Das beschissene Vorgehen von Volkswagen, Sparkasse und anderen Firmen mit ihrer sklavischen Klammerung an Google-Dienste führt dazu, dass die Leute Angst haben, ihre Apps zu aktualisieren, weil sie damit rechnen müssen, ausgesperrt zu werden.

So wird Sicherheit aktiv untergraben und nicht durch die Nutzung von GrapheneOS, /e/OS oder anderen freien Betriebssystemen.

Als CISO der Unternehmen würde ich im Dreieck springen ...

@thoralf So einfach ist das nicht. Die regelmäßigen Sicherheitsprüfungen, die Google über den Play Store laufen lässt, können kleinere Anbieter leider nicht leisten. Und bestimmte Apps möchtest du (als Anbieter) halt auch nicht auf einem System laufen haben, das du nicht kennst und kontrollierst. Plus das Thema Entwicklung, da schreibst du ja mit bestimmten Tools für bestimmte Plattformen.

@teezeh Wieso können sie ihre eigenen Apps nicht prüfen?
Wenn sie ihre eigenen Apps auf ihrer eigenen Seite anbieten würden, gäbe es das Problem gar nicht.
Aber weil es so schön convenient ist, wird alles in die Stores gestopft.

Andere bekommen es auch hin. Also ist "Sicherheit" hier in meinen Augen nur eine billige Ausrede.

@thoralf Warum nicht sebst prüfen? Deine eigenen Fehler siehst du nicht.

Und du möchtest auch nicht drölfzig verschiedene Anbieterseiten ansteuern, um deine Apps zu laden (und zu aktualisieren!). Seiten, die längst jeder Cyberkleinkriminelle mit gemieteten Tools faken und dir dann Malware unterjubeln kann.

Ich würde mir auch mehr Vielfalt wünschen bei mobilen Plattformen, versteh mich da nicht falsch. Aber für manche Dinge braucht man einfach Skaleneffekte.

@teezeh Dann werden die Anbieter, die so agieren, mit meiner Kritik leben müssen.
Ich halte das für kundenunfreundlich und inakzeptabel und werde da auch weiter laut und deutlich drauf einschlagen.

Vielleicht wird es ja dadurch irgendwann spürbar teurer, den vermeintlich einfacheren Weg zu nehmen, statt an einer echten Lösung zu arbeiten.

Nachtrag: Auf der eigenen Seite anzubieten, heißt ja nicht zwangsläufig, dass man nur selbst testen darf.

@thoralf Was wäre denn aus deiner Sicht kundenfreundlich, akzeptabel und eine echte Lösung??
@teezeh @thoralf
Kein Zwang zu irgendwelchen Apps aus dem Olgipol Google- und Apple-Universum.
Immer die Möglichkeit mit offenen Standards arbeiten zu können, z.B. über den Webbrowser.
Was spricht gegen 2FA über TOTP beim Online-Banking? Anstatt das jede Bank ihre eigene App anbieten muss.

@dan1 Gegen 2FA beim Online-Banking spricht gar nichts. Ich persönlich habe Banken-Apps auch nicht fürs Banking auf meinem Smartphone, sondern ausschließlich, um mich biometrisch zu authentifizieren und Transaktionen freizugeben.

@thoralf

@teezeh @thoralf
Die Frage ist, welche 2FA.
Deswegen die Frage nach TOTP.
Es braucht duch nicht von jeder Bank eine eigene App. Außer für Kundenbindung.
Über offene Standards ist die Lösung. Gab auch mal HBCI, bei der man sich seine eigene Software aussuchen konnte.

@dan1 Ich bin auch für offene Standards, Portabilität und Vielfalt. Und nutze TOTP so oft es geht.

@thoralf

@teezeh @thoralf
Also, warum die Apps der Banken nutzen?
Und nicht der Bank sagen, bietet mir was mit offenen Standards und ohne Accountzwang bei Google und Apple an, sonst gehe ich woanders hin?
Das ist #Appzwang von den Banken und das ist nicht akzeptabel.
Genauso muss die Webseite der Bank auch frei sein von Google, Meta und Co.

@dan1 Bei welcher Bank bist du denn, die das alles so macht?

@thoralf

@teezeh @thoralf
Bei meiner Bank geht es schön offline in der Filiale. Und online geht es ohne Apps, dafür mit TAN-Generator, was eine höhere Sicherheit hat, als die Apps.