Online-Banking und die Sicherheit von Banking-Apps – Teil 5

In den vorhergehenden Teilen habe ich einen Blick auf die Authentifizierung von Transaktionen beim Online-Banking von vielen Banken per chipTAN-Verfahren oder ähnlich geworfen. In Teil 4 ging es um die Frage, was sich Kunden von ihren Banken eigentlich in Sachen Service (Beratung, Apps etc.) wünschen. Viele Banken bieten ja inzwischen Apps zur Abwicklung des Online-Bankings und zur Absicherung der Transaktionen (Überweisungen etc.) an. In Teil 5 geht es um die Frage der Sicherheit von Apps zum Online-Banking.


Anzeige

Der Bedarf an Banking-Apps

Wenn ich hier im Blog über das Thema Zahlungsabwicklung und Online-Banking schreibe, gibt es von der Leserschaft im Grund drei Meinungsgruppen, die ich folgendermaßen klassifizieren kann:

  • Ihr ewig Gestrigen, wechselt endlich zum App-Banking per Smartphone, macht Apple- oder Google-Pay und schafft das Bargeld ab – braucht kein Mensch mehr.
  • Bleibt mir bloß weg mit dem App-Zeugs und dieser Digitalisierung. Ich will weiter in meiner Bankfiliale meine Geschäfte abwickeln.

Und dann gibt es noch den Teil der Leserschaft, die sehr geplant Online-Banking betreibt, sich aber mit Fragen der Sicherheit dediziert auseinander setzt und sich über Möglichkeiten sowie Risiken im Klaren ist. Dort gilt auch: Ein gewisser Teil Bargeld gehört mit dazu – ein Ansatz, den ich ebenfalls seit Jahren verfolge.

Im Sinne der Frage "leben wir hier in einer Blase?", war für mich die im Artikel Online-Banking und Apps: Was die Kunden wünschen – Teil 4 besprochene Auswertung der Wünsche von europäischen Bankkunden ganz aufschlussreich. Vom Studiendesign her lassen sich die Ergebnisse als repräsentativ ansehen. Ja, es gibt Leute, die fast alles digital erledigen – aber ein großer Teil der Bankkunden und -kundinnen (42 %) misstrauen Apps zur Vermögensverwaltung.

Also auch dort ein differenziertes Bild, aber es ist auch klar, dass die Banken unter dem Druck stehen, den Kunden Banking-Apps anzubieten. Für mich aber interessant: Das Modell der FinTechs, alles nur noch digital im Bereich Finanzleistungen abzuwickeln, stößt aktuell noch deutlich an Grenzen. Wenn nur 31% der Deutschen einer App die Verwaltung ihrer Finanzen anvertrauen, aber 42% die kategorisch ablehnen, ist der Markt stark begrenzt.

Die Risiken der Banking-Apps

Zum Online-Banking per Smartphone oder Tablet bieten die Banken in der Regel auch eine Banking-App und eine App zur Freigabe der Transaktionen per pushTAN an. Bei Sparkassen kommt für pushTAN die S-pushTAN-App zum Einsatz (siehe auch diese Sparkassen-Seite). Aber es ist eine Internetverbindung am Mobilgerät erforderlich. Das Banking wird dann i.d.R. durch eine eigene Banking-App erledigt.

Sparkassen-App für Online-Banking

Die Verwendung solcher Banking-Apps stellt für Leute, die mehrere Online-Konten verwalten, eine komfortable Option dar – kam auch in den Kommentaren zu den jeweiligen Blog-Beiträgen dieser Artikelreihe so von einzelnen Lesern rüber. Die Banking-Apps haben zudem den Vorteil, dass sie in der Regel kostenlos sind. Die Verwendung eines Smartphones fürs Banking kommt dem einen oder anderen Bankkunden auch ganz gelegen.

Aber man sollte nicht übersehen, dass diese Art des Online-Banking gravierende Schwachstellen und Risiken besitzt. Hier mal einige Aspekte, die mir sofort einfallen:


Anzeige

  • Gegenüber den Varianten chipTAN QR oder photoTAN entfällt die Notwendigkeit, die Bankkarte (EC-Karte, Debitkarte) als Zugangsberechtigung zu verwenden.
  • Sofern Banking-App und die pushTAN-App auf dem gleichen Mobilgerät laufen, schwächt man die Zweifaktor-Authentifizierung. Es sind zwar zwei Apps, die aber auf dem gleichen Gerät betrieben werden und manipulierbar sind.
  • Die Apps werden in der Android-Version auf Mobilgeräten eingesetzt, die u.U. schon Monate keine Sicherheitsupdates mehr gesehen haben.
  • Die Apps könnten Programmfehler aufweisen oder durch Schadsoftware auf dem Mobilgerät manipuliert werden.

Hier muss jeder Nutzer und jede Nutzerin selbst entscheiden, ob man dieses Risiko eingeht. Ich persönlich setze auf einen Web-Browser zum Zugang zum Online-Banking über die Webseite meiner Bank. Zur Transaktions-Authentifizierung verwende ich dann einen chipTAN QR-Generator, der unabhängig vom für das Online-Banking verwendeten Gerät ist. Am chipTAN QR-Generator kann ich dann den Betrag sowie das Zielkonto der Überweisung vergleichen, bevor ich die generierte TAN in der Banking-Seite zur Bestätigen eingebe. Dieses Verfahren ist kaum manipulierbar.

IT-Sicherheit für Online-Banking-Apps

Bleibt die Frage nach weiteren Risiken. Der Sicherheitsanbieter Check Point hatte mir Anfang August 2022 ebenfalls einige Informationen im Hinblick auf die IT-Sicherheit für Online-Banking-Apps zukommen lassen. Denn mobile Apps und Web-Anwendungen sollen ja das Geschäft einer Bank strategisch vorantreiben. Für mich war es daher spannend, diese Informationen im Kontext des aktuellen Artikels zur Sicherheit von Online-Banking-Apps zu spiegeln.

Zunahme der APIs vergrößert Angriffsfläche

Check Point weist auf einen Punkt hin, den ich nicht so klar auf dem Radar hatte: Je weiter die Digitalisierung bei Finanzdienstleistungen per Apps fortschreitet, umso mehr Programmierschnittstellen (API – Application Programming Interface) werden parallel offengelegt. Aber dadurch vergrößert sich aber auch die Angriffsfläche und Cyber-Kriminelle machen sich dieses Phänomen gerne zunutze. Sie greifen die Apps und APIs mit fortschrittlichen Methoden wie SQL-Injection, Cross-Site-Scripting und dem Einsatz automatischer Skripte, so genannter Bots an. Diese Angriffe können nicht nur einen kostspieligen Schaden anrichten, sondern zeigen auch, dass die Fähigkeit, die Anwendungen selbst zu schützen, noch nie so wichtig gewesen ist.

Absicherung vor Angriffen

Die Erkennung und Verhinderung dieser Angriffe stellen jedoch eine Herausforderung dar. Hier kommt es darauf an, wie die Bank, die die Schnittstellen definiert und die App freigibt, am Ende des Tages bestehen kann. Dies erfordert, dass für die Apps spezifizierte Sicherheitsmaßnahmen implementiert werden. Dazu gehört auch die Integration von Sicherheitslösungen und Sicherheitsstandards "ab Werk", so die Check Point Leute.

Sollten die Verantwortlichen dies unterlassen, sind die Folgen verheerend und können der Sicherheit der Kunden und damit dem Ruf der Bank großen Schaden zufügen. Hier im Blog haben einige Leute aus dem Umfeld der Branche zwar geschrieben, dass die Banken-IT sich da sehr viele Gedanken mache. Bei manchen Instituten – und vor allem bei FinTechs – mache ich mir aber Sorgen, ob die Prämisse wirklich zutrifft.

Online-Banking: Worauf kommt es bei der IT-Sicherheit an?

Um die für E-Banking notwendigen Web-Anwendungen abzusichern, müssen zunächst die APIs geschützt und automatisiert werden. Dafür braucht es einheitliche native Cloud-Sicherheit, die Assets und Workloads abschirmt und in der Lage ist, sie gegen Zero-Day-Angriffe und bösartigen Bot-Verkehr zu verteidigen, davon ist Check Point überzeugt. Abgerundet werden diese Maßnahmen von einer Lösung, die Fehlinformationen vermeidet und von einer kontextbezogenen Künstlichen Intelligenz (KI) ergänzt wird, heißt es in der Informationen der Sicherheitsspezialisten.

Neben der Skalierbarkeit sei jeder Bank eine automatisierte Lösung für öffentliche Clouds – ob AWS, Azure oder Kubernetes – ans Herz gelegt. Da zahlreiche Unternehmen auf Multi-Cloud-Lösungen setzen, braucht es zudem eine entsprechende Software, die jedes Szenario und jede Kombination zuverlässig handhaben kann. Unverzichtbar sind hier ergänzende On-Prem-Multi-Apps, die Schutz für Milliarden von jährlichen Anwendungsanfragen bieten.

Wer alle Umgebungen und Anwendungen auf diese Weise automatisiert, kann zudem dafür sorgen, dass manuelle Abstimmungen gänzlich wegfallen und damit Betriebskosten sinken. Statt hier nun aber auf einzelne Lösungen aus unterschiedlichen Händen zurückzugreifen, wodurch ein Wildwuchs entsteht, der kaum zu verwalten ist, sollte eine konsolidierte IT-Sicherheitsarchitektur gewählt werden – das ist einfacher, günstiger und sicherer. Alle Komponenten sind hier abgestimmt und arbeiten zusammen. Das sind aber alles Fragen, die einen Bankkunden nur insoweit tangieren, als er hoffen muss, dass seine Bank da ihre Hausaufgaben gemacht hat.

Online-Banking-Apps absichern

Da e-Banking zunehmend (zumindest von einem Teil der Kunden) mobil abgewickelt wird, gilt es, auch die Applikationen für das Smartphone entsprechend zu schützen. Zu den wichtigsten Aspekten gehören laut dem Check Point-Artikel:

  • Laufzeitschutz gegen Malware, Jailbreak/Root, MitM-Angriffe und Manipulationsversuche.
  • Erkennung von bekannten und unbekannten Bedrohungen.
  • Verhinderung von Kompromittierungen.
  • Schnelle Versionsfreigabe und die Möglichkeit für Entwickler, zügig und sicher zu veröffentlichen.
  • Geringstmöglicher Entwicklungs- und Testaufwand.
  • Automatisierte Einhaltung von Vorschriften.
  • Konformität mit den Finanzvorschriften ab dem ersten Tag (FFIEC, PSD2, PCI DSS etc.).

Check Point schreibt, dass die Banken mobile und Web-Apps sowie APIs dringend umfangreich gegen IT-Angriffe schützen müssen und von Anfang an sichere mobile Apps entwickeln oder entwickeln lassen – oder nur auf entsprechende Anwendungen von Drittanbietern zurückgreifen. Zum Schutz der Kunden und Vermögenswerte brauche es zudem eine Sicherheitslösung, welche die wichtigsten Kriterien moderner Sicherheitsstandards erfüllt.

Die genannten Punkte sind aber schlicht in Teilen Binsen  – denn die Kundschaft verwendet in Teilen Android-Geräte, die seit Jahren keine Sicherheitsupdates gesehen hat. Und unter dem Strich bleibt für den Kunden die Frage: Traut er der App seiner Bank als Black-Box oder nicht. Ich persönlich würde mich bei Geldangelegenheiten eher für die risikoärmere Variante ohne App, die ich oben skizziert habe, entscheiden.

Weitere Gefahr: Fehlende Updates

Bei Banking-Apps droht immer das Risiko, dass der Hersteller des Mobilgeräts (egal ob Android oder iOS beim iPhone) keine Sicherheitsupdates mehr ausliefert – oder das zuletzt angebotene Sicherheitsupdate nicht alle Lücken schließt.

Und es gibt eine weitere Gefahr: Wenn der App-Entwickler plötzlich beschließt, diese oder jene Version des Mobilgeräte-Betriebssystems nicht mehr zu unterstützen, das aber nicht mit bekommt, schließt man sich ganz schnell vom Online-Banking per App aus.

Artikelreihe
Postbank: App und/oder SealOne statt chipTAN – Teil 1
Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2
Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens – Teil 3
Online-Banking und Apps: Was die Kunden wünschen – Teil 4
Online-Banking und die Sicherheit von Banking-Apps – Teil 5
Online-Banking und Absicherung per chipTAN USB – Teil 6

Ähnliche Artikel
Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?
Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse
Der Edge Effizienzmodus verursacht Probleme beim Flicker-Code beim Onlinebanking mit TAN-Generator
Festes SA SQL-Passwort bei windata 9-Banking-Software
DKB: Online-Banking im Firefox und Opera blockiert?
Banking Startup Dave gehackt, Daten in Hackerforen
Nächste Runde: FluBot-Banking-Malware (Mai 2022)
Online-Banking: mTAN und Banking-Apps unsicher


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Allgemein, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu Online-Banking und die Sicherheit von Banking-Apps – Teil 5

  1. Luzifer sagt:

    Ich bleibe dabei: Banking Software ist StarMoney zusammen mit der VR NetCard (HBCI) und nem ReinerSCT Cardreader… den Sicherheit geht vor! Da die ganze Absicherung und Freigabe über den Cardreader und die HBCI Karte geht zu 99,9)% manipulationssicher selbst wenn der ausführende PC Malware verseucht ist!

    99,9% da es theoretisch möglich wäre den Carderader zu manipulieren, dazu wäre aber ein Einbruch und direkter Zugriff auf das Device nötig. Was aber nicht einfach so möglich ist da:
    a.) sowohl das abstecken wie auch öffen des Readers protokolliert wird
    b.) meine Alarmanlage ebenfalls alamieren würde
    c.) derjenige nur im schwarzen Sack wieder aus der Wohnung käme: da meine zweite Alarmanlage: 2x 70Kg Kampfgewicht und der Kieferkraft um dem Einbrecher in Fetzen zu reißen (2 Mastino Napoletano Rüden) das niemals zulassen würden.

    Hatte einmal nen Einbruch, da Stand der der Typ ca. 2h bis 3h mit dem Rücken zur Wand und hat sich eingeschiessen, als ich dann heimkam reichte ein Anruf bei der Polizei und die konnten den mitnehmen.

  2. janil sagt:

    Also rund Hälfte und Hälfte. Wir werden die kommenden Monate sehen, was an Sicherheit oder gehackten Smartphones und damit Kontoübernahmen auf das Land zukommen oder besser, die Sparkassen und Banken und Onlinebanken…
    Danke für die Aufarbeitung des Themas.

  3. mw sagt:

    Banken und online sind 2 Dinge, die selten zusammen gehen. So war die Frage an die Ing nach den notwendigen Features für den Webbrowser nach W3C Spec natürlich erfolglos. "Verwenden sie einen aktuellen Browser" heißt es da lapidar. Und welche Sicherheitseinstellungen? geht es ohne JavaScript, Welche Cookies usw. usf. Alles Fehlanzeige. Nur Murks. Apps mit ranziger Software schnell zusammengewichst und Sicherheit spielt gar keine Rolle (s. Blogartikel). Und dann macht jede Bank was anderes. Postbank SealOne, KSK Chip TAN, …Liebe Leute, soll ich etwa ein halbes Duzend Gadgets zur Authenifizierung mit mir rumschleppen. Und wie kann ich die SICHER verwahren? Bei ein paar Karten geht das noch, aber die blöden SealOne Geräte, die gleich einem Schlüssel zum Konto verwendet werden können, wohlgemerkt von jedem, der es besitzt. Schlimmer geht immer: Dann wird ständig an den Apps und HTML Seiten herumgefrickelt, anderes Design, völlig andere Navigation, Funktionen fehlen plötzlich, dies und das funktioniert nicht mehr. Qualifizierter Support? Fehlanzeige! Ich kann alle sehr gut verstehen, die online Banking ablehnen oder sehr zurückhaltend nutzen.

  4. Rene sagt:

    Ich hatte bis jetzt mit dem Browserzugang zu meiner Bank und per Smartphone App keinerlei Probleme. Sicher schwingt aber immer ein mulmiges Gefühl bei jeder Nutzung mit.

    Was mir viel mehr Sorgen macht, ist die Kreditkarte.
    Ich kann zum Glück einstellen, dass ich nur in Deutschland, oder in bestimmten Ländern damit zahlen möchte, oder wenn ich denn eine vernünftige Internetanbindung hätte, nur in dieser Region bezahlen kann, wo ich mich beim Bezahlvorgang aufhalte.

    Meine Bank blendet mir per Push-Nachricht jeden Zahlvorgang ein. Also ob erfolgreich, oder abgewiesen.
    Leider bekomme ich immer wellenartig Push-Nachrichten von abgewiesenen Transaktionen aus England und den USA, wo wer auch immer versucht, mit meinen Kreditkartendaten zu bezahlen.

    Nach Nachfrage bei meiner Bank, ob man da nicht strafrechtlich vorgehen möchte, wurde dieses als unnötig abgewiesen…..

    Na wie gut, dass nach und nach alle Banken, Sparkassen und Volks-Reifeneisenbanken auf Kreditkarten umstellen.

  5. DavidXanatos sagt:

    > Laufzeitschutz gegen Jailbreak/Root,

    FTW!!!

    Menschen haben ein recht auf Jailbreak/Root das dürfen die Banken nicht verhindern!!!

    • Paul sagt:

      Jailbreak zu verbieten ist ungefähr genauso albern, wie Dieben das stehlen zu verbieten und zu hoffen sie tun es nicht mehr.

      Ich erinnere an die EC-PIN, der einzieg Fall wo das konspirative Verhalten der Banken inkl. Lug und Trug etwas aufgehellt werden konnte. Dort hatten die Krimimellen in der letzen Phase das Verfahren komplett geknackt. Wer eine EC-Karte gestohlen hatte (was ja streng verboten ist!!!11) brauchte nur einen Kontakt und etwas Geld und bekam die PIN dazu.

      Details sind allerdings m.W. bis jetzt geheim. Das läßt vermuten, das es ein Leck bei einer Bank gab.

    • Bernd B. sagt:

      Doch, ist ihr gutes Recht und mMn auch sinnvoll.
      Man hat das gute Recht, sein Phone zu rooten – aber ebenso hat die Bank das gute Recht, unnötige Risiken zu minimieren.

      Das sage ich, obwohl ich Magisk nutze und zuweilen kämpfen musste, das Rooten und Magisk vor den banking Apps zu verbergen.
      Notfalls nehme ich dann ein ungerootetes Phone.

    • Paul sagt:

      Die Banken gehen davon aus, das der Kunde sie betrügen will.
      Das der Kunde überhaupt kein Interese an Jailbreak/Root hat interessiert nicht.
      Es könnte aber sein, das ein Krimineller sich Root verschaft hat.
      Damit ist es vorbei mit dem "sichern Display" und der "sicheren Tastatur" oder dem "sicheren Speicher" für private Keys.
      Das dem Kunden die Galle hoch kommt, weil er nach einiger Zeit mehree Gigabyte an kostbarem Speicher für Apps verliert, die er nie braucht,
      aber ohne root nicht entfernen kann,
      wen interessiert das?
      Soll sich der Kunde doch ein neues Smartphone kaufen.
      Dann hat er wieder Platz und ein gepatchtes System…

      Nachhaltigkeit?
      Nicht das Problem von Banken.

  6. Andreas sagt:

    Ich mag eigentlich immer noch eine direkt Verbindung via HBCI direkt zum Bankenserver. Die FinTechs mögen ihre Daseinsberechtigung haben, aber ich möchte nicht das meine Finanzdaten gefühlt quer über den Kontinent verteilt werden.
    Ich-Bank-fertig ist wohl leider ein Auslaufmodell.

    Ein Videoempfehlung vom CCC
    Was hat die PSD2 je für uns getan?
    https://media.ccc.de/v/36c3-10717-was_hat_die_psd2_je_fur_uns_getan

  7. Paul sagt:

    Eine Standardisierung scheint seitens Banken unerwünscht zu sein, erleichert sie doch den Kunden den Wechsel zu sehr, der keine 40 Euro für einen neuen TAN generator ausgeben möchte.
    Z.B. ist ja Comdirekt die Tochter der Commerzbank. Glaube keiner, das beider das deselbe Lesegerät benutzen würden.
    Auch ist die Postbank eine Tochter der Deutschen Bank. Auch hier kochen beide das eigene Süppchen. Entweder trauen sie den anderen (im eigenen Hause!) nicht (weil sie selbst wiessen wie schlecht die arebietn) oder wollen halt so kunden fesseln.
    Da muß der Gesetzgeber ran, da der Markt hier nicht funktioniert.
    Das Banken ihren Ex-Kunden beim Umzug helfen müssen wurde ja auch nur durch ein Gesetz erzwungen, und nicht durch Vernunft.
    Interessanter Neben satz:
    Die Postbank-IT wird gerne von anderen Banken genutzt.
    Also noch ein Grund weniger, warum jede Bank ihr eingenes, geheimes, properitäres Süppchen kocht, wenn die IT eh bei einem läuft.

    BaFin, Kartellamt wo seid ihr?

  8. 1ST1 sagt:

    "Also auch dort ein differenziertes Bild, aber es ist auch klar, dass die Banken unter dem Druck stehen, den Kunden Banking-Apps anzubieten."

    IMHO fehlt da was: Dass die Kunden unter Druck stehen, auf Online-Banking und Apps umzusteigen, weil die Banken die örtlichen Filialen schließen.

    :-(

    • Paul sagt:

      Jupp.
      Übrigens:
      Was Dir da zur "Beratung" gegenübersitzt ist meist kein Bankkaufmann/in sondern ein/e "simple/r" Einzelhandelskaufmann/in.
      Die Banken haben das vor ein paar Jahren eingeführt, weil ein Einzelhandelskaufmann deutlich weniger Entgelt bekommt, und es im Grunde ja nur um's Verkaufen geht. Das kann ein Einzelhandelskaufmann (vulgo "Verkäufer") meist besser als ein 4er Abiturient.
      Vielleicht auch schmerzbefreiter, weil er selbst garnicht voll durchschaut wie schlecht das ist, was er dem "dummen Alten" (Wie war nochmal der Bankerfachausdruck dafür?) versucht anzudrehen.
      Manch' Bänker wird das aber klar sein und mancher nicht auf Dauer mit seinem Gewissen vereinbaren können, z.B. einem 70jährigen einen Bausparvertrag über 30 Jahre anzudrehen…oder eine völlig sinnlose Unfallversicherung, weil das ja so schön viel Provision gibt…

  9. Paul sagt:

    " Zu den wichtigsten Aspekten gehören laut dem Check Point-Artikel:"

    Sehe ich richtig, das Check Point "zuuuuuu fällig" genau das Produkt das das alls diese Aspekt (auf dem Prospekt) erfüllen soll? :-)
    Zumindest kling diese Liste sehr marketing-mäßig :-)
    (Oder sind, wie Du so schön sagtest "Binsen")

  10. Hans sagt:

    Ich nutze die Sparkassen App schon länger und bin sehr zufrieden damit. Banking war noch nie so einfach und bequem.

Schreibe einen Kommentar zu Paul Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.