Doppelt hält besser, weiß der Volksmund. Aber die Erfahrung zeigt: Doppelt nervt. Warum soll man etwas zweimal machen, wenn es doch schon mit einem Mal getan wäre? Tja, weil sonst eben die Tür für Kriminelle sperrangelweit offen stünde. Trotzdem boomen derzeit Finanz-Apps, deren Sicherheit, nunja, sagen wir zumindest nicht hundertprozentig ist.
Konkret spüren wir das alle beim Online-Banking. Schnell mal eine Überweisung machen? Kein Problem! Die Rechnung kommt per Mail, das Passwort für den Bank-Account ist in der Cloud gespeichert und wird über Fingerabdruck freigegeben, Kontonummer des Empfängers ist gespeichert, schnell per Copy-Paste den Rechnungsbetrag und den Verwendungszeck in die Bank-Maske eingetragen, auf Senden klicken – und zack, ist per SMS die TAN da. Eintragen und fertig. Das geht nicht nur auf dem Computer, sondern mittlerweile auch auf dem Handy – und der Bequemlichkeit sind keine Grenzen gesetzt: Es geht sogar kontenübergreifend in ein und derselben Smartphone-App.
Neben dem mittlerweile altbekannten Online-Banking kann man inzwischen über Apps bezahlen und Kontostände abfragen, Kredite beantragen, sich beim RoboAdviser Anlageberatung für Kapitalanlagen holen oder auch gleich Fondsanteile kaufen. „UX“ heißt die Zauberformel der boomenden FinTech-Unternehmen. Das Kürzel steht für User Experience, und meint: Alles muss einfach und intuitiv zu bedienen sein, möglichst wenig soll eingetippt werden müssen. Banking per Fingerschnipp. Geldverdienen im Handumdrehen.
Das mag cool klingen, ist aber in Wahrheit mit Risiken belegt, die dem Kunden oft nicht klar sind. Schon 2016 entlarvte der Informatiker Vincent Haupert auf dem Chaos Communication Congress die Lücken in der Sicherheitstechnologie von N26, einem FinTech, das mittlerweile mit einer Vollbank-Lizenz unterwegs ist. Ihm gelang es unabhängig vom verwendeten Endgerät, über die N26-App nicht nur Kundendaten einzusehen, sondern auch Überweisungen in Echtzeit zu manipulieren und sogar Bankkonten komplett zu übernehmen.
Das Banking-Startup kooperierte sofort mit dem Sicherheitsforscher von der Uni Erlangen-Nürnberg, um das Problem zu beheben. Der Teufel steckt nicht im Detail der Programmierung, sondern in der UX-Grundprämisse „Alles auf einem Gerät“. Wie Vincent Haupert in seiner Doktorarbeit darlegt, besteht das Problem bei allen Formen des App-basierten Mobilebankings. Es ist alles gar nicht so sicher, wie man es sich denkt.
Denn die App-basierten Legitimierungsverfahren lösen jede Gerätetrennung auf. Während beim Online-Banking ein Teil am PC und dann ein auf einem Handy generierter Code zusammentreffen, findet das Bezahlen per App auf einem einzigen Handy statt. Sogenannte softwarebasierte Härtungsmaßnahmen kommerzieller Drittanbieter sollen hier helfen. Doch das Schutzniveau gilt dennoch als eingeschränkt, gerade auch weil die Dominanz eines einzigen Herstellers auf dem deutschen Mobile-Banking-Markt dazu führt, dass ein erfolgreicher Angriff gleich sämtliche Apps ausschalten kann.
Helfen soll nun die sogenannte „Starke Kundenauthentifizierung“. Der Begriff ist so sperrig wie das, was er beschreibt, er soll aber für mehr Sicherheit sorgen: Es geht um eine Authentifizierung, die nicht nur aus einem, sondern aus mindestens zwei Elementen besteht – eben gedoppelt wird. Dabei müssen zwei der drei Kategorien Wissen, Besitz und Inhärenz berücksichtigt sein: In die Kategorie Wissen fällt das Passwort. In die Kategorie Besitz das Mobiltelefon. Der Besitz des Telefons lässt sich zum Beispiel durch Eingabe eines Codes nachweisen, der über eine andere App auf dem Handy generiert wird. Und in die Kategorie Inhärenz gehört zum Beispiel ein Fingerabdruck oder Irisscan, also Eigenschaften, die nur dem Nutzer persönlich zueigen sind.
Über eine Pflicht zur Starken Kundenauthentifizierung wurde lange diskutiert. Die BaFin hat schon seit längerem auf eine solche Regelung hingewirkt. Seit Mitte September ist es soweit: In Deutschland gelten erhöhte Sicherheitsstandards beim Online-Banking und beim Bezahlen im Internet. Die Richtlinie gilt schon seit Januar 2018, sorgt aber erst jetzt konkret für mehr Sicherheit im elektronischen Zahlungsverkehr, egal wer ihn anbietet. Für die Kunden darf es keinen Unterschied machen, ob die App nun von einer volllizensierten Bank oder einem FinTech angeboten wird. Denn auch die FinTechs stehen, sobald sie Bezahlmöglichkeiten per App anbieten, unter Aufsicht der BaFin.
Warum ist das – über den simplen Verbraucherschutz hinaus – interessant?
Deutschland ist anders als Großbritannien kein ausgeprägter FinTech-Standort. Aber auch hier gibt es politisch Bestrebungen, innovative Lösungen für den Finanzmarkt zu fördern. Die BaFin ist eben nicht nur Verbraucherschutzbehörde, sondern will auch digitale Angebote und damit den Finanzplatz Deutschland fördern. Politisch ist das ebenfalls auf europäischer Ebene gewollt, da gibt es den FinTech-Action-Plan der Kommission und die darauf aufbauende Road Map der Europäischen Bankenaufsichtsbehörde EBA. Beides zusammen soll einen aufsichtsrechtlich harmonisierten Rechtsrahmen schaffen, in dem innovative Lösungen wachsen können.
Im Spannungsfeld von Innovation am Finanzmarkt und Sicherheit von Zahlungen im Internet geraten plötzlich auch längst etablierte Zahlungsmethoden ins Räderwerk der Regulierung. Wer immer eine Kreditkarte besitzt, hat in den letzten Wochen und Monaten Post mit der spröden Betreffzeile „Zweite Zahlungsdiensterichtlinie“ oder „PSD2“ (Payment Services Directive 2) bekommen. Dabei geht es um die oben erwähnte Pflicht zur starken Kundenauthentifizierung. Doch die Regelung trifft nicht nur Online-Banking und Finance-Apps, sondern eben auch klassische Kreditkartenzahlungen. Allerdings erlaubt die BaFin (gestützt auf die europäische Aufsichtsbehörde EBA) Zahlungsdienstleister mit Sitz in Deutschland vorerst Kreditkartenzahlungen auch über den 14. September hinaus ohne starke Kundenidentifizierung auszuführen. Also weiterhin mit Kartennummer und Prüfziffer. So will man Störungen bei Internetzahlungen verhindern. Offenbar erwartet man Reibungsverluste im E-Commerce, weswegen man eine Frist bis 31.12.2020 eingeräumt hat.
Es ist das alte Lied der Doppelbotschaft: Wasch mich, aber mach mich nicht nass. Der Spagat zwischen Bequemlichkeit und Sicherheit ist beim Onlinehandel und beim Mobile-Banking in allen Facetten nicht einfach. Aber müssen wir uns nicht mehr Mühe geben in Bezug auf IT-Sicherheit, um den Verbraucher vor Kriminellen zu schützen? Sollten wir nicht wenigstens darüber sprechen und den Finger in die Wunde legen, damit jeder auf informierter Basis selbst entscheiden kann, ob er das Risiko eingehen will?
Sicher: Dass Menschen im Umgang mit ihren Daten, vor allem im Social-Media-Bereich, sehr großzügig sind – trotz DSGVO –, ist keine Neuigkeit. Aber wenn es um Geld geht, sind die Deutschen vermutlich weniger freigebig als mit ihren Daten. Der Sorgfaltsmaßstab dürfte höher sein. König Kunde mag bequem sein, aber er ist nicht dumm. Deshalb klärt richtig auf!
