Größter Feind der Sicherheit ist Bequemlichkeit

Sicherheitsbedenken beim Mobile Banking

Bei allem Komfort und bei aller Bequemlichkeit, die Mobile Banking liefert, steht der Aspekt der Sicherheit im Fokus. Schließlich sind Sicherheitsbedenken wohl immer noch der häufigste Grund, warum viele Nutzer auf digitales Banking – zumal via App – verzichten.

  • Mobile Banking
  • Banking per App

    Quelle: Yougov – im Auftrag von Eco und MOBILE BUSINESS

  • Banking per App

    Quelle: Yougov – im Auftrag von Eco und MOBILE BUSINESS

Natürlich beteuern alle Anbieter unisono die Wichtigkeit des Themas Sicherheit, weil sie im Falle des Bekanntwerdens von Betrugsfällen ihre Geschäftsgrundlage riskieren. Neben eigenen Maßnahmen setzt man bei Telefónica/O2, als Mobilfunkdienstleister in Kooperation mit der Fidor Bank ebenfalls Anbieter eines kostenlosen Girokontos, zusätzlich zu der Erfüllung der relevanten Sicherheitsaspekte auch auf die Aufklärung der Kunden. Dass die Schutzmaßnahmen nicht immer greifen, zeigt der Fall einer Sicherheitslücke im Mobilfunknetz von Telefónica/O2, über die Hacker Zugriff auf die privaten Konten zahlreicher Kunden erlangten. Eine Schwachstelle übrigens, die den Mobilfunkern seit 2014 bekannt war.

Solche Nachlässigkeiten sollten tunlichst vermieden werden, will man das Vertrauen der Kunden gewinnen. Wie dies geschehen soll, beschreibt Innovations-Chef Fernando Burgos Herce: „Bei der Registrierung wird das Banking-Konto an das Smartphone des Kunden gekoppelt, wodurch nur dieses Gerät für Transaktionen genutzt werden kann. Der Zugriff auf die Banking-App an sich ist zusätzlich durch ein Passwort bzw. eine Fingerprint-Identifikation geschützt.“ Sensible Transaktionen müssten durch eine vom Kunden bei der Registrierung gewählte Bezahl-PIN bestätigt werden. Dies gelte sowohl für Transaktionen innerhalb der App als auch für Bezahlvorgänge mit der O2-Banking-Karte. Zudem hat der Kunde jederzeit die Möglichkeit, Obergrenzen seiner Banking-Karte zu definieren oder Bargeldabhebungen  zu deaktivieren.

Umfangreiche Schutzfunktionalitäten

Eine sogenannte Shield Software soll O2-Banking außerdem vor Angriffen schützen. Auf gerouteten Geräten funktioniert die App nicht. Zudem wurde für das Online-Shoppen mit Mastercard das nach eigenem Bekunden erste biometrische Secure-Code-Verfahren in Deutschland eingeführt.

Neben den Echtzeitbenachrichtigungen, die den Kunden volle Transparenz geben sollen, sieht man Security bei N26 als fortlaufendes Thema, bei dem man sich immer an den neueste Entwicklungen orientieren müsse. Dies geschieht über ein eigenes Security-Team, zudem über die regelmäßige Zusammenarbeit mit externen Experten, die Penetrations-Tests durchführen und die Systeme stetig auf die Probe stellen. N26 animiert außerdem White Hacker dazu, die eigenen Systeme zu knacken. „Wer etwas findet, wird entsprechend entlohnt. Wir beziehen unsere Security daher auch aus der Crowd“, so Valentin Stalf. Während solche Programme insbesondere bei großen amerikanischen Tech-Firmen bereits an der Tagesordnung seien, steckten sie in Deutschland noch in den Kinderschuhen.

Dies ist ein Artikel aus unserer neuen Print-Ausgabe. Bestellen Sie ein kostenfreies Probe-Abo frei Haus.

Trotz aller Bemühungen der Branche um Sicherheit ist es dennoch ratsam, die Situation realistisch zu betrachten. Es sei davon auszugehen, so Christian Kastner von Star Finanz, dass die Angriffe auf Produkte und auch die dabei verwendeten Tools, etwa Trojaner, künftig immer ausgefeilter würden. Bereits jetzt zeichne sich ab, dass Angriffe auf mobile Endgeräte besonders stark zunehmen werden. Erschwerend komme hinzu, dass immer mehr „Baukästen“ zur Erstellung von Schadprogrammen auch Leuten zur Verfügung stünden, die selbst keinerlei Hacker-Fähigkeiten besäßen und die diese Baukästen gegen immer kleinere Gebühren nutzen können, um eigenständig Angriffe zu fahren.

Gerade die Android-Plattform gilt systembedingt als unsicherer als iOS, was laut Sicherheitsexperten zum einen an ihrer Offenheit und zum anderen an den verschiedenen Herstellerversionen und Release-Ständen des verbreitetsten mobilen Betriebssystems liegt. Valentin Stalf kontert entsprechende Bedenken damit, dass in der N26-App keine Daten lägen, stattdessen würden sie nur nach erfolgreicher Authentifizierung über eine abgesicherte Schnittstelle geladen.

Risiko Bequemlichkeit

Er lehnt sich sogar weit aus dem Fenster: „Grundsätzlich ist mobiles Banking die sicherste Art, Bankgeschäfte zu erledigen. Es gibt auf Smartphones deutlich weniger Viren als auf Computern.“ Praktisch gebe es bislang keine Betrugsfälle, obwohl schon mehrere Millionen Transaktionen abgewickelt worden seien. Sein Unternehmen etwa arbeitet mit einem dreistufigen Verfahren: Log-in mit Fingerabdruck oder Passwort, einem statischen Überweisungs-Pin und einer Push-Mitteilung, die ähnlich einer mobilen TAN funktioniert. Derzeit geht die Entwicklung bei N26 generell weg von statischen Verfahren und hin zu dynamischen Risikomodellen, die verschiedene Faktoren abgleichen und so die erforderlichen Sicherheitsmerkmale verändern.

Grundsätzliches gibt Kontist-Chef Christopher Plantener zu bedenken: „Bankdaten liegen auch in Buchhaltungssystemen oder in PDFs auf den meisten Rechnern oder in der Cloud. Viele User schicken ihre Kontoauszüge per E-Mail an ihren Steuerberater, wobei dieser Kanal meist weder verschlüsselt noch gesichert ist. Geht es also um die reinen Bankdaten, würde ich sagen, dass es Stellen gibt, an denen man wesentlich einfacher an Daten herankommt.“ Hinsichtlich transaktioneller Daten wie TANs sei die Frage nach der Sicherheit der Betriebssystem-plattform durchaus berechtigt. Allerdings seien die mobilen Apps nicht anfälliger als herkömmliches Online-Banking via Browser, wo es auch immer wieder zu Betrugsvorfällen wie Phishing käme.

Überhaupt sei der größte Feind der Sicherheit die Bequemlichkeit. „Es gäbe Möglichkeiten, zusätzliche Sicherheitshürden einzubauen, wie etwa eine Zwei-Faktor-Authentifizierung mit externem Dongle, der einen Sicherheitscode generiert“, beteuert Plantener. Diese seien den Nutzern allerdings zu unpraktisch.


Der Einstieg
Während man sich als Sparkassen- oder VR-Bankkunde relativ problemlos bei den Apps des jeweiligen Finanzinstituts registrieren kann, dauert dieser Vorgang bei den Online-Konto-Anbietern naturgemäß etwas länger. Schließlich sind bei der traditionellen Bank die Kontodaten bereits in den meisten Fällen im Online-Banking hinterlegt, so dass die mobile App nur der verlängerte Arm des Online-Bankings ist. Bei N26 hingegen geschieht die Verifizierung der Identität und der Bonität über einen Video-Chat des Dienstes IDnow oder in einer Niederlassung der deutschen Post.

Das heißt: Wer seinen Pass aus welchen Gründen auch immer  – beispielsweise aus Furcht vor Identitätsdiebstahl – nicht in einem Video-Chat vorzeigen und verifizieren lassen möchte, dem wird über das sogenannte Post-Ident-Verfahren nach Anmeldung in der App eine E-Mail mit einem Coupon zugeschickt, den man ausdrucken und zusammen mit dem Pass (oder Reisepass) und einer Meldebestätigung in einer Postfiliale vorzeigen muss. Auch die digitalen Unternehmen eröffnen also auch noch einen analogen Weg, was manche Nutzer durchaus zu schätzen wissen dürften.


Bildquelle: Thinktsock/ iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok