Skip to main content

2025: Dein JA für ein nachhaltiges Konto! 💳

Dein Food ist bio? Dein Strom ist öko? Was ist mit Deiner Bank? Starte mit guten Vorsätzen ins neue Jahr und eröffne ein Konto, das Gutes tut. Ein kleiner Schritt mit großer Wirkung!

Warum?
✅ Platz 1 im Fair Finance Guide
✅ Bank des Jahres 2024
✅ nachhaltige und soziale Wirkung
✅ Bankkarte aus Holz

Wer sollte 2025 unbedingt zur nachhaltigen Bank wechseln? Markiere Deine Liebsten! 💬

#GLSBank #FrohesNeuesJahr

#glsbank #frohesneuesjahr
in reply to GLS Bank

🅹🅴🅳🅸🅴 🇺🇦🕊️
🅹🅴🅳🅸🅴 🇺🇦🕊️
rund 10€/Monat sind schon stattliche kosten. Sehr schade.
in reply to 🅹🅴🅳🅸🅴 🇺🇦🕊️

GLS Bank
GLS Bank
Mit dem Geld richtig umzugehen, ist einfach ein viel größerer Aufwand. Wir halten den Preis für realistisch. Viele Grüße aus Bochum
in reply to GLS Bank

lebochequirit
lebochequirit
Wer sollte 2025 bitte bei wero-wallet.eu/de mitmachen? Markiert Eure Lieblingsbank 😜 @glsbank
@GLS Bank
in reply to lebochequirit

GLS Bank
GLS Bank
Guten Tag, wir haben aktuell noch keine Infos zu einer möglichen Einführung von Wero. Sobald wir was wissen, geben wir es auf unserer Webseite bekannt. Schöne Grüße vom Team
in reply to lebochequirit

Phillip Nothdurft
Phillip Nothdurft
@lebochequirit Ich unterstützte das auch. Viele deutsche Banken (auch viele Genossenschaften) unterstützen schon #wero Außerdem warte ich auch schon lange, dass sich die #glsbank den anderen Genossenschaften anschließt und die Bezahl-App von Atruvia AG unterstützt.
#glsbank #wero @lebochequirit
in reply to Phillip Nothdurft

GLS Bank
GLS Bank
Guten Tag, wir haben aktuell noch keine Infos zu einer möglichen Einführung von Wero. Sobald wir was wissen, geben wir es auf unserer Webseite bekannt. Schöne Grüße vom Team
in reply to GLS Bank

ieke aka Scherrie
ieke aka Scherrie
wo kann man eure 2FA-App noch herkriegen außer über den Google oder Apple Appstore?😀
Ich möchte gerne auf proprietäre Anbieter verzichten können.
in reply to ieke aka Scherrie

GLS Bank
GLS Bank
Aktuell können wir die Apps nur dort anbieten. Lieben Gruß
in reply to ieke aka Scherrie

Synapsenkitzler
Synapsenkitzler
@ieke
Ja, bitte bei Fdroid einstellen, danke.
@ieke aka Scherrie
in reply to Synapsenkitzler

GLS Bank
GLS Bank
Aktuell können wir die Apps nur im Google Play bzw. Apple App Store anbieten. Lieben Gruß
in reply to ieke aka Scherrie

chikl
chikl

@ieke Es ist möglich, ein TAN-Gerät als 2. Faktor zu verwenden. Das Blöde ist nur, dass man gezwungen ist, vorher eine App aus PlayStore oder Apple AppStore zu installieren, damit man den Account vollständig einrichten und dann das TAN-Gerät aktivieren kann.

Finde ich sehr unglücklich umgesetzt. Was den Datenschutz angeht, kann sich die GLS Bank also auch noch was für das Jahr 2025 vornehmen.

#Datenschutz #OnlineBanking #2FA

#datenschutz #2FA #onlinebanking @ieke aka Scherrie
in reply to chikl

dexternemrod
dexternemrod

@chikl

@ieke @glsbank

FIDO oder TOTP ohne Abhängigkeit von DER einen App wären echt mal was cooles!

@GLS Bank @ieke aka Scherrie @chikl
in reply to dexternemrod

ieke aka Scherrie
ieke aka Scherrie
@dexternemrod @chikl JA! BITTE!
Ich fände das so wunderbar, wenn ich statt inzwischen 4 Bankingapps einfach "nur" der FIDO wäre
@dexternemrod @chikl
in reply to ieke aka Scherrie

Caroline
Caroline
@ieke @dexternemrod
Ja, nur #FIDO2 für sämtliche Bank-Accounts zu benutzen, wäre toll -- aber die Anforderungen der #PSD2 sind leider nicht mit FIDO2 (bzw. dem dazugehörenden Standard #Webauthn) erfüllbar! PSD2 verlangt, dass die Transaktionsdaten (Betrag + Empfängerkonto) auf sicherem Wege angezeigt werden. Version 1 der Spec. hatte das optional drin, die Browserhersteller haben's nie implementiert, deshalb ist es aus Version 2 wieder rausgeflogen. #2fa
@chikl @glsbank
#2FA #PSD2 #FIDO2 #WebAuthn @GLS Bank @dexternemrod @ieke aka Scherrie @chikl
in reply to Caroline

pixelschubsi
pixelschubsi
@Caroline @ieke @dexternemrod @chikl
Was WebAuthn angeht: Die webauthn.txauth Erweiterungen waren schlicht praktisch nicht umsetzbar weil nicht zu Ende gedacht. Sowas wie Visa/MasterCard 3DS wäre darüber auf der bestehenden Infrastruktur nicht machbar gewesen. Außerdem sind wäre der 2FA an eine bestimmte Domain gebunden und damit nicht PSD2-konform.
Es gibt aber eine neue Erweiterung für WebAuthn, die diese Probleme behebt: https://www.w3.org/TR/secure-payment-confirmation/

Secure Payment Confirmation

www.w3.org
@dexternemrod @ieke aka Scherrie @Caroline @chikl
in reply to pixelschubsi

dexternemrod
dexternemrod

@pixelschubsi

@Caroline @ieke @chikl @glsbank

Wäre eine interessante Erweiterung. Könnte mir vorstellen, dass das aich ganz interessant sein könnte wenn Drittanbieter die XS2A-Schnittstelle nutzen.

Über das 'Verknüpft werden mit' bin ich auch gestolpert, aber das etwas weiter auszulegen traue ich zur Zeit keiner Bank auf dem deutschen Markt zu (kenne natürlich nicht alle).
Und gerade die Banken die die Geno- oder Sparkassen-Infrastruktur nutzen werden da nur sehr begrenzt Spielraum haben.

@GLS Bank @ieke aka Scherrie @pixelschubsi @Caroline @chikl
in reply to dexternemrod

pixelschubsi
pixelschubsi
@dexternemrod @Caroline @ieke @chikl
Effektiv legen sie das alle etwas weiter aus, sie sagen es nur nicht laut. Die Transaktionsdaten werden zwar idealerweise tatsächlich mit in die SE/TPM geschoben und dort nachprüfbar signiert, aber ob sie dem Nutzer angezeigt werden kann die Bank schlicht nicht prüfen. Dafür müsste man Geräte haben, wo die Display-Ausgabe aus der SE/TPM direkt steuerbar oder zumindest abrufbar ist.
@dexternemrod @ieke aka Scherrie @Caroline @chikl
in reply to pixelschubsi

Caroline
Caroline
@pixelschubsi
Am sichersten ist, ein separates, nicht mit dem Internet verbundenes Gerät zu haben, das die Transaktionsdaten anzeigt und im Gegenzug eine TAN ausgibt, die manuell im Banking eingetippt wird. Wem dieses höchste Sicherheitsniveau wichtig ist, kann sich eine Bank suchen, die das anbietet.
Banking auf dem Smartphone erreicht dieses Niveau nicht -- entspricht aber durchaus den Anforderungen der PSD2. @dexternemrod @ieke @chikl @glsbank
@GLS Bank @dexternemrod @ieke aka Scherrie @pixelschubsi @chikl
in reply to Caroline

pixelschubsi
pixelschubsi
@Caroline @dexternemrod @ieke @chikl Prinzipiell würde ich dir zustimmen, aber wie kann die Bank garantieren, dass das vom Kunden verwendete ChipTAN-Gerät überhaupt Transaktionsdaten anzeigt und wenn es das tut, ob es die richtigen Transaktionsdaten anzeigt (also die, die auch signiert werden)? Auch da wird also streng genommen keine Visualisierung garantiert.
@dexternemrod @ieke aka Scherrie @Caroline @chikl
in reply to pixelschubsi

Caroline
Caroline
@pixelschubsi
Kryptographische Verfahren und beim Bau der Geräte eingebrachtes Schlüsselmaterial garantieren das. Egal, ob ChipTan oder QR-Tan oder PhotoTan.
(Bitte jetzt nicht einwenden, dass das fehlerhaft implementiert sein könnte; das ist eine andere Diskussion.) (1/2)
@dexternemrod @ieke @chikl @glsbank
@GLS Bank @dexternemrod @ieke aka Scherrie @pixelschubsi @chikl
in reply to Caroline

pixelschubsi
pixelschubsi
@Caroline @dexternemrod @ieke @chikl Ich hab hier leider gerade keine SECODER Spezifikation rumliegen, aber ich kann mich nicht erinnern, dass reine "ChipTAN-Leser" ein eingebrachtes Schlüsselmaterial haben. Ich hatte die im kryptographischen Sinne größtenteils passiv im Kopf (Input an den Chip in der Karte weiterleiten und ausgeben). Das eingebrachte Schlüsselmaterial könnte auch, wenn überhaupt, nur in der Kommunikation mit der Karte genutzt werden, also nur schwer validierbar.
@dexternemrod @ieke aka Scherrie @Caroline @chikl
in reply to pixelschubsi

Caroline
Caroline
@pixelschubsi
Bei ChipTan ist das Schlüsselmaterial zum "Kick-Off" der Crypto-Protokolle im Chip der Karte, nicht im Leser.
@dexternemrod @ieke @chikl @glsbank
@GLS Bank @dexternemrod @ieke aka Scherrie @pixelschubsi @chikl
in reply to Caroline

pixelschubsi
pixelschubsi
@Caroline @dexternemrod @ieke @chikl eben, und das bedeutet, es gibt null Garantie für die Bank, dass der Leser überhaupt ein Display hat, da er kryptographisch nicht beteiligt ist und gar keine Aussage darüber getroffen wird. Theoretisch könnte man wahrscheinlich die SECODER-Technik komplett als Software für Windows implementieren und einen Handelsüblichen USB-Chipkartenleser ohne Display zur Anbindung der Karte nutzen.
@dexternemrod @ieke aka Scherrie @Caroline @chikl
in reply to pixelschubsi

dexternemrod
dexternemrod

@pixelschubsi

@Caroline @ieke @chikl @glsbank

Das könnte evtl. möglich sein ... aber wenn der/die Nutzer*in das so umsetzt sind wir komplett weg von der grundsätzlichen Diskussion.

@GLS Bank @ieke aka Scherrie @pixelschubsi @Caroline @chikl
in reply to dexternemrod

pixelschubsi
pixelschubsi
@dexternemrod @Caroline @ieke @chikl
Sehe ich anders:
- Die Sicherheitsprobleme mit 2FA-Apps der Banken entstehen, weil Nutzer unsichere Geräte für 2FA nutzen. Der einzige Unterschied ist, dass die Banken bei ChipTAN Empfehlungen zu sicheren Geräten rausgeben und für ihre Apps nicht.
- Der Kritikpunkt bei FIDO, dass die Transaktionsdaten nicht auf einem sicheren Gerät angezeigt werden, ist hinfällig, wenn die Banken das auch bei ihren bestehenden 2FA-Lösungen nicht garantieren können.
@dexternemrod @ieke aka Scherrie @Caroline @chikl
This entry was edited (1 month ago)
in reply to dexternemrod

pixelschubsi
pixelschubsi
@dexternemrod @Caroline @ieke @chikl
Aus meiner Sicht ist das ganze vor allem ein rechtliches Problem: Banken haften bei ausgehenden Überweisungen wenn der Nutzer unsicheres 2FA hat, ganz egal wie er das gemacht hat. IMO sollte es da Losungen geben, wo dem Nutzer mehr Verantwortung bekommt.
@dexternemrod @ieke aka Scherrie @Caroline @chikl
in reply to pixelschubsi

pixelschubsi
pixelschubsi
@dexternemrod @Caroline @ieke @chikl
Also zum Beispiel: wenn der Nutzer die 2FA-App auf einem unsicheren Gerät einsetzen möchte, wird er darauf hingewiesen, dass sein Gerät nicht sicher ist und er bei Aktivierung dieses 2FA für dessen Transaktion selbst haftet.
Natürlich wäre es wichtig, dass die Banken weiter dazu gezwungen werden, 2FA-Lösungen anzubieten, bei denen sie selbst haften.
@dexternemrod @ieke aka Scherrie @Caroline @chikl
in reply to pixelschubsi

pixelschubsi
pixelschubsi
@dexternemrod @Caroline @ieke @chikl Bei nicht wenigen Banken kann man zum Beispiel weiterhin Zugang mit Zertifikatsdatei oder Chipkarte beantragen (EBICS/HBCI), dann wären keine 2FA-Apps notwendig und in der Regel auch keine Anzeige der Transaktionsdaten.
@dexternemrod @ieke aka Scherrie @Caroline @chikl
in reply to pixelschubsi

GLS Bank
GLS Bank
Guten Morgen, das ist eine spannende Diskussion, aber wir können diese Wünsche im Moment nicht erfüllen. Wir haben nun die letzten 60 Kommentare an unsere IT weitergeleitet. Bitte entfernt uns aber nun aus dem Thread, wenn ihr euch weiter austauschen wollt. Danke und viele Grüße aus Bochum 💚