12. Juli 2018 | 14:13 Uhr

Banking-Apps: Warum ihr besser drauf verzichten solltet!

Banken wie die Deutsche Bank, Commerzbank und Sparkassen bieten spezielle Apps für das Smartphone, um bequem und von überall Überweisungen durchführen zu können. Mein Rat: Aus Sicherheits- und Datenschutzgründen solltet ihr auf diese Apps unbedingt verzichten. Das hat mehrere Gründe – auf zwei gehe ich kurz ein:

Unsichere Umgebung: Ein Smartphone ist keine »sichere« Umgebung für Apps, bei denen sensible Daten verarbeitet werden. Man sollte sich nämlich immer wieder vor Augen führen, dass auch Betriebssysteme wie Android hochkomplexe Software sind. Deshalb ist es auch nicht weiter verwunderlich, dass auch bei Android immer wieder neue Schwachstellen auftauchen, die ernste Sicherheitslücken nach sich ziehen und Millionen von Geräten bzw. deren Nutzer bedrohen. Sicherheitslücken der Kategorie Stagefright (CVE-2015-1538, CVE-2015-3864, etc.) oder der WebView-Bug (CVE-2014-6041) demonstrieren regelmäßig, wie verwundbar Android ist. Das Problem sind allerdings nicht unbedingt die Sicherheitslücken selbst – denn diese werden ja von Google geschlossen – sondern das eigentliche Problem liegt woanders: Die meisten Anwender können ihre Geräte bzw. Android nicht mit aktuellen Sicherheitsupdates versorgen, da die Hersteller oftmals schon nach einem halben Jahr den Support einstellen. Vor diesem Hintergrund ist es grob fahrlässig Banking-Apps zu nutzen – egal in welch schillernden Farben die Banken ihre Apps darstellen. Die meisten Smartphones in freier Wildbahn sind eine wandelnde Zeitbombe mit schwerwiegenden Sicherheitslücken.
Sicherheitskonzept ausgehebelt: Wer Online-Banking per (Smartphone-)App nutzen möchte muss sich oftmals zwei Apps auf seinem Gerät installieren. Einmal die Online-Banking-App und eine TAN-App, um die TANs zu empfangen, die für die Autorisierung der Online-Überweisung notwendig sind. Solche App-basierten TAN-Verfahren sind für Angriffe geradezu prädestiniert, da der gesamte Online-Banking-Vorgang auf ein und demselben Gerät abläuft. Die Sicherheit der eigenen Kunden wird durch das Wegfallen einer Zweifaktor-Authentifizerung auf dem Altar der Bequemlichkeit geopfert.

Die zwei genannten Gründe sollten im Grunde schon ausreichen, um auf Bankgeschäfte via Smartphone zu verzichten. Doch wir können noch einen draufsetzen: Die Banking-Apps selbst weisen zahlreiche Sicherheitslücken auf, mit denen sich bspw. Überweisungen beliebig manipulieren lassen:

An dieser Stelle noch ein Hinweis von mir: Vielen Banken pushen ihre App-Lösungen daher, weil sie fürchten, dass sie Kunden verlieren, wenn sie nicht auf bequeme Lösungen setzen. Diesen Trend, der Bequemlichkeit über Sicherheit stellt, haben wir insbesondere digitalen Finanzunternehmen, sog. FinTechs, zu verdanken.