Ich bin leider Kunde der Sparda-Bank Baden-Württemberg. „Leider“
beispielsweise, weil mich die Bank dann und wann mit 75 Euro dazu
bringen will, als Makler für sie tätig zu werden. Fände ich das Konzept
Ehre nicht kreuzdoof, müsste ich wegen Betrag und Inhalt des Angebots
Satisfaktion fordern.
Lästiger im Alltag ist das Online-Banking, zumal es mit jedem „Relaunch“
schlimmer wird. Die utopische Hoffnung, ich könnte Kontoauszüge per
PGP-verschlüsselter Mail bekommen und Überweisungen per signierter Mail
in einem einfachen, maschinenlesbaren Format einreichen, habe ich dabei
schon längst aufgegeben. Wahrscheinlich zwingen die diversen
Zahlungsdiensterichtlinien die Bank wirklich zu (aus Sicht
EDV-kompetenter Menschen) unsinnigen Schnittstellen.
Aber wenn es schon hakelige Webseiten sein müssen, sollten sie
wenigstens technisch so halbwegs in Ordnung sein. Fantastische
Maximalforderung: die elementaren Funktionen sollten ohne Javascript
gehen; das würde viel mehr für die Sicherheit tun als alle
Zweifaktorauthentifizierungen des Universums. I have a dream.
Die Sparda jedoch geht, wie gesagt, mit großen Schritten in die
entgegengesetzte Richtung, kürzlich zu einem Laden namens TEO, mit dem
sich einige Sparda-Genossenschaften, wie es aussieht, eine Art Fintech
leisten wollten. Um damit nicht gleich bauchzulanden, ziehen sie ihre
Kunden aus ihren alten (eingestandenermaßen auch unangenehmen) Systemen
dorthin um.
Schon, dass die KundInnen beim Umzug ein manuelles „onboarding“ samt
Neueinrichtung der Konten sowie der (Nicht-) Zustellung von
Kontoauszügen duchlaufen müssen, wirkt unnötig umständlich, so sehr ich
verstehen kann, dass TEO nicht unbedingt die (vermutlich eher
bescheidenen) Passwort-Hashes des alten Sparda-Eigenbaus übernehmen
wollten. Bei den Investitionssummen, um die es hier vermutlich geht,
wären jedoch elegantere Migrationspfade („bitte ändern sie jetzt ihr
Passwort“) schon denkbar gewesen.
Das um so mehr, als das onboarding richtig schlecht gemacht ist: Es
erscheint erstmal ein leerer Bildschirm, und das ändert sich auch dann
nicht, wenn mensch den Browser Javascript ausführen lässt. Kein
Fallback, nichts, immer nur ein weißes Fenster. Das Javascript von TEO
nämlich wirft eine Exception, wenn es kein local storage bekommt,
und niemand fängt diese Exception. Ganz im Stil der neuen Zeit gibt es
nicht mal ein minimales HTML ohne Skripting – nur weiß. Au weia.
Zwei Zeilen Javascript würden reichen, um nicht verfügbare local storage
zu diagnostizieren und das etwas weniger murksig zu machen (ordentliches
HTML wäre natürlich immer noch nett). Etwas mehr Arbeit ist es, dann zu
erklären, was da wie lang gespeichert wird und warum es ohne nicht gehen
soll. Das jedoch würde ohnehin in die Datenschutzerklärung gehören,
viel zusätzliche Arbeit wäre es also nicht. Wenn die
Datenschutzerklärung etwas taugen würde, heißt das. Aber dazu gleich.
Ich könnte jetzt weitermachen mit Punkten, an denen der Kram
an allen möglichen und unmöglichen Stellen kaputt geht, ohne dass es
irgendeine Sorte Fehlermeldung außerhalb der Javascript-Konsole (und
welche Muggels kennen die schon?) gibt. Aber selbst wenn mensch den
Browser – was bei Bank-Geschäften schon als schlechte Idee gelten kann –
nach und nach immer unvorsichtiger konfiguriert, sind noch schwer
verstehbare Schnitzer im Programm, etwa, dass der Flickercode die
falsche Größe hat. Die meisten Clients haben inzwischen eine recht
zuverlässige Idee von der physikalischen Größe der Anzeige; ein width:
6.5cm im CSS ist doch wirklich nicht zu viel verlangt.
Ähnliche WTF-Momente ergeben sich in der Datenschutzerklärung der TEOs.
Derzeit heißt es dort in 2.3:
Zur Erhöhung der Kundensicherheit nutzen wir in TEO den Service
reCAPTCHA der Google Ireland Limited, Gordon House, 4 Barrow St,
Dublin, D04 E5W5, Irland. Im Rahmen der Registrierung in TEO wird das
reCAPTCHA zur Erkennung und Unterscheidung zwischen missbräuchlicher
Nutzung personenbezogener Daten durch Maschinen und menschliche
Eingaben eingesetzt.
Als ich das gelesen habe, habe ich erstmal mit dem „onboarding“
aufgehört, denn wer mir was verkaufen will, sollte nicht verlangen, dass
ich Schaufenster oder Verkehrsschlider auf Zuruf von google abklicke,
und mich schon gar nicht zum Ausführen von googles Code nötigen (ebay,
hörst du mich?). Sparda beruft sich für diese Frechheit auf Art. 6
1(f) DSGVO, also berechtigte Interessen des Betreibers. Das ist
offensichtlich Quatsch; Textchas oder selbst hostbare Tests
funktionieren besser und unter weniger Kundenverprellung.
Am Ende musste ich aber dringend überweisen und war entschlossen, den
reCaptcha-Mist zur Not doch durchzustehen. Musste ich am Ende nicht
nicht, google hielt meinen Browser offenbar wirklich für
menschengesteuert – wer weiß, warum. Aber TEO lädt tatsächlich eine
Datei recaptcha__de.js von google-Servern, und zwar dort aus einem Pfad
wie /recaptcha/releases/CdDdhZfPbLLrfYLBdThNS0-Y/recaptcha__de.js – da
könnte ich schon allein bei der URL ins Grübeln kommen, was für
Informationen google da wohl aus dem Banking ausleiten mag (ok: ja, ich
vermute in Wirklichkeit auch, dass die Buchstabensuppe eher etwas wie
einen git-Commit auf google-Seite identifiziert – aber wenn die googles
wollten, könnten sie über Pfade dieser Art fast beliebige Mengen an
Information exfiltrieren, was erst dann auffallen würde, wenn mal wer
Pfade verschiedener Clients vergliche).
Was denken sich Leute, wenn sie ohne Not reCaptcha auf ihre Seiten
packen? Diese Frage stellt sich fast noch mehr beim nächsten Punkt:
2.4 Google Web Fonts
Um Inhalte browserübergreifend korrekt und grafisch ansprechend
darzustellen, werden in TEO Web Schriften von Google Fonts verwendet.
Die Einbindung dieser Web Fonts erfolgt nicht über Google. Die
Schriften liegen lokal auf Servern. Es erfolgt kein externer
Serveraufruf bei Google. Es findet keine Informationsübermittlung an
Google statt.
Wenn ich recht verstehe, was die da sagen wollen, dann wäre das: Wir
nehmen Fonts von google, aber ziehen sie nicht von google. Dann stellt
sich die Frage, was diese Information hier soll – wenn die anfangen,
aufzuzählen, wer alles irgendwie an der Software beteiligt war, die auf
ihren Servern läuft, sind sie lang beschäftigt.
Um das noch absurder zu machen: sie lügen (jedenfalls im Effekt).
Zumindest gestern und heute versucht die Seite für mich, die URL
https://fonts.gstatic.com/s/roboto/v18/KFOmCnqEu92Fr1Mu4mxP.ttf (und
noch zwei weitere; ich hoffe, die Buchstabensuppe erhält nicht allzu
viel Kompromittierendes über mich) zu dereferenzieren. Damit hat
google die IP, via Referrer den Umstand, dass gerade wer überweist, und
vermutlich auch die Muggel-Identität, da mich wundern würde, wenn nicht
normal der google-Cookie auch an gstatic gehen würde (ich muss
gestehen, das nicht näher untersucht zu haben, zumal fonts.gstatic.com
auf meinen Maschinen zu localhost auflöst).
Was soll das? Wenn TEO schon Geld in die Hand nimmt und meint, mir die
Wahl des Fonts vorschreiben zu müssen (was ich übrigens lästig finde),
dann sollen sie wenigstens irgendwas kaufen statt die vergifteten
Geschenke von google zu nehmen und dann noch in ihrer
Datenschutzerklärung zu lügen.
Für eine teilweise Erklärung für die, na ja, Lüge (ich will gnädig sein:
„das Versehen“) mit den google-Fonts hilft ein Blick auf die 107 (!)
Requests, die mein Browser macht, um die Wurzelseite des
Online-Bankings aufzubauen. Dabei zeigt sich, dass immerhin die meisten
Daten von TEO-Servern kommen. Es bleiben aber, nach der Vorrede kaum
überraschend, doch einige Cross-Site-Requests.
- die erwähnten Google-Fonts
- ein CSS, ein Logo, das Captcha-Javascript (von www.gstatic.com)
- eine bizarre Datei „anchor“, die offenbar im Zusammenhang mit Captcha steht
(und die den Browser vermutlich dazu bringt, die Fonts von
fonts.gstatic.com zu ziehen)
- Und dann noch Ressourcen list und logoutWeb von prod-teo.itmr.de,
beides JSON, ersteres mit Zeug, was erstmal nach Werbequatsch
aussieht, aber vermutlich Identitäsinformation ist.
Die Suche nach ITMR in der Datenschutzerklärung ist vergeblich,
www.itmr.de zeigt ohne Javascript nur einen Spinner:
Der Spinner ist schon mal deutlich mehr als die leere Seite von TEO.
Mit Javascript kommt sogar ein Titel: „ITM Research GmbH – Smart
Cloud Computing”, ansonsten bleibt es beim Spinner. ITM Research…
nichts, was Wikipedia kennen würde. Smart? Na ja. Zieht auch erstmal
fünf Pfund Zeug von Google, Fonts und eine Familienpackung Javascript
von maps.googleapis.com, einen Haufen PNGs von www.google.com. Ziemlich
viel Kram für einen rotierenden Spinner.
Wenn ich der Seite obendrauf local storage erlaube, kommt endlich das
heiß erwartete Cookie-Banner, und zwar so:
Echt jetzt? Per default angeklickte Tracking-Cookies? Wie smart muss
mensch wohl sein, um für so ein bisschen Überwachungsmehrwert ein fettes
Bußgeld zu riskieren?
Zurück zur Ausgangsfrage: Was für Daten tauscht die Sparda eigentlich
mit diesen etwas anrüchigen Gesellen aus? „ITM-ation – unser Synonym
für digitale Transformation und Innovation“ schreiben sie, wenn ihnen
der Browser gut genug ist. Diese Leute bekommen mit, wenn ich mit der
Sparda-Bank rede? Uh.
Ich klicke auf „Mehr Erfahren”. Beim Bullshit Bingo hätte ich gleich
gewonnen:
Wir realisieren Projekte der digitalen Transformation und Innovation,
um Ihnen durch die Digitalisierung von Geschäftsmodellen,
Wertschöpfungsketten und Prozessen mehr Wachstum in einem immer
stärkeren Wettbewerbsumfeld zu ermöglichen. [...] Wir entwickeln Apps
und Web-Apps, um Geschäftsprozesse in digitale Ökosysteme zu
transferieren. Wir entwickeln dabei Ihre Datenveredelungsstrategie,
setzen aber auch externe Echtzeit-Dienste der künstlichen Intelligenz
(KI) wie zum Beispiel Cognitive Services und Watson ein. [...]
Eine positive User Experience ist unabdingbar in der Digitalisierung
Ihrer Prozesse. Um das jederzeit und von überall zu erzielen, brauchen
Sie zwischen Ihrer Anwendung und Ihren Kunden über alle Kanäle und
Anwendungsoptionen hinweg funktionale und ansprechende
Benutzeroberflächen und Schnittstellen.
Der Bullshit gegen Ende suggeriert (ebenso wie der konsistente
Totalausfall ohne …
![[RSS]](./theme/image/rss.png)
