Banking am Handy: Fingerprint schlägt Passwort

Verfügernummer und Passwort am Handy sind out - zumindest, wenn man einer Umfrage unter den technikaffinen s Lab-Usern der Erste Bank und Sparkassen Glauben schenkt. Auf die Frage, wie man sich in die App einloggen soll, etwa um den Kontostand oder die letzten Transaktionen kontrollieren zu können, antworteten 44 Prozent der über 400 Befragten, dass sie sich am liebsten mit Fingerabdruck einloggen. 23 Prozent der User präferieren ein selbst festgelegtes Muster, was vor allem auf Android-Phones Standard ist. Verfügernummer und Passwort ist gerade einmal nur für 9 Prozent der User der beste Weg, um mobile Banking zu nutzen.

Banking-Apps vs. Desktop

Die Umfrage, die über mehrere Wochen Sicherheitsaspekte beim Online-Banking abfragte, zeigt den Trend hin zur mobilen Nutzung. So greifen bereits über die Hälfte der s Lab User hauptsächlch über Apps am Smartphone auf ihre Konten zu, der Rest bevorzugt weiterhin Online-Banking am PC oder Notebook. Interessant ist einmal mehr die unterschiedliche Verhaltensweise von iOS- und Android-Nutzern. So ist der Prozentsatz von Apple-Usern, die eine Display-Sperre bei ihrem Handy verwenden, um ein Vielfaches höher als bei Android-Usern. In der aktuellen Umfrage (es kann noch auf s-lab.at abgestimmt werden) empfinden etwa zwei Drittel mobiles Banking als eher bzw. sicher, der Rest ist gegenteiliger Meinung.

"Die Sicherheit ist und bleibt beim Online-Banking eine Herausforderung. Im Vergleich zu den Anfangszeiten ist es durch das mobile TAN-System mittels SMS am Handy um einiges sicherer geworden, auch wenn man nun natürlich diskutieren könnte, ob man bei Erhalt und Eingabe von Codes am selben Gerät noch von einer Zwei-Wege-Authentfizierung sprechen kann", sagt Joe Pichlmayr von Ikarus Security Software, im Gespräch mit der futurezone.

Die meisten Vorfälle würden allerdings ohnehin nicht durch kompromittierte Systeme passieren, sondern vielmehr durch Social-Engineering-Attacken, etwa durch Phishing-Mails oder gefälschte Bank-Webseiten. Wenn User auf die Täuschung hineinfallen und freiwillig ihre Log-in-Daten und Passwörter den Angreifern mitteilen, kann kein noch so geschütztes System helfen. Im internationalen Vergleich stehe Österreich bei Banking-Attacken aber ohnehin gut da. "Die österreichischen Banken haben früh viel in Sicherheit investiert und wurden folglich auch weit weniger angegriffen als vergleichbare Banken im Ausland", erklärt Pichlmayr.

Gerät statt Serverdaten

Dezidierte Angriffe auf Smartphone-User sind immer noch in der Minderheit. Dass aber selbst Systeme wie das bislang als relativ sicher geltende iOS in großem Stil unterwandert werden konnte, lässt die Alarmglocken schrillen. Gegenüber der futurezone versucht Kayvan Alikhani, Sicherheitsexperte bei RSA Security, allerdings zu beruhigen. Er gilt seit längerem als Verfechter von gerätebasierter Anwenderauthentifizierung, also dass auf Servern abgelegten Benutzerdaten weniger Wichtigkeit zukommt, als dem Gerät des Users.

"Der jüngste Angriff auf iOS zielte in erster Linie auf App-Entwickler ab. Betroffene Apps konnten zwar gewisse persönliche und Geräteinformationen abgreifen, durch den Aufbau des iOS-Systems bleiben aber wirklich sensible Daten wie die biometrischen Informationen, aber auch PIN-Codes selbst bei so einem Angriff geschützt. Dazu kommt, dass die Apps praktisch in einem Silo agieren und kaum mit anderen Apps interagieren können, also auch nicht Userdaten von anderen Apps abgreifen können", bewertet Alikhani die iOS-Architektur weiterhin als intakt.

Fingerprint als Hürde

Auch Pichlmayr sieht biometrische Sicherheitsmerkmale wie die immer beliebter werdenden Fingerprint-Sensoren als positive Ergänzung. "Jedwede zusätzliche Form von Authentifizierung, jede weitere Hürde für Angreifer, bringt mehr Sicherheit. Gleichzeitig muss man dabei aufpassen, dass man sich nicht in einer Scheinsicherheit wiegt. Denn wenn ich einer Apps sämtliche Rechte und Befugnisse einräume oder der Installation einer Malware zustimme, indem ich das mit dem Fingerabdruck absichere, dann ist die Form der Legitimierung letzten Endes auch wieder egal", sagt Pichlmayr.

Usern rät der Sicherheitsexperte, Apps und Betriebssysteme immer aktuell zu halten. Besonders gefährdet für Malware-Attacken sind laut Pichlmayr Geräte, die gejailbreaked oder gerooted sind. Bei solchen Geräte müsse man besonders vorsichtig sein, welche Berechtigungen den Apps erteilt werden. Passwörter, TAC-SMS und TANs sollten niemals weitergegeben werden. Zusätzlichen Schutz können auch mobile Virenscanner bieten.

Dieser Artikel entstand im Rahmen einer Kooperation mit Erste Bank und Sparkassen.