IT-Experte über mobiles Online-Banking: „Angreifer haben es schwerer“
Apps für das Smartphone machen das Online-Banking sicherer, meint der IT-Experte Michael Falk. Selbst, wenn sie nicht das beste Verfahren sind.
taz: Herr Falk, seit Samstag gelten neue Regeln für Online-Banking, und die Banken bewerben massiv ihre Apps. Wie lange wird es dauern, bis es Hackern gelingt, darüber massenweise Konten abzuräumen?
Michael Falk: Erst einmal ist es wichtig hervorzuheben, dass sich durch die neuen Regeln der EU-Richtlinie das Sicherheitsniveau beim Online-Banking massiv verbessern wird. Wenn die Kunden nicht mehr ihre TAN-Liste verwenden, um Überweisungen auszuführen, sondern die Transaktionsnummer von einer App oder einem Extragerät wie einem TAN-Generator direkt erzeugt wird, dann haben es Angreifer deutlich schwerer, Zahlungsanweisungen zu manipulieren.
Unter Laborbedingungen wurden auch Banking-Apps schon erfolgreich angegriffen. Und das Problem muss ja auch nicht unbedingt bei der App liegen, es sind ja auch genügend Smartphones mit Sicherheitslücken unterwegs.
Natürlich bewegen sich Nutzer von Banking-Apps nicht nur in der Sicherheitsarchitektur der Applikation ihrer Bank, sondern auch in der des Herstellers des Smartphone-Betriebssystems. Somit könnte auch eine Schwachstelle im Google- oder Apple-Betriebssystem für einen Angriff ausgenutzt werden.
Wie bald?
Das wäre ein Blick in die Glaskugel, das kann ich nicht sagen. Die Banken sind bisher sehr kulant darin, die Summen dem Kunden nach einem Angriff zu erstatten. Die Schadensfälle werden mit den neuen Verfahren nach meiner Einschätzung weniger werden, da sie schwieriger zu kompromittieren sind.
Die relativ kulante Erstattung liegt daran, dass Kunden sonst das Vertrauen verlieren?
Genau. Online-Banking ist der große Kostensenkungshebel im Privatkundengeschäft und die Banken haben ein großes Interesse daran, dass die Kunden das Online-Angebot nutzen.
Michael Falk
berät zu Cyber Security und Datenschutz beim Wirtschaftsprüfer KPMG, etwa zur Risikobewertung neuer Technologien
Was ist aktuell das sicherste Verfahren, um sich beispielsweise beim Online-Banking einzuloggen?
Absolut sicher ist natürlich kein System. Weitgehend sicher sind Verfahren, die auf zwei voneinander unabhängige Geräte setzen. Also beispielsweise sowohl einen Computer, auf dem Nutzer das Online-Banking ausführen, als gleichzeitig auch eine App auf dem Smartphone oder einen TAN-Generator. Wobei die Authentifizierung per TAN-Generator noch etwas sicherer ist, weil keine Internet-Verbindung besteht.
Genau diese machen die Banken für Kunden aber unattraktiv durch hohe Kosten. Haben sie gar kein Interesse daran, dass die Kunden das sicherste Verfahren nutzen?
Bei den Banken sind vor allem zwei Punkte wichtig. Da ist zunächst die Nutzerfreundlichkeit. Ich selbst habe mir einen TAN-Generator gekauft, der liegt bei mir zu Hause im Schreibtisch. Aber die meisten Kunden wollen beim Online-Banking halt nicht immer zu Hause am PC sitzen oder daran denken, ihren TAN-Generator mit in den Urlaub zu nehmen. Daher setzen die Banken so stark auf Apps, denn das Smartphone ist ohnehin meistens zur Hand. Der zweite Punkt ist der Kostendruck. Aktuell ist zu sehen, dass beispielsweise die Gebühren für Girokonten steigen. Kostenlose TAN-Generatoren an die Kunden auszugeben, wäre ein großer Kostenblock für die Bank.
Aber die Banken gucken doch auch in ihre Bilanz. Das heißt: Die Summen, die sie Kunden von abgefischten Konten erstatten, sind immer noch niedriger als die Kosten, sämtliche Kunden mit einem guten TAN-Generator zu versorgen?
Die Banken haben natürlich ein sehr großes Interesse daran, dass die Transaktionen ihrer Kunden sicher verlaufen, weil sie wollen, dass ihre Kunden ihnen vertrauen. Und klar: Würden die Schadenssummen mit Angriffen über Apps deutlich steigen, dann würden die Banken wohl in Sachen TAN-Generatoren umsteuern.
Bislang wurden alte Methoden zum Login beim Online-Banking, die einst als sicher galten, irgendwann geknackt. Was kommt als nächstes?
Ganz viel hängt von der technischen Entwicklung ab. Quantencomputer sind sicher eines der wichtigsten Zukunftsthemen. Wenn diese Computer mit einer signifikant höheren Rechenleistung als derzeitige Modelle irgendwann kommen, sind die meisten Verschlüsselungsmechanismen, die es heute gibt, zu knacken. Außerdem werden wir sehen, dass sich höhere Sicherheitsstandards künftig auch auf andere Bereiche erstrecken. Auch beim E-Mail-Konto oder beim Online-Shop werden sich Nutzer mit immer besseren Methoden authentifizieren müssen. Perspektivisch brauchen wir also eine Alternative zum Passwort.
Was könnte das sein?
Möglicherweise etwas, das ganz altmodisch wirkt: ein Schlüssel. Wie wir heute unseren Wohnungsschlüssel ins Türschloss stecken, würden wir dann einen Schlüssel per USB in den Computer stecken. Fido2 heißt das Verfahren. Dabei wird ein Stück alte analoge Sicherheitswelt mit sehr fortschrittlichen kryptografischen Verfahren kombiniert. Es könnte sein, dass wir in ein paar Jahren alle so einen Schlüssel am Schlüsselbund mit uns tragen.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Auflösung der Ampel-Regierung
Holpriger Versuch endgültig gescheitert
+++ Ampelkoalition zerbricht +++
Lindner findet sich spitze
Scheitern der Ampelkoalition
Ampel aus die Maus
Ampelkoalition gescheitert
Endlich!
Ampelkoalition zerbricht
Scholz will Vertrauensfrage stellen
Antisemitismus-Resolution im Bundestag
Kritik an Antisemitismus-Resolution