Anfang des Jahres testete die COMPUTER BILD fünf beliebte Banking-Apps: Banking 4A/4I, Centralway Numbrs, Sparkasse+, Finanzblick und Outbank. Das Ergebnis: Beim Komfort und den Funktionen überzeugen alle Apps, aber keine ist wirklich sicher. Auch bei den Siegern Outbank und Finanzblick gibt es Sicherheitsmängel.
Kein Vertrauen in die Sicherheit
Betrachtet man Statistiken aus dem vergangenen Jahr, lässt sich klar erkennen, dass gerade Sicherheitsbedenken viele Nutzer daran hindern, Banking-Apps zu nutzen. So geben fast 70 Prozent der Befragten dies als Hauptgrund für ihren Verzicht an. Das spiegelt sich auch im klassischen Online Banking wider: rund ein Viertel der Deutschen hat Angst vor einem Missbrauch. Grundsätzlich sorgt der Homebanking-Computer-Interface-Standard (HBCI) für ein sicheres Übertragen und Abrufen von Bankdaten über das Internet. Dass die Sorgen nicht unberechtigt sind, zeigen allerdings jüngste Beispiele – erst vor Kurzem wurden wieder Sicherheitsverfahren bei Smartphones großer Hersteller mit wenig Mühe umgangen. Lesson Learned: selbst Fingerabdrucksensoren lassen sich austricksen. Und auch Android-Nutzer mit gerootetem Smartphone oder iOS-Nutzer mit Jailbreak sollten auf der Hut sein: die damit freigeschalteten Adminrechte können von Hackern ausgenutzt werden. Das zeigte Ende 2015 u.a. der erfolgreiche Angriff zweier Forscher der Uni Erlangen auf das AppTAN-Verfahren der Sparkasse. Eine zentrale Feststellung lautet demnach, dass beim Thema Sicherheit nicht die Übermittlung der Daten, sondern vielmehr das Endgerät und die App an sich im Fokus stehen müssen.
Vier Tipps für sichere mobile Bankgeschäfte
1 In erster Linie sollte auf die zugelassenen TAN-Verfahren geachtet werden. Hier geht es darum, einen ungewollten Zahlungsverkehr zu verhindern. Kritisch ist vor allem das smsTAN-Verfahren (auch mobileTAN oder mTAN) zu bewerten. Es mag zwar für den Nutzer bequem sein, hebelt jedoch das sichere Zwei-Schritt-Verfahren aus: Kommt das Smartphone in falsche Hände oder ist es infiziert, können problemlos Überweisungen getätigt werden, da die SMS (und somit auch die TAN) ohne weitere Authentifizierung gelesen bzw. abgefangen werden kann. Leider lassen viele Apps das smsTAN-Verfahren zu – so auch der Testsieger der COMPUTER BILD.
2 Ein weiterer wichtiger Punkt ist eine starke Passwortsperre, die Unbefugten erst gar keinen Zugriff auf die gespeicherten Bankdaten gewährt. Strikte Passwortrichtlinien sind hier hilfreich. Auf Android-Geräten würde ich derzeit von einer Entsperrung mittels Fingerabdrucksensor abraten. Sinnvoll ist zudem, wenn bei einer wiederholt falschen Passworteingabe alle lokal in der App gespeicherten Bankdaten automatisch rückstandslos gelöscht werden und der Nutzer in festen Zeitabständen an eine Passwortänderung erinnert wird.
3Generell gilt: das Smartphone gut schützen. Dazu gehört zum einen eine aktive Bildschirmsperre, zum anderen ist bei einem Jailbreak auf iOS-Geräten oder einem Rootzugriff auf Android-Geräten doppelte Vorsicht geboten. Auch wenn dieses Vorgehen den einen oder anderen Vorteil mit sich bringt – es öffnet Hackern Tür und Tor. Viren und andere Schadsoftware können sich aufgrund der wegfallenden Sicherheitsfunktionen einfacher auf dem Smartphone verstecken und Daten abgreifen. Wer sicher gehen möchte, für den gilt: kein Mobile Banking auf Smartphones mit Jailbreak oder Rootzugriff.
4 Last but not least ist die Speicherart der Bankdaten ein wichtiger Sicherheitsbaustein. Hier gibt es Ansätze vom lokalen Speichern der Daten auf dem Smartphone bis hin zum Zwischenspeichern auf anderen Servern (als eine Art Zwischenschicht). Was in jedem Fall beachtet werden muss, ist die Verschlüsselung der Daten, damit diese nicht ungewollt ausgelesen werden können. Wenn keine Informationen über eine Verschlüsselung vorliegen, sollte vorher unbedingt beim Anbieter nachgefragt werden. Ist keine vorhanden, wird dringend von der Verwendung abgeraten.
Sicherheit fängt beim Smartphone an
Meine Erfahrungen in diesem Gebiet haben gezeigt: Wer Banking auf dem Smartphone betreiben möchte, sollte sich die App vorher genau anschauen und diese – bevor die eigenen Bankdaten eingegeben werden – ausführlich testen. Verfügt die App über eine zuverlässige Passwortsperre und Datenverschlüsselung, verwendet sie ohne jegliche Zwischenschicht den Bankenstandard HBCI und verhindert sie eine Überweisung mittels smsTAN, kann ich diese mit gutem Gewissen empfehlen. Ob man einer Speicherung der Bankdaten auf einer Zwischenschicht der lokalen Speicherung vorzieht, ist – sofern die Verschlüsselung passt – jedem selbst überlassen. Man sollte sich dabei aber bewusst sein, dass die erste Option bedeutet, dass private Bankdaten auf externen Servern gespeichert werden. Das ist im Zweifelsfall ein weiterer potenzieller Angriffspunkt. Sicherheit beim Mobile Banking erfordert allerdings auch eine gewisse Eigeninitiative. Die bequemste Lösung ist nicht immer die sicherste. Außerdem spielt das Smartphone an sich eine zentrale Rolle: die neuste Version des Betriebssystems, eine Bildschirmsperre und der Verzicht auf einen Jailbreak oder Rootzugriff gehören hier zu den notwendigen Basics.
Bildquelle: Shutterstock
