Schon ausgelaufen

Am 10.04.24 um 22:55 schrieb Axel Berger:

Europäische Daten in der Breite abzuschöpfen und nach Russland weiter zu leiten, könnte für eine Regierung Trump durchaus interessant sein.

...einfach nur traurig. Genauso, wie militärische Planspiele über eine unverschlüsselte, internationale Telefonverbindung zu spielen.

Ja, wenn es rauskommt.

Freilich. Die Verschwörungstheoretiker übersehen erstens, dass der gemeine Bankkunde kein Ziel sein kann, schon, weil es bedeutend leichter wäre, bei entsprechendem Interesse die gewünschten Daten zentral beim jeweiligen Bank-RZ zu besorgen. Und zweitens hat der Kunde ja ohnehin auch kein hohes eigenes Interesse an besonders hoher Sicherheit des immerhin ja seitens der Bank zur Verfügung gestellten Onlinezugangs, da bei Missbrauch stets die Bank haftet, es sei denn, der Kunde hätte allzugroße Dummheiten begangen, wie etwa fehlendes Sperr-Kennwort fürs Handy (oder alternative Zugangsschranken wie Fingerabdruck etc), die öffentliche Bekanntgabe der (allzu primitiv gewählten) PIN zur Banking-App oder etwa gar Verwendung eines gerooteten Smart-Phones (was ja auch mal die Sicherheit von Sandboxes etc. aushebelt, wobei die meisten Banking-Apps dann aber ohnehin ihren Dienst verweigern). Es liegt ja im Interesse der Bank, die Transaktionen möglichst sicher zu gestalten, da sie für Transaktionen haftet, welche nicht vom berechtigten Kontoinhaber veranlasst werden

Er darf natürlich auch deutlich feiner granulierte Werte abfragen, so er denn eine "intelligente Messeinrichtung" hat und mit dem Messstellenbetreiber einen geeigneten Vertrag abschließt.

Der Gesetzgeber schränkt das Spektrum der Werte, welche gespeichert werden dürfen, drastisch ein. Der Messstellenbetreiber bedarf der Erlaubnis des Kunden, wenn er mehr speichern soll, als für die Abrechnung nötig ist. Bei der Mehrzahl der Kunden wird das erlaubterweise zu speichernde Datum daher lediglich die Summe des Jahresverbrauchs sein.

Das kommt auf deinen Stromliefervertrag an. Wenn du z.B. bei Tibber mit seinem "dynamischen" Strompreis unter Vertrag stehst, so will Tibber natürlich völlig zu Recht die Viertelstundenwerte deines Verbrauchs haben, um die zeitlich variablen Strompreise in deine Rechnung einfließen zu lassen. Du wirst also der Erfassung der Viertelstundenwerte zustimmen müssen, wenn du das willst

MfG Rupert

Ja. Nur ist gerade das bei diesem Punkt nicht das Thema und auch gar nicht möglich. Da sind keine Daten. Zur Erinnerung, genau das war Dein Einwand:

Sie hat dienstliche, vertragsrelevante Kommunkation über private Geräte abgewickelt und durch Vernichtung der Betriebsprüfung entzogen. Das mußte auch nicht herauskommen, das war nie heimlich oder unbekannt.

Den kenne ich zugegebn nicht, aber bis jetzt habe ich (außer in sehr phantasievollen Zukunftsvorstellungen) an Preismodellen nichts gesehen, was nicht mühelos mit einem von außen umschaltbaren Mehrtarifzähler bei jährlicher Ablesung realisierbar wäre.

So etwas gibt es etwa so lange wie ich lebe.

Es gibt wohl drei realistische Szenarien, in denen solche Preismodelle einen Unterschied machen:

1. Elektroauto laden: Viele Elektroautobesitzer laden das Auto am Wochenende, wenn die Sonne scheint voll (wenn das Auto sowieso immer angehängt bleiben kann, dann kann man das Laden an ein Preissignal, z.B. unter einer gewissen Preisgrenze koppeln) und fahren so vom Strom her fast kostenlos
2. Wärmepumpen-Abwurftarife: Bei vielen Heizsystemen mit Wärmepumpen hat man etwas Trägheit im System, wodurch man die Wärmepumpe auch mal für eine Stunde abwerfen lassen kann. Es gibt eigene Tarife, bei denen das mit einem niedrigeren Preis belohnt wird (z.B. bis zu 3x 1 Stunde Abwurf pro Tag). Bei Warmwasserbereitung geht das natürlich auch. Das EVU wird natürlich dann abwerfen, wenn die Preise gerade explodieren.
3. "Hobby-Knauserer" und fanatische Optimierer: Es gibt so eine Sorte Mensch, die kann dir erzählen, was sie ein Ausdruck farbig A4 an Tinte kostet (und dann ist es immer selbst nachgefüllte Tinte, mit günsigem Literpreis), oder die wissen auch immer wieviel Liter sie in den letzten 10 Jahren mit ihrem Auto verfahren haben, alles mit Kilometerstand in eine Excel-Tabelle eingetragen. Die können dann ihr Hobby erweitern und nach einer Preisanzeige den Geschirrspüler oder die Waschmaschine einschaltet, wenn der Strom besonders günstig ist, um dann

2 Cent zu sparen oder so. Auch wenn es mehr Selbstzweck und Hobby als Ersparnis ist.

Zumindest die ersten beiden Gruppen dürften praktische Relevanz haben, die dritte taucht immer wieder mal in Diskussionen auf.

/ralph

Am 11.04.24 um 07:42 schrieb Axel Berger:

Warum sollte das nicht möglich sein? Jedes Smartphone sendet ständig umfangreiche Daten "nach Hause". Dort auf Befehl noch die Daten aus den geschützten Speicherbereichen (Schlüssel, Accounts, etc.) mit hinein zu packen, sind wenige Promille mehr.

Schlüssel für TAN-Generatoren wären dabei vermutlich nicht das Ziel, aber Beifang und bei Weitergabe in die falschen Hände...

Da war sie dann aber selten dumm, wenn das nie heimlich war. Man hätte ja den offiziellen Teil des Vertrags über das Dienstgerät und die geheime Zusatzvereinbarung über finanzielle Zuwendungen, den Aufsichtsratposten, etc. über das Privathandy schicken können.

Also wenn es um Bankfrontends geht, die das sog. "Cronto Visual Cryptogram" (aka. photoTAN) anzeigen [1], dann wäre ich reichlich erstaunt, wenn es dazu nicht den Chip der Bankkarte bräuchte. Also bei meiner Bank und dem Digipass 882 Hybrid ist es genau so: Karte in den Schlitz des TAN-Generators, Gerät wacht auf, Option "Scan" wählen, Kamera auf QR- oder Cronto-Code richten, Daten werden in Sekundenbruchteilen eingelesen, IBAN & Betrag angezeigt. Dann mit OK abnicken und die generierte TAN im Frontend eingeben.

Wenn das irgendwie irgendwo irgendwann OHNE den Kartenchip funktionieren würde, fände ich das besorgniserregend und hochgradig merkwürdig. Proprietäre NIHS- Scheiße passiert natürlich immer, aber das ist/war garantiert nicht im Sinne des Erfinders: Würde ich mit der ING aber ein sehr deutliches Wörtchen reden.

Vielleicht habe ich irgendwann Lust, ein bisserl mit meinem TAN-Generator rumzuspielen (die üblichen Sachen: unterschiedliche Karten, selber Cronto-Code, selbe Karte, selber Code, selber Karte, anderer Code, neue Transaktion, alter Code, handfabrizierter/kaputter Code, QR-Code statt Cronto, usw.), aber momentan bin ich eigentlich ganz froh, daß der Dreck einfach funktioniert und habe keine Lust, daß man mir wegen potentieller Bösartigkeit das Konto sperrt.

Volker

[1]

Immer wieder faszinierend der Schellong. Hier mein TAN-Generator:

char* MakeTAN() { static int i = 0; static char s[8]; sprintf(s, "%07d", i++ % 10000000); return s; }

Viel sicherer als die Variante mit sechs Stellen.

Volker

Bei der Deutschen Bank gibt es dazu eine App fürs Handy, mit der fotografierst Du das "Cronto Visual Cryptogram" (also das bunte Punktemuster), die spuckt eine TAN aus, die man dann am PC im Online Banking eingeben kann. Nix ist mit Chip und Bankkarte.

Holger

Sehr interessant. Ich zerlege also die App (das ist letztlich irgendein Java- Kram), lutsche den Krypto-Anteil da raus und kann, insofern ich Zugriff aufs Bankfrontend habe, mißbräuchliche Überweisungen tätigen? Und ebendieser Zugriff aufs Frontend war ja der Auslöser dafür, 2FA als höheren Sicherheitsstandard einzuführen. Naja, muß ich ja nicht alles verstehen, jeder wie ihm beliebt.

Volker

Vollkommen richtig. Hier weiß das Gerät nichts von Daten. Ich sitze am richtigen Rechner und veranlasse eine Überweisung oder rufe Auszüge über einen längeren Zeitraum ab. Das Smartphone generiert nur die Freigabe dafür. Über die eigentliche Transaktion weiß es nichts und kann auch nichts ausplaudern.

Richtig. Für die muß der gerade geltente Tarif vom Versorger zum Abnehmer gesendet werden und der dann laufende Verbrauch im richtigen Zähler mit dem richtigen Tarif erfaßt werden. Eng getaktete Rückmeldung vom Verbraucher zum Versorger ist überflüssig und trägt nichts brauchbares bei.

Die Abschaltmöglichkeit bei Wärempumpen und Ladestationen steht meiens Wissens schon jetzt in jedem Vertrag, deshalb die separaten Zähler und Tarife dafür.

Warum und zu wessen Nutzen wurde eine solche Meldepflicht also erdacht?

Eine Erhöhung der Anzahl der Stellen (/Auflösung/) gibt grundsätzlich mehr Sicherheit, falls es sich um Keys, Hashes oder vergleichbar handelt.

Ich habe eine Reihe von kryptographischen Algorithmen selbst implementiert: Zufallszahlen, Verschlüsselungen, Hashes. Von daher weiß ich das halt.

Ich glaub nicht, dass da viel hin- und hergesendet werden muß. Im Zähler wird ja nur die Menge, nicht der Preis erfaßt/angezeitgt, letztendlich braucht der Zähler ja nur regelmäßig den Verbrauch ans Backend des EVU liefern, und dort wird alles abgerechnet.

Die Kundeninformation, auch für automatisierte Entscheidungen wie das Autoladen unter einem bestimmten Tarif, die kann man ja ganz normal übers Internet machen.

Naja, der Versorger will schon wissen, was du wann verbraucht hast. D.h. es ist sinnvoll, dass du alle paar Minuten (oder was auch immer der Verrechnungszeitraum ist) den aktuellen Stand schickst, damit der mit dem richtigen Tarif verrechnet wird. Wie soll das EVU sonst wissen, ob du deine 20kWh fürs Auto zu mittag oder am Abend entnommen hast?

Die Gegenrichtung (EVU->Haushalt) ist vermutlich entbehrlich, bzw. kann auch übers Internet gelöst werden.

Mag sein, ich hab noch keine. Sinnvoll wäre es, wobei sicher bei einem System mit viel Wasser und einer Fußbodenheizung viel mehr möglich ist als bei einem kleineren System mit Heizkörpern oder gar einer Luft-Luft-WP. Man wird also schon dem Kunden diesbezüglich einen gewissen Entscheidungsspielraum geben müssen, sinnvollerweise.

/ralph

Wo ich nochmal drüber nachdenke: Der Lastabwurf wird sicher sinnvollerweise auf diesem Weg gemacht, als auf dem fragileren Weg übers Internet.

/ralph

Ich nicht.

Tarife mit variablen Preisen arbeiten oft im 15-Minuten-Takt. Auch ist dieser Takt bei der Verteilung des PV-Ertrags einer Mieterstromanlage im Gesetz vorgesehen.

Das stimmt, ich lese meine Zähler auch selbst ab und werfe die Meßwerte in eine InfluxDB.

Grüße Marc

In der Praxis wird diese Abrechnung in den Systemen der Anbieter erfolgen, dazu sind die 15-Minuten-Werte dann wichtig.

Der Gesetzgeber wird das auf entsprechenden Lobbydruck ins Gesetz geschrieben haben.

Grüße Marc

Das ist ein Irrtum.

|Beim photoTAN-Verfahren wird eine TAN mit einem speziellen Lesegerät |– dem photoTAN-Generator – erzeugt. |Sie brauchen dafür kein Smartphone oder Handy. |Und um den ING photoTAN-Generator an Ihrem PC, Tablet oder mobilen Gerät |zu verwenden, brauchen Sie auch keine Kontokarte oder eine spezielle Software. | |Das photoTAN-Verfahren entspricht den aktuellsten Sicherheitsstandards. |Die Daten sind in Form einer Farbgrafik verschlüsselt. |Erst im Zusammenspiel Ihres Computers mit dem photoTAN-Generator werden sie entschlüsselt. |Ihr Computer zu Hause und der photoTAN-Generator kennen also jeweils nur einen Teil der Informationen. |Zudem kommt der photoTAN-Generator selbst ohne Internet- oder Telefonverbindung aus. |Sicherheitsversprechen der ING: |Sie haben unser Wort: Falls Dritte Ihre Zugangsdaten zum Internetbanking+Brokerage |missbrauchen, ersetzen wir Ihren finanziellen Schaden.

'Computer' bedeutet vorstehend 'konto-spezifische Webseite'. Das entspricht ungefähr einer Kontokarte. Dieses PhotoTAN-Verfahren muß relativ aufwendig aktiviert werden. Dabei werden die Webseite und der Generator miteinander /verheiratet/. Wohingegen das ChipTAN-Verfahren (mit Karte) gar nicht aktiviert werden muß. Die Aktivierung ersetzt folglich die Karte.