piwik no script img

IT-Experte über mobiles Online-Banking„Angreifer haben es schwerer“

Apps für das Smartphone machen das Online-Banking sicherer, meint der IT-Experte Michael Falk. Selbst, wenn sie nicht das beste Verfahren sind.

Online-Banking: Bald nur noch per App? Foto: dpa
Interview von Svenja Bergt

taz: Herr Falk, seit Samstag gelten neue Regeln für Online-Banking, und die Banken bewerben massiv ihre Apps. Wie lange wird es dauern, bis es Hackern gelingt, darüber massenweise Konten abzuräumen?

Michael Falk: Erst einmal ist es wichtig hervorzuheben, dass sich durch die neuen Regeln der EU-Richtlinie das Sicherheitsniveau beim Online-Banking massiv verbessern wird. Wenn die Kunden nicht mehr ihre TAN-Liste verwenden, um Überweisungen auszuführen, sondern die Transaktionsnummer von einer App oder einem Extragerät wie einem TAN-Generator direkt erzeugt wird, dann haben es Angreifer deutlich schwerer, Zahlungsanweisungen zu manipulieren.

Unter Laborbedingungen wurden auch Banking-Apps schon erfolgreich angegriffen. Und das Problem muss ja auch nicht unbedingt bei der App liegen, es sind ja auch genügend Smartphones mit Sicherheitslücken unterwegs.

Natürlich bewegen sich Nutzer von Banking-Apps nicht nur in der Sicherheitsarchitektur der Applikation ihrer Bank, sondern auch in der des Herstellers des Smartphone-Betriebssystems. Somit könnte auch eine Schwachstelle im Google- oder Apple-Betriebssystem für einen Angriff ausgenutzt werden.

Wie bald?

Das wäre ein Blick in die Glaskugel, das kann ich nicht sagen. Die Banken sind bisher sehr kulant darin, die Summen dem Kunden nach einem Angriff zu erstatten. Die Schadensfälle werden mit den neuen Verfahren nach meiner Einschätzung weniger werden, da sie schwieriger zu kompromittieren sind.

Die relativ kulante Erstattung liegt daran, dass Kunden sonst das Vertrauen verlieren?

Genau. Online-Banking ist der große Kostensenkungshebel im Privatkundengeschäft und die Banken haben ein großes Interesse daran, dass die Kunden das Online-Angebot nutzen.

privat
Im Interview: Michael Falk

Michael Falk

berät zu Cyber Security und Datenschutz beim Wirtschaftsprüfer KPMG, etwa zur Risiko­bewertung neuer Technologien

Was ist aktuell das sicherste Verfahren, um sich beispielsweise beim Online-Banking einzuloggen?

Absolut sicher ist natürlich kein System. Weitgehend sicher sind Verfahren, die auf zwei voneinander unabhängige Geräte setzen. Also beispielsweise sowohl einen Computer, auf dem Nutzer das Online-Banking ausführen, als gleichzeitig auch eine App auf dem Smartphone oder einen TAN-Generator. Wobei die Authentifizierung per TAN-Generator noch etwas sicherer ist, weil keine Internet-Verbindung besteht.

Genau diese machen die Banken für Kunden aber unattraktiv durch hohe Kosten. Haben sie gar kein Interesse daran, dass die Kunden das sicherste Verfahren nutzen?

Bei den Banken sind vor allem zwei Punkte wichtig. Da ist zunächst die Nutzerfreundlichkeit. Ich selbst habe mir einen TAN-Generator gekauft, der liegt bei mir zu Hause im Schreibtisch. Aber die meisten Kunden wollen beim Online-Banking halt nicht immer zu Hause am PC sitzen oder daran denken, ihren TAN-Generator mit in den Urlaub zu nehmen. Daher setzen die Banken so stark auf Apps, denn das Smartphone ist ohnehin meistens zur Hand. Der zweite Punkt ist der Kostendruck. Aktuell ist zu sehen, dass beispielsweise die Gebühren für Girokonten steigen. Kostenlose TAN-Generatoren an die Kunden auszugeben, wäre ein großer Kostenblock für die Bank.

Aber die Banken gucken doch auch in ihre Bilanz. Das heißt: Die Summen, die sie Kunden von abgefischten Konten erstatten, sind immer noch niedriger als die Kosten, sämtliche Kunden mit einem guten TAN-Generator zu versorgen?

Die Banken haben natürlich ein sehr großes Interesse daran, dass die Transaktionen ihrer Kunden sicher verlaufen, weil sie wollen, dass ihre Kunden ihnen vertrauen. Und klar: Würden die Schadenssummen mit Angriffen über Apps deutlich steigen, dann würden die Banken wohl in Sachen TAN-Generatoren umsteuern.

Bislang wurden alte Methoden zum Login beim Online-Banking, die einst als sicher galten, irgendwann geknackt. Was kommt als nächstes?

Ganz viel hängt von der technischen Entwicklung ab. Quantencomputer sind sicher eines der wichtigsten Zukunftsthemen. Wenn diese Computer mit einer signifikant höheren Rechenleistung als derzeitige Modelle irgendwann kommen, sind die meisten Verschlüsselungsmechanismen, die es heute gibt, zu knacken. Außerdem werden wir sehen, dass sich höhere Sicherheitsstandards künftig auch auf andere Bereiche erstrecken. Auch beim E-Mail-Konto oder beim Online-Shop werden sich Nutzer mit immer besseren Methoden authentifizieren müssen. Perspektivisch brauchen wir also eine Alternative zum Passwort.

Was könnte das sein?

Möglicherweise etwas, das ganz altmodisch wirkt: ein Schlüssel. Wie wir heute unseren Wohnungsschlüssel ins Türschloss stecken, würden wir dann einen Schlüssel per USB in den Computer stecken. Fido2 heißt das Verfahren. Dabei wird ein Stück alte analoge Sicherheitswelt mit sehr fortschrittlichen kryptografischen Verfahren kombiniert. Es könnte sein, dass wir in ein paar Jahren alle so einen Schlüssel am Schlüsselbund mit uns tragen.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

10 Kommentare

 / 
  • "Kostenlose TAN-Generatoren an die Kunden auszugeben, wäre ein großer Kostenblock für die Bank"

    Abgesehen davon das meine Bank an mir Monat für Monat hunderte von € Gewinn macht,...



    Es gab bereits einen TAN Generator bei meiner Bank, doch im Zuge der neuen Richtline durfte ich einen Neuen kaufen für nur ~20€.

    Was kann der jetzt besser? er zeigt die Transaktionsdaten teilweise an, der alte nicht. Ist das jetzt sicherer? Ne, eigentlich nicht. Ich würde nur schneller bemerken wenn die Überweisung manipuliert wurde. Verhindern könnte ich sie nicht. Dafür ist er größer, schwerer und braucht mehr Strom (Batterie schneller leer)

    also absoluter Schwachsinn und reine Geldverschwendung.

    Dafür solls besser mit Zahlungsdienstleistern funktionieren, die ich ebenfalls gar nicht will. Wahr wohl aber sehr erfolgreicher Lobbyismus von Klarna und Co. die sich so mehr vom Paypal Kuchen erhoffen.

    PS: Banking übers Smartphone mit TAN vom Smartphone war schon immer unsicher, ist unsicher und wird immer unsicher sein! Und Medien wie dir Taz erweisen dem Bürger keinen Dienst solchen Leuten wie dem hier Interviewten eine Plattform zu geben, der diese Gefahren schlicht verharmlost.

    Wer sich informieren möchte: gibt beim CCC n paar informative Videos zu dem Thema.

    PS: Und ja, für Reisen wünsche ich mir die Papier TAN zurück!!! und auch daheim. wenn da jemand einbricht habe ich ganz andere Probleme.

    • 6G
      65572 (Profil gelöscht)
      @danny schneider:

      Lieber Herr Schneider,

      sind Sie so tief im Saldo, daß Ihre Bank hunderte von Euro Gewinn für die Dispozinsen je Monat an Ihnen macht?



      Oder schwer reich und der Gewinn entsteht durch Negativzinsen?



      Oder wie geht das sonst?

      Aber geht mich ja nichts an.

      • @65572 (Profil gelöscht):

        einfacher Kredit zum Kauf einer Immobilie.



        bis zum Ende der Laufzeit zahlt man durch Zinseszins-Effekte mehr als das Doppelte der Kreditsumme zurück. Kann man zwar mit Sondertilgung drücken aber nicht zu 100%.



        Oder kurz: die Bank verdient daran sehr sehr gut. Mal eben 100-200 tausend Euro für maximal 10-20 Stunden Beratung und Verwaltung. Den Rest macht der Computer vollautomatisch.

  • Wen's interessiert: Die sicherste Lösung für den Durchschnittsmenschen ist wahrscheinlich die Kombination aus chipTan-Gerät und einem über den USB-Stick gestartetem (Linux) Live-System, das idealerweise nicht viel mehr Funktionalität/Software als einen Webbrowser besitzt. Ist natürlich etwas frickelig, das aufzusetzen, aber sobald man das einmal hat macht es aufwandstechnisch auch keinen Riesenunterschied, ob man den OC jetzt normal oder über Stick startet und dann seine Online-Banking Geschäfte erledigt.

    Link: www.kuketz-blog.de...chiptan-verfahren/

  • Ich habe 20 Jahre am Schalter eine Bank gearbeitet und mit Entsetzen erfahren dürfen, wie überfordert vertikal durch die Bildungsschichten Kunden schon mit der Management der einfachen PIN sind; die neuen Verfahren düften das potenzieren.



    Selber habe ich mich nach dem Abschied meiner Bank vom mTan-Verfahren, das ich eigentlich für sehr komfortabel hielt, für das BesSign-Angebot mit einem USB-Stick entschieden: geht!



    Dass aber allen ernstes Smartphones und Tablets für das Banking verwendet werden erscheint mir wie das Notieren der PIN auf der Rückseite der EC-Karte.



    Aber man muss wohl in der materie stecken um lieber nicht überall 'bänkking' machen zu müssen...

  • 9G
    90618 (Profil gelöscht)

    Mein TAN-Generator hat beim Elektronik-Laden am Hermannplatz 12 Euro gekostet. Ein Smartphone wäre teurer und größer.

  • Ich sehe die Problematik hier garnicht so sehr bei dem Mechanismus. Die meisten Apps werden relativ gesehen sehr sicher sein, weil Banken natürlich den finanziellen Verlust und die öffentliche Bloßstellung fürchten. Doch durch die Einführung von Apps als Sicherheitsmechanismus werden Smartphones und im Speziellen die entsprechenden Apps attraktive Angriffsziele. Gelingt der Angriff ist der Schaden viel größer als im Falle eines TAN-Verfahrens, denn der digitale Angriff ist skalierbar, der Diebstahl der TAN-Liste ist es nicht.

  • Die "Schwachstelle" der App ist doch die Bank selbst. Denn die Bank bekommt alle Daten vom Nutzer (sogar Bewegungsdaten und Adressbuch) und die Bank verkauft oder verteilt diese Daten wie immer sie will. Das kann Google sein oder eine befreundeter Dienstleister von der NSA oder ein anderes Geldinstitut. Und natürlich werden diese Apps laufend aktualisiert, so dass das Handy des Kunden vollgemüllt wird mit Funktionen/Zugriffen usw.

    Dazu kommt noch, dass die Banken ab sofort Konten willkürlich sperren können. Dann war es halt ein Übermittlungsfehler. Trallala.

    Kurz gesagt:



    Hier wurde nichts sicherer. Hier wurden nur die Zugriffsmöglichkeiten für Dritte erweitert. Einen belastbaren Beweis (eine Zahl!) für die angeblich vielen betrügerischen Fehlüberweisungen nennt der IT-Experte auch nicht.

  • Auf den letzten Drücker habe ich mir heute einen Tangenerator gekauft.Er sieht zwar aus wie ein Taschenrechner als Werbegeschenk, doch da ich ich einige Mühen auf mich nehmen musste um seiner habhaft zu werden, trug ich ihn stolz in meiner Jackentasche am Herzen nach Hause.



    Als ich ihn dann aber das erste Mal an meinen Monitor hielt und - den Anweisungen dieser pedantischen Brillenschlange folgend - das Bild auf dem Monitor soweit verkleinerte, dass er endlich was sehen konnte, staunte ich nicht schlecht. Wenn eine Maschine einen Menschen dazu bringen kann, einer anderen Maschine Befehle zu geben um dann zum erschütterungsfreien Stativ degradiert zu werden, dann bekommt der Zynismus, der Begriff Mensch-Maschine-Schnittstelle ohnehin eigen ist, eine ganz neue Qualität.

    und jetzt On-Topic: www.youtube.com/watch?v=TaqRN7cDlf4