Artikel

So geht Banking 2020 – Teil 2

Neues Jahr, neue Vorsätze. Eines der Ziele für 2020: wieder mehr hier im Web schreiben und mittels „Mikro-Blogging“ (vgl. Mike Kucketz‘ Microblog) öfters, aber dafür kürzere Beiträge verfassen.

Logo Schriftzug bunq

Im Oktober 2016 verfasste ich einen längeren Beitrag über N26, dem (damaligen) Fintech-Startup aus Berlin. Ich war schlicht begeistert, wie liebevoll, hübsch und praktisch Online-Banking sein kann und ein echter Mobile-First-Ansatz verfolgt wird. Inzwischen habe ich mein (Haupt-Ausgaben-) Konto nicht mehr bei N26, sondern bin zu bunq gewechselt – mit einigen wenigen Nach-, aber dafür vielen Vorteilen.

Premium? Aber gerne!

Für das eigene Bankkonto bezahlen? Viele Jahre wollte ich genau das vermeiden: DKB und N26 bieten mit ihren kostenfreien Konten so viele Vorteile, dass allen voran die Sparkasse, aber auch Raiffeisenbanken (auch heute noch) nicht mithalten können. Für mich war es fast schon unvorstellbar geworden, einen monatlichen Obolus für die Kontoführung zu bezahlen. Und dann wurde ich auf bunq aufmerksam.

Die Bank aus den Niederlanden bietet zwar kostenfreie Modelle an, jedoch sind diese vom Funktionsumfang weit hinter DKB oder N26. Richtig spannend ist deren Premium-Modell: für 7,99 Euro (einzeln) oder via Joint für 9,99 Euro (für Partner) bietet die Bank so unglaublich viele gute Features, dass ich dafür zu zahlen gerne bereit bin. (Am Rande sei erwähnt, dass es mittels bunq Pack auch noch ein wenig günstiger geht, aber ist hier für mich aktuell nicht relevant).

Echtzeitüberweisung, 25 Konten, Mobile First

bunq punktet mit (für mich relevante!) Premium-Features, dass ich gerne dafür bezahle.

Echtzeitüberweisung

Echtzeitzahlung mit bunq

Rückmeldung, ob die Zahlung auf der Gegenseite auch ankam, automatisches Sparen und weiteres, kleines Sicherheitsfeature: wo wurde diese Überweisung durchgeführt?

Was die Sparkassen und Raiffeisenbanken technisch bereits (größtenteils) überall umgesetzt haben, lässt beim damaligen Innovationsführer N26 bis heute auf sich warten: Echtzeitüberweisungen aka Instant Payments, aka SCT Inst. (SEPA Credit Transfer Instant). Innerhalb von zehn Sekunden Geld von einem Bankkonto auf ein anderes überweisen, IBAN genügt. Was eigentlich eine Revolution in der Bankenwelt und Bezahlwesen sein könnte, wird durch eine dumme Preispolitik torpediert: Sparkassen und Raiffeisenbanken schwanken zwischen kostenfrei bis hin zu 1,50 Euro pro Überweisung. DKB bietet bisher nur den Empfang von Echtzeitüberweisungen an, nicht jedoch das Senden (und schweigt sich leider auch darüber aus, bis wann es kommen soll). Und bunq? Hat es standardmäßig implementiert. Bedeutet: hat der Empfänger ein Konto bei einer Bank, die das Empfangen von SCT Inst. unterstützt, kommt das Geld sofort an. Ohne zusätzliche Gebühren. Punkt für bunq, aber dafür kostet das Konto halt auch monatlich Geld.

25 Konten

bunq Konten

Neues Konto einfach per Klick in der App hinzufügen

Noch deutlicher hebt sich bunq von den Marktbegleitern ab, wenn es um das Thema Anzahl möglicher Konten geht. Hier bieten die Niederländer an, über die App einfach bis zu 25 Konten zu eröffnen: alle mit eigener IBAN, von allen kann Geld gesendet oder empfangen werden. Welche physischen und virtuellen (Kredit-)Karten von welchen Konten abbuchen: alles in Echzeit über die App konfigurierbar. So viele Konten braucht man nicht? Sicher, aber es eröffnet völlig neue Möglichkeiten:

  • ein gemeinsames Ausgabenkonto für Angelegenheiten des alltäglichen Bedarfs: Tanken, Lebensmitteleinkäufe, Restaurantbesuche usw.
  • ein persönliches Ausgabenkonto für eigene Einkäufe
  • ein gemeinsames Fixkosten-Konto: alles, was planbar und wiederkehrend abgebucht/bezahlt werden soll: Internet- und Telefonanschluss für die Wohnung, Strom, Netflix, Amazon Prime, Hausgeld/Miete, Rundfunkbeitrag, Versicherung usw.
  • Ein eigenes Konto für Verkäufe: bei ebay Kleinanzeigen die eigene Kontonummer für Überweisungen rausgeben? Lieber ein Konto, welches regulär immer null Euro Guthaben hat und auch nicht überzogen werden kann. Das dämmt dich Missbrauchsgefahr weiter ein.
  • gemeinsame und/oder persönliche Sparkonten: bei bunq wird ein solches Vorhaben auch unterstützt, indem bei jeder Ausgabe auf den nächsten vollen, zwei oder fünf Euro aufgerundet wird – und die Differenz fließt auf ein entsprechendes Sparkonto
  • gemeinsames und/oder persönliches Konto für Rücklagen: größere Auto-Reparatur? Haustier krank und OP notwendig? Hier wird vorgesorgt!

 

Eine solche Konstellation ist selbstverständlich nur eine von unzähligen Möglichkeiten, wie die vielen Konten verwendet werden können. Nebenbei ist ein vielfach empfohlenes 3-Konten-Modell damit spielerisch zum Umsetzen – und kann auch noch aufgebohrt werden.

Nachteile? Jep.

Ein Konto bei bunq hat nicht nur Vorteile. Neben den monatlichen Gebühren für das Konto ist es vor allem die niederländische IBAN, welche aus unterschiedlichen Gründen leider immer noch für einen gewissen Mehraufwand sorgt. Vorweg: diesen Nachteil sollte es eigentlich gar nicht geben, denn es handelt sich schlicht und ergreifend um die sogenannte IBAN-Diskriminierung. Da ich aber den europäischen Gedanken mit einheitlichen Zahlungsverkehr sehr schätze und fo(e)rdern möchte, habe ich fast alles auf bunq umgestellt. Nachteile beim Bezahlen mit niederländischer IBAN:

    • Manche Online-Shops / Warenwirtschaftssysteme sind nur auf deutsche bzw. numerische IBAN nach der Länderkennung ausgelegt: während diese nur vorne die zwei Buchstaben DE für Deutschland haben, folgen danach nur Ziffern. In den Niederlanden sind jedoch auch Buchstaben erlaubt: NL92 BUNQ […]. Das ist nach Ansicht der Bundesanstalt für
      Finanzdienstleistungsaufsicht (kurz BaFin) rechtlich nicht zulässig, aber trotzdem immer noch weit verbreitet.

      […] vielen Dank für Ihre Bestellung, leider können wir ausländische Lastschriftdaten nicht verarbeiten. Bitte überweisen Sie die Rechnung auf unser nachstehendes Konto. […]

 

Mobile First

Wie N26 ist auch bunq vollständig nach dem Mobile First Prinzip ausgerichtet: zuerst die App für’s Smartphone, dann kommt Desktop. Im Gegensatz zu den Berlinern gibt es aber aus den Niederlanden auch eine geniale App für’s Tablet, welche der Smartphone-App in nichts nachsteht. Die Desktop-Version von bunq, welche in der zweiten Jahreshälfte 2019 veröffentlicht wurde, ist noch extrem rudimentär und aus meiner Sicht noch ein Nachteil, wenn man gerne am Rechner diverse Sachen erledigen möchte.

Der große Vorteil dieser Ausrichtung: die App funktioniert sagenhaft. Das Smartphone & Tablet sind Teil des Sicherheitskonzeptes, was die notwendigen Bestätigungen reduziert. Usability und UX: ganz großes Kino. Aufgrund der schnellen Verfügbarkeit von Kontostand und Ausgaben, Überweisungen und Sparzielen ist das Bezahlen mit Karte angenehmer und übersichtlicher als ein Geldbeutel voll mit Bargeld (und nein, Bargeld gehört deswegen nicht abgeschafft, sondern ist Teil einer offenen, liberalen und demokratischen Gesellschaft).

Sicherheit

Bereits eben kurz angerissen, spielt auch das Thema Sicherheit bei den eigenen Finanzen immer eine Rolle. Kurzfassung: ich fühle mich mit den einzelnen Konten sicherer und mein Geld besser aufgehoben als alles, was ich zuvor hatte. Die Gründe:

  • eine physische oder virtuelle Maestro oder Mastercard wird einem Konto zugewiesen, auf dem nur so viel Geld wie notwendig liegt: bei Scamming am Bargeldautomaten wird so der Schaden drastisch eingeschränkt.
  • größere Rücklagen (empfohlen werden ja mindestens drei Netto-Monatsgehälter) liegen auf einem eigenen Rücklagen-Konto
  • alle Einlagen sind bis 100.000 Euro von der niederländischen Zentralbank abgesichert (gleich wie im deutschen Bankenwesen)
  • Lastschrift-Freigabe: das Geld wird nicht wie üblich einfach nur abgebucht und kann – im Falle eines Missbrauchs – bis zu sechs Wochen noch wieder zurück geholt werden, sondern eine Zahlung wird vorab freigegeben. Für wiederkehrende Zahlungen kann auch eine Whitelist angelegt werden.
  • Push-Mitteilungen über alle relevanten Vorgänge

Karten

bunq bietet den Kunden eine Auswahl an Karten zum Bestellen an:

  • Maestro: für den europäischen Zahlungsverkehr geeignet, in Deutschland höhere Akzeptanz als Mastercard (geht also oft auch an Verkaufsstellen, die „keine Kreditkarten akzeptieren“)
  • Mastercard (Debit): gibt sich als Debit-Karte aus, zum Bezahlen ebenso geeignet
  • Mastercard (Credit): gibt sich als Kreditkarte aus (wichtig noch z. B. bei Autovermietungen, Hotels u. Ä.)
  • Online-Karten: virtuelle Kreditkarten mit auf Wunsch wechselnden CVC Sicherheitscode

Bis zu drei physische (frei wählbar welche) und fünf Online-Karten können ohne zusätzliche Kosten geordert werden. Eine „Wegwerf-Kreditkarte“ für Online-Shopping ist damit genauso möglich wie zwei verschiedene Karten inkl. Apple Pay (z. B. für Gemeinschafts- und persönlichem Konto). Pro Karte kann ein Haupt- und Zweitkonto hinterlegt werden und diese mittels zwei verschiedener PIN verwenden. Die Möglichkeiten sind also auch hier wieder sehr vielfältig.

Beste Features

Vielleicht schreibe ich noch einzelne Blogbeiträge oder ergänze diesen hier, welche auf einzelne Features näher eingeht. Damit die Vorteile aber jetzt erst mal nicht unerwähnt bleiben, hier noch weitere Funktionen, die ich nicht mehr missen möchte:

  • Fotos, PDF und Notizen zu Transaktionen: alles kann zu einer Transaktion hinzugefügt werden. Die Bilder – z. B. Fotos vom Kassenbon – sind auf Wunsch (extra zu aktivieren, da externer Dienst von Google) durchsuchbar
  • PDF zu bunq laden, auslesen lassen und gegebenenfalls korrigieren (Auto-Erkennung Betrag, Konto, Name). Die PDF wird dann gleich mit zur Transaktion gespeichert und ist später wieder leicht aufzufinden!
  • Egal ob Karten temporär sperren, Zahlungen nur in bestimmten Ländern erlauben, PIN-Code ändern: alles in Echtzeit in der App konfigurierbar.
  • Open API: alles, was in der App gemacht werden kann, kann auch über die Schnittstelle ausgelesen oder geschrieben werden.
  • CVC ändern: unseriös anmutender Online-Shop? Sicherheitscode der Kreditkarten nach der Bezahlung einfach ändern, fertig. Abos, welche über Kreditkarte bezahlt werden, brauchen den CVC nicht.

 

Kontenvergleich

FeaturesDKBN26 (Premium)bunq
Konto & Gebühren
Gebühren0,00 €9,90 €9,99 €
IBANDEDENL
Konten2*125
Spaces / Unterkontenneinjaja, mit IBAN
Gemeinschaftskontoja (eines)neinja (bis zu 25)
Bezahlen
Echtzeitüberweisung (empfangen/senden)nur empfangenneinja
girocardjaneinnein
Maestrojajaja
Mastercardneinjaja
Visajaneinnein
Bezahlen Sicherheit
Lastschrift-Freigabeneinneinja
PIN-Wechselneinjaja
Karten temporär sperrennur Kreditkartejaja
Karten beschränkennur Kreditkartejaja
Push-Benachrichtigungen Abbuchungennur Kreditkartejaja
Push-Benachrichtigungen Geldeingangneinjaja
App & Desktop
Smartphone-Appjajaja
Mobile Firstneinjaja
Tablet-Appjaneinja
Desktopja (alle Funktionen)ja (viele Funktionen)ja (eingeschränkt)
Weitere Features
Aufrunden-Sparen beim Bezahlenneinneinja
Foto(s) zu Transaktionenneinja (eines)ja (mehrere)
Fotos zu Transaktionen durchsuchbarneinneinja (auf Wunsch)
Notizen zu Transaktionenneinneinja
Tags zu Transaktionenneinjanein
Kategorisierung von Transaktionenneinjaja
Überziehung möglichjajanein
SCHUFA-Benachrichtigungjajanein

bunq-Konto eröffnen​?

Zufriedene Kunden empfehlen weiter. Bisher wurde das mit 10,- Euro auf jeder Seite belohnt. Ob dies aktuell noch der Fall ist, weiß ich gerade nicht. Falls ihr es mit mir herausfinden wollt:
bunq.com/invite/SebastianEggersberger

Empfehlenswerte Lektüre und Infos zu DKB & bunq gibt es auch bei blackwater.live

  • Kommentare deaktiviert für So geht Banking 2020 – Teil 2
  • Veröffentlicht in: Banking
Artikel

„Das Problem ist mir bereits bekannt“

Sicherheit bei Online-Produkten sind immer so eine Sache: die Absolute gibt es eben so wenig wie im realen Leben. Aber es können viele Maßnahmen ergriffen werden, um Sicherheit zu erhöhen und Gefahren zu verringern.

Kostet halt leider Zeit und Geld.

Der wahrscheinlich häufigste Grund, warum das Thema sowohl bei Unternehmen wie Privatpersonen niedriger priorisiert wird als es sollte. Wenn es dann mal kracht, ist die Überraschung groß – zumindest bei manchen. Andere haben sich eine „kann man eh nichts machen“ Mentalität zugelegt. Ole.

Wie Unternehmen reagieren sollten, wenn Sicherheitsforscher Probleme aufdecken, hat N26 gezeigt: im Gegensatz zu ihren desaströsen Maßnahmen mit Kündigung ohne Ankündigung, was dann zu ihrer Fair-Use-Policy führte, haben sie bei den aufgedeckten Schwachstellen durch den Sicherheitsforscher Vincent Haupert solide reagiert. Wer eine halbe Stunde Zeit hat, kann sich bei C3TV den gesamten Vortrag ansehen. Hierbei wird klar, dass ein paar grundlegende Design-Entscheidungen falsch getroffen wurden und bei der Sicherheit einfach geschlampt wurde. Umso erfreulicher ist es immerhin, dass sie die angesprochenen Schwachstellen zeitnah beheben konnten.

Bei anderen Seiten kann so etwas leider länger dauern. Eine kompromittierte WordPress-Seite zum Beispiel, die neben den eigentlichen Neuigkeiten auch noch Links und Weiterleitungen zu phänomenalen Gewinnspielen beinhaltet. Per E-Mail auf diese Tatsache hingewiesen, kam vom zuständigen Administrator eine freundliche Antwort mit dem Inhalt:

„Vielen Dank für die Info.
Das Problem ist mir bereits bekannt. Leider ist WordPress sehr anfällig für Angriffe.
Die Seite wird in Kürze auf ein anderes CMS umgestellt.“

Ich muss gestehen, hier war ich überrascht. Die Antwort kam vor über einer Woche, der Schadcode befindet sich noch immer aktiv auf der Seite. Wird ja bald umgestellt. Auf ein „sicheres“ CMS. Auf die neue Seite bin ich gespannt.

  • Kommentare deaktiviert für „Das Problem ist mir bereits bekannt“
  • Veröffentlicht in: Datenschutz
Artikel

So geht Banking 2016 – Teil 1

iTANs, TAN-Generatoren, kostenpflichtige Mobil-TAN, Push-TAN und weitere teils sichere, teils unsichere Verfahren haben mich die letzten Jahre beim Online-Banking begleitet. Kurzum: alles Unfug.
Zu unflexibel, zu aufwändig, zu teuer, zu unsicher, zu umständlich. Das ist das Kurz-Fazit zur deutschen Banking Welt im Jahr 2016.

Volksbanken und Raiffeisenbanken, Sparkassen und Konsorten haben die Chance verpasst, sinnvolles Online-Banking auf der (technischen und nutzerfreundlichen) Höhe der Zeit zu etablieren, das gut aussieht und einfach funktioniert.
Selbst die DKB, bei der ich eigentlich zufriedener Kunde bin, schaffte es nicht, neue Maßstäbe zu setzen. Richten muss es ein Startup, das mit dem unscheinbaren Giganten und B2B-Zahlungsdienstleister Wirecard kooperiert, um mit deren Banklizenz frischen Wind in die verstaubte Online-Banking Welt zu bringen: N26 (zuerst Number26).

Um es an dieser Stelle bereits vorwegzunehmen: nein, ich bekomme (leider) kein Geld von dem Startup, sondern schreibe diesen Beitrag aus freien Stücken. Zum einen, weil mich die Idee und die Umsetzung von N26 schlicht begeistert. Zum anderen, weil ich gerne andere Menschen überzeugen möchte, dass Online-Banking einfach sein kann.

„Ich kann dir das Geld am Wochenende überweisen, da bin ich wieder zu Hause.“ Aussage von ehemaligen Kommilitonen, wohlgemerkt dieses Jahr. Das geht einfacher – und ich versuche hier von mehreren Seiten zu beleuchten, wieso und warum.

Die Grundidee

Dreh- und Angelpunkt des N26 Kontos ist das eigene Smartphone. Also das Gerät, welches jeder heutzutage ständig bei sich hat, mit über 90% Wahrscheinlichkeit mit Android oder iOS läuft und somit für sehr sehr viele Menschen die perfekte Basis für ein sichereres und einfaches Banking bietet. Wenn das Smartphone einmal plötzlich den Dienst versagen sollte oder gegen ein neues ausgetauscht wird: es gibt natürlich ein Web-Interface, über das sich die Smartphone-Kopplung regeln lässt. Mehr dazu später bei der Darstellung des Sicherheitskonzepts.

Die Kontoeröffnung

Für eine Kontoeröffnung wird im ersten Schritt die N26 App installiert. Damit ist der erste von drei großen Schritten geschafft. N26 wirbt mit einer Kontoeröffnung in 8 Minuten. Das ist natürlich übertrieben. Ich hatte mitgestoppt – bei mir waren es 10 Minuten!
Die App fiel aber bereits bei diesem Prozess sehr positiv auf: liebevoll gestaltete Animationen, durchdachtes Design, extrem nutzerfreundliche und intuitive Benutzerführung: Hut ab, hier wurde alles richtig gemacht!

Eine Kontoeröffnung verlangt eine Identitätsprüfung. Die Bank muss wissen, dass ich der bin, der ich sage, dass ich bin. Das läuft bei anderen Banken entweder über das weit verbreitete PostIdent-Verfahren oder über die dermaßen komplizierte Authentifizierung mit dem elektronischen Personalausweis. Da letzteres gut gedacht, aber schlecht gemacht ist, pfeift N26 (völlig zu Recht) auf diese Lösung und setzt auf eine App innerhalb eigenen App. Über den Dienst IDnow wird bis 24 Uhr in der Nacht bestätigt, dass ich die im Registrierungsprozess angegebene Person bin und tatsächlich existiere. In meinem Fall telefonierte ich per Video-Chat um halb elf nachts mit einem sehr gut gelaunten Mitarbeiter, der fließend deutsch sprach und alles reibungslos abwickelte.

Fazit: nach dem Herunterladen und Starten der App hatte ich innerhalb von zehn Minuten ein neues Konto eröffnet mitsamt der dazugehörigen IBAN: ich konnte also ab jetzt bereits Überweisungen empfangen – Geld war ja natürlich noch keines drauf und einen Dispo gibt es ohne Antrag nicht. Dafür wird aber nicht mal der Datenkrake Schufa was mitgeteilt – wozu auch.

Die Master- und Maestro Card

Danach hieß es natürlich erst einmal warten, bis Geld eingetroffen ist (immerhin inzwischen nach einem Werktag) und bis die MasterCard kam. Drei Tage später im Briefkasten wird die Kreditkarte verifiziert und freigeschaltet – auch hier unterstützt die App durch eine einfache Bedienung und nutzerfreundlichem Design.

Die Maestro Card – quasi ein naher Verwandter der bekannten EC-Karte mit ähnlich hohem Akzeptanz-Grad bei den Geschäften, kann der Neukunde von N26 erst bestellen, wenn mindestens einmal 100 Euro drauf sind. Ist ein fairer Deal, wenn man die bisherigen Kosten von null Euro bedenkt und bereits eine Kreditkarte in den Händen hält.

Das Sicherheitskonzept

Wie eingangs erwähnt bin ich kein Freund der aktuell etablierten Lösungen der Bankenwelt – auch mit den neuen Secure Apps für die TAN-Generierung: zu kompliziert. Bei N26 ist die App mit dem physischen Gerät gekoppelt und mit dem Login-Passwort bzw. dem Fingerabdruck geschützt. Ebenfalls Bestandteil der Einrichtung ist das Festlegen eines sogenannten Überweisungscodes, mit dem Transaktionen nochmal geschützt werden. Dieser ist vierstellig, natürlich geheim und frei wählbar. Also keine TAN, die sich ständig ändert, sondern vergleichbar mit dem PIN für die EC-Karte.

Konto leerräumen

Das bedeutet: wer Geld über mein N26 Konto überweisen will, benötigt also mein Smartphone, die TouchID bzw. den PIN-Code für das Entsperren des Gerätes, nochmal die TouchID bzw. das Passwort zum Entsperren der App und meinen geheimen Überweisungscode. Das ist doch okay, oder?

N26 bietet neben der App für das Smartphone auch eine Website für die Desktop-Nutzung (und Tablet-Nutzung im Querformat – das wiederum ist Mist). Unter my.number26.de kann sich der N26-Nutzer also mit E-Mail Adresse und dem Passwort (welches auch für die App verwendet wird) anmelden, den Kontostand und Analysen einsehen und natürlich auch überweisen. Hierzu wird ebenfalls noch der Überweisungscode benötigt und – hier kommen wir wieder zum Sicherheitskonzept – die Freigabe der Transaktion mittels Smartphone.
Das bedeutet, dass selbst wenn die Zugangsdaten zum Online-Banking kompromittiert werden, können Angreifer lediglich den Kontostand und die Transaktionen sehen (wie bei jedem anderen Online-Banking auch), jedoch keine Überweisungen durchführen (fehlender Überweisungscode und fehlendes Smartphone zum Freigeben).

Screenshot N26 Geldabhebung

Push-Benachrichtigung über eine soeben erfolgte (kostenfreie) Abhebung an einem Geldautomaten.

Sicherheit durch sofortige Transaktionsanzeige

Egal ob Bezahlen mit der Mastercard, Maestro Card, bei Online-Bestellungen oder normale Daueraufträge: jede Transaktion (auch eine Vorab-Belastung) wird umgehend angezeigt. Kein mehrtägiges Warten, bis das Geld des letzten Restaurant-Besuchs auch wirklich in der Umsatzanzeige auftaucht, sondern eine umgehende Push-Benachrichtigung aufs Smartphone über die soeben erfolgte Abbuchung (oder Gutschrift). Das bedeutet: wenn meine Kreditkarte für eine Bezahlung verwendet wird, erfahre ich das sofort – und kann sie umgehend sperren, wenn die Transaktion nicht ich ausgelöst habe.

Screenshot N26 Karteneinstellungen

Kreditkarte vermeintlich verloren? Einfach sperren! Wieder gefunden? Wieder entsperren und weiter nutzen!

Fortsetzung folgt im Teil 2 mit einer Übersicht von Vor- und Nachteilen, Alternativen und einer Erfahrung aus einem halben Jahr N26-Nutzung.

  • Kommentare deaktiviert für So geht Banking 2016 – Teil 1
  • Veröffentlicht in: Banking
Artikel

WordPress mit FIDO U2F absichern – so geht’s (mit Update Oktober 2016)

Yubikey Neo und WordPress

WordPress kann den neu aufkeimenden Standard FIDO U2F. Was das ist? Yubico erklärt das Verfahren anschaulich auf ihrer Webseite ». Um nicht nur den eigenen Google-Account und hoffentlich bald viele weitere Dienste mit dem eigenen Sicherheitsschlüssel absichern zu können, sondern auch WordPress, braucht ihr Folgendes:

Zutatenliste

Durchführung

HILFE! Klappt nicht!

Ja, leider kann das sein. Die größten Stolperfallen:

  • Kein PHP 5.5 oder höher aktiv  (all-inkl setzt z. B. bei der Standard-WordPress-Installation PHP 5.4 ein!)
  • Du hast die PHP-U2F-Library nicht mit in das Plugin kopiert
  • Du verwendest nicht den Chrome Browser (keine Sorge: Mozilla Firefox will bald nachziehen und Microsoft ist ebenfalls in der FIDO-Allianz; die Zukunft wird’s richten)

Und was, wenn ich den sicherheitsschlüssel verliere?

Das U2F Plugin für WordPress ist – abgesehen von der eher komplizierten Installation – eigentlich richtig mächtig: wenn du dein Sicherheitsschlüssel gerade nicht zur Hand hast, kannst du die integrierte Rückfall-Lösung verwenden: du bekommst einen kurzen Schlüssel bestehend aus Buchstaben und Zahlen an die in deinem WordPress-Account hinterlegte E-Mail Adresse zugesendet. E-Mail öffnen, Code rauskopieren, bei der 2FA-Anmeldung eingeben und WordPress normal nutzen wie zuvor!

2FA auch für Benutzer ohne Sicherheitsschlüssel

Einen weiteren Vor- oder auch Nachteil (Bequemlichkeit!) bringt das U2F-Plugin dadurch ebenfalls mit: alle Benutzer, egal ob mit oder ohne registrierten Sicherheitsschlüssel, benötigen bei aktivem Plugin eine Zwei-Faktor-Authentifizierung. Für die ohne Schlüssel heißt das: Mails checken. Eine einfache aber effektive Möglichkeit, unerlaubte Logins in den eigenen WordPress Account abzuwehren.


Update 30. Oktober 2016: Plugin Two-Factor

Ein Plugin, das es eigentlich schon vor geraumer Zeit (zu Recht) in den WordPress-Core schaffen sollte, hört auf den schlichten aber eingängigen Namen Two-Factor.

Das 2FA-Plugin wird noch als dev-Version ausgegeben, funktioniert aber bei meinen WordPress-Installationen absolut reibungslos und ist richtig fein konzipiert: statt nur einen zweiten Faktor einzurichten, kann jeder Nutzer nach persönlicher Vorliebe seine eine oder mehrere 2FA-Lösung verwenden. Sinnvollerweise nisten sich die Möglichkeiten zur Einrichtung da ein, wo sie hingehören: in das persönliche Profil unter das Passwort. Das Plugin erlaubt auch – vorausgesetzt, es wird entsprechend eingestellt – den einfachen Wechsel des zweiten Faktors, sollte der Yubikey grad nicht am Mann sein.

Fazit aus mehreren Wochen Einsatz: so gehört ein Sicherheitsplugin aus Usability-Sicht! Einfach zu bedienen, unaufdringlich und sauber. Bitte weiter so!

Artikel

Erweiterter Passwortschutz: Datenschutz Teil II

Im ersten Teil der Serie ging es darum, wie andere Seiten beim einfachen Surfen Informationen über uns und unsere Gewohnheiten sammeln. Hier geht es um etwas viel tiefgreiferenderes: die eigene Online-Identität. Denn die ist voll mit Daten: den persönlichen E-Mails, vertraulichen Facebook-Nachrichten, dem eigenen Adressbuch, teils sogar den persönlichen Suchverlauf bei Google. Alles Inhalte, die fremde Personen nun wahrlich nichts angehen.

Es ist so schön einfach: du hast ein langes, (vermeintlich) sicheres Passwort. Mit Zahlen. Und Großbuchstaben. Und Sonderzeichen! Und du kannst es dir merken. Denn du brauchst es überall: Bei Facebook. Bei Twitter. Beim Bezahlen via PayPal. Und natürlich für deinen Google Account. Und eine eigene Website hast du inzwischen auch. Da nimmst du es natürlich auch her. Ist so ja so schön lang und sicher.

Und ich sage: am Arsch. Du weißt nicht, wie der billig programmierte Dienst von nebenan dein super langes und sicheres Passwort speichert. Du gibst es bei Online-Diensten ein, die ihren Login nicht über TLS (http:// statt https://) verschlüsseln und somit kann jeder, der sich im gleichen Netzwerk befindet, deine Anmeldeinformationen mitlesen. Und du weißt auch nicht, ob dir beim letzten Eintippen nicht vielleicht doch jemand ganz genau auf die Finger geschaut hat. Oder einen Keylogger auf seinem PC mitlaufen lässt, auf dem du dich „mal eben kurz“ anmeldest.

Die schlechte Nachricht: du solltest dir unbedingt einen Passwort-Tresor zulegen. Und für jeden Dienst im Web ein eigenes Passwort verwenden. Und ja, das ist umständlicher als dein einzelnes Standard-Passwort. Unbequemer. Aufwändiger. Aber es schützt vor Viagra-Werbung auf der Seite und einem plötzlich geleertem Bankkonto.

2FA und U2F

Die gute Nachricht: du kannst dein super Passwort behalten. Zumindest bei Diensten, die dir eine Zwei-Faktor-Authentifizierung anbieten. 2FA kurz erklärt: du hast einen Benutzernamen und ein Passwort, brauchst aber neben diesen Authentifizierungsdaten noch eine zweite Instanz, die dich autorisiert. Das kann ein PIN-Code sein, der an dein Handy geschickt wird, das kann eine TAN sein, wie man es vom Online-Banking kennt. Es kann aber auch ein Sicherheitsschlüssel sein. Letzteres ist Hardware und kostet Geld. In der Top-Ausstattung und mit allen fancy Funktionen um die 50-60 Euro. Einmalig. Für einige Dienste ist er bereits nutzbar und viele weitere Folgen hoffentlich in Zukunft. Denn es gibt endlich einen Standard, auf den sich die großen Unternehmen im Markt verständigt haben: Intel, Lenovo, Microsoft, PayPal, RSA, Visa, Samsung, um nur einige wenige zu nennen.

Richtig Schwung in die Sache hat aber der Online-Gigant Google gebracht: dieser bietet seit Mai 2015 die sogenannte U2F (Universal 2. Factor) Authentifizierung an, um den eigenen Google-Account abzusichern. Kein Warten auf eine Bestätigungs-SMS inklusive Abtippen, sondern einloggen, Sicherheitsschlüssel schnell in den USB-Port, einmal drauf tippen, fertig.

Also selbst wenn jemand eure Zugangsdaten rausfindet: der unerwünschte Eindringling benötigt dann immer noch die zweite Authentifizierungs-Stufe – und die hängt im Idealfall an eurem Schlüsselbund und somit nicht in Reichweite von dem Übeltäter.

Schwachstelle: aktuelle Verbreitung

Der Standard ist geschaffen, aber noch längst nicht etabliert. PayPal lässt leider noch auf sich warten (bieten aber bereits 2FA via SMS und ihren proprietären TOTP-Schlüssel), Microsoft will FIDO 2.0 in Windows 10 integrieren und bei den hiesigen Banken sieht es noch richtig mau aus. Den eigenen Google-Account aber mit einer Zwei-Faktor-Authentifizierung abzusichern ist bei der Vielzahl an Diensten goldwert. Und wer WordPress nutzt, sollte sich ebenfalls mal mit dem genialen Plugin 2FA beschäftigen.

Weiterführende Informationen

  • Kommentare deaktiviert für Erweiterter Passwortschutz: Datenschutz Teil II
  • Veröffentlicht in: Datenschutz
Artikel

Keine neue Vorratsdatenspeicherung!

Kurz notiert: eigentlich wollte ich einen schönen Artikel zum Thema Vorratsdatenspeicherung (kurz VDS) veröffentlichen, aber mit diesem Kommentar von Judith Horchert auf Spiegel Online ist eigentlich alles gesagt: » „Lassen Sie sich nicht für dumm abspeichern!“

Also bitte liebe Politik: einfach mal in die Richtung nichts tun und die eigene Zeit und Aufmerksamkeit den viel wichtigeren Themen widmen. Danke.

P.S.: eigentlich sollte das Ganze gar nicht Vorratsdatenspeicherung heißen – „Kommunikations-Überwachung“ trifft es doch viel besser. Versehen mit dem Spruch: „Wir speichern, wann Ihr mit wem wo und wie kommuniziert. Immer.“ Na das klingt doch verlockend.

P.P.S: » Kopfschütteln… (unbedingt das Protokoll lesen. Macht Angst.)

  • Kommentare deaktiviert für Keine neue Vorratsdatenspeicherung!
  • Veröffentlicht in: Datenschutz, Grant
Artikel

Seite ist jetzt (fast) Google-frei: Datenschutz Teil I

Noch ist nicht viel los auf diesem Webauftritt – ändert sich bestimmt mal, wenn ich groß bin. Doch bis dahin kommen trotzdem schon paar Besucher – das erfuhr ich bisher immer aus Google Analytics. Ihr wisst schon, dieses schöne Stasi-Modul vom Internet-Riesen. Ich will an dieser Stelle den Laden aber gar nicht verteufeln – was Google macht, ist für ein gewinnorientiertes Unternehmen nur normal und konsequent. Aber mit voller Breitseite muss man dieses Geschäft und diese Politik ja nicht unbedingt unterstützen – schon gar nicht, wenn ich persönlich nicht auf Googles Dienste wie AdWords, die tiefgehende Analytics-Funktionen oder die Google-Webfonts angewiesen bin.

Nun werde ich auch in Zukunft wissen, dass sich ein paar Besucher auf dieser Seite tummeln – Open Web Analytics wird es mir verraten. Der Dienst ist mit Sicherheit nicht so schön wie GA, jedoch bietet er einen großen Vorteil: die erhobenen Informationen werden selbst gehostet und wandern nicht zu Google in die USA. Und mich interessiert hier eigentlich eh nur, ob überhaupt jemand vorbei schaut.

Mut zu mehr Datenschutz

Was war nun der Grund und was wurde gemacht? Vor der Umstellung wurden neben den lokalen Abfragen auf sebastian-eggersberger.de auch weitere durchgeführt: zu Google Analytics, Google Webfonts und zu Youtube. Bei vielen anderen privaten wie kommerziellen Seiten horcht natürlich noch der blaue Riese Facebook mit dem Social Plugin mit; und bei den etablierten Nachrichtenseiten im deutschsprachigen Web wird zwar gerne auf die Internetriesen und ihre Gier nach persönlichen Daten eingedroschen – aber zeitgleich laufen 20 Tracker von den verschiedensten kommerziellen Diensten ohne großen Hinweis mit (natürlich, in den Datenschutzbestimmungen ist es vermutlich aufgeführt – wird auch bestimmt oft aufgerufen): Beispiel Zeit Online, Spiegel Online oder Focus Online (aber auch alle anderen sind hier nicht besser).

Die Abfragen von fonts.gstatic.com, Youtube und Co. auf meiner Seite hatten zur Folge, dass Google hier sämtliche Besucher – sofern diese die Abrufe nicht blockieren (vgl. hierzu Link- und Plugin-Empfehlung am Ende des Beitrags) – theoretisch tracken könnte. Wie sich das auf anderen Seiten für jeden selbst auswirkt, kann man mit dem Firefox-Addon Lightbeam für sich persönlich herausfinden (natürlich vorausgesetzt, er nutzt Firefox). Selbst nach einem kurzen Surfen zeigen sich schnell zwei große Zentren, die mit anderen Diensten verknüpft sind: Google und Facebook.

Screenshot Lightbeam

Das Add-On Lightbeam zeigt die Vernetzungen der verschiedenen Websites und Dienste grafisch auf

 

Google erreicht dies durch die Services Webfont, Google+, Analytics, Youtube und weitere; Facebook schafft das Tracking durch die direkte Einbindung von Like-Buttons und Fanboxen. Wie sich diese Informations-Sammlung auswirkt, kann ein jeder bei Google auch selbst nachschlagen: Einschätzung von Google zu dem Nutzer

Google Webfonts konnte ich dank der Anleitung auf coder-welten.com selbst abändern. Statt also die zwei Fonts Crimson Text und Raleway von Google zu beziehen (und somit Informationen über den Seitenabruf weiterzugeben), laden die Schriftarten nun von dem lokalen Webspace.

Nicht verteufeln, aber informieren

Grundsätzlich gilt es an dieser Stelle festzuhalten: es ist nicht das Böse per se, Werbeanbieter, andere Webdienste und Cloud-Lösungen einzusetzen – nur jede Seite sollte es bewusst und wissentlich tun. Auch eine personalisierte Werbung kann in vielen Fällen angenehmer sein als wenn mir irgendein Mist eingeblendet wird, der mich überhaupt nicht interessiert.
Aber eine solide Aufklärung darüber, was wie wo eingesetzt wird, herrscht nur in den wenigsten Fällen, wobei gerade bei diesem Thema eine Nachvollziehbarkeit über die Erhebung und Verfolgung von Tracking-Daten so wichtig wäre.

Ghostery Info - BeispielDamit wenigstens auf Seite der Otto-Normal-Verbraucher ein wenig direkte Aufklärung herrscht, gibt es das grandiose Tool Ghostery für alle gängigen moderne Browser. Dieses kleine Add-On informiert dezent an der Seite, welche zusätzlichen Tracking-Maßnahmen auf einer Webseite neben den einfachen Cookies laufen – und können auf Knopfdruck auch deaktiviert werden.

Natürlich gibt es aber eine ganze Reihe klick- und lesenswerter Links, die ich hier aufliste und kurz beschreibe:

Add-Ons und Opt-outs für Browser

  • Ghostery – das Datenschutz-Tool hilft, das eigene Surf-Verhalten zu verstehen und die Datenerhebung von Dritten zu kontrollieren
  • Lightbeam – Visualisierung der Vernetzung von Tracking-Tools, nur für den Firefox-Browser
  • Disconnect.me – Open Source und eine Mischung aus Ghostery und Lightbeam
  • Präferenzmanagement – Opt-Outs für personalisierte Online-Werbung
  • Digital Advertising Alliance – Opt-Outs für amerikanische Online-Werbedienste

Lesenswertes zu dem Thema

So, das war es jetzt auch schon fast wieder. Und warum heißt der Beitrag „Seite ist jetzt (fast) Google-frei“? Weil Google Font im WordPress-Backend noch aktiv ist. Betrifft also nur mich, die Seite ist aber halt trotzdem noch mit einer dünnen Nabelschnur mit Google verbunden. Lesenswerter Beitrag (und damit die letzte Empfehlung in dem Artikel) auf xwolf.de. Werde ich auch noch kappen. Einfach weil ich es kann ;)

  • Kommentare deaktiviert für Seite ist jetzt (fast) Google-frei: Datenschutz Teil I
  • Veröffentlicht in: Arbeit, Datenschutz
Artikel

Erfahrungen mit Flyeralarm

Schnelle Lieferung, zuverlässige Qualität, deutlich günstiger als die Druckerei um die Ecke: so kennt man Flyeralarm – eigentlich. Wir hatten Mitte Dezember aber eine andere – interessante – Erfahrung mit dem Beschwerde- und Qualitätsmanagement von Flyeralarm.de machen dürfen.

Ausgangssituation: bestellt wurde rechtzeitig und mit (eigentlich) genügend Puffer 100 knapp 15×15 cm große Karten zum Aufklappen:

  • Faltblätter, Einbruchfalz
  • Ausführung: Quadrat
  • Geschlossenes Endformat: Quadrat groß (14,8 x 14,8 cm)
  • Platzierung Falz / Nut: Falz links
  • Materialart: matt
  • Material: 300g Bilderdruck matt – genutet, offen geliefert
  • Veredelung: beidseitiger Dispersionslack matt
  • Farbigkeit: 4/4-farbig

Der Kenner würde sagen: ein Klassiker – quasi Tagesgeschäft. Die Lieferung kam mit einem Tag Verspätung an die gewünschte Adresse und wirkten auf den ersten Blick top. Beschnitt und Falz einwandfrei. Nur die Innenseiten waren farbenfroher als gewünscht: an einer markanten und an vielen weiteren Stellen waren magentafarbene Kleckser (links die Druck-PDF, rechts die eingescannte Karte):

Ungewolltes Farb-Upgrade auf dem Hochzeitskleid: die Braut hat’s am schnellsten bemerkt

Auch am rechten Rand gesellte sich mehr Farbe auf das Papier, als ursprünglich in der Druck-PDF angedacht war

 


 

Was folgt, ist ein interessantes Lehrstück, wie viel Zeit und Aufwand für ein 57,82 Euro teures Produkt investiert werden kann – und Flyeralarm schlussendlich draufzahlte.

Erklärtes Ziel: Karten schnellsmtöglich neu drucken lassen, sodass sie über Weihnachten ohne Magenta-Plus verteilt werden können. Denn die Farbkleckser waren alle identisch an der exakt gleichen Stelle und auf allen hundert Karten (bzw. noch mehr, da Flyeralarm ca. zehn Prozent Überschuss mitliefert).

Farbschwankungen und -flecken

Magenta-Verzierung auf allen Karten, Farbschwankungen einzelner Karten inklusive

 

Die Ursache (meine Vermutung): hier ist bei der Belichtung der Platten einfach was schief gegangen. Tropfen einer Flüssigkeit, Dreck oder eine andere Unachtsamkeit – und schon wird zigfach der immergleiche Fehler aufs Papier gebracht. Passiert einfach mal und kann auch mal durch die Qualitätssicherung rutschen. Aber wie starr der Reklamations-Ablauf gestaltet ist, war dann doch ein wenig ernüchternd:

Versuch einer Neubeauftragung am Donnerstag, 18. Dezember:

08:26 Uhr: erster Anruf bei der in der Rechnung angegebenen Telefonnummer: Anrufbeantworter. Das Büro ist erst ab 09:00 Uhr besetzt.

08:35 Uhr: ich werde darauf aufmerksam gemacht, dass Flyeralarm eine schöne Callback-Funktion besitzt. Formular ausgefüllt mit der Bitte, schnellstmöglich neu zu produzieren, damit das noch vor Weihnachten ankommt.

09:35 Uhr: ich frage mich gerade, ob es eine kluge Idee war, als erreichbare Uhrzeit 08:00 bis 17:00 Uhr anzugeben – vielleicht doch wieder bei der ersten Nummer anrufen? In genau diesem Moment ruft das Call-Center von Flyeralarm an. Eine nette Frau mit leicht gebrochenem Deutsch will mir erklären, wie ich das Reklamations-Formular ausfüllen kann. Kenne ich aber schon und winke ab. Immerhin bekomme ich noch die richtige und wichtige E-Mail-Adresse reklamation@flyeralarm.de. Ich fülle das Formular online aus und schicke zusätzlich per E-Mail Fotos als Beweis für die Mängel an die angegebene Adresse.

09:49 Uhr: es gibt eine Mail von info@flyeralarm.de: wir sollen 10 Belegexemplare innerhalb der nächsten 14 Tage zusenden, auf denen die Mängel gut sichtbar sind. Scheinbar wurde meine individuelle Mail nicht berücksichtigt.

10:27 Uhr: es tut sich – abgesehen von der vermutet automatisierten Mail – nichts. Ich rufe bei der Nummer an, die bei der Reklamations-Mail kam: ein freundlicher Mitarbeiter erklärt mir, dass ich 10 Belegexemplare einschicken muss. Ob meine Mails mit den Fotos ankam, kann er leider nicht sagen, ist schließlich eine andere Abteilung.

~11 Uhr: ich beschließe, wieder die Callback-Funktion zu nutzen und wünsche explizit, von der Qualitätssicherungs-Abteilung angerufen zu werden.

13:36 Uhr: Mittagessen. Flyeralarm ruft an. Das Callcenter. Ob die Mail angekommen ist, keine Ahnung. Auftrag kann erst neu gedruckt werden, wenn Belegexemplare da sind.

13:44 Uhr: Rückruf von der Qualitätssicherung: sie brauchen zwingend die Exemplare live vor Ort. Wir können neu bestellen (Express) und beim anderen dann das Geld zurückfordern. Zwecks dem Express-Zuschlag wird vermerkt, dass das verrechnet werden soll. Irgendwie, irgendwann.

14:55 Uhr: Mail an ehemaligen Kommilitonen geht raus. Vitamin B muss doch für irgendwas gut sein. Neuer Auftrag immer noch nicht in der Flyeralarm-Warteschlange.

17:04 Uhr: Er hockt in der falschen Abteilung. Customer Service Center hat die Oberhand (mehr dazu weiter unten).

 


 

Ich verwerfe die Idee einer „schnellen Neubeauftragung“. Wir gehen den offiziellen Weg von Flyeralarm, wenngleich ich mir entsprechende Anmerkungen erlaube:

Sehr geehrte Damen und Herren,

anbei wie von Ihnen gefordert die Belegexemplare für die Reklamation der Drucksache xxxxxxxxx.

Neben den Farb-Flecken, deren Ursache wir bei einer fehlerhaften Belichtung bzw. Druckplatte vermuten, sind auch starke Farbschwankungen von einzelnen Karten sehr auffällig. *

 

Lassen Sie uns bitte wissen, ob dieses Qualitäts-Niveau eine Ausnahme ist oder zu den Bedingungen der günstigen Produktionsweise gehört.

 

Auch wenn Ihre Vorgehensweise – zuerst die Belegexemplare postalisch zu bekommen und erst dann eine Neuproduktion anzustoßen – hier scheinbar streng vorgegeben ist, hätten wir uns eine kulantere und vor allem schnellere Abwicklung der Reklamation gewünscht, sodass die Lieferung wie gewünscht rechtzeitig vor Weihnachten fehlerfrei beim Kunden ankommt.

 

Mit freundlichen Grüßen,

Sebastian Eggersberger

* Anmerkung: grammatikalischer, aber nicht sinn-entstellender Fehler wurde in dem Satz hier nachträglich korrigiert.

Wenige Tage später kam eine freundliche Antwort per Post: jawohl, der Fehler liegt auf seiten von Flyeralarm, selbstverständlich können wir kostenlos nachproduzieren lassen, alternativ wird der Betrag voll rückerstattet. Geht doch. Wären halt die paar Tage Verzögerung nicht dazwischen gewesen.

 

Fazit: Eine Reklamation mit Beweis via Fotos per E-Mail reicht bei Flyeralarm nicht aus, sondern die Reklamation muss physisch vorliegen. Wer also merkt, dass das Ergebnis nicht passt, die eigene Druckvorstufe keine Schuld trifft und die Drucke zeitnah neu und einwandfrei benötigt, sollte die Reklamation anstoßen und umgehend den Auftrag neu einreichen.

Bleibt natürlich trotzdem festzuhalten: Jammern auf hohem Niveau.

  • Kommentare deaktiviert für Erfahrungen mit Flyeralarm
  • Veröffentlicht in: Grantlerino