Login für Postbank am PC ohne Smartphone

Die Postbank nötigt ihre Kunden, sich die sog. Bestsign-App auf dem Google- oder Apple-Smartphone zu installieren, damit man sich weiterhin ins Online-Banking einloggen kann. Früher war es noch möglich, ChipTAN mit einem Tan-Generator zu nutzen, was deshalb sicher war, weil es sich um ein physisch getrenntes Gerät handelte, das keine Internetverbindung hat und daher auch nicht von Schadsoftware manipuliert werden kann. Dieses ChipTAN-Verfahren wurde bei der Postbank vor einiger Zeit abgeschaltet, in diesem Forum wurde darüber diskutiert. Die neue Lösung, die man angeboten bekommt, heißt Seal One und ist sicherheitstechnisch zumindest zweifelhaft, da das Gerät mit dem PC verbunden werden soll, somit nicht mehr autark läuft, und dort auch noch ein Programm von dieser Firma laufen muss, das theoretisch Dinge tun könnte, die es nicht tun soll. Und tatsächlich scheint sich dieses Programm mit unbekannten Systemen im Internet zu verbinden, auch wenn es gerade nicht für den Login benutzt wird, sagt der Sicherheitsexperte Kuketz (Link).

Wir halten fest:

• Ohne "Bestsign" kommt man nicht mehr an sein Bankkonto bei der Postbank. Andere Banken sind auch nicht viel besser, so gibt es bei der DKB zwar noch ChipTAN, die dafür erforderliche Girokarte ist jedoch nicht mehr kostenlos.
  
• Das Gerät namens "Seal One" erfordert eine dauerhaft verbundene Software, der man vielleicht nicht unbedingt vertrauen kann.
  
• Nicht jeder hat heutzutage ein "smartes" Telefon von Google oder Apple (oder Huawei) und nicht jeder will diesen Firmen seine persönlichen Daten anvertrauen, auf einem Gerät, das permanent nach Hause funkt und mit Adware verseucht ist.
  

Alternative: Man kann die Bestsign-App in einem virtualisierten Android am heimischen Computer starten. Die App wird dadurch zwar nicht besser, aber immerhin läuft sie in einem System, das nicht mit dem Google-Konto verbunden ist und dieses System kann und sollte nach jeder Benutzung wieder pausiert werden, sodass es immer nur für wenige Minuten läuft.

Hier ist ein Download-Link zu solch einem Android-System. Das Basissytem ist frei verfügbar und wurde lediglich ergänzt: Die App für die Postbank ist vorinstalliert. Bei der ersten Benutzung muss die Bestsign-App einmalig mit dem Bankkonto verbunden werden. Um das Android-System auf dem PC starten zu können, wird VirtualBox benötigt (VirtualBox herunterladen). Der folgende Link führt zu einer OVA-Datei, die entweder per Doppelklick oder in VirtualBox über das Menü Datei/Import importiert werden kann. Anschließend kann die VM gestartet werden, darin (in VM klicken) unten links das Startmenü anklicken, dort ist die Bestsign-App. Bedienungshinweis: Nachdem man in das Android-Fenster geklickt hat, ist die Maus dort gefangen, man kommt mit Drücken der rechten Strg-Taste wieder zurück auf sein eigenes System. Herunterfahren geht im Startmenü mit dem Dreipunktsymbol.

Download Android-VM ... gelöscht: Nachdem nun auch der Verdacht geäußert wurde, ich würde Phishing-Links verbreiten, habe ich den Link zur vorbereiteten Android-VM wieder entfernt. Das war ohnehin nur als Hilfestellung gedacht und ändert nichts am Vorschlag, um den es hier eigentlich geht, nämlich die App auf dem PC zu nutzen, wenn man keinen anderen Weg sieht.

Und zur Bau-Anleitung, nach der indirekt gefragt wurde, gehört auch gar nicht viel. Das Basissystem lässt sich auf dieser Seite herunterladen, die ISO-Datei heißt "android-x86_64-9.0-r2.iso". Diese wird in eine neue VM in VirtualBox geladen, dann startet man den Installationsprozess, bei dem man durch ein Menü geführt wird, ich verweise auf die Installationshinweise. Sobald das System läuft, muss man die App dort installieren und wenn man sich nicht bei Google einloggt, lädt man sie sich als APK-Datei aus einer anderen Quelle, der man vertraut, z.B. APKpure (direkt vom Entwickler wäre vermutlich am besten). Den Link lasse ich weg, sonst glaubt wieder jemand an Phishing, immerhin wurde ich schon gemeldet.

Vielleicht hilft das ja jemandem, der sich nicht so sehr von Google abhängig machen will.

Idealerweise sollte man grundsätzlich erst einmal jedem und allem misstrauen, insofern darfst und sollst du natürlich auch mir misstrauen. Ich sage ja auch nicht, dass die genannten Programme, also in erster Linie die BestSign-App, vertrauenswürdig ist, aber mit diesem Verfahren läuft sie in einer kontrollierten Umgebung, und zwar immer nur für wenige Minuten, wenn man sie wirklich braucht. Bei der Virtualisierung handelt es sich ja um ein gängiges Verfahren und das Android-System ist, wie ich geschrieben habe, frei verfügbar (android 9.0 r2). Ich habe darauf einfach die Postbank-App vorinstalliert (via Apkpure), weil ich dachte, dass das irgendjemand nützlich finden könnte. Wer interessiert ist, aber nicht das von mir vorbereitete System herunterladen möchte, kann den Prozess auch selbst durchführen, das Ergebnis wird dasselbe sein. Aber nicht jeder möchte sich mit einer solchen Installation befassen.

Mal sehen, ob noch jemand etwas dazu sagt. Wenn niemand interessiert ist, dann lösche ich das halt wieder.

Ich habe das Problem mit der Postbank dahingehend gelöst, dass ich das Girokonto dort gekündigt habe, bevor chipTAN abgekündigt wurde.

Mit der VirtualBox bin ich bei anderen Banken auch nicht glücklich geworden, da die Bank-Apps den Dienst auf einem nicht-Original-Android grundsätzlich verweigert hatten. Und das Android in der VB gehört deren Logik zufolge auch dazu.
Immerhin schön zu sehen, dass die Postbank-BestSign-App damit zusammenarbeiten will. Treibt mich aber mit Sicherheit nicht zurück zur Postbank.

Der Sicherheitsexperte Kuketz hat wohl einiges übersehen, das hardwarebasierte Sicherheiteverfahren:

Im SealOneUSB-Gerät sind die digitalen privaten Schlüssel in einer Hardware-PSE (Personal Security Environment) nicht auslesbar gespeichert.

Die entsprechenden digitalen öffentlichen Schlüssel sind auf dem Bankserver gespeichert.

Sie werden zum entschlüsseln und digital signieren der über den USB-Anschluss empfangenen Daten verwendet und zum verschlüsseln und verifizieren der Daten auf dem Bankserver. Auf dem Gerät werden die Daten angezeigt.

Egal wie verseucht der Rechner ist (Phishing, Trojanische Pferde, Viren, 0-Day-Exploits, ...) und über welche Zwischenserver die Daten zur Pstbank gelangen, solange der Kunde die auf dem Gerät angezeigten Daten mit OK freigibt, kann schlimmstenfalls der Auftrag nicht ausgeführt werden, wenn z.B. die Daten auf dem Bankserver abweichen.

Dabei ist es unerheblich ob Online-Banking mit einem Browser oder einem Finanzprogramm erfolgt.


mfg Volker

Danke für den Hinweis, möglicherweise sind die Schlüssel selbst ja auch sicher. Kritisiert wurde ja u.a., dass das Gerät nicht autark läuft und eine Software auf dem PC benötigt, anders als das alte ChipTAN-Lesegerät.

Du hättest mir auch einfach antworten können, dass ich den Link lieber entfernen soll, statt einen Moderator zu holen. Ich hätte ihn auch so entfernt. Und rückblickend hätte ich eine vorbereitete VM wahrscheinlich auch nicht für eigene Bankgeschäfte genutzt, ohne zumindest die App neu zu installieren. Wobei mir etwas ganz ohne dritte Partei natürlich am liebsten wäre.



Deinen Kommentar habe ich erst jetzt bemerkt. Darf ich fragen, welche Apps nicht funktionierten? Ich denke, das könnte auch für andere noch interessant sein, die die Bank wechseln möchten.

Ich habe damals jedenfalls eines dieser Seal One-Geräte gekauft (aber nie benutzt), weil ich nicht gewusst habe, dass es diese Alternative gibt, die ich hier vorschlage.

Ich hatte die Apps von Commerzbank, Sparkasse und Volksbank ausprobiert.
Letztendlich war ich bei der Commerzbank bei der smsTAN gelandet, und bei den anderen beiden bei chipTAN.

Möglicherweise prüft die App der Bank auch, ob sie mittels pushTAN mit dem Bankserver kommunizieren kann.

In der virtuellen Android-Maschine wird das mangels physischer SIM-Karte wohl scheitern. Ich habe daher von weiteren Versuchen in dieser Richtung Abstand genommen.

Wie gesagt, ich nahm an, dass es sich um einen Phishing-Versuch (u.U. durch einen Bot) handelt. Eine Kontaktaufnahme hätte in dem Fall nicht viel gebracht.

Das stimmt. Für die Bindung an das konkrete Telefon wird nach meinem Wissen die IMEI verwendet.