Das beschissene Vorgehen von Volkswagen, Sparkasse und anderen Firmen mit ihrer sklavischen Klammerung an Google-Dienste führt dazu, dass die Leute Angst haben, ihre Apps zu aktualisieren, weil sie damit rechnen müssen, ausgesperrt zu werden.

So wird Sicherheit aktiv untergraben und nicht durch die Nutzung von GrapheneOS, /e/OS oder anderen freien Betriebssystemen.

Als CISO der Unternehmen würde ich im Dreieck springen ...

@thoralf So einfach ist das nicht. Die regelmäßigen Sicherheitsprüfungen, die Google über den Play Store laufen lässt, können kleinere Anbieter leider nicht leisten. Und bestimmte Apps möchtest du (als Anbieter) halt auch nicht auf einem System laufen haben, das du nicht kennst und kontrollierst. Plus das Thema Entwicklung, da schreibst du ja mit bestimmten Tools für bestimmte Plattformen.

@teezeh Wieso können sie ihre eigenen Apps nicht prüfen?
Wenn sie ihre eigenen Apps auf ihrer eigenen Seite anbieten würden, gäbe es das Problem gar nicht.
Aber weil es so schön convenient ist, wird alles in die Stores gestopft.

Andere bekommen es auch hin. Also ist "Sicherheit" hier in meinen Augen nur eine billige Ausrede.

@thoralf Warum nicht sebst prüfen? Deine eigenen Fehler siehst du nicht.

Und du möchtest auch nicht drölfzig verschiedene Anbieterseiten ansteuern, um deine Apps zu laden (und zu aktualisieren!). Seiten, die längst jeder Cyberkleinkriminelle mit gemieteten Tools faken und dir dann Malware unterjubeln kann.

Ich würde mir auch mehr Vielfalt wünschen bei mobilen Plattformen, versteh mich da nicht falsch. Aber für manche Dinge braucht man einfach Skaleneffekte.

@teezeh Dann werden die Anbieter, die so agieren, mit meiner Kritik leben müssen.
Ich halte das für kundenunfreundlich und inakzeptabel und werde da auch weiter laut und deutlich drauf einschlagen.

Vielleicht wird es ja dadurch irgendwann spürbar teurer, den vermeintlich einfacheren Weg zu nehmen, statt an einer echten Lösung zu arbeiten.

Nachtrag: Auf der eigenen Seite anzubieten, heißt ja nicht zwangsläufig, dass man nur selbst testen darf.

@thoralf Was wäre denn aus deiner Sicht kundenfreundlich, akzeptabel und eine echte Lösung??

@teezeh So, wie ich es beschrieben habe:
Jede Bank/jeder Autohersteller/whatever bietet auf der eigenen Webseite direkt die App zum Download an.
Ich sehe keinen echten Grund, warum das unmöglich sein sollte.

Stattdessen die Kunden mit ihren Daten dafür bezahlen zu lassen, dass man sich selbst die Sicherheitsprüfungen spart und sie in die Fänge von Google zu zwingen, finde ich einen ziemlich miesen Move.

@thoralf Ich will nicht jedes Mal den Anbieter ansurfen, um eine App zu laden oder zu aktualisieren, von den Sicherheitsaspekten ganz abgesehen.

Viel Spaß dann auch beim Gerätewechsel, wenn du dir deine komplette Umgebung wieder mühsam händisch zusammensuchen darfst.

Plus die ganzen Entwicklerthemen wie In-App Payments, Visibilität, Rezensionen, ...

@teezeh Ich sage ja nicht, dass es jeder so machen muss.
Aber ich will nicht dazu gezwungen werden, alle meine Daten an Google zu übermitteln, um mein Auto benutzen zu können.
Wenn die App bei Google liegt - fein. Aber eben bitte nicht nur bei Google.
@thoralf Da sollte man eher die Frage stellen, warum man eine App brauchen soll, um ein Auto zu benutzen. Aber das Rad drehen wir vermutlich nicht mehr zurück …

@teezeh Ich finde es durchaus angenehm, das auf 48°C aufgeheizte Auto erstmal auf 22 °C runterkühlen zu können, statt mir den Hintern zu grillen, wenn ich einsteige.

Es gibt also durchaus sinnvolle Anwendungsfälle für eine App.

Aber keine davon benötigt Google.

@thoralf Also beim Auto hast du es gern bequem, aber beim Play Store ist Convenience doof? Seltsames Zwiedenken.
@teezeh Ich finde den PlayStore nicht convenient.
Es ist für mich extrem unangenehm, ohne Not meine Daten preisgeben zu müssen.

@thoralf Welche Daten musst du da preisgeben?

Du kannst ein Google-Konto mit einem beliebigen Vornamen und einem falschen Geburtsdatum anlegen. Sogar die passende Gmail-Adresse wird automatisch für dich generiert.

@teezeh @thoralf Ich will einfach mit dem Drecksackverein nix zu tun haben. Nicht mehr, nicht weniger.

@HoSnoopy Das bleibt dir selbstverständlich unbenommen.

Ich persönlich bin eher dafür, gegen den sogenannten Digitalzwang vorzugehen und nicht gegen einzelne Anbieter.

@thoralf

@teezeh @thoralf Das ist die andere Sache. Ich sah die i-kfz-app als Angebot, nicht als Zwang. So, wie man eben auch per Kreditkarte zahlen kann und nicht immer Bargeld dabei haben muß.
Die Schweinerei bei VW in dem Fall ist aber, daß die App ZUNÄCHST zB auf GOS lief, das aber einfach zurückgezogen wurde, per Ordere-Mufti. Du bezahlst weiß Gott schon genug für ne VW-Schüssel und wirst im Nachhinein zu Google/Apple gezwungen, wenn du den vollen Komfort, den du ja bereits bezahlt hast, in Anspruch nehmen willst.
Damit ist VW für mich als nächster Auto-Anbieter eben gestorben. Ende.
Ich kann allerdings weiterhin meinen Fahrzeugschein mitnehmen. Da wir schon etliche verloren haben, haben wir derzeit nur eine Fotokopie im Auto - die Strafe dafür erscheint uns billiger als ständig nen neuen Schein holen zu müssen ;-).

@HoSnoopy Also laut

https://discuss.grapheneos.org/d/35949-volkswagen-app/41

läuft die App zumindest bei einigen Nutzern inzwischen wieder.

Das Thema hier

https://www.heise.de/news/Frust-bei-E-Auto-Fahrern-Schnittstelle-fuer-Drittanbieter-weg-VW-arbeitet-dran-11320034.html

ist auch spannend.

Das Problem ist einfach, dass nur noch Software Defined Cars auf den Markt kommen. Für die es sicher kein drittes Leben mehr in Afrika geben wird so wie früher™.

@thoralf

Volkswagen App: Page 3 - GrapheneOS Discussion Forum

GrapheneOS discussion forum

GrapheneOS Discussion Forum

@teezeh Und die Metadaten, die dabei anfallen, kann Google genüsslich ausquetschen.

Nur, weil ich dort meinen richtigen Namen nicht angeben muss, ist doch nicht plötzlich Datenschutz gegeben.
Es braucht keine 5 Sekunden, um meinen echten Namen mit einem Google-Profil zu verknüpfen.

@thoralf Also man kann seine Metadaten schon sehr minimieren bei Google. Ich habe zum Beispiel sämtliche Verläufe deaktiviert.

https://policies.google.com/technologies/product-privacy?hl=de

Leitfaden zum Datenschutz in Google-Produkten – Datenschutzerklärung & Nutzungsbedingungen – Google

@teezeh Das bedeutet, dass du Google vertraust.
Tue ich aber nicht.
@thoralf Nein, das bedeutet nicht, dass ich Google vertraue. Sonst würde ich die Verläufe ja nicht ausschalten ;-)
@teezeh Doch. Denn du vertraust darauf, dass der Schalter auch das tut, was du hoffst.

@thoralf Jo, das tu ich. Unter anderem, weil das Datenschutz-Center primär hier in München entwickelt wird und ich mir das schon persönlich anschauen durfte.

Hier ein bisschen GSEC-Selbstdarstellung:

https://safety.google/intl/de_ALL/safety/engineering-center/munich/

https://safety.google/intl/de_ALL/stories/gsec-geburtstag/

Entwicklung von Datenschutz- und Sicherheitsprodukten in München – Google Sicherheitscenter

Erfahren Sie mehr darüber, wie das Google Safety Engineering Center in München Tools entwickelt, mit denen sich Ihre Daten noch besser schützen lassen.

Safety Center
@teezeh Dann wieder zurück zum vorherigen Statement:
Du vertraust also Google - ich tue das nicht.
@teezeh @thoralf Naja, es ist eine Sache, den Komfort auch zu benutzen, den man bezahlt hat und eine andere, eben dafür nochmal einen Vertrag mit Google oder Apple abschließen zu müssen.
Genau das ist übrigens auch bei der I-KFZ-App der Fall: Es steht NIRGENS, daß man für diese App die Google-Dienste benötigt, ich holte mir einen QR-Code bei der Zulassungsstelle, mit dem ich aber genau nix anfangen kann, weil ich erst per Mail des Support erfahren habe, daß das nur mit Google geht.
Wenn das die Art Digitalisierung sein soll, die gerade von Amthor & @BMDS gefeiert wird, bin ich raus und werde zum Totalverweigerer. Dazu müssen sie mich schon zwingen. Und das werden sie sicher auch versuchen, indem mein Leben immer inkomfortabler werden wird, weil ich diese US-Konzern-Scheiße in meinem Leben einfach nicht haben will.
@teezeh @thoralf
Kein Zwang zu irgendwelchen Apps aus dem Olgipol Google- und Apple-Universum.
Immer die Möglichkeit mit offenen Standards arbeiten zu können, z.B. über den Webbrowser.
Was spricht gegen 2FA über TOTP beim Online-Banking? Anstatt das jede Bank ihre eigene App anbieten muss.

@dan1 Gegen 2FA beim Online-Banking spricht gar nichts. Ich persönlich habe Banken-Apps auch nicht fürs Banking auf meinem Smartphone, sondern ausschließlich, um mich biometrisch zu authentifizieren und Transaktionen freizugeben.

@thoralf

@teezeh @thoralf
Die Frage ist, welche 2FA.
Deswegen die Frage nach TOTP.
Es braucht duch nicht von jeder Bank eine eigene App. Außer für Kundenbindung.
Über offene Standards ist die Lösung. Gab auch mal HBCI, bei der man sich seine eigene Software aussuchen konnte.

@dan1 Ich bin auch für offene Standards, Portabilität und Vielfalt. Und nutze TOTP so oft es geht.

@thoralf

@teezeh @thoralf
Also, warum die Apps der Banken nutzen?
Und nicht der Bank sagen, bietet mir was mit offenen Standards und ohne Accountzwang bei Google und Apple an, sonst gehe ich woanders hin?
Das ist #Appzwang von den Banken und das ist nicht akzeptabel.
Genauso muss die Webseite der Bank auch frei sein von Google, Meta und Co.

@dan1 Bei welcher Bank bist du denn, die das alles so macht?

@thoralf

@teezeh @thoralf
Bei meiner Bank geht es schön offline in der Filiale. Und online geht es ohne Apps, dafür mit TAN-Generator, was eine höhere Sicherheit hat, als die Apps.