Die Postbank nötigt ihre Kunden, sich die sog. Bestsign-App auf dem Google- oder Apple-Smartphone zu installieren, damit man sich weiterhin ins Online-Banking einloggen kann. Früher war es noch möglich, ChipTAN mit einem Tan-Generator zu nutzen, was deshalb sicher war, weil es sich um ein physisch getrenntes Gerät handelte, das keine Internetverbindung hat und daher auch nicht von Schadsoftware manipuliert werden kann. Dieses ChipTAN-Verfahren wurde bei der Postbank vor einiger Zeit abgeschaltet, in diesem Forum wurde darüber diskutiert. Die neue Lösung, die man angeboten bekommt, heißt Seal One und ist sicherheitstechnisch zumindest zweifelhaft, da das Gerät mit dem PC verbunden werden soll, somit nicht mehr autark läuft, und dort auch noch ein Programm von dieser Firma laufen muss, das theoretisch Dinge tun könnte, die es nicht tun soll. Und tatsächlich scheint sich dieses Programm mit unbekannten Systemen im Internet zu verbinden, auch wenn es gerade nicht für den Login benutzt wird, sagt der Sicherheitsexperte Kuketz (Link).

Wir halten fest:

• Ohne "Bestsign" kommt man nicht mehr an sein Bankkonto bei der Postbank. Andere Banken sind auch nicht viel besser, so gibt es bei der DKB zwar noch ChipTAN, die dafür erforderliche Girokarte ist jedoch nicht mehr kostenlos.
  
• Das Gerät namens "Seal One" erfordert eine dauerhaft verbundene Software, der man vielleicht nicht unbedingt vertrauen kann.
  
• Nicht jeder hat heutzutage ein "smartes" Telefon von Google oder Apple (oder Huawei) und nicht jeder will diesen Firmen seine persönlichen Daten anvertrauen, auf einem Gerät, das permanent nach Hause funkt und mit Adware verseucht ist.
  

Alternative: Man kann die Bestsign-App in einem virtualisierten Android am heimischen Computer starten. Die App wird dadurch zwar nicht besser, aber immerhin läuft sie in einem System, das nicht mit dem Google-Konto verbunden ist und dieses System kann und sollte nach jeder Benutzung wieder pausiert werden, sodass es immer nur für wenige Minuten läuft.

Hier ist ein Download-Link zu solch einem Android-System. Das Basissytem ist frei verfügbar und wurde lediglich ergänzt: Die App für die Postbank ist vorinstalliert. Bei der ersten Benutzung muss die Bestsign-App einmalig mit dem Bankkonto verbunden werden. Um das Android-System auf dem PC starten zu können, wird VirtualBox benötigt (VirtualBox herunterladen). Der folgende Link führt zu einer OVA-Datei, die entweder per Doppelklick oder in VirtualBox über das Menü Datei/Import importiert werden kann. Anschließend kann die VM gestartet werden, darin (in VM klicken) unten links das Startmenü anklicken, dort ist die Bestsign-App. Bedienungshinweis: Nachdem man in das Android-Fenster geklickt hat, ist die Maus dort gefangen, man kommt mit Drücken der rechten Strg-Taste wieder zurück auf sein eigenes System. Herunterfahren geht im Startmenü mit dem Dreipunktsymbol.

Download Android-VM ... gelöscht: Nachdem nun auch der Verdacht geäußert wurde, ich würde Phishing-Links verbreiten, habe ich den Link zur vorbereiteten Android-VM wieder entfernt. Das war ohnehin nur als Hilfestellung gedacht und ändert nichts am Vorschlag, um den es hier eigentlich geht, nämlich die App auf dem PC zu nutzen, wenn man keinen anderen Weg sieht.

Und zur Bau-Anleitung, nach der indirekt gefragt wurde, gehört auch gar nicht viel. Das Basissystem lässt sich auf dieser Seite herunterladen, die ISO-Datei heißt "android-x86_64-9.0-r2.iso". Diese wird in eine neue VM in VirtualBox geladen, dann startet man den Installationsprozess, bei dem man durch ein Menü geführt wird, ich verweise auf die Installationshinweise. Sobald das System läuft, muss man die App dort installieren und wenn man sich nicht bei Google einloggt, lädt man sie sich als APK-Datei aus einer anderen Quelle, der man vertraut, z.B. APKpure (direkt vom Entwickler wäre vermutlich am besten). Den Link lasse ich weg, sonst glaubt wieder jemand an Phishing, immerhin wurde ich schon gemeldet.

Vielleicht hilft das ja jemandem, der sich nicht so sehr von Google abhängig machen will.

Und warum kann man - wenn alles so böse ist - den von Dir genannten Programmen vertrauen und sollte die installieren?

Idealerweise sollte man grundsätzlich erst einmal jedem und allem misstrauen, insofern darfst und sollst du natürlich auch mir misstrauen. Ich sage ja auch nicht, dass die genannten Programme, also in erster Linie die BestSign-App, vertrauenswürdig ist, aber mit diesem Verfahren läuft sie in einer kontrollierten Umgebung, und zwar immer nur für wenige Minuten, wenn man sie wirklich braucht. Bei der Virtualisierung handelt es sich ja um ein gängiges Verfahren und das Android-System ist, wie ich geschrieben habe, frei verfügbar (android 9.0 r2). Ich habe darauf einfach die Postbank-App vorinstalliert (via Apkpure), weil ich dachte, dass das irgendjemand nützlich finden könnte. Wer interessiert ist, aber nicht das von mir vorbereitete System herunterladen möchte, kann den Prozess auch selbst durchführen, das Ergebnis wird dasselbe sein. Aber nicht jeder möchte sich mit einer solchen Installation befassen.

Mal sehen, ob noch jemand etwas dazu sagt. Wenn niemand interessiert ist, dann lösche ich das halt wieder.

Sehe ich das richtig, dass du hier als sichere Alternative den Download einer unbekannten Software von einem dubiosen Filehosting-Dienst vorschlägst, deren Quelle ebenfalls unbekannt ist? Von einem User, der sich gestern angemeldet und dessen erstes Posting das ist. Sorry, aber ich komme nicht umhin, deinen eigenen Vorschlag als Phishing-Versuch zu betrachten. Dein Download-Link dieses vermeintlichen virtualisierten Android gehört hier jedenfalls gemeldet.

Um auch noch etwas konstruktives beizutragen: Vertrauensbildend wäre gewesen, wenn du stattdessen die Bau-Anleitung für die virtualisierte Android-Umgebung gepostet hättest und sich alle enthaltenen Downloads auf bekannte und geprüfte Quellen wie den originalen Appstore, Github, etc. beziehen.

Ich habe das Problem mit der Postbank dahingehend gelöst, dass ich das Girokonto dort gekündigt habe, bevor chipTAN abgekündigt wurde.

Mit der VirtualBox bin ich bei anderen Banken auch nicht glücklich geworden, da die Bank-Apps den Dienst auf einem nicht-Original-Android grundsätzlich verweigert hatten. Und das Android in der VB gehört deren Logik zufolge auch dazu.
Immerhin schön zu sehen, dass die Postbank-BestSign-App damit zusammenarbeiten will. Treibt mich aber mit Sicherheit nicht zurück zur Postbank.

Windows 11 kann Android - zuerst kam ja Amazon Store, danach Google Play Store

ältere Anleitungen:
Amazon = https://www.netzwelt.de/anleit…gehts.html
Google = https://www.computerbild.de/ar…96303.html
Video = https://youtu.be/f66exsBiCzA?t=30

Der Sicherheitsexperte Kuketz hat wohl einiges übersehen, das hardwarebasierte Sicherheiteverfahren:

Im SealOneUSB-Gerät sind die digitalen privaten Schlüssel in einer Hardware-PSE (Personal Security Environment) nicht auslesbar gespeichert.

Die entsprechenden digitalen öffentlichen Schlüssel sind auf dem Bankserver gespeichert.

Sie werden zum entschlüsseln und digital signieren der über den USB-Anschluss empfangenen Daten verwendet und zum verschlüsseln und verifizieren der Daten auf dem Bankserver. Auf dem Gerät werden die Daten angezeigt.

Egal wie verseucht der Rechner ist (Phishing, Trojanische Pferde, Viren, 0-Day-Exploits, ...) und über welche Zwischenserver die Daten zur Pstbank gelangen, solange der Kunde die auf dem Gerät angezeigten Daten mit OK freigibt, kann schlimmstenfalls der Auftrag nicht ausgeführt werden, wenn z.B. die Daten auf dem Bankserver abweichen.

Dabei ist es unerheblich ob Online-Banking mit einem Browser oder einem Finanzprogramm erfolgt.


mfg Volker

Das war tatsächlich eine vorbereitete VM, die einem nur die Installation abnehmen sollte. Eigentlich ging es in meinem Vorschlag um die Möglichkeit, ein virtualisiertes Android auf dem PC laufen zu lassen, um den Zwang zum Smartphone zu umgehen. Nachdem ich mit dem Link offenbar einen falschen Eindruck vermittelt habe, habe ich ihn wieder entfernt. Und ja, ich habe mich gestern angemeldet, zuvor habe ich hier nur gelesen. Wenn man aber nach einem unvorsichtigen Link ohne Diskussion gemeldet wird, muss ich hier auch nicht groß weiterschreiben.


Ich habe einen Link zum Basissystem mit Installationshinweisen ergänzt.
Jetzt warte ich mal ab, ob jemand noch etwas zu meinem eigentlichen Vorschlag sagt, bevor ich noch mehr ergänze.

Danke für den Hinweis, möglicherweise sind die Schlüssel selbst ja auch sicher. Kritisiert wurde ja u.a., dass das Gerät nicht autark läuft und eine Software auf dem PC benötigt, anders als das alte ChipTAN-Lesegerät.

Etwas zur Einordnung, warum dein Post gemeldet wurde. Hier im Forum posten immer mal wieder Spammer. Und damit meine ich nicht nur kaputte Texte mit Casino- und Viagra-Links sondern auch Pseudo-Fragen von vermeintlichen Anfängern, die bei diesem tollen neuen Vergleichsportal die besten Konto-Konditionen gefunden haben.

Dieses Forum wird von vielen Usern besucht. Es kann damit durchaus Ziel von gezielten Phishing-Versuchen sein.

Du hättest mir auch einfach antworten können, dass ich den Link lieber entfernen soll, statt einen Moderator zu holen. Ich hätte ihn auch so entfernt. Und rückblickend hätte ich eine vorbereitete VM wahrscheinlich auch nicht für eigene Bankgeschäfte genutzt, ohne zumindest die App neu zu installieren. Wobei mir etwas ganz ohne dritte Partei natürlich am liebsten wäre.



Deinen Kommentar habe ich erst jetzt bemerkt. Darf ich fragen, welche Apps nicht funktionierten? Ich denke, das könnte auch für andere noch interessant sein, die die Bank wechseln möchten.

Ich habe damals jedenfalls eines dieser Seal One-Geräte gekauft (aber nie benutzt), weil ich nicht gewusst habe, dass es diese Alternative gibt, die ich hier vorschlage.

Die auf dem PC laufende Seal One Applikation dient nur als Netzwerkrouter zwischen Internet und USB-Stick.

mfg Volker

Ich hatte die Apps von Commerzbank, Sparkasse und Volksbank ausprobiert.
Letztendlich war ich bei der Commerzbank bei der smsTAN gelandet, und bei den anderen beiden bei chipTAN.

Ich habe eben die App der Volksbank ausprobiert - sie startet nicht und öffnet eine Webseite, auf der steht, dass sie aus Sicherheitsgründen geschlossen wurde. Die App prüft scheinbar, ob sie auf einem physischen, bekannten Gerät läuft und verweigert sonst den Dienst. Danke für den Hinweis, dass es bei manchen Banken leider nicht so funktioniert.


Umso besser, wenn es bei den Banken noch das ChipTAN-Verfahren gibt, dann gibt es dort auch keinen Grund für Android, solange das Lesegerät offline ist und man eben kein Zusatzprogramm laufen lassen muss. So sollte es sein.

Möglicherweise prüft die App der Bank auch, ob sie mittels pushTAN mit dem Bankserver kommunizieren kann.

In der virtuellen Android-Maschine wird das mangels physischer SIM-Karte wohl scheitern. Ich habe daher von weiteren Versuchen in dieser Richtung Abstand genommen.

Dafür ist keine SIM-Karte notwendig. Es gibt für Android aber verschiebe Programmbibliotheken, mit denen eine App herausfinden kann, ob sie auf echter Hardware läuft, ob die App per Sideloading installiert und/oder die Google-Dienste vorhanden sind. Die Erkennung enthält z.B. einfache Checks nach dem Vorhandensein der nötigen API-Schnittstellen aber auch dem Prüfen verschiedener Sensoren (Beschleunigung, Helligkeit, ...).

Wie gesagt, ich nahm an, dass es sich um einen Phishing-Versuch (u.U. durch einen Bot) handelt. Eine Kontaktaufnahme hätte in dem Fall nicht viel gebracht.

Die pushTAN-Apps binden sich ja alle an genau das Telefon, auf dem Sie installiert bzw. freigeschaltet werden. Hierfür fordern alle mir bekannten Apps einen Zugriff auf die Telefoniefunktionen an - mit exakt dieser Begründung. Sei es, um die IMEI auslesen zu können oder was auch immer. Eine Telefoniefunktion wird es auf diesen Android-Sandkästen wohl nicht geben - und schon allein damit ist das wohl zum Scheitern verurteilt.

Das stimmt. Für die Bindung an das konkrete Telefon wird nach meinem Wissen die IMEI verwendet.

Als Lichtblick sei noch die SecureApp der Sparda West genannt. Die gibt es auch für Windows und Mac.

Allerdings kann ich die nach meinem Kenntnisstand nur in der Webanwendung nutzen, nicht mit Hibiscus oder GnuCash/KMyMoney.
Und die alternative Nutzung von Ubuntu als Betriebssystem scheidet damit auch aus.