App Zwang bei Cosmos Direkt?
Ich arbeite mich gerade durch die liegengebliebene analoge Post und habe einen Freischaltcode für das Kundenportal meinCosmosDirekt entdeckt. Das schaue ich mir gerade genauer an:
Ein Login ist Stand heute (22.11.2025) nicht mehr wie bisher möglich und wird durch den „Einrichtung zweiter Schritt“ Dialog blockiert und läßt sich auch nicht überspringen.
Wozu die sogenannte 2-Faktoren-Authentifikation?
Grundsätzlich ist das Zwei-Schritt-Verfahren eine gute Verbesserung der Sicherheit von Zugängen.
Die Idee ist, dass man sich zusätzlich zum Passwort („Geheimnis“) über einen zweiten Faktor („Besitz“, also etwas, das digital nicht einfach geklaut werden kann) verifiziert. Bekanntestes Beispiel hierfür ist der seit den frühen Zeiten des Onlinebanking bekannte Sm@rt-TAN Leser:
Wollen Kriminelle Zugriff auf mein Onlinebanking, benötigten sie neben meinem Passwort also auch noch meine EC Karte. Damit muss man sich also bei mir digital reinhacken und mir gleichzeitig heimlich den Geldbeutel bzw. die Karte daraus entwenden, ohne dass ich dies bemerke und mein Konto sperre.
Welche Möglichkeiten gibt es hier generell?
Hardware-basiert
- TAN Geräte, die in Verbindung mit einer Chipkarte (EC Karte z.B.) funktionieren
- OTP (One Time Password) Generatoren im Schlüsselanhängerformat, die auf Knopfdruck einen einmaligen Code generieren und mit dem jeweiligen Konto synchronisiert sind
- FIDO USB/Bluetooth/NFC Sicherheitschlüssel (wie z.B. der Yubikey)
Software-basiert
offene OTP Generator App (vergleichbar wie die Schlüsselanhänger), die in Form einer App beliebig viele digitale Konten sichern können. Lassen sich z.B. verwenden mit Konten von
- meta
- amazon
- Fediverse (Mastodon, GoToSocial uvm.)
- Github
- Gitlab
- uvm.
Das ist ein offener Standard. Die passenden quelloffenen und unabhängig überprüften Apps gibt es für alle Desktop- und Mobilen Betriebssysteme von Linux bis zu OSX, Windows.
- Eine anbieterspezifische App: Für jeden genutzten Dienstleister muss hier eine eigene App installiert, eingerichtet und ständig aktuell gehalten werden
- Nachteile:
- Hat man beispielsweise 20 Konten, die man mit einem OTP schützen will, bräuchte es 20 Apps
- Werden nur für die beiden großen Anbieter Google Android und Apple IPhone angeboten. Google-befreite Smartphones auf LineageOS Basis oder Linux-basierte Smartphones mit Ubuntu Touch und postmarketOS gehen leer aus
- Auch muss das Android bzw. IPhone auf einem halbwegs aktuellen Stand sein, damit diese Apps damit nutzen kann
- Diese Apps sind normalerweise closed-source und damit nicht auditierbar, können also zahlreiche Sicherheitslücken enthalten
- Diese Apps laufen fast immer auf dem gleichen Smartphone wie die Anbieterapp selbst: Dadurch wird aus einer eigentlichen Zwei-Faktoren Anmeldung nur noch eine Zwei-Schritt Anmeldung
- Hackt sich jemand ein, hat der Angreifer schnell Zugriff auf die Dienstleister App und die zugehörige OTP App
- oder klaut jemand das Handy, braucht er nur noch die oft zu schwache Sicherheitssperre der Person aushebeln und hat ebenfalls vollen Zugriff
- Nachteile:
Was bietet CosmosDirekt an?
Laut Onlineportal geht es nur noch mit der eigenen „meinCosmosDirekt-App“ (also software-basierte Lösung mit App-Zwang). Ohne bin ich aktuell ausgesperrt. Ich habe daher gerade den CosmosDirekt kontaktiert und gefragt, wie ich a) ohne ihre App weiter Zugriff auf meine Daten erhalte und b) wieso sie nicht zumindest zusätzlich einen sichereren und inklusiven offenen Ansatz verfolgen
Ich bin auf die Antwort und den Workaround gespannt.
Nebenbei: Ich habe zu einem ähnlichen Vorgehen schon vor einigen Jahren gebloggt: Für jedes Bankkonto eine eigene App installieren?
