatenspeicherung heißen – „Kommunikations-Überwachung“ trifft es doch viel besser. Versehen mit dem Spruch: „Wir speichern, wann Ihr mit wem wo und wie kommuniziert. Immer.“ Na das klingt doch verlockend.

P.P.S: » Kopfschütteln… (unbedingt das Protokoll lesen. Macht Angst.)

  • Kommentare deaktiviert für Keine neue Vorratsdatenspeicherung!
  • Veröffentlicht in: Datenschutz, Grant
Artikel

Seite ist jetzt (fast) Google-frei: Datenschutz Teil I

Noch ist nicht viel los auf diesem Webauftritt – ändert sich bestimmt mal, wenn ich groß bin. Doch bis dahin kommen trotzdem schon paar Besucher – das erfuhr ich bisher immer aus Google Analytics. Ihr wisst schon, dieses schöne Stasi-Modul vom Internet-Riesen. Ich will an dieser Stelle den Laden aber gar nicht verteufeln – was Google macht, ist für ein gewinnorientiertes Unternehmen nur normal und konsequent. Aber mit voller Breitseite muss man dieses Geschäft und diese Politik ja nicht unbedingt unterstützen – schon gar nicht, wenn ich persönlich nicht auf Googles Dienste wie AdWords, die tiefgehende Analytics-Funktionen oder die Google-Webfonts angewiesen bin.

Nun werde ich auch in Zukunft wissen, dass sich ein paar Besucher auf dieser Seite tummeln – Open Web Analytics wird es mir verraten. Der Dienst ist mit Sicherheit nicht so schön wie GA, jedoch bietet er einen großen Vorteil: die erhobenen Informationen werden selbst gehostet und wandern nicht zu Google in die USA. Und mich interessiert hier eigentlich eh nur, ob überhaupt jemand vorbei schaut.

Mut zu mehr Datenschutz

Was war nun der Grund und was wurde gemacht? Vor der Umstellung wurden neben den lokalen Abfragen auf sebastian-eggersberger.de auch weitere durchgeführt: zu Google Analytics, Google Webfonts und zu Youtube. Bei vielen anderen privaten wie kommerziellen Seiten horcht natürlich noch der blaue Riese Facebook mit dem Social Plugin mit; und bei den etablierten Nachrichtenseiten im deutschsprachigen Web wird zwar gerne auf die Internetriesen und ihre Gier nach persönlichen Daten eingedroschen – aber zeitgleich laufen 20 Tracker von den verschiedensten kommerziellen Diensten ohne großen Hinweis mit (natürlich, in den Datenschutzbestimmungen ist es vermutlich aufgeführt – wird auch bestimmt oft aufgerufen): Beispiel Zeit Online, Spiegel Online oder Focus Online (aber auch alle anderen sind hier nicht besser).

Die Abfragen von fonts.gstatic.com, Youtube und Co. auf meiner Seite hatten zur Folge, dass Google hier sämtliche Besucher – sofern diese die Abrufe nicht blockieren (vgl. hierzu Link- und Plugin-Empfehlung am Ende des Beitrags) – theoretisch tracken könnte. Wie sich das auf anderen Seiten für jeden selbst auswirkt, kann man mit dem Firefox-Addon Lightbeam für sich persönlich herausfinden (natürlich vorausgesetzt, er nutzt Firefox). Selbst nach einem kurzen Surfen zeigen sich schnell zwei große Zentren, die mit anderen Diensten verknüpft sind: Google und Facebook.

Screenshot Lightbeam

Das Add-On Lightbeam zeigt die Vernetzungen der verschiedenen Websites und Dienste grafisch auf

 

Google erreicht dies durch die Services Webfont, Google+, Analytics, Youtube und weitere; Facebook schafft das Tracking durch die direkte Einbindung von Like-Buttons und Fanboxen. Wie sich diese Informations-Sammlung auswirkt, kann ein jeder bei Google auch selbst nachschlagen: Einschätzung von Google zu dem Nutzer

Google Webfonts konnte ich dank der Anleitung auf coder-welten.com selbst abändern. Statt also die zwei Fonts Crimson Text und Raleway von Google zu beziehen (und somit Informationen über den Seitenabruf weiterzugeben), laden die Schriftarten nun von dem lokalen Webspace.

Nicht verteufeln, aber informieren

Grundsätzlich gilt es an dieser Stelle festzuhalten: es ist nicht das Böse per se, Werbeanbieter, andere Webdienste und Cloud-Lösungen einzusetzen – nur jede Seite sollte es bewusst und wissentlich tun. Auch eine personalisierte Werbung kann in vielen Fällen angenehmer sein als wenn mir irgendein Mist eingeblendet wird, der mich überhaupt nicht interessiert.
Aber eine solide Aufklärung darüber, was wie wo eingesetzt wird, herrscht nur in den wenigsten Fällen, wobei gerade bei diesem Thema eine Nachvollziehbarkeit über die Erhebung und Verfolgung von Tracking-Daten so wichtig wäre.

Ghostery Info - BeispielDamit wenigstens auf Seite der Otto-Normal-Verbraucher ein wenig direkte Aufklärung herrscht, gibt es das grandiose Tool Ghostery für alle gängigen moderne Browser. Dieses kleine Add-On informiert dezent an der Seite, welche zusätzlichen Tracking-Maßnahmen auf einer Webseite neben den einfachen Cookies laufen – und können auf Knopfdruck auch deaktiviert werden.

Natürlich gibt es aber eine ganze Reihe klick- und lesenswerter Links, die ich hier aufliste und kurz beschreibe:

Add-Ons und Opt-outs für Browser

  • Ghostery – das Datenschutz-Tool hilft, das eigene Surf-Verhalten zu verstehen und die Datenerhebung von Dritten zu kontrollieren
  • Lightbeam – Visualisierung der Vernetzung von Tracking-Tools, nur für den Firefox-Browser
  • Disconnect.me – Open Source und eine Mischung aus Ghostery und Lightbeam
  • Präferenzmanagement – Opt-Outs für personalisierte Online-Werbung
  • Digital Advertising Alliance – Opt-Outs für amerikanische Online-Werbedienste

Lesenswertes zu dem Thema

So, das war es jetzt auch schon fast wieder. Und warum heißt der Beitrag „Seite ist jetzt (fast) Google-frei“? Weil Google Font im WordPress-Backend noch aktiv ist. Betrifft also nur mich, die Seite ist aber halt trotzdem noch mit einer dünnen Nabelschnur mit Google verbunden. Lesenswerter Beitrag (und damit die letzte Empfehlung in dem Artikel) auf xwolf.de. Werde ich auch noch kappen. Einfach weil ich es kann ;)

  • Kommentare deaktiviert für Seite ist jetzt (fast) Google-frei: Datenschutz Teil I
  • Veröffentlicht in: Arbeit, Datenschutz
Artikel

Erfahrungen mit Flyeralarm

Schnelle Lieferung, zuverlässige Qualität, deutlich günstiger als die Druckerei um die Ecke: so kennt man Flyeralarm – eigentlich. Wir hatten Mitte Dezember aber eine andere – interessante – Erfahrung mit dem Beschwerde- und Qualitätsmanagement von Flyeralarm.de machen dürfen.

Ausgangssituation: bestellt wurde rechtzeitig und mit (eigentlich) genügend Puffer 100 knapp 15×15 cm große Karten zum Aufklappen:

  • Faltblätter, Einbruchfalz
  • Ausführung: Quadrat
  • Geschlossenes Endformat: Quadrat groß (14,8 x 14,8 cm)
  • Platzierung Falz / Nut: Falz links
  • Materialart: matt
  • Material: 300g Bilderdruck matt – genutet, offen geliefert
  • Veredelung: beidseitiger Dispersionslack matt
  • Farbigkeit: 4/4-farbig

Der Kenner würde sagen: ein Klassiker – quasi Tagesgeschäft. Die Lieferung kam mit einem Tag Verspätung an die gewünschte Adresse und wirkten auf den ersten Blick top. Beschnitt und Falz einwandfrei. Nur die Innenseiten waren farbenfroher als gewünscht: an einer markanten und an vielen weiteren Stellen waren magentafarbene Kleckser (links die Druck-PDF, rechts die eingescannte Karte):

Ungewolltes Farb-Upgrade auf dem Hochzeitskleid: die Braut hat’s am schnellsten bemerkt

Auch am rechten Rand gesellte sich mehr Farbe auf das Papier, als ursprünglich in der Druck-PDF angedacht war

 

 

Was folgt, ist ein interessantes Lehrstück, wie viel Zeit und Aufwand für ein 57,82 Euro teures Produkt investiert werden kann – und Flyeralarm schlussendlich draufzahlte.

Erklärtes Ziel: Karten schnellsmtöglich neu drucken lassen, sodass sie über Weihnachten ohne Magenta-Plus verteilt werden können. Denn die Farbkleckser waren alle identisch an der exakt gleichen Stelle und auf allen hundert Karten (bzw. noch mehr, da Flyeralarm ca. zehn Prozent Überschuss mitliefert).

Farbschwankungen und -flecken

Magenta-Verzierung auf allen Karten, Farbschwankungen einzelner Karten inklusive

 

Die Ursache (meine Vermutung): hier ist bei der Belichtung der Platten einfach was schief gegangen. Tropfen einer Flüssigkeit, Dreck oder eine andere Unachtsamkeit – und schon wird zigfach der immergleiche Fehler aufs Papier gebracht. Passiert einfach mal und kann auch mal durch die Qualitätssicherung rutschen. Aber wie starr der Reklamations-Ablauf gestaltet ist, war dann doch ein wenig ernüchternd:

Versuch einer Neubeauftragung am Donnerstag, 18. Dezember:

08:26 Uhr: erster Anruf bei der in der Rechnung angegebenen Telefonnummer: Anrufbeantworter. Das Büro ist erst ab 09:00 Uhr besetzt.

08:35 Uhr: ich werde darauf aufmerksam gemacht, dass Flyeralarm eine schöne Callback-Funktion besitzt. Formular ausgefüllt mit der Bitte, schnellstmöglich neu zu produzieren, damit das noch vor Weihnachten ankommt.

09:35 Uhr: ich frage mich gerade, ob es eine kluge Idee war, als erreichbare Uhrzeit 08:00 bis 17:00 Uhr anzugeben – vielleicht doch wieder bei der ersten Nummer anrufen? In genau diesem Moment ruft das Call-Center von Flyeralarm an. Eine nette Frau mit leicht gebrochenem Deutsch will mir erklären, wie ich das Reklamations-Formular ausfüllen kann. Kenne ich aber schon und winke ab. Immerhin bekomme ich noch die richtige und wichtige E-Mail-Adresse reklamation@flyeralarm.de. Ich fülle das Formular online aus und schicke zusätzlich per E-Mail Fotos als Beweis für die Mängel an die angegebene Adresse.

09:49 Uhr: es gibt eine Mail von info@flyeralarm.de: wir sollen 10 Belegexemplare innerhalb der nächsten 14 Tage zusenden, auf denen die Mängel gut sichtbar sind. Scheinbar wurde meine individuelle Mail nicht berücksichtigt.

10:27 Uhr: es tut sich – abgesehen von der vermutet automatisierten Mail – nichts. Ich rufe bei der Nummer an, die bei der Reklamations-Mail kam: ein freundlicher Mitarbeiter erklärt mir, dass ich 10 Belegexemplare einschicken muss. Ob meine Mails mit den Fotos ankam, kann er leider nicht sagen, ist schließlich eine andere Abteilung.

~11 Uhr: ich beschließe, wieder die Callback-Funktion zu nutzen und wünsche explizit, von der Qualitätssicherungs-Abteilung angerufen zu werden.

13:36 Uhr: Mittagessen. Flyeralarm ruft an. Das Callcenter. Ob die Mail angekommen ist, keine Ahnung. Auftrag kann erst neu gedruckt werden, wenn Belegexemplare da sind.

13:44 Uhr: Rückruf von der Qualitätssicherung: sie brauchen zwingend die Exemplare live vor Ort. Wir können neu bestellen (Express) und beim anderen dann das Geld zurückfordern. Zwecks dem Express-Zuschlag wird vermerkt, dass das verrechnet werden soll. Irgendwie, irgendwann.

14:55 Uhr: Mail an ehemaligen Kommilitonen geht raus. Vitamin B muss doch für irgendwas gut sein. Neuer Auftrag immer noch nicht in der Flyeralarm-Warteschlange.

17:04 Uhr: Er hockt in der falschen Abteilung. Customer Service Center hat die Oberhand (mehr dazu weiter unten).

 

 

Ich verwerfe die Idee einer „schnellen Neubeauftragung“. Wir gehen den offiziellen Weg von Flyeralarm, wenngleich ich mir entsprechende Anmerkungen erlaube:

Sehr geehrte Damen und Herren,

anbei wie von Ihnen gefordert die Belegexemplare für die Reklamation der Drucksache xxxxxxxxx.

Neben den Farb-Flecken, deren Ursache wir bei einer fehlerhaften Belichtung bzw. Druckplatte vermuten, sind auch starke Farbschwankungen von einzelnen Karten sehr auffällig. *

 

Lassen Sie uns bitte wissen, ob dieses Qualitäts-Niveau eine Ausnahme ist oder zu den Bedingungen der günstigen Produktionsweise gehört.

 

Auch wenn Ihre Vorgehensweise – zuerst die Belegexemplare postalisch zu bekommen und erst dann eine Neuproduktion anzustoßen – hier scheinbar streng vorgegeben ist, hätten wir uns eine kulantere und vor allem schnellere Abwicklung der Reklamation gewünscht, sodass die Lieferung wie gewünscht rechtzeitig vor Weihnachten fehlerfrei beim Kunden ankommt.

 

Mit freundlichen Grüßen,

Sebastian Eggersberger

* Anmerkung: grammatikalischer, aber nicht sinn-entstellender Fehler wurde in dem Satz hier nachträglich korrigiert.

Wenige Tage später kam eine freundliche Antwort per Post: jawohl, der Fehler liegt auf seiten von Flyeralarm, selbstverständlich können wir kostenlos nachproduzieren lassen, alternativ wird der Betrag voll rückerstattet. Geht doch. Wären halt die paar Tage Verzögerung nicht dazwischen gewesen.

 

Fazit: Eine Reklamation mit Beweis via Fotos per E-Mail reicht bei Flyeralarm nicht aus, sondern die Reklamation muss physisch vorliegen. Wer also merkt, dass das Ergebnis nicht passt, die eigene Druckvorstufe keine Schuld trifft und die Drucke zeitnah neu und einwandfrei benötigt, sollte die Reklamation anstoßen und umgehend den Auftrag neu einreichen.

Bleibt natürlich trotzdem festzuhalten: Jammern auf hohem Niveau.

  • Kommentare deaktiviert für Erfahrungen mit Flyeralarm
  • Veröffentlicht in: Grantlerino