Hallo,
existierende Anwender von Mein Elster haben es wahrscheinlich wie ich nur mitbekommen, wenn sie sich dort eingeloggt und einen Hinweise angezeigt bekommen haben:
Es gibt neben der App ElsterSmart nun die App ElsterSecure, die erstere wohl mittelfristig ablösen soll.
Angekündigt und als Vaporware existierte sie schon einige Zeit, dass sie nun aber tatsächlich da ist, kommt überraschend, und da Elster das Forum als Medium komplett ignoriert, der Elster-Blog tot ist, über Twitter eh nichts außer automatisierten Störungsmeldungen zu erwarten ist, war man in der Tat auf die Meldung auf der Elster-Seite unter der Rubrik "Wussten Sie schon" (Nein, woher denn?) und die Meldung beim Login angewiesen. Aber da geht es der Ankündigung über die globale Einwilligung zur elektronischen Bekanntgabe von Bescheiden und Schreiben nicht anders, die war Elster noch nicht einmal ein "Wussten Sie schon" wert.
Ich kann es nur als jemand beschreiben, der bisher (auch) ElsterSmart benutzt hat:
Bei ElsterSmart konnte man sein existierendes Zertifikat per Dateitransfer auf das Smartphone oder per QR-Code von Mein Elster aus in die App importieren. Wenn man sich per ElsterSmart einloggen wollte, musste man das Zertifikat in der App entsperren und konnte dann entweder direkt auf dem gleichen Gerät Mein Elster nutzen oder sich auf einem PC über Einmal-TANs, die in der App generiert wurden, einloggen, ohne dass das Zertifikat auf dem PC abgespeichert sein musste (quasi Use-Case Internet-Café). Andere Möglichkeiten zum Entsperren jenseits
Bei ElsterSecure wird die App auf einem bestimmte Gerät per QR-Code von Mein Elster aus als Identifikationsmerkmal freigeschaltet. Dies ist für maximal drei Geräte möglich. Das Entsperren der App erfolgt per dem im System des Smartphones hinterlegten Sicherheitsmechanismus. Bei mir Fingerabdruck, aber wahrscheinlich gehen auch Gesichtserkennung oder Entsperrmuster.
Vergleich Login auf dem Smartphone direkt:
Bei Wahl der Identifikationsmethode ElsterSmart wierde ich in die entsprechende App umgeleitet, Login per Passwort (man kann sagen, dass dieses für die Sitzung gemerkt wird), nach Eingabe des Passworts lande ich instantan in Mein Elster.
Bei Wahl der Methode ElsterSecure muss ich etwa 3 Sekunden warten, bis ich "Weiter mit ElsterSecure" anklicken kann, und werde ich dorthin umgleitet, Entsperren mit Fingerabdruck, dann warten... ca. 5 Sekunden.
Wegen der Wartezeit bei ElsterSecure ist man hier trotz Notwendigkeit, bei ElsterSmart ein Passwort einzugeben, eher langsamer.
Vergleich auf PC:
Auf dem PC ist der Login mit ElsterSecure deutlich einfacher: Einen QR-Code scannen, wieder ein paar Sekunden warten, drin. Bei ElsterSmart Barcode scannen, erste generierte TAN eingeben, zweite TAN abwarten und bestätigen. Klares Plus bei ElsterSecure.
Überraschende Erkenntnis: Bei ElsterSecure brauche ich zum Abruf von Bescheinigungen keinen Abrufcode mehr, während er bei ElsterSmart wie beim klassischen Login per Zertifikatsdatei abgefragt wird!
Fragezeichen am Schluss: Bei den Apps der Banken zur 2FA kenne ich es so, dass ich ein Passwort hinterlege und zusätzlich biometrische Identifzierung (per Fingerabdruck) wählen. Ersteres ist insbesondere wichtig, da bei mir die zweite Option i.A. in den Apps (aus nachvollziehbare Gründen) deaktiviert wird, wenn ich z.B. einen Fingerabdruck hinzufüge, d.h. ich brauch dann mein Passwort, um für die App Fingerabdrücke wieder zu aktvieren.
Bei ElsterSecure gibt es kein Passwort. Es wird tief in den FAQ darauf hingewiesen, dass bei Wechsel der Authentifizierungsmethode (z.B. Fingerabdruch nach Gesichtserkennung) die App auf dem Gerät wieder neu aktiviert werden muss. Hierzu ist ein alternativer Zugriff auf Mein Elster notwendig, sonst bleibt nur die Zugangserneuerung. Es würde mich nicht wundern, wenn das auch passiert, wenn ich z.B. einen Fingerabdruck hinzufüge.
Es ist also bei ElsterSecure essenziell, eine zusätzliche Login-Option zu haben, entweder über eine anderes Gerät oder per zusätzlichem Zertifikat oder nPA. Hierauf wird in den FAQ mE nicht deutlich genug hingewiesen (abgesehen davon, dass schon dieses Forum zeigt, dass die FAQ und sonstigen Hilfen zu wenig gelesen werden). Ich sehe hier für das Forum einen gewissen Unbill zukommen, wenn Anwender sich unbeabsichtigt bei Mein Elster aussperren, weil sie die Sicherheitseinstellungen ihres Smartphones ändern.
existierende Anwender von Mein Elster haben es wahrscheinlich wie ich nur mitbekommen, wenn sie sich dort eingeloggt und einen Hinweise angezeigt bekommen haben:
Es gibt neben der App ElsterSmart nun die App ElsterSecure, die erstere wohl mittelfristig ablösen soll.
Angekündigt und als Vaporware existierte sie schon einige Zeit, dass sie nun aber tatsächlich da ist, kommt überraschend, und da Elster das Forum als Medium komplett ignoriert, der Elster-Blog tot ist, über Twitter eh nichts außer automatisierten Störungsmeldungen zu erwarten ist, war man in der Tat auf die Meldung auf der Elster-Seite unter der Rubrik "Wussten Sie schon" (Nein, woher denn?) und die Meldung beim Login angewiesen. Aber da geht es der Ankündigung über die globale Einwilligung zur elektronischen Bekanntgabe von Bescheiden und Schreiben nicht anders, die war Elster noch nicht einmal ein "Wussten Sie schon" wert.
Ich kann es nur als jemand beschreiben, der bisher (auch) ElsterSmart benutzt hat:
Bei ElsterSmart konnte man sein existierendes Zertifikat per Dateitransfer auf das Smartphone oder per QR-Code von Mein Elster aus in die App importieren. Wenn man sich per ElsterSmart einloggen wollte, musste man das Zertifikat in der App entsperren und konnte dann entweder direkt auf dem gleichen Gerät Mein Elster nutzen oder sich auf einem PC über Einmal-TANs, die in der App generiert wurden, einloggen, ohne dass das Zertifikat auf dem PC abgespeichert sein musste (quasi Use-Case Internet-Café). Andere Möglichkeiten zum Entsperren jenseits
Bei ElsterSecure wird die App auf einem bestimmte Gerät per QR-Code von Mein Elster aus als Identifikationsmerkmal freigeschaltet. Dies ist für maximal drei Geräte möglich. Das Entsperren der App erfolgt per dem im System des Smartphones hinterlegten Sicherheitsmechanismus. Bei mir Fingerabdruck, aber wahrscheinlich gehen auch Gesichtserkennung oder Entsperrmuster.
Vergleich Login auf dem Smartphone direkt:
Bei Wahl der Identifikationsmethode ElsterSmart wierde ich in die entsprechende App umgeleitet, Login per Passwort (man kann sagen, dass dieses für die Sitzung gemerkt wird), nach Eingabe des Passworts lande ich instantan in Mein Elster.
Bei Wahl der Methode ElsterSecure muss ich etwa 3 Sekunden warten, bis ich "Weiter mit ElsterSecure" anklicken kann, und werde ich dorthin umgleitet, Entsperren mit Fingerabdruck, dann warten... ca. 5 Sekunden.
Wegen der Wartezeit bei ElsterSecure ist man hier trotz Notwendigkeit, bei ElsterSmart ein Passwort einzugeben, eher langsamer.
Vergleich auf PC:
Auf dem PC ist der Login mit ElsterSecure deutlich einfacher: Einen QR-Code scannen, wieder ein paar Sekunden warten, drin. Bei ElsterSmart Barcode scannen, erste generierte TAN eingeben, zweite TAN abwarten und bestätigen. Klares Plus bei ElsterSecure.
Überraschende Erkenntnis: Bei ElsterSecure brauche ich zum Abruf von Bescheinigungen keinen Abrufcode mehr, während er bei ElsterSmart wie beim klassischen Login per Zertifikatsdatei abgefragt wird!
Fragezeichen am Schluss: Bei den Apps der Banken zur 2FA kenne ich es so, dass ich ein Passwort hinterlege und zusätzlich biometrische Identifzierung (per Fingerabdruck) wählen. Ersteres ist insbesondere wichtig, da bei mir die zweite Option i.A. in den Apps (aus nachvollziehbare Gründen) deaktiviert wird, wenn ich z.B. einen Fingerabdruck hinzufüge, d.h. ich brauch dann mein Passwort, um für die App Fingerabdrücke wieder zu aktvieren.
Bei ElsterSecure gibt es kein Passwort. Es wird tief in den FAQ darauf hingewiesen, dass bei Wechsel der Authentifizierungsmethode (z.B. Fingerabdruch nach Gesichtserkennung) die App auf dem Gerät wieder neu aktiviert werden muss. Hierzu ist ein alternativer Zugriff auf Mein Elster notwendig, sonst bleibt nur die Zugangserneuerung. Es würde mich nicht wundern, wenn das auch passiert, wenn ich z.B. einen Fingerabdruck hinzufüge.
Es ist also bei ElsterSecure essenziell, eine zusätzliche Login-Option zu haben, entweder über eine anderes Gerät oder per zusätzlichem Zertifikat oder nPA. Hierauf wird in den FAQ mE nicht deutlich genug hingewiesen (abgesehen davon, dass schon dieses Forum zeigt, dass die FAQ und sonstigen Hilfen zu wenig gelesen werden). Ich sehe hier für das Forum einen gewissen Unbill zukommen, wenn Anwender sich unbeabsichtigt bei Mein Elster aussperren, weil sie die Sicherheitseinstellungen ihres Smartphones ändern.
Kommentar