# taz.de -- IT-Experte über mobiles Online-Banking: „Angreifer haben es schwerer“
       
       > Apps für das Smartphone machen das Online-Banking sicherer, meint der
       > IT-Experte Michael Falk. Selbst, wenn sie nicht das beste Verfahren sind.
       
 (IMG) Bild: Online-Banking: Bald nur noch per App?
       
       taz: Herr Falk, seit Samstag gelten [1][neue Regeln für Online-Banking],
       und die Banken bewerben massiv ihre Apps. Wie lange wird es dauern, bis es
       Hackern gelingt, darüber massenweise Konten abzuräumen? 
       
       Michael Falk: Erst einmal ist es wichtig hervorzuheben, dass sich durch die
       neuen Regeln der EU-Richtlinie das Sicherheitsniveau beim Online-Banking
       massiv verbessern wird. Wenn die Kunden nicht mehr ihre TAN-Liste
       verwenden, um Überweisungen auszuführen, sondern die Transaktionsnummer von
       einer App oder einem Extragerät wie einem TAN-Generator direkt erzeugt
       wird, dann haben es Angreifer deutlich schwerer, Zahlungsanweisungen zu
       manipulieren.
       
       Unter Laborbedingungen wurden auch Banking-Apps schon erfolgreich
       angegriffen. Und das Problem muss ja auch nicht unbedingt bei der App
       liegen, es sind ja auch genügend Smartphones mit Sicherheitslücken
       unterwegs. 
       
       Natürlich bewegen sich Nutzer von Banking-Apps nicht nur in der
       Sicherheitsarchitektur der Applikation ihrer Bank, sondern auch in der des
       Herstellers des Smartphone-Betriebssystems. Somit könnte auch eine
       Schwachstelle im Google- oder Apple-Betriebssystem für einen Angriff
       ausgenutzt werden.
       
       Wie bald? 
       
       Das wäre ein Blick in die Glaskugel, das kann ich nicht sagen. Die Banken
       sind bisher sehr kulant darin, die Summen dem Kunden nach einem Angriff zu
       erstatten. Die Schadensfälle werden mit den neuen Verfahren nach meiner
       Einschätzung weniger werden, da sie schwieriger zu kompromittieren sind.
       
       Die relativ kulante Erstattung liegt daran, dass Kunden sonst das Vertrauen
       verlieren? 
       
       Genau. Online-Banking ist der große Kostensenkungshebel im
       Privatkundengeschäft und die Banken haben ein großes Interesse daran, dass
       die Kunden das Online-Angebot nutzen.
       
       Was ist aktuell das sicherste Verfahren, um sich beispielsweise beim
       Online-Banking einzuloggen? 
       
       Absolut sicher ist natürlich kein System. Weitgehend sicher sind Verfahren,
       die auf zwei voneinander unabhängige Geräte setzen. Also beispielsweise
       sowohl einen Computer, auf dem Nutzer das Online-Banking ausführen, als
       gleichzeitig auch eine App auf dem Smartphone oder einen TAN-Generator.
       Wobei die Authentifizierung per TAN-Generator noch etwas sicherer ist, weil
       keine Internet-Verbindung besteht.
       
       Genau diese machen die Banken für Kunden aber unattraktiv durch hohe
       Kosten. Haben sie gar kein Interesse daran, dass die Kunden das sicherste
       Verfahren nutzen? 
       
       Bei den Banken sind vor allem zwei Punkte wichtig. Da ist zunächst die
       Nutzerfreundlichkeit. Ich selbst habe mir einen TAN-Generator gekauft, der
       liegt bei mir zu Hause im Schreibtisch. Aber die meisten Kunden wollen beim
       Online-Banking halt nicht immer zu Hause am PC sitzen oder daran denken,
       ihren TAN-Generator mit in den Urlaub zu nehmen. Daher setzen die Banken so
       stark auf Apps, denn das Smartphone ist ohnehin meistens zur Hand. Der
       zweite Punkt ist der Kostendruck. Aktuell ist zu sehen, dass beispielsweise
       die Gebühren für Girokonten steigen. Kostenlose TAN-Generatoren an die
       Kunden auszugeben, wäre ein großer Kostenblock für die Bank.
       
       Aber die Banken gucken doch auch in ihre Bilanz. Das heißt: Die Summen, die
       sie Kunden von abgefischten Konten erstatten, sind immer noch niedriger als
       die Kosten, sämtliche Kunden mit einem guten TAN-Generator zu versorgen? 
       
       Die Banken haben natürlich ein sehr großes Interesse daran, dass die
       Transaktionen ihrer Kunden sicher verlaufen, weil sie wollen, dass ihre
       Kunden ihnen vertrauen. Und klar: Würden die Schadenssummen mit Angriffen
       über Apps deutlich steigen, dann würden die Banken wohl in Sachen
       TAN-Generatoren umsteuern.
       
       Bislang wurden alte Methoden zum Login beim Online-Banking, die einst als
       sicher galten, irgendwann geknackt. Was kommt als nächstes? 
       
       Ganz viel hängt von der technischen Entwicklung ab. Quantencomputer sind
       sicher eines der wichtigsten Zukunftsthemen. Wenn diese Computer mit einer
       signifikant höheren Rechenleistung als derzeitige Modelle irgendwann
       kommen, sind die meisten Verschlüsselungsmechanismen, die es heute gibt, zu
       knacken. Außerdem werden wir sehen, dass sich höhere Sicherheitsstandards
       künftig auch auf andere Bereiche erstrecken. Auch beim E-Mail-Konto oder
       beim Online-Shop werden sich Nutzer mit immer besseren Methoden
       authentifizieren müssen. Perspektivisch brauchen wir also eine Alternative
       zum Passwort.
       
       Was könnte das sein? 
       
       Möglicherweise etwas, das ganz altmodisch wirkt: ein Schlüssel. Wie wir
       heute unseren Wohnungsschlüssel ins Türschloss stecken, würden wir dann
       einen Schlüssel per USB in den Computer stecken. Fido2 heißt das Verfahren.
       Dabei wird ein Stück alte analoge Sicherheitswelt mit sehr
       fortschrittlichen kryptografischen Verfahren kombiniert. Es könnte sein,
       dass wir in ein paar Jahren alle so einen Schlüssel am Schlüsselbund mit
       uns tragen.
       
       13 Sep 2019
       
       ## LINKS
       
 (DIR) [1] /TAN-Umstellung-kompliziert-und-teuer/!5603906
       
       ## AUTOREN
       
 (DIR) Svenja Bergt
       
       ## TAGS
       
 (DIR) Onlinebanking
 (DIR) IT-Sicherheit
 (DIR) Datensicherheit
 (DIR) Datenschutz
 (DIR) Banken
 (DIR) Kontogebühren
 (DIR) SMS
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Trojaner hackt Kammergericht Berlin: Zugriff auf alle Daten
       
       Der Hacker-Angriff auf das Kammergericht war schwerer als bisher gedacht.
       Das belegt ein Gutachten. Wer die Angreifer sind, bleibt unklar.
       
 (DIR) Bundesverwaltungsgericht zu Facebook: Fanpage-Betreiber haften
       
       Datenschützer können gegen Unternehmensseiten auf Facebook vorgehen. Denn
       diese können als „Türöffner“ zum Datenmissbrauch dienen.
       
 (DIR) TAN-Umstellung kompliziert und teuer: Sag zum Abschied leise TAN
       
       Ab Mitte September gelten Tan-Listen beim Onlinebanking nicht mehr, das
       Verfahren soll sicherer werden. In Foren wüten nun zahlreiche Kund:innen.
       
 (DIR) Stiftung Warentest kritisiert Banken: Abzocke bei Konto-Gebühren
       
       Girokonten werden immer teurer. Die Stiftung Warentest empfiehlt bei Kosten
       von mehr als 60 Euro pro Jahr einen Wechsel.
       
 (DIR) Gerichtsurteil zu Onlinebanking: TAN-Simse bleibt am Kunden hängen
       
       Der Bundesgerichtshof hat entschieden: Grundsätzlich dürfen Banken ihren
       Kunden Gebühren für TAN-SMS berechnen, unter Auflagen.