IT-Experte über mobiles Online-Banking: „Angreifer haben es schwerer“

Apps für das Smartphone machen das Online-Banking sicherer, meint der IT-Experte Michael Falk. Selbst, wenn sie nicht das beste Verfahren sind.

Frau tippt auf Smartphone

Online-Banking: Bald nur noch per App? Foto: dpa

taz: Herr Falk, seit Samstag gelten neue Regeln für Online-Banking, und die Banken bewerben massiv ihre Apps. Wie lange wird es dauern, bis es Hackern gelingt, darüber massenweise Konten abzuräumen?

Michael Falk: Erst einmal ist es wichtig hervorzuheben, dass sich durch die neuen Regeln der EU-Richtlinie das Sicherheitsniveau beim Online-Banking massiv verbessern wird. Wenn die Kunden nicht mehr ihre TAN-Liste verwenden, um Überweisungen auszuführen, sondern die Transaktionsnummer von einer App oder einem Extragerät wie einem TAN-Generator direkt erzeugt wird, dann haben es Angreifer deutlich schwerer, Zahlungsanweisungen zu manipulieren.

Unter Laborbedingungen wurden auch Banking-Apps schon erfolgreich angegriffen. Und das Problem muss ja auch nicht unbedingt bei der App liegen, es sind ja auch genügend Smartphones mit Sicherheitslücken unterwegs.

Natürlich bewegen sich Nutzer von Banking-Apps nicht nur in der Sicherheitsarchitektur der Applikation ihrer Bank, sondern auch in der des Herstellers des Smartphone-Betriebssystems. Somit könnte auch eine Schwachstelle im Google- oder Apple-Betriebssystem für einen Angriff ausgenutzt werden.

Wie bald?

Das wäre ein Blick in die Glaskugel, das kann ich nicht sagen. Die Banken sind bisher sehr kulant darin, die Summen dem Kunden nach einem Angriff zu erstatten. Die Schadensfälle werden mit den neuen Verfahren nach meiner Einschätzung weniger werden, da sie schwieriger zu kompromittieren sind.

Die relativ kulante Erstattung liegt daran, dass Kunden sonst das Vertrauen verlieren?

Genau. Online-Banking ist der große Kostensenkungshebel im Privatkundengeschäft und die Banken haben ein großes Interesse daran, dass die Kunden das Online-Angebot nutzen.

Michael Falk

berät zu Cyber Security und Datenschutz beim Wirtschaftsprüfer KPMG, etwa zur Risiko­bewertung neuer Technologien

Was ist aktuell das sicherste Verfahren, um sich beispielsweise beim Online-Banking einzuloggen?

Absolut sicher ist natürlich kein System. Weitgehend sicher sind Verfahren, die auf zwei voneinander unabhängige Geräte setzen. Also beispielsweise sowohl einen Computer, auf dem Nutzer das Online-Banking ausführen, als gleichzeitig auch eine App auf dem Smartphone oder einen TAN-Generator. Wobei die Authentifizierung per TAN-Generator noch etwas sicherer ist, weil keine Internet-Verbindung besteht.

Genau diese machen die Banken für Kunden aber unattraktiv durch hohe Kosten. Haben sie gar kein Interesse daran, dass die Kunden das sicherste Verfahren nutzen?

Bei den Banken sind vor allem zwei Punkte wichtig. Da ist zunächst die Nutzerfreundlichkeit. Ich selbst habe mir einen TAN-Generator gekauft, der liegt bei mir zu Hause im Schreibtisch. Aber die meisten Kunden wollen beim Online-Banking halt nicht immer zu Hause am PC sitzen oder daran denken, ihren TAN-Generator mit in den Urlaub zu nehmen. Daher setzen die Banken so stark auf Apps, denn das Smartphone ist ohnehin meistens zur Hand. Der zweite Punkt ist der Kostendruck. Aktuell ist zu sehen, dass beispielsweise die Gebühren für Girokonten steigen. Kostenlose TAN-Generatoren an die Kunden auszugeben, wäre ein großer Kostenblock für die Bank.

Aber die Banken gucken doch auch in ihre Bilanz. Das heißt: Die Summen, die sie Kunden von abgefischten Konten erstatten, sind immer noch niedriger als die Kosten, sämtliche Kunden mit einem guten TAN-Generator zu versorgen?

Die Banken haben natürlich ein sehr großes Interesse daran, dass die Transaktionen ihrer Kunden sicher verlaufen, weil sie wollen, dass ihre Kunden ihnen vertrauen. Und klar: Würden die Schadenssummen mit Angriffen über Apps deutlich steigen, dann würden die Banken wohl in Sachen TAN-Generatoren umsteuern.

Bislang wurden alte Methoden zum Login beim Online-Banking, die einst als sicher galten, irgendwann geknackt. Was kommt als nächstes?

Ganz viel hängt von der technischen Entwicklung ab. Quantencomputer sind sicher eines der wichtigsten Zukunftsthemen. Wenn diese Computer mit einer signifikant höheren Rechenleistung als derzeitige Modelle irgendwann kommen, sind die meisten Verschlüsselungsmechanismen, die es heute gibt, zu knacken. Außerdem werden wir sehen, dass sich höhere Sicherheitsstandards künftig auch auf andere Bereiche erstrecken. Auch beim E-Mail-Konto oder beim Online-Shop werden sich Nutzer mit immer besseren Methoden authentifizieren müssen. Perspektivisch brauchen wir also eine Alternative zum Passwort.

Was könnte das sein?

Möglicherweise etwas, das ganz altmodisch wirkt: ein Schlüssel. Wie wir heute unseren Wohnungsschlüssel ins Türschloss stecken, würden wir dann einen Schlüssel per USB in den Computer stecken. Fido2 heißt das Verfahren. Dabei wird ein Stück alte analoge Sicherheitswelt mit sehr fortschrittlichen kryptografischen Verfahren kombiniert. Es könnte sein, dass wir in ein paar Jahren alle so einen Schlüssel am Schlüsselbund mit uns tragen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.