PSD2 kurz vor Einführung: Wir werden zu Fischfutter

Der Kommentar von Jürgen Schmidt zur Einführung von PSD2 trifft den Nagel auf den Kopf:

PSD2 und Open Banking bedeutet also keineswegs, dass wir mehr Zugriffsrechte auf unsere Daten und unser Geld bekommen. Oder dass der Open-Source-Gedanke jetzt auch die Bankenwelt erreicht hätte. Open Banking bedeutet vielmehr, dass es im Finanzmarkt viele neue Player geben wird, weil die großen Finanz-Haie ihre Gewässer für hungrige Piranha-Schwärme öffnen müssen – und wir sind das Futter.

Zu ergänzen wäre vielleicht noch, dass Banken mit der Einführung von PSD2 und dem Bewerben von Banking-Apps die Zwei-Faktor-Authentifizierung (2FA) vielfach ad absurdum führen. Der Grund: Der Sicherheitsgewinn beim Online-Banking wird / wurde gerade dadurch erreicht, dass man zwei voneinander getrennte Geräte (Faktoren) benutzt, weil einer der beiden Faktoren grundsätzlich als kompromittiert angesehen werden kann.

Seit neuestem haben Banken offenbar kein Problem damit, wenn Kunden Online-Überweisungen über die Banking-App anstoßen und diese auch gleich auf demselben Gerät per TAN-App legitimieren. Mehr dazu: Wie Banken Online-Banking durch Apps unsicher machen.

Ein paar Überlegungen / Gründe, die euch zu einem Bankwechsel bewegen sollte:

• Zur Freigabe einer Online-Überweisung ist eine Banking-App Pflicht. Es besteht also »App-Zwang«.
• Massive Bewerbung von Banking-Apps und bewusste Aushebelung von 2FA.
• Euer Bankberater behauptet: Online-Banking via App sei »sicher«.
• Das chipTAN-Verfahren bzw. SmartTAN wird nicht angeboten.
• Durch die Verwendung von chipTAN | SmartTAN sollen in Zukunft Kosten entstehen.

Blutspendedienst BRK: BayLD prüft Webseite (Facebook-Tracker)

Ihr habt ja vielleicht mitbekommen, dass das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) den Blutspendedienst des Bayerisches Roten Kreuz einer Prüfung unterziehen möchte – Hintergrund ist der Facebook-Tracker, der intime Gesundheitsdaten an Facebook übermittelt haben soll.

Die Pressemitteilung zu der Thematik hält ebenfalls ein Schmankerl bereit:

„Dieser Fall zeigt, dass nicht nur die Aufsichtsbehörden Websites prüfen, sondern im Prinzip jedermann mit wenig Aufwand über den Browser testen kann, welche Tracking-Tools auf einer
Website eingebunden sind. Das Risiko, dass Nutzer auf einen Verstoß aufmerksam werden und dieses der Aufsichtsbehörde melden, ist bei Websites besonders hoch. Dessen sollten sich Website-Betreiber bewusst sein und ein besonderes Augenmerk darauflegen, dass nicht unbedarft
Tools verwendet werden, von denen sie nicht einmal wissen, wie die Daten der Nutzer erarbeitet
werden,“ sagt Thomas Kranig.

Volltreffer! Das sollte sich jeder Webseitenbetreiber vor Augen führen.

Empfehlungsecke: Google Alternativen

In der Empfehlungsecke habe ich das Thema »Google Alternativen« ergänzt. Auszug:

Wer sich gelegentlich Gedanken um seine Privatsphäre macht, der wird feststellen: Gerade Unternehmen wie Google, Microsoft und Co. zählen heute zu den größten Datensammlern. Die nachfolgenden Dienste bzw. Anbieter stellen eine datenschutzfreundliche Alternative zu Google-Diensten dar.

Werft gerne einen Blick rein! Ich habe dort längst nicht alle Alternativen genannt, sondern hauptsächlich solche, die datenschutzfreundlich und gleichzeitig nutzerfreundlich sind.

Kuketz-Blog: Aktuelle Spendeninfos Monat September 2019

Anbei die aktuellen Spendeninfos vom 02.09.2019:

• Spender mit Dauerauftrag: 466
• Monatliches Spendenaufkommen: ca. 1790,- €
• Höchste monatliche Spende mit Dauerauftrag: 42,- €
• Häufigste monatliche Spendensumme: 5,- €
• Höchste einmalige Spende im vergangenen Monat (kein Dauerauftrag): 200,- €

Bereits mit einer kleinen monatlichen Spende in Höhe von 5 € oder mehr kann der Kuketz-Blog weiter wachsen und die Spendenziele umsetzen. Es steht dir natürlich frei, ob du meine Arbeit mit einer Spende unterstützen möchtest:

Inhaber: Mike Kuketz
IBAN: DE07500310001039606000
BIC: TRODDEF1XXX
Bank: Triodos Bank

Danke an die immer größer werdende Anzahl an Unterstützern. Das macht sich ebenfalls im Fediverse bemerkbar:

• Mastodon: 3260 Follower
• Chat-Teilnehmer: ca. 365

Android App Reverse Engineering Workshop

Unter Reverse Engineering versteht man:

Die Rückgewinnung des Quellcodes oder einer vergleichbaren Beschreibung aus Maschinencode. Z. B. von einem ausführbaren Programm oder einer Programmbibliothek, etwa mit einem Disassembler (kann Teil eines Debuggers sein) oder einem Decompiler.

Wie das unter Android funktioniert beschreibt dieser Workshop, bei dem mit Tools wie jadx und Ghidra gearbeitet wird. Gerade jadx ist ein tolles Tool, da es ebenfalls einen Deobfuscator (herstellen der Quellcode-Lesbarkeit) beinhaltet.