Wie Banken Online-Banking durch Apps unsicher machen

1. App-ZwangUnsicheres Online-Banking

Online-Banking auf dem Smartphone ist generell keine gute Idee. Grund dafür sind nicht zwangsläufig die Banking-Apps, sondern die Update-Politik der Smartphone-Hersteller, die irreführende Werbung der Banken und das naive Verhalten der Kunden. Das alles scheint die Banken allerdings wenig zu stören. Getreu dem Motto

Digital first – Bedenken second

werden dem treuen Kunden Banking-Apps schmackhaft gemacht und eventuelle Risiken einfach beiseite geschoben. Fakt ist: Mit den Smartphone-Apps haben sich die Banken auf eine Plattform begeben, die sie nicht kontrollieren können. Dennoch werden Banking-Apps beworben und Sicherheitsmechanismen wie die Zwei-Faktor-Authentifizierung (2FA) durch unbedachte Entscheidungen einfach ausgehebelt. Am Ende wird Online-Banking per App nicht sicherer, sondern genau das Gegenteil.

1. Problem: Androids Update-Politik

Software und auch Hardware hat Schwachstellen, die teils so gravierend sind, dass Angreifer die komplette Kontrolle über ein System übernehmen können. Es ist daher essenziell, verfügbare (System-)Updates zeitnah einzuspielen, um das Risiko für Daten und die digitale Identität möglichst gering zu halten. Soweit die Theorie. In der Praxis sieht die Welt wieder ganz anders aus – insbesondere die Android-Welt.

Die meisten Android-Geräte werden nämlich im Hinblick auf Sicherheitsupdates von vielen Herstellern meist nur stiefmütterlich behandelt und irgendwann sogar komplett verstoßen. Damit entsteht zwangsläufig ein »Vakuum« in der Android-Welt, das viele oder die meisten Geräte anfällig für kritische Sicherheitslücken macht. Über solche Schwachstellen sind Angreifer unter anderem in der Lage, die Kontrolle über das Gerät zu erlangen, den Nutzer auszuspionieren oder unbemerkt Daten abfließen zu lassen. Die Entdeckung einer kritischen Schwachstelle würde bereits genügen, um auf einen Schlag Millionen von Geräten verwundbar zu machen. Solche schwerwiegenden Schwachstellen sind nicht gerade selten, sondern treten in regelmäßigen Abständen auf. Allein im Jahr 2018 wurden 611 Schwachstellen in Android identifiziert – im Jahr 2017 sogar 842.

Ihr könnt selbst einmal prüfen, welchen Sicherheitspatch-Level euer Android-Gerät hat. Öffnet dazu »System« -> »Über das Telefon« und scrollt zur Zeile Stand der Sicherheitsupdates:

Sicherheitspatch-Level

Bei den meisten Geräten steht dort irgendein Datum aus dem Jahr 2018. Bei neueren Geräten kommt man mit Glück auf einen Sicherheitsstand von April oder Mai 2019. Doch das reicht nicht aus – jedenfalls dann nicht, wenn ihr sensible Daten auf dem Smartphone verarbeiten wollt bzw. Online-Banking via Apps einsetzt. Gerade im Juli 2019 hat Google wieder kritische Schwachstellen im Media Framework geschlossen, die so gravierend sind, dass ein Angreifer aus der Ferne die Kontrolle über das Gerät übernehmen könnte.

Bekannte Schwachstellen werden von Google jeden Monat geschlossen – das Problem liegt woanders: Die (Sicherheits-)Updates kommen bei den meisten Geräten entweder gar nicht oder verspätet an. Vor diesem Hintergrund ist es grob fahrlässig Banking-Apps zu nutzen – egal in welch schillernden Farben die Banken ihre Apps darstellen. Die meisten Android-Smartphones in freier Wildbahn sind eine wandelnde Zeitbombe mit schwerwiegenden Sicherheitslücken.

Apple-Nutzer haben hier einen Vorteil: Ihre Geräte werden meist über vier Jahre von Apple mit (Sicherheits-)Updates versorgt. Sofern diese zeitnah eingespielt werden, ist das Risiko gegenüber einem veralteten Android-Gerät deutlich geringer.

2. Problem: Wegfall der 2FA | Irreführende Werbung

Zu behaupten, Online-Banking wäre vor der Einführung von Banking-Apps sicherer gewesen, ist Quatsch. Online-Banking war per se noch nie sicher bzw. unsicher. Entscheidend ist vielmehr das verwendete TAN-Verfahren, um die Online-Überweisung zu legitimieren. Zu einem der sichersten Verfahren zählt chipTAN, bei dem die EC-Karte (Bankkarte) in einen externen TAN-Generator gesteckt wird, der anschließend eine TAN generiert, die nur wenige Minuten für den aktuellen Auftrag gültig ist. Nach meiner Auffassung ist damit ein »sicheres« Online-Banking möglich – dabei spielt es keine Rolle, ob der Überweisungsvorgang über eine Banking-App oder am heimischen PC angestoßen wird.

Hinweis

Im Beitrag »Online-Banking: Aber sicher – Das chipTAN-Verfahren« wird ausführlich erläutert wie das chipTAN-Verfahren funktioniert.

Neben dem chipTAN-Verfahren existieren noch weitere TAN-Verfahren, von denen einige im Rahmen der überarbeiteten Zahlungsdiensterichtlinie (PSD2) ab September 2019 nicht mehr verwendet werden dürfen. Weiterhin zulässig ist allerdings die Online-Überweisung über eine Banking-App, die entweder selbst oder durch eine zusätzliche TAN-App die Überweisung legitimiert – und zwar auf demselben Gerät. Dadurch wird das Prinzip der Zwei-Faktor-Authentifizierung (2FA) gefährlich abgeschwächt, bei der der Sicherheitsgewinn ja gerade dadurch erreicht wird, dass man zwei voneinander getrennte Geräte (Faktoren) benutzt, weil einer der beiden Faktoren grundsätzlich als kompromittiert angesehen werden kann. Dieses Dilemma dürfte den Banken bzw. Verantwortlichen durchaus bewusst sein und dennoch wird eben genau mit dieser Variante geworben.

Bei der BBBank wird die Verwendung von zwei Apps für das Online-Banking als Vorteil dargestellt:

Gleichzeitige Verwendung der TAN-App „SecureGo“ und der BBBank-Banking-App auf einem Smartphone oder Tablet möglich

Auch die Sparkasse hat offenbar kein Problem damit, wenn Kunden Online-Überweisungen über die Banking-App anstoßen und diese auch gleich auf demselben Gerät per TAN-App legitimieren:

Mit unseren Mobile-Banking-Apps haben Sie Ihre Konten auch unterwegs stets im Griff. Über Ihr Mobiltelefon fragen Sie bequem und sicher Ihre Kontoumsätze ab, überweisen Geld oder bezahlen Rechnungen. Alles, was Sie benötigen ist ein Smartphone und die App „Sparkasse“.

Die comdirect-Bank ermöglicht ebenfalls die Überweisung über ein Gerät:

Wie beim Online‐Banking werden beim Mobile‐Banking Überweisungen in der Regel mit einer einmaligen TAN gesichert. Überweisungen bis 25 EUR und bis zu 100 EUR pro Tag sind häufig TAN‐frei. Meist stehen Ihnen verschiedene TAN‐Verfahren für mobile Überweisungen zur Verfügung:

  • mobileTAN: Ist das mTAN‐Verfahren aktiviert, kann aus der Banking‐App heraus eine mTAN angefordert werden. Diese wird dann direkt per SMS an die hinterlegte Rufnummer versendet.
  • photoTAN: Hierbei handelt es sich um eine App2App‐Lösung. Voraussetzung ist, dass Sie eine mit Ihrer Banking‐App kompatible photoTAN‐App auf Ihrem Smartphone installieren und einrichten. Aus der Banking‐App heraus wird bei Überweisungen die photoTAN‐App gestartet. Hier können Sie die angezeigten Überweisungsdaten überprüfen und die Transaktion freigeben. Wenn Sie den Überweisungsauftrag bestätigen, wird die TAN aus der photoTAN‐App automatisch in Ihre Banking‐App übertragen.

Tipp: App2App‐Lösungen sind besonders unkompliziert und sicher.

Auch hier wird der Vorteil von 2FA vollständig ausgehebelt. Sowohl die Überweisung als auch die Legitimierung der Überweisung erfolgt über ein Gerät. Interessant ist allerdings, dass die comdirect in den AGB folgende Sorgfaltspflicht (Allgemeine Regelungen, Seite 9, 7.2) formuliert hat:

Beim mobileTAN­ Verfahren darf das Gerät, mit dem die TANs empfangen werden (z. B. Mobiltelefon), nicht gleichzeitig für das Online­ Banking genutzt werden

Bei der Nutzung von photoTAN hat der Kunde diese Sorgfaltspflicht offenbar nicht – obwohl auch hier das Online-Banking und der Empfang der TAN über ein Gerät erfolgt.

Bei den anderen Banken sieht es vermutlich ganz ähnlich aus – jedenfalls zeigen das weitere Stichproben bei der DKB, ING-DiBa, Hypovereinsbank, Deutsche Bank etc. Sie alle bewerben bzw. tolerieren die Online-Überweisung über eine Banking-App nebst TAN-App auf EINEM Gerät.

Halten wir also fest: Die meisten Smartphone-Nutzer (Android) benutzen Geräte, die einen veralteten Sicherheitspatch-Level aufweisen und dadurch potenziell für eine Vielzahl von (kritischen) Sicherheitslücken anfällig sind. Anstatt den Kunden adäquate TAN-Verfahren (chipTAN) anzubieten, die dieses Dilemma adressieren, wird die Unsicherheit von Banken noch weiter befeuert, indem nun auch noch die 2FA unter den Tisch fällt.

3. Problem: Verhalten der Kunden

Ganz allein die Schuld bei den Banken zu suchen ist allerdings zu kurzsichtig. Letztendlich wird der Kunde nicht gezwungen, seine Bank-Geschäfte per Smartphone-App zu erledigen. Soweit sind wir noch nicht. Kritische Kunden dürften sich zweimal überlegen, ob es eine gute Idee ist, wenn sowohl Banking-App als auch TAN-App auf ein und demselben Gerät installiert sind. Die PIN für die EC-Karte schreibt sich der Normalsterbliche ja auch nicht per Edding auf die Karte.

Aus reiner Bequemlichkeit werden die Nutzerzahlen in den kommenden Monaten und Jahren vermutlich allerdings stark ansteigen – das wird so lange gut gehen, bis sich die Betrugsfälle häufen und Banken das Haftungsrisiko nicht mehr tragen wollen. Oder es kommt ganz anders und Banken ziehen schon in den kommenden Monaten die Reißleine. Im Rahmen der Zahlungsdiensterichtlinie (PSD2) überarbeiten Banken nämlich gerade ihre AGB – als Kunde darf man gespannt sein, ob das Banking bzw. die Legitimierung von Überweisungen über ein Gerät dann eingeschränkt bzw. vollständig ausgeschlossen wird. Diese Rückwärtsrolle wäre zwar zu begrüßen, allerdings ist diese dem Kunden schwer zu vermitteln.

Aufgeklärte Nutzer können sich diesen Ärger von vornherein sparen, indem sie auf Online-Banking via Smartphone entweder vollständig verzichten oder dieses zumindest mit einem TAN-Verfahren wie chipTAN kombinieren – ausgewählte Banken bieten das nämlich an.

4. Weitere Probleme

Unterstütze den Blog mit einem Dauerauftrag!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

4.1 Tracking in Mobile-Banking-Apps

Banking-Apps verarbeiten sensible Informationen ihrer Kunden. In diesem Rahmen halte ich die Integration von Trackern, die das Nutzerverhalten innerhalb einer App analysieren, für vollkommen unangebracht. Leider beinhaltet fast jede Banking-App einen oder mehrere Tracker:

Apps, die sensible Daten verarbeiten, sollten die höchsten Anforderungen und (Nutzer-)Ansprüche an Datenschutz und Sicherheit erfüllen. Dazu zählt auch auf User-Tracking zu verzichten.

Hinweis

Wenn Exodus Privacy Tracking-Code innerhalb einer App identifiziert, dann bedeutet das nicht zwangsläufig, dass der Tracker auch aktiv ist. Mit Exodus Privacy können wir also nur sagen: Ja, entsprechender Tracking-Code bzw. der Tracker ist vorhanden. Ob dieser allerdings aktiv trackt, darüber lässt sich mit Exodus Privacy keine Aussage treffen – dazu muss die App manuell geprüft werden.

4.2 Sicherheitsprobleme der Banking-Apps

Die oben genannten Gründe sollten im Prinzip schon ausreichen, um Bankgeschäfte via Smartphone kritisch zu sehen. Ergänzend kommt allerdings noch hinzu, dass Banking-Apps nicht nur aus Datenschutzsicht kritisch zu bewerten sind, sondern sich auch hinsichtlich der Sicherheit grobe Patzer geleistet haben, mit denen sich bspw. eine Überweisung beliebig manipulieren lässt:

Die Schwachstellen dürften mittlerweile geschlossen sein – allerdings dürften auch neue hinzugekommen sein. Trotz dieser fragwürdigen Umstände halten Banken weiterhin daran fest, ihre Banking-Apps zu bewerben und ihren Kunden schmackhaft zu machen. Der Grund: Viele Banken fürchten vermutlich, dass sie Kunden verlieren, wenn sie auf bequeme Lösungen verzichten, die Sicherheitsmechanismen wie 2FA völlig aushebeln. Diesen Trend, der Bequemlichkeit über Sicherheit stellt, haben wir insbesondere digitalen Finanzunternehmen, sog. FinTechs (N26 und Co.), zu verdanken.

4.3 Android: Arbeitsverweigerung auf gerooteten Geräten

Einige Apps prüfen vor dem Start, ob das Android-System gerootet ist und verweigern anschließend den Dienst. Insbesondere Banking-Apps haben solche Root-Erkennungsmechanismen integriert, da viele Banken gerootete Android-Geräte pauschal als »sicherheitskritisch« einstufen. Leider ist das zu kurzsichtig und wird den individuellen Rahmenbedingungen nicht gerecht.

Vielmehr ist das Vorgehen der Banken paradox. Einerseits stufen sie gerootete Geräte per se als Sicherheitsproblem ein, prüfen allerdings nicht, welchen Sicherheitspatch-Level die Geräte haben. Streng genommen gilt:

  • Gerootete Geräte können ein Sicherheitsproblem für Banken bzw. den Nutzer darstellen
  • Geräte, die keine aktuellen Sicherheitsupdates installiert haben, stellen ein Sicherheitsproblem für Banken bzw. den Nutzer dar

Das Vorgehen der Banken ist demnach nicht nur kurzsichtig, sondern auch inkonsequent und sogar fahrlässig. Würde eine Banking-App den Betrieb auf Android-Geräten verweigern, die keine aktuellen Sicherheitsupdates installiert haben, so wären die Apps vermutlich auf über 95% der Geräte nicht mehr lauffähig.

5. Fazit

Machen wir uns nichts vor: Ein Bankangestellter, der behauptet, Online-Banking via App sei sicher, ist über die möglichen Risiken entweder nicht informiert oder lügt dem Kunden direkt ins Gesicht. Um nämlich beurteilen zu können, ob das Online-Banking per Smartphone »sicher« ist, müsste der Angestellte zunächst eine ganze Reihe von Faktoren abfragen und bewerten. Ehrlicherweise müsste er bspw. Kunden mit Android-Gerät in einem Beratungsgespräch direkt darauf hinweisen, dass sein Gerät für die Verarbeitung sensibler Bankvorgänge eher ungeeignet ist. Diese Ehrlichkeit sollten Kunden von ihre Banken allerdings besser nicht erwarten.

Was also tun? Aktuell würde ich persönlich entweder vollständig auf Online-Banking via Smartphone verzichten oder dieses zumindest mit einem TAN-Verfahren wie chipTAN kombinieren, mit dem sich das Betrugsrisiko stark reduzieren lässt.

Bildquellen:

Online payment: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

42 Ergänzungen zu “Wie Banken Online-Banking durch Apps unsicher machen”

  1. Comment Avatar Cruiz sagt:

    Hallo Mike,

    deine Kritikpunkte treffen natürlich alle zu. Der Haken ist aber meiner Meinung nach, dass du ein idealisiertes Bild von der Alternative hast. Denn die lautet Online-Banking am heimischen PC. Ich bin mir sehr sicher, dass du eine perfekte Konfiguration mit einem sehr sicheren System hast. Für dich wäre eine App natürlich ein Abstieg und deshalb würdest du das natürlich auch nicht machen. Das dürfte für die meisten Leser hier im Blog zutreffen.

    Wenn man sich aber mal jenseits der Tech-Szene umschaut ergibt sich da ein ganz anderes Bild. Uralte Geräte mit noch älteren Betriebssystemversionen. Windows XP ist zwar fast weg aber Windows 7 immer noch massiv verbreitet und das ist nur noch halbherzig unterstützt. Sofern der Anwender überhaupt regelmäßig Updates macht. Apple-Anwender arbeiten teilweise auch mit erschreckend alten Versionen – ein Blick in jedes Supportforum ist ein Blick in den Abgrund. Hinzu kommen oft veraltete Browserversionen, „Virenscanner“ die grundlegende Mechanismen aushebeln und Schadprogramme, die vorhandene Schadprogramme, von denen der Anwender ahnt dass sie da sind aber nichts dagegen tun kann/will.

    Aus Sicht der Banken ist eine App dagegen ein Fortschritt. Zumal knapp 1/4 der Kunden ein halbwegs sicheres Apple-Gerät hat und bei Android auch nicht alle Smartphones ohne Updates erscheinen.

    Beim Tracking müsste man zudem vergleichen ob man ggü. den Banken-Homepage eigentlich einen Rückschritt macht.

    Viele Grüße

    • Comment Avatar Mike Kuketz sagt:

      Das siehst du falsch. Ich lehne Mobile-Banking nicht grundsätzlich ab. So wie es allerdings aktuell angeboten wird, hat das mit Sicherheit wenig zu tun.

      Es gibt durchaus eine Möglichkeit Mobile-Banking per App »sicher« zu betreiben. Das funktioniert allerdings nicht durch die Aushebelung der 2FA, indem die Überweisung und auch Legitimierung über ein und dasselbe Gerät (per App) erfolgt. Wie bereits auch im Beitrag erwähnt wäre eine Kombination aus Banking-App + chipTAN-Verfahren durchaus akzeptabel – wenn es denn unbedingt Mobile-Banking sein muss.

      • Comment Avatar Florian sagt:

        Hi Mike,

        deine Kritik, dass die Aushebelung von 2FA durch die Verwendung von nur einem Gerät zu einem geringeren Sicherheitsniveau führt ist absolut berechtigt. Leider führt aber genau die Bequemlichtkeit der Nutzer dazu, dass die Nachfrage nach einfacheren Authentifizierungsverfahren mit geringerem Sicherheitsniveau zu der von dir beschriebenen Situation.

        Ein Beispiel: Die Commerzbank bietet neben ihrer App2App-Lösung auch das PhotoTAN Gerät an. Damit ist mobile Banking mit „richtigem“ 2FA mit 2 Geräten möglich. Trotzdem sind nur ein ganz geringer Teil der Kunden bereit etwa 20 € in zusätzliche Sicherheit zu investieren.

        Ich denke deshalb, dass nicht nur die Banken an der unzufriedenstellenden Situation Schuld sind.

    • Comment Avatar Danilo sagt:

      […] aber Windows 7 immer noch massiv verbreitet und das ist nur noch halbherzig unterstützt.[…]

      Das stimmt so definitiv nicht! Als EOL (End of Life) ist für Win7 der 14. Jan. 2020 genannt. Und selbst dann wird Win7 noch nicht sterben, weil es Wege geben wird, fortan an Sicherheitsupdates zu kommen. Nicht zuletzt ist ein „sauberes“ Win7 aus Sicht eines Otto-Normalverbrauchers um Welten besser als alle seine Nachfolger (8 und 10). Beherzigt ein Otto-Normalverbraucher Mike´s Tipps, kann er über ein „altes“ aber trotzdem sicherheits-patch-gepflegtes Win7 (bspw. gepaart mit einem chipTAN-Generator) risikominimiert sein Online-Banking praktizieren.

  2. Comment Avatar Eternal sagt:

    Danke für den Artikel!
    Ich arbeite selbst in der Entwicklung von Banking-Apps und der Artikel erklärt wunderbar einige der imho wichtigsten Probleme des ‚Ökosystems‘.
    Zusätzlich lässt sich allerdings auch der Trend in Richtung Fingerprinting und Biometrie (auch im Rahmen der PSD2) kritisch betrachten, auf den hier nicht weiter eingegangen wird.

  3. Comment Avatar Jo sagt:

    Hallo Mike,
    Du empfiehlt Onlinebanking nicht über die zu App erledigen, da damit die 2FA ausgehebelt wird. Jedoch lassen sich die Bankgeschäfte auch über den Browser am Smartphone ausführen, womit ja auch die 2FA ausgehebelt wird…

    • Comment Avatar Mike Kuketz sagt:

      Überfall dort wo nicht zwei voneinander getrennte Geräte bzw. Faktoren benutzt werden, wird die 2FA ausgehebelt.

      • Comment Avatar Jo sagt:

        Ja aber so gesehen bleibt es doch egal, ob ich die App verwende oder nicht, sofern ein Angreifer Zugriff auf mein Smartphone und Banking bekommt?

        • Comment Avatar Mike Kuketz sagt:

          Sofern du Banking über nur ein Gerät bzw. Faktor durchführst / legitimirst ist das ein unnötiges Risiko.

          • Comment Avatar Martin sagt:

            Hallo,
            ich verstehe den Einwand der 2FA Aushebelung nicht. Das einzige relevante Szenario in dem dies ein zusätzliches Risiko erzeugt ist doch, wenn das Smartphone/der zweite Faktor ungesichert! (kein PIN Code, Face ID gesetzt, remote wipe nicht möglich) abhanden kommt und vom Angreifer genauso genutzt werden kann wie vom Nutzer selbst. In dem Fall kann ein Angreifer natürlich Überweisungen tätigen und bestätigen.
            Er kann dann übrigens auch jeden anderen per 2FA abgesicherten Dienst auf dem Gerät nutzen, z.B. Email o.ä. Ist also kein Online Banking spezifisches Problem. Einzige Alternative, die substantiell sicherer ist: U2F keys.

            In anderen Fällen gilt weiterhin der übliche 2FA Schutz:, z.B. bei online abgephishten Banking Credentials. Die 2FA Absicherung über das Smartphone wird verhindern, dass der Angreifer Transaktionen an einem anderen Gerät durchführen kann.

            Es versteht sich von selbst, dass für keinen Dienst ein Smartphone als 2FA genutzt werden sollte, wenn das Gerät selbst nicht vernünftig gesichert ist. Es sollte niemand mit dem Gerät etwas anfangen können, zumindest nicht innerhalb kurzer Zeit, so dass man bei Verlust des Gerätes reagieren kann und bspw. im 2FA Setup das Gerät sperren könnte o.ä.

          • Comment Avatar Mike Kuketz sagt:

            Es versteht sich von selbst, dass für keinen Dienst ein Smartphone als 2FA genutzt werden sollte, wenn das Gerät selbst nicht vernünftig gesichert ist. Es sollte niemand mit dem Gerät etwas anfangen können, zumindest nicht innerhalb kurzer Zeit, so dass man bei Verlust des Gerätes reagieren kann und bspw. im 2FA Setup das Gerät sperren könnte o.ä.

            Das versteht sich eben nicht von selbst. Was du beschreibst wäre natürlich schön, die Realität sieht leider anders aus.

            Aber nicht nur die fehlende Geräte-Absicherung ist hinsichtlich der Aufweichung von 2FA durch Banking-Apps problematisch, sondern insbesondere die Schwachstellen in veralteten Android-Versionen. Hat ein Angreifer die Kontrolle über das System erlangt, so schützt den Nutzer auch kein PIN-Code, Face-ID oder andere Sicherheitsfunktion mehr. Am Ende bedeutet das wieder: Online-Banking + Legitimierung über nur ein Gerät (Smartphone) ist grob fahrlässig.

  4. Comment Avatar Root sagt:

    Besonders ärgerlich finde ich, dass einerseits eine Art Zwang zur Smartphonenutzung aufgebaut wird, z.B als 2. Faktor bei Online-Kreditkartenzahlungen (z.B. 3Dsecure), andererseits aber das Haftungsrisiko auf den Kunden abgewälzt wird. In den Bedingungen einer Bank fand ich unter Sorgfaltspflichten den Passus „Der Karteninhaber hat das Betriebssystem des von ihm verwendeten Endgerätes auf dem neuesten Stand zu halten und keine Veränderung der Administratorrechte vorzunehmen“. Man kann sich vorstellen, was passiert, wenn es tatsächlich mal zu einem Schaden kommt und die Bank mittels der äußerst auskunftsfreudigen Apps und Webbrowser feststellt, dass die Android Version nicht mehr aktuell war, oder, Gott bewahre, der Endnutzer die volle Kontrolle über das Gerät hatte (root). Bei Windows scheint das niemanden zu stören. In der mobilen Welt aber werden anscheinend die Regeln neu geschrieben.

  5. Comment Avatar Izzy sagt:

    Danke für die ausführliche Beleuchtung, Mike!

    Zum Thema „Tracker in Banking Apps“: Da Mike die obige Liste weder vollständig machen noch ständig aktuell halten kann (keine Wertung – das ist einfach nicht Aufgabe dieses Artikels), darf ich für Android-Nutzer vielleicht auf meine zugehörige App-Übersicht verweisen, die kontinuierlich aktualisiert wird (fehlt Euch eine App, gebt Bescheid und ich ergänze sie – Kontaktinformationen auf der Website). Klickt/tippt auf den Namen der App, um die entsprechenden (Tracker-) Details einzusehen.

    Erstaunlich finde ich auch, dass fast jede Banking App Firebase verwendet – häufig, aber nicht immer, einhergehend mit der Berechtigung für Cloud Messaging. Dass der Nutzer darüber im Vorfeld aufgeklärt und um opt-in gebeten wird, bezweifle ich irgendwie…

  6. Comment Avatar Rob sagt:

    Ich bin Kunde er ING (ehemals ING-DiBa) und darf seit nunmehr 5 Monaten einem unwürdigen PSD2-Schauspiel beiwohnen, bei dem zuerst massiv und penetrant auf allen Kanälen für den Umstieg zum App-Banking geworben wurde – zuletzt durch einen Fenster-Klick-Marathon beim Login ins Onlinebanking. Anschließend wurden wir Kunden von der „DiBa“ darüber aufgeklärt, dass im Rahmen von PSD2 auch der bisher vorhandene HBCI-Zugang wegfallen wird. Immerhin bietet die DiBa noch kostenlos das (App- und Smartphone-unabhängige) mTAN-Verfahren an. Nicht ideal, aber immerhin besser als iTAN-Listen und Apps. Immerhin soll demnächst ein nicht näher beschriebener kostenpflichtiger TAN-Generator bestellbar sein – ähnlich Chiptan, aber leider wieder ein ING-Sonderweg.

    Offensichtlich war bei der DiBa bisher auch noch eine Transaktionsfreigabe per iTAN möglich, denn auch diese Kunden kriechen nun aus ihren Löchern und beschweren sich im ING-Blog über den Wegfall dieses „sichersten aller Verfahren“. Sicher deshalb, weil an die Liste im Safe ja niemand dran kommt …

    Es ist erschreckend, wie unlogisch da teilweise argumentiert wird, wenn man von einem unsicheren Verfahren auf ein anderes wechseln soll.

    Aber auch die ING bekleckert sich hier absolut nicht mit Ruhm. Inzwischen schreibt das überforderte – und natürlich vollkommen von der Sicherheit ihrer App überzeugte – Social-Media-Team der DiBa angesichts der sich häufenden Bankwechsel-Ankündigungen, man hätte sich beim Implementierungsaufwand und bei den Bedürfnissen der Kunden verschätzt. Vom seit 5 Monaten angekündigten 32€-TAN-Generator fehlt bisher jeder Spur. Der HBCI-Zugang wird wenn überhaupt nur mit Verspätung und dann auch nur lesend wiederhergestellt werden.

    Die verschlafene PSD2-Einführung scheint sich für die ex. DiBa allmählich zur Katastrophe zu entwickeln.

    Als mTAN-Nutzer sehe ich dem ganzen etwas gelassener entgegen, aber wer bisher mit HBCI gearbeitet hat, ist bald wohl wirklich gekniffen.

    Hier kann man sich selbst ein Bild von der Lage machen. https://www.ing.de/ueber-uns/wissenswert/psd2/

    • Comment Avatar Danilo sagt:

      Schöner, aufschlussreicher Beitrag, Rob. Vielen Dank dafür!
      Eine kurze Frage dazu: Wie ist das zu verstehen „… und dann auch nur lesend …“?

      Der HBCI-Zugang wird wenn überhaupt nur mit Verspätung und dann auch nur lesend wiederhergestellt werden.

      • Comment Avatar Rob sagt:

        Ursprünglich wollte man laut ING-Auskunft im Rahmen der PSD2-Umstellung den HBCI-Zugang ganz unter den Tisch fallen lassen. Der war bisher nämlich auch so eine unsichere Krücke mit PIN/(i)TAN-Freigabe. Ja, HBCI geht auch in unsicher … Dies ist übrigens der Grund, warum ich damals mTAN gewählt habe.
        Ich hätte eher erwartet, dass die ING nun einen vernünftigen Zugang implementiert, stattdessen wollte man wohl ganz weg von diesem „altmodischen PC-Zeug“ und am liebsten alle Kunden direkt zur App migrieren.

        Früher gabs bei der DiBa nur iTAN, HBCI mit iTAN und mTAN zur Auswahl. Letztes Jahr kam dann die zunächst furchtbar verbuggte App-Freigabe dazu. Die App hatte Zeitweise nur 2 von 5 Sternen im Google Playstore und jede menge erboster Kundenbewertungen. Ich hab da lieber direkt die Finger von gelassen.

        Ab Herbst gibts dann wahrscheinlich nur noch mTAN, App und diesen ominösen TAN-Generator, von dem man bis auf den überhöhten Preis bisher nur weiß, dass er zu keinem anderen ChipTAN-System auf dem deutschen Markt kompatibel sein wird.

        Stand im ING-Blog ist, dass man mit Hochdruck daran arbeitet, einen PSD2-Konformen LESENDEN Zugang zum Konto zu ermöglichen. Das wird aber wohl auch nicht mehr rechtzeitig klappen. HBCI-Nutzer werden zunächst also komplett auf dem trockenen sitzen. Später dürfen sie dann wenigstens wieder ihre Kontostände bewundern. Die Kundenbeschwerden türmen sich dort jetzt (verständlicherweise) in der Kommentarspalte, aber von der ING kommen nur wage Durchhalteparolen.

        Da kann man seit letztem Jahr live beobachten, wie ein großes IT-Projekt mit Ansage und gegen die Wünsche der eigenen Kunden mit Karacho an die Wand gefahren wird.

        • Comment Avatar synergy sagt:

          diesen ominösen TAN-Generator, von dem man bis auf den überhöhten Preis bisher nur weiß, dass er zu keinem anderen ChipTAN-System auf dem deutschen Markt kompatibel sein wird.

          Der Tan Generator der ING wird leider kein ChipTAN werden, sondern ein PhotoTAN Generator.
          Das heißt, hier wird keine Girocard in den Generator gesteckt.
          Der persönliche „Schlüssel“ zum generieren der Tan ist hier also direkt im Gerät hinterlegt und auf dem Chip der Girocard.
          Aus diesem Grund können PhotoTAN Geräte niemals für andere Banken verwendet werden, da sie personalisert sind.
          Die ING ist auch nicht die einzige Bank die PhotoTAN benutzt.

          Blöd, wenn man bei mehreren solcher Banken Kunde ist, dann darf man jedesmal einen neuen Generator kaufen…

    • Comment Avatar unklar sagt:

      In der Zwischenzeit macht die ING Nägel mit Köppen.
      Kunden, die bisher auf PSD2 bei der Bank nicht reagiert haben, erhalten jetzt die „Persönliche Nachricht vom 07.07.2019“ mit der „Anpassung unserer Allgemeinen Geschäftsbedingungen“.

      In der Vereinbarung zum Internetbanking steht dort gleich unter 1.Einleitung:

      „Die Nutzung der Banking to go App wird als das Standardverfahren zur Authentifi- zierung und Autorisierung vereinbart.“

    • Comment Avatar Carsten sagt:

      @rob: Auslandskunden hatten bei der ING bisher gar keine andere Chance als iTAN einzusetzen. mTAN ist an eine deutsche Mobilfunknummer gebunden. Versuch heutzutage mal ohne Nachweis eines deutschen Wohnsitzes und ohne Gefahr zu laufen, FairUse-Klauseln zu verletzen, an eine bezahlbare deutsche Prepaidnummer heranzukommen.
      Insofern ist die blöde neue App fast schon ein Fortschritt. Dramatisch – neben den im Artikel von Mike genannten Schwächen – finde ich hingegen, dass normales Onlinebanking am PC mit der App komplett absurd wird, weil die App eben kein reiner Key-Lieferant ist, sondern ihrerseits bereits einen relativ grossen Funktionsumfang hat (für die meisten Normalsterblichen zumindest – wer viel mit Daueraufträgen hantiert und ein Depot bei der ING führt, wird nach wie vor um den PC nicht herumkommen).

  7. Comment Avatar Petersilie sagt:

    Hallo Mike,
    du schreibst richtig, viele Banken „bewerben bzw. tolerieren die Online-Überweisung über eine Banking-App nebst TAN-App auf EINEM Gerät.“ Bei der DKB hat mich allerdings vor einiger Zeit eine Mitarbeiterin darauf aufmerksam gemacht, daß diese Vorgehensweise gefährlich ist. (Hab‘ ich auch nur kurz gemacht, während mein PC nicht verwendbar war… 😉)

  8. Comment Avatar Tom sagt:

    Ich habe jetzt meiner Bank, der ING, ein Feedback zu den neuen AGBs und der Banking To Go App gegeben.
    Demnach werde ich von mTAN dann auf den neuen photoTAN-Generator umsteigen.
    Die App kann ich nicht verwenden da ich auf meinen Android-Geräten kein Google-Playstore habe und diese außerdem gerootet sind.

    Wird noch spannend, ob die Nutzung von dem neuen photoTAN-Generator irgendwann kostenpflichtig wird. Evtl. muss ich mich dann nach einer kundenfreundlicheren Bank umsehen.

    Habe außerdem diesen Beitrag von Mike verlinkt !

    • Comment Avatar Rob sagt:

      Wie du habe auch ich Mikes Artikel im ING Forum verlinkt. Gestern waren unsere beiden Beiträge noch da – sie sind also offensichtlich zunächst durch die dortige Moderation gekommen, weil sie den Netiquette-Regeln entsprechen. Wir hatten das beide auch sehr sachlich formuliert. Als ich eben wieder rein geguckt habe, waren jedoch beide Beiträge gelöscht.

      Der ING scheint Mikes Einschätzung irgendwie unangenehm zu sein. Und um zu verhindern, dass sich mehr Kunden über den Stand der Dinge informieren können, greifen Sie jetzt offensichtlich auch zu Zensur. Das wirft leider kein gutes Licht auf meine Bank. :-(

      • Comment Avatar Mike Kuketz sagt:

        Die Links auf den Artikel sind noch da. Sogar 3x verlinkt.

        • Comment Avatar Rob sagt:

          @ Mike: Vielen Dank fürs Nachsehen!

          Ich hatte nicht bemerkt, dass quasi inhaltsgleiche Diskussionsfäden zur PSD2-Einführung sowohl hier
          https://www.ing.de/ueber-uns/wissenswert/psd2/
          als auch hier
          https://www.ing.de/ueber-uns/wissenswert/psd2-richtlinien/
          stattfinden.
          Die vermissten Beiträge finden sich auf der zweiten Diskussionsseite.

          Ich hatte mehrmals nach dem Link zu deinem Blog und deinem Namen gesucht und am Ende sogar den Werbeblocker abgeschaltet, aber der kleine Unterschied in der Adresszeile ist mir gar nicht aufgefallen. Der Fehler lag also bei mir. Ich habe mich bei der ING bereits für den Zensur-Vorwurf entschuldigt. Tatsächlich bin ich erstaunt, dass die auch teils sehr böse Kommentare veröffentlichen. Deshalb war ich sehr verwundert, als ich die Beiträge nicht mehr finden konnte.

          Zu meiner Ehrenrettung will ich aber anführen, dass diese URLs wirklich zu Verwechslungen einladen. :-)

    • Comment Avatar Carsten sagt:

      Die App kann ich nicht verwenden da ich auf meinen Android-Geräten kein Google-Playstore habe und diese außerdem gerootet sind.

      DAS zumindest ist mit Magisk Hide kein Problem bei der ING.

  9. Comment Avatar Dr. Doom sagt:

    Hallo Zusammen,

    die Überlegungen hier sind alle theoretisch wohl begründet. Gleichzeitig geht das für mich an der Praxis und dem Kundenerlebnis völlig vorbei. Banking auf dem Smartphone – ja einem Gerät! – führt bei mir dazu, dass ich meinen Kontostand und die Kontobewegungen viel bewußter wahrnehme als vorher. Dazu noch Push-Mitteilungen bei Umsätzen, Möglichkeit die PIN der Karten zu ändern, usw.. Das ist echter Komfort. Dazu noch virtualisierte Kreditkarte zum Bezahlen – perfekt! Alles dabei anstatt zig Karten.

    Dagegen mit zusätzlichen Hardware-Token/Geräten herumzulaufen ist wirklich „freaky“ (ok, immer noch besser als Online-Banking nur von der Read-only-CD-gestarteten-Linux-Distribution zu machen).

  10. Comment Avatar Y sagt:

    Sehr geehrter Herr Kuketz

    Vielen Dank für Ihren spannenden Artikel.

    Eine Anmerkung zum Wegfall der 2FA hätte ich dennoch: bei der UBS (zumindest in der Schweiz) gibt es die UBS Banking App und UBS Access App, welche sich i.d.R. auf dem gleichen Gerät befinden. Es ist also tatsächlich so, dass das Prinzip der 2FA ausgehebelt wird.

    Allerdings muss auch gesagt werden, dass innerhalb der App weitere Sicherheitsmechanismen eingebaut sind. So findet beispielsweise bei der Überweisung von Geld an unbekannte Empfänger (bzw. an Empfänger, denen man zum ersten Mal Geld überweist) eine 2FA statt (mit einer „Access Card Display“ oder einer „Access Card“ mit Kartenleser).

    Zudem gibt es einen sogenannten „Safe“ für Bankdokumente (monatlicher Auszug, jährlicher Auszug, …), private Dokumente (z.Bsp. Passkopie für den Urlaub) und Passwörter. Dieser ist so konfiguriert, dass bestimmte Funktionalitäten nur zur Verfügung stehen, wenn sich der Benutzer per Access Card Display oder Access Card mit Kartenleser eingeloggt hat.

    Mehr Informationen und eine Auflistung der einzelnen Login-Methoden finden Sie hier: https://www.ubs.com/ch/de/private/digital-banking/e-banking-login.html

    Beste Grüsse
    Y

  11. Comment Avatar MaxISO sagt:

    Alles korrekt und gut zusammengefasst. Digitales Verantwortungsbewusstsein erfordert leider oft Wissen in diesem Bereich, dass bei den meisten Menschen nicht vorhanden ist. Vor allem die digital Natives sind besonders bedroht, weil sie bereits mit der totalen Vernetzung aufwachsen sind und erst spät die Gefahren erkennen. Interessante Überlegung zu 2FA: Vielleicht eine NFC Karte verwenden wie bspw. den digitalen Ausweis? Wäre vielleicht in diesem Fall Over Engineered aber vielleicht kann man es mit einer anderen Karte kombinieren. Zudem: Ich rate davon ab den Fingerabdruck zum entsperren des Geräts zu verwenden – das trennt zumindest die Faktoren etwas ;)

  12. Comment Avatar kadajawi sagt:

    Das Bittere ist ja, dass ich, um mein „altes“ Smartphone sicher zu machen, eine Custom ROM installiert habe. Die entspricht nämlich dem aktuellsten Stand. Nur erkennt das die Online Banking App und verweigert ihren Dienst. Um das zu umgehen, habe ich das Telefon also gerootet (was ich eigentlich gar nicht brauche!) und verstecke so das Vorhandensein einer Custom ROM. Super.

    Können Banken nicht mit dem Unsinn aufhören?

  13. Comment Avatar Susanne sagt:

    vorab erstmal, bin Laie. Online Banking mach ich nur über den PC. Vor kurzem hab ich auf das mtan Verfahren umgestellt. Dafür benutze ich mein altes Smartphone ohne Internet, also Prepaid Karte nur zum Telefonieren/ SMS. Eine Verbindung mit dem PC werd ich nicht herstellen. Gibt es dazu irgendwelche Bedenken ?
    Danke und Grüßle S

  14. Comment Avatar Daniel sagt:

    Wie verhält sich dass mit den Trackern in den Apps, werden die – sofern bekannt, von einem pihole geblockt oder ist hier der Aufruf anders? Z.b wie YouTube die Werbung ausliefert und der reine pihole nicht mehr hilft.

  15. Comment Avatar Shiva sagt:

    Vielen Dank für deinen wertvollen Beitrag und die gute Zusammenfassung dieser Probnlematik. Eine kleine Ergänzung: Die MobileTAN App der Deutschen Bank hat zum Glück keine Tracker mit an Bord und lässt sich autark nutzen. Die Mobile Banking App der Bank nutzt leider die Tracker, weshalb sie auch nicht guten Gewissens zu empfehlen ist. (Stand: 12 Juli 2019)

  16. Comment Avatar Christian sagt:

    Es kommt auf die Sichtweise an:

    Aus Sicht von Mike und den treuen Lesern dieses Blogs ist Mobile Banking mit beiden Faktoren auf einem Gerät unsicher.

    Aus Sicht der Bank ist es VIEL sicherer, Mobile Banking, notfalls auch ohne echte 2FA, zuzulassen, als Banking auf dem heimischen PC. Dazu ist es viel billiger, die paar Betrugsfälle im Jahr zu bezahlen als Überweisungen auf Papier entgegen zu nehmen.

    Auch in IT Kreisen muss ankommen, dass Menschen immer die für sie effizienteste Lösung suchen werden. Erzwingst du ein komplexes Passwort, schreiben sie es auf einen Zettel am Monitor. Erzwingst du echte 2FA, nutzen es die Leute nicht und gehen zu einem Anbieter, der es nicht erzwingt. Warum? Weil echte 2FA ätzend ist. Mal eben in der Bahn überweisen? Mist, ChipTan Gerät nicht dabei…

    Die Lösung ist also anders: Authentifizierung mit dem Smartphone und dem Verhalten des Nutzers. Bei bunq oder Revolut kann man einstellen, dass die Kreditkarte nur genutzt werden kann, wenn das Handy physisch anwesend ist in einem gewissen Umkreis. Davon kann man halten was man will, aber eines ist so sicher wie das Amen in der Kirche:

    7 Mrd. Menschen werden NIEMALS die Tipps auf diesem Blog umsetzen – so gut und ehrenhaft diese auch sind.

    Wir sollten uns also dafür einsetzen, automatische Sicherheitsfunktionen zu pushen anstatt auf die Mitarbeit der Nutzer zu vertrauen. Das ist wirkungsvoller und muss nur minimal besser sein als alles, was es jetzt gibt – schon ist es ein Gewinn.

  17. Comment Avatar Leser sagt:

    Och meno Ich hatte Jahrelang nichts mit online banking am Hut und gerade jetzt wo ich vor nicht einer Woche die Bank gewechselt und ich mir diese Online-Banking Geschichte, mit der Steuerung über die App schmackhaft gemacht habe, taucht dieser Artikel auf… Soll ich mir jetzt ein chipTAN Lesegerät kaufen um für ein wenig mehr Sicherheit zu sorgen oder ist das überflüssig?

    • Comment Avatar bloodhound sagt:

      Wenn es deine Bank anbietet, dann auf jedenfall.Meine Bank bietet diese Verfahren zb nur für Business Kunden an. Die „normalen“ user dürfen sich mit dem altem SMS tan bzw der „neuen“ Applösung abfinden ;)

  18. Comment Avatar Lakrimar sagt:

    Es gibt auch gute Ausnahmen. Die App meiner Bank (PSD-Bank) erkennt, dass ich das mTAN-Verfahren nutze und lässt Überweisungen gar nicht erst zu. Nutzbar sind daher nur Funktionen zum Abruf von Kontoständen und das Postfach. Außerdem beschwert sich die App nicht, dass sie auf einem gerooteten Gerät mit einer CustomROM läuft.

  19. Comment Avatar Rolf sagt:

    Letztendlich wird der Kunde nicht gezwungen, seine Bank-Geschäfte per Smartphone-App zu erledigen. Soweit sind wir noch nicht.

    Das stimmt so nicht ganz. Die ING-Diba zwingt mich seit kurzem dazu diese App zu verwenden. Bisher nutzte ich immer Banking am PC und eine Mobile Tan als Bestätigung. Dies lehnt die ING-Diba aber ab, da eine SMS „einfach“ abgefangen werden könne. Eine App ist da natürlich sicherer…nicht.

  20. Comment Avatar Ralf sagt:

    Hier noch ein „Nachschlag“ zur ING.

    Ich hatte Probleme bei der Zahlung einer Fahrkarte der DB. Bekanntlich geht das nur mit Sofortüberweisung oder Kreditkarte mit 3D-Secure. Bei beiden Varianten muss ich nun die Banking-App nutzen und die Zahlung freigeben. Soweit okay. Tippe die Freigabe ein, zeigt die Banking-App: freigegeben. Es landet aber nichts im Zahlungssystem der DB.

    Ich bin für DB bzw. ING ein Exot. Ich nutze den Frirefox als Browser und dann noch ein Anti-Trackings-Tool sowie Scriptblocker. Selbst als praktisch alle Sperren entfernt hatte, ging es nicht.

    Also den Kundenservice der ING eingeschaltet. Ich zitiere mal aus der Antwort der ING:

    Wir empfehlen, die zusätzlichen Sicherheitsprogramme zu deaktivieren, wenn es bei Zahlungen mit der Kreditkarte [VISA Card] mit Verified by VISA oder auch im Internetbanking, zu Problemen kommt. Warum tun wir das?

    Bei der Menge an verschiedenen Sicherheitsprogrammen auf dem Markt ist eine reibungslose Abwicklung mit allen Programmen, Apps und Add-ons eher utopisch.

    Zum einen sind die ohnehin vorhanden Sicherheitsvorkehrungen (verschlüsselte Übertragung der Daten, Abfrage des CVV, Betrugsüberwachung durch VISA) sehr zuverlässig und sicher.

    Mir stellt sich die Frage, ob ich guten Gewissens Kunde dieser Bank sein kann.

  21. Comment Avatar Lutz sagt:

    Hallo
    stehe ich auf den Schlauch – wie kann ich bei der Comdirect PhotoTAN auf dem gleichen Gerät nutzen, auf dem die Überweisung (o.ä.) gemacht wird?
    Ich muss doch mit der Smartphone Kamera einen anderen Bildschirm aufnehmen.

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.