Man versetze sich einmal in folgende Situation: Ich nehme mein Handy, öffne die App – irgendwann gab es mal ein Update – und bekomme gesagt: Zu Ihrem Schutz dürfen Sie dieses Gerät nicht mehr verwenden. »Äh, was? 😲 Ihr wollt mich beschützen, indem Ihr mein Handy aus dem Verkehr zieht?« Jo, da fühlt man sich doch in sicheren Händen, aber so was von. Und das Sahnehäubchen der Geschichte ist: Das ist die Photo-TAN-App der comdirect-Bank, die mir das erklärt, und ich musste eine Überweisung vornehmen.

Um etwas Licht ins Dunkel zu bringen, der vollständige Text lautet:

Zum Schutz Ihrer Sicherheit bieten wir die photoTAN-App auf gerooteten Android-Geräten nicht an.

Ey, was habe ich da geflucht? Eine absolute Frechheit und natürlich bemerkt man so etwas erst, wenn man die App braucht.

Hätten sie nicht einfach in den letzten zwei Versionen eine Warnung anzeigen können? Es ist heutzutage Usus, dass man nicht Knall auf Fall solche Abschaltungen vornimmt, sondern eine Übergangsfrist gewährt.

Noch kurz der restliche Spaß der Geschichte, bevor ich zu meinem Hauptpunkt an dieser Aktion komme: Ich habe leider keinen Weg gefunden, die App auszutricksen, auch nicht, indem ich /system/xbin/su in ein tar gepackt habe. Deshalb war schon meine Befürchtung, dass sie grundsätzlich Custom-ROMs wie LineageOS ausschließen, aber das ist zum Glück nicht der Fall. Ich konnte auf einem anderen LineageOS (ohne Root) die App installieren, aber … zum Aktivieren hätte ich die kaputte App oder einen Aktivierungsbrief gebraucht. Geil! Ich habe damals von der iTAN-Liste auf die Photo-TAN umgestellt und bisher nichts von einem Aktivierungsbrief gehört.

Zur Steigerung des Spaßfaktors an der Geschichte kommen die Antworten vom Support über die Postbox und die ist … jo genau: mittels Photo-TAN geschützt. Mein Vorschlag, PGP zu unterstützen, ist auch schon Jahre alt. Also eine halbe Stunde Warteschleife am Telefon. Der Mitarbeiter war sehr freundlich und beim Stichwort gerootet, wusste er gleich, was zu tun ist. Zum Glück habe ich noch erwähnt, dass ich eine Überweisung durchführen wollte, woraufhin er mir den Hinweis gab, dass mit neu eingerichteten Geräten Überweisungen für zwei Tage nicht möglich sind – der Sicherheit wegen. Aber genau diese Probleme waren der comdirect offensichtlich bereits bekannt, so dass man mit dem Hinweis »gerootetes Handy« kostenlose Überweisungen per Fax beauftragen kann.

Die neue App hat dafür jetzt eine Komfortfunktion photoTAN-Push: Man braucht die Grafik nicht mehr einscannen. »Ähm 🤔 und wie funktioniert das?« Das Handy funkt fleißig zur Bank und klüngelt da Hintenrum die Sache aus – ganz bestimmt auch zum Wohle meiner Sicherheit. Ich nutze weiterhin die Grafiken, bis die dann auch irgendwann abgeschafft werden, und habe den Internetzugang für die App gesperrt. Die alte App lief noch komplett ohne Internetzugang, auch wenn schon für diese die comdirect keinen Quelltext veröffentlichen wollte – Sicherheit und so.

Der scheinheilige Schutz

Am meisten hat mich an der ganzen Geschichte der Spruch »Zum Schutz Ihrer Sicherheit« aufgeregt. Also, wenn das meine Sicherheit ist, dann möchte ich bitte schön darüber entscheiden, wie ich damit umgehe. Mich an dieser Stelle einfach wie ein Kind zu behandeln »Wir passen mal schön auf Dich auf, Du kannst das ja nicht« und mir das dann auch noch als einen Vorteil verkaufen zu wollen, ist eine Frechheit. Wenn jemand ungefragt mir die Entscheidung über oder für etwas meinerseits abnimmt, dann ist das entmündigend.

Es ist ja völlig in Ordnung, wenn die comdirect bei ihrer Risikoanalyse dazu kommt, dass sie gerootete Handys nicht mehr unterstützen können, weil ihnen das Risiko zu hoch ist. Dann sollen sie doch auch den Mut aufbringen und dazu stehen. Sollen sie doch ganz ehrlich sagen »Aufgrund interner Abwägungen haben wir beschlossen, gerootete Handys nicht zu unterstützen.« Das wäre eine klare und aufrichtige Ansage, bei der ich mich entscheiden kann, ob ich mitspiele oder die Bank wechsle.

Aber es mit meinem Schutz zu begründen, ist absolut hinterhältig, weil diese Suggestion, es ginge um etwas, das in meinen Händen läge, falsch ist. Ich habe auf diese Entscheidung keinen Einfluss und kann sie nur akzeptieren. Meine Sicherheit hat mit der Nicht-Unterstützung von gerooteten Handys nichts direkt zu tun – über Umwege kann man da eine Begründung konstruieren, aber in erste Linie geht es um das Haftungsrisiko, die Kosten und den Aufwand auf Seiten der comdirect und nicht um meine Sicherheit.

Bei so viel undurchsichtigen und ungefragten Schutzmaßnahmen fühlt man sich glatt wie in Deutschland zu Corona-Zeiten. Da soll's ja auch so ähnlich zugehen.

Eine Lösung mit Magisk

Ein halbes Jahr später im November 2020 habe ich mein Handy neu einrichten müssen und dabei MagiskHide gefunden, mit dem sich die Comdirect-Photo-App auf einem gerooteten Handy benutzen lässt.