 |
# taz.de -- IT-Experte über mobiles Online-Banking: „Angreifer haben es schw… |
|
|
|
> Apps für das Smartphone machen das Online-Banking sicherer, meint der |
|
> IT-Experte Michael Falk. Selbst, wenn sie nicht das beste Verfahren sind. |
|
|
 |
Bild: Online-Banking: Bald nur noch per App? |
|
|
|
taz: Herr Falk, seit Samstag gelten [1][neue Regeln für Online-Banking], |
|
und die Banken bewerben massiv ihre Apps. Wie lange wird es dauern, bis es |
|
Hackern gelingt, darüber massenweise Konten abzuräumen? |
|
|
|
Michael Falk: Erst einmal ist es wichtig hervorzuheben, dass sich durch die |
|
neuen Regeln der EU-Richtlinie das Sicherheitsniveau beim Online-Banking |
|
massiv verbessern wird. Wenn die Kunden nicht mehr ihre TAN-Liste |
|
verwenden, um Überweisungen auszuführen, sondern die Transaktionsnummer von |
|
einer App oder einem Extragerät wie einem TAN-Generator direkt erzeugt |
|
wird, dann haben es Angreifer deutlich schwerer, Zahlungsanweisungen zu |
|
manipulieren. |
|
|
|
Unter Laborbedingungen wurden auch Banking-Apps schon erfolgreich |
|
angegriffen. Und das Problem muss ja auch nicht unbedingt bei der App |
|
liegen, es sind ja auch genügend Smartphones mit Sicherheitslücken |
|
unterwegs. |
|
|
|
Natürlich bewegen sich Nutzer von Banking-Apps nicht nur in der |
|
Sicherheitsarchitektur der Applikation ihrer Bank, sondern auch in der des |
|
Herstellers des Smartphone-Betriebssystems. Somit könnte auch eine |
|
Schwachstelle im Google- oder Apple-Betriebssystem für einen Angriff |
|
ausgenutzt werden. |
|
|
|
Wie bald? |
|
|
|
Das wäre ein Blick in die Glaskugel, das kann ich nicht sagen. Die Banken |
|
sind bisher sehr kulant darin, die Summen dem Kunden nach einem Angriff zu |
|
erstatten. Die Schadensfälle werden mit den neuen Verfahren nach meiner |
|
Einschätzung weniger werden, da sie schwieriger zu kompromittieren sind. |
|
|
|
Die relativ kulante Erstattung liegt daran, dass Kunden sonst das Vertrauen |
|
verlieren? |
|
|
|
Genau. Online-Banking ist der große Kostensenkungshebel im |
|
Privatkundengeschäft und die Banken haben ein großes Interesse daran, dass |
|
die Kunden das Online-Angebot nutzen. |
|
|
|
Was ist aktuell das sicherste Verfahren, um sich beispielsweise beim |
|
Online-Banking einzuloggen? |
|
|
|
Absolut sicher ist natürlich kein System. Weitgehend sicher sind Verfahren, |
|
die auf zwei voneinander unabhängige Geräte setzen. Also beispielsweise |
|
sowohl einen Computer, auf dem Nutzer das Online-Banking ausführen, als |
|
gleichzeitig auch eine App auf dem Smartphone oder einen TAN-Generator. |
|
Wobei die Authentifizierung per TAN-Generator noch etwas sicherer ist, weil |
|
keine Internet-Verbindung besteht. |
|
|
|
Genau diese machen die Banken für Kunden aber unattraktiv durch hohe |
|
Kosten. Haben sie gar kein Interesse daran, dass die Kunden das sicherste |
|
Verfahren nutzen? |
|
|
|
Bei den Banken sind vor allem zwei Punkte wichtig. Da ist zunächst die |
|
Nutzerfreundlichkeit. Ich selbst habe mir einen TAN-Generator gekauft, der |
|
liegt bei mir zu Hause im Schreibtisch. Aber die meisten Kunden wollen beim |
|
Online-Banking halt nicht immer zu Hause am PC sitzen oder daran denken, |
|
ihren TAN-Generator mit in den Urlaub zu nehmen. Daher setzen die Banken so |
|
stark auf Apps, denn das Smartphone ist ohnehin meistens zur Hand. Der |
|
zweite Punkt ist der Kostendruck. Aktuell ist zu sehen, dass beispielsweise |
|
die Gebühren für Girokonten steigen. Kostenlose TAN-Generatoren an die |
|
Kunden auszugeben, wäre ein großer Kostenblock für die Bank. |
|
|
|
Aber die Banken gucken doch auch in ihre Bilanz. Das heißt: Die Summen, die |
|
sie Kunden von abgefischten Konten erstatten, sind immer noch niedriger als |
|
die Kosten, sämtliche Kunden mit einem guten TAN-Generator zu versorgen? |
|
|
|
Die Banken haben natürlich ein sehr großes Interesse daran, dass die |
|
Transaktionen ihrer Kunden sicher verlaufen, weil sie wollen, dass ihre |
|
Kunden ihnen vertrauen. Und klar: Würden die Schadenssummen mit Angriffen |
|
über Apps deutlich steigen, dann würden die Banken wohl in Sachen |
|
TAN-Generatoren umsteuern. |
|
|
|
Bislang wurden alte Methoden zum Login beim Online-Banking, die einst als |
|
sicher galten, irgendwann geknackt. Was kommt als nächstes? |
|
|
|
Ganz viel hängt von der technischen Entwicklung ab. Quantencomputer sind |
|
sicher eines der wichtigsten Zukunftsthemen. Wenn diese Computer mit einer |
|
signifikant höheren Rechenleistung als derzeitige Modelle irgendwann |
|
kommen, sind die meisten Verschlüsselungsmechanismen, die es heute gibt, zu |
|
knacken. Außerdem werden wir sehen, dass sich höhere Sicherheitsstandards |
|
künftig auch auf andere Bereiche erstrecken. Auch beim E-Mail-Konto oder |
|
beim Online-Shop werden sich Nutzer mit immer besseren Methoden |
|
authentifizieren müssen. Perspektivisch brauchen wir also eine Alternative |
|
zum Passwort. |
|
|
|
Was könnte das sein? |
|
|
|
Möglicherweise etwas, das ganz altmodisch wirkt: ein Schlüssel. Wie wir |
|
heute unseren Wohnungsschlüssel ins Türschloss stecken, würden wir dann |
|
einen Schlüssel per USB in den Computer stecken. Fido2 heißt das Verfahren. |
|
Dabei wird ein Stück alte analoge Sicherheitswelt mit sehr |
|
fortschrittlichen kryptografischen Verfahren kombiniert. Es könnte sein, |
|
dass wir in ein paar Jahren alle so einen Schlüssel am Schlüsselbund mit |
|
uns tragen. |
|
|
|
13 Sep 2019 |
|
|
|
## LINKS |
|
|
 |
[1] /TAN-Umstellung-kompliziert-und-teuer/!5603906 |
|
|
|
## AUTOREN |
|
|
|
Svenja Bergt |
|
|
|
## TAGS |
|
|
|
Onlinebanking |
|
IT-Sicherheit |
|
Datensicherheit |
|
Datenschutz |
|
Banken |
|
Kontogebühren |
|
SMS |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Trojaner hackt Kammergericht Berlin: Zugriff auf alle Daten |
|
|
|
Der Hacker-Angriff auf das Kammergericht war schwerer als bisher gedacht. |
|
Das belegt ein Gutachten. Wer die Angreifer sind, bleibt unklar. |
|
|
|
Bundesverwaltungsgericht zu Facebook: Fanpage-Betreiber haften |
|
|
|
Datenschützer können gegen Unternehmensseiten auf Facebook vorgehen. Denn |
|
diese können als „Türöffner“ zum Datenmissbrauch dienen. |
|
|
|
TAN-Umstellung kompliziert und teuer: Sag zum Abschied leise TAN |
|
|
|
Ab Mitte September gelten Tan-Listen beim Onlinebanking nicht mehr, das |
|
Verfahren soll sicherer werden. In Foren wüten nun zahlreiche Kund:innen. |
|
|
|
Stiftung Warentest kritisiert Banken: Abzocke bei Konto-Gebühren |
|
|
|
Girokonten werden immer teurer. Die Stiftung Warentest empfiehlt bei Kosten |
|
von mehr als 60 Euro pro Jahr einen Wechsel. |
|
|
|
Gerichtsurteil zu Onlinebanking: TAN-Simse bleibt am Kunden hängen |
|
|
|
Der Bundesgerichtshof hat entschieden: Grundsätzlich dürfen Banken ihren |
|
Kunden Gebühren für TAN-SMS berechnen, unter Auflagen. |
