Jetzt einmal nur unter uns,

ohne jemandem persönlich nahe zu treten der im Umfeld einer IT-org im Finanzministerium oder BRZ (keine Ahnung wer dafür verantwortlich gemacht gehört) arbeitet.

ABER WER HAT SICH DIESE SCHEI*E EINFALLEN LASSEN.


TL;DR:

F*CK GOV-IT


Ich hab gerade, mit einer mir bekannten älteren Dame, versucht ihre Finanzonline Kennung im Unternehmenserviceportal zu hinterlegen.

Um den vollen Funktionsumfang nutzen zu können braucht man dann auch Handy-signatur, bzw. da nun bald zwingend eine ID-Austria.

1. Problem: A-Trust

Nachdem ihre alte Signatur in diesem Jahr abgelaufen ist (das wird einem beim Anmelden nicht gesagt, das fand ich durch FAQ wälzen raus - Fehlermeldung “iNcOrrEcT PasSwOrD”) wollte ich diese Re-aktivieren damit wir uns ohne Behördengang zur ID-Austria anmelden können.

Das geht soweit so gut über Finanzonline, man aktiviert die Handysignatur und bekommt dann einen RSb-Brief mit einem Widerrufs-pin.

Soweit so gut, der kam dann auch im Laufe von einer Woche an. Nun gesagt getan, wollte ich heute die Signatur re-aktivieren. und mit dem Behördlich ausgestelltem Widerrufspin funktioniert es

spoiler

NICHT

Eine kryptische Fehlermeldung ala “Identität ist im System nicht hinterlegt” später und einem kleinen aber lautem “F*ck u” in den Bildschirm hinein gab ich mich geschlagen und schickte meine Bekannte mit dem Ganzen Wisch auf die Behörde damit die das vor Ort regeln können.

Also weiter mit der 2. Affäre.

2. Problem: Finanzonline

Man kann im Unternehmenserviceportal (USP) eine private Finanzonlinekennung im USP hinterlegen damit man k.a. was genau, jedenfalls mehr online machen kann. Klingt in der Theorie grandios.

Da hat sich der Systemarchitekt bei Finanzonline aber ziemlich lustige easter eggs einfallen lassen.

Größteils bzgl. einer einheitlichen Nomenklatur bzg. Identifikations-termen.

Einmal ist von Teilnehmeridentifikationsnummer die Rede, dann wieder nur von der Benutzeridentifikationsnummer. Manchmal gilt nur eines der beiden. Manchmal braucht man beides. Wohlgemerkt das die reine Benutzeridentifikationsnummer die Teiln.-ID ablösen soll!

Weiter gehts dann mit den Passwörtern. Einmal ist vom PIN die Rede, einmal vom Passwort. Wenn man auf PW zurücksetzen klickt bekommt man eine SMS mit einem PIN, wenn man woanders in einem PASSWORT (!!) Feld das Passwort falsch eingibt dann kommt eine Fehlermeldung wo auf einen falschen PIN hingewiesen wird.

I mean, seriously?!?

ICH HABE IM LEBEN NOCH NICHT SO EINEN INKONSISTENTEN HAUFEN BS GESEHEN.

Ich zähle mich selbst nicht mehr zu den digital natives, aber hab bei weitem ein überdurchschnittliches digitales-Verständnis/Hausverstand, Aber bei dem E-Gov. Auftritt kann man nur mehr überlegen ob man weinen oder lachen soll.

Wie so ein System in Produktion gehen kann ist mir schleierhaft. Inkonsistente bzw. 0815 Fehlermeldungen, ohne dem User das Problem darzubieten. Abwechselnde Begrifflichkeiten damit man ja verwirrt ist wenn die Seite dann lädt und plötzlich heißt alles anders. Und von der abwechselnden UX will ich garnicht anfangen.

Peace Out!

  • Zeno_of_Citium@infosec.pub
    link
    fedilink
    arrow-up
    1
    ·
    1 year ago

    Im Online-Banking (ich schau ganz unauffällig Richtung Unicredit Bank Austria Onlinebanking) ist die Namensgebung auch nicht sonderlich eindeutig.

    Was sehr hilfreich ist, wenn man 70-80jährigen dabei helfen will, den ohnehin schon komplizierten dank PSD2 erforderlichen 2-Faktor-Workflow zu bewältigen. PIN, Username, Passwort, ach wer weiß irgendwas wird schon passen.