Gastbeitrag von Andreas Itzchak Rehberg

Itzchak, auch bekannt als IzzyOnDroid, betreibt sein eigenes F-Droid Repository, bietet Schulungen und Workshops an und ist freier Autor für das ct Magazin.

Feedback und Fragen können direkt an ihn gerichtet werden. Er freut sich auch über Spenden für seine Arbeit.

Die Postbank hat ihre Ankündigung umgesetzt und das chipTAN-Verfahren abgeschaltet. »Aus Sicherheitsgründen« muss man nun also entweder deren App Postbank BestSign mit Firebase Analytics und FCM (das auf googlefreien-Geräten gar nicht funktionieren dürfte), oder aber ein Gerät von SealOne nutzen. Letzteres nistet sich im Linux-System ein und hinterlässt bei genauerem Hinsehen keinen guten Eindruck:

Wie Anwender im Ubuntu-Forum herausgefunden haben, benötigt der per USB mit dem Rechner verbundene SealOne dort einen permanent laufenden Dienst, der ständig 3 Netzwerk-Verbindungen zu irgendwelchen Dienstleistern offen hält. Zu welchem Zweck ist nicht klar – die Software ist meines Wissens nicht quelloffen, sodass man auch nicht nachschauen kann.

SealOne   6972       xx    7u  IPv4  53174      0t0  TCP 192.168.178.22:36554->185.40.104.1:80 (ESTABLISHED)    
SealOne   6972       xx    8u  IPv4  53175      0t0  TCP 192.168.178.22:39606->194.9.73.9:80 (ESTABLISHED)
SealOne   6972       xx    9u  IPv4  53176      0t0  TCP 192.168.178.22:44214->85.236.42.12:80 (ESTABLISHED)

Mit whois einmal nachgeschaut, ergab zum Zeitpunkt der Posts (1/2022):

whois 185.40.104.1         DE-SEAL-ONE-20200722 
whois 194.9.73.9           OTTO-KOELN-NET 
whois 85.236.42.12         INTERNETX-MUC2-CUSTOMER-SHARED8-NET

Gerade noch einmal nachgeschaut:

185.40.104.1: Seal One AG, Frankfurt
194.9.73.9: Andreas Otto, Bonn
85.236.42.12: InterNetX GmbH, Regensburg

Drei dauerhafte Verbindungen nur für die SealOne-Software, die mein Banking »sicherer machen« soll. Auf Nachfrage wurde mir von der Postbank-Hotline mitgeteilt, als Geschäftskunde hätte ich die Option, auf mobileTAN zu wechseln (soviel zum Thema »aus Sicherheitsgründen«) – als Privatkunde muss ich entweder die Kröte schlucken, oder die Bank wechseln (ich schiele gerade zur PSD-Bank, die nach wie vor chipTAN zu guten Konditionen anbietet).

Insbesondere das Banking beinhaltet sensible Informationen – da möchte man nicht, dass noch Dritte und Vierte mitlesen. Bei einer Banking-App ist aus meiner Sicht mehr als fraglich, ob die Einbindung von Firebase Analytics (Google) datenschutzmäßig überhaupt noch vertretbar ist. So schreibt beispielsweise Rechtsanwalt Christian Solmecke am 15.02.2022:

Nach der österreichischen hat nun auch die französische Datenschutzbehörde festgestellt, dass die Nutzung des US-Webanalyse-Dienstes Google Analytics wegen der Datenübermittlung in die USA rechtswidrig ist.

Bereits zuvor urteilten DSK und Europäischer Gerichtshof: Google Analytics ist nicht EU-datenschutzkonform. Auch Heise berichtete davon, und das LG München verurteilte am 20.01.2022 einen Webseiten-Anbieter schon für die Einbindung von Google Fonts über Google Server. In der Begründung dazu heißt es:

Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar. Das Recht auf informationelle Selbstbestimmung beinhaltet das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.

Für unsere Finanzdaten sollte das doch um so mehr gelten, oder? Dem Datenschutz-bewussten Postbank-Kunden bleibt somit wohl nur, auf elektronisches Banking (App, Browser, Finanz-Software) zu Gunsten von Telefon-Banking bzw. Filial-Besuchen zu verzichten – oder eben die Bank zu wechseln.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡