Digital Life

Mobile Banking: "Mobile TANs sind ein Auslaufmodell"

futurezone: Erste Smartphones bieten Authentifizierung mittels Iris-Scan an. Wann wird eine solche Methode auch beim mobile Banking genutzt werden können?
Mathias Schindler:
Nutzen könnte man es jetzt schon, die Frage ist, ob das für eine Banking-App aktuell auch sinnvoll ist. Es ist unwahrscheinlich, dass eine Bank eine solche Technik, die erst auf einem Gerät verfügbar ist, implementiert. Eine Authentifizierungsmethode muss für die Kunden sicher und einfach sein.

Gilt das für den Iris-Scan nicht?
Der Iris-Scan ist nicht so einfach, bzw. nicht so gelernt, wie die Authentifizierung mit Fingerabdruck, die von vielen Geräten unterstützt wird und die heute schon fast alltäglich ist. Die Leute vertrauen dem. In Iris-Scans haben die Kunden noch nicht so ein großes Vertrauen.

Wie wird die Authentifizierung per Fingerabdruck von Ihren Kunden angenommen?
Viele Kunden haben sich das gewünscht, wir haben durchaus positives Feedback erhalten.

Überweisungen mit Fingerabdruck sind bei Ihnen aber nicht möglich. Warum?
Die Freigabe von Überweisungen erfolgt bei uns durch das identifizierte Gerät. Wir haben uns in einem ersten Schritt entschieden, nur das Log-in mit Fingerabdruck zu ermöglichen, die Smart-Code Eingabe vor Überweisungen in der App jedoch zu belassen. Es gibt aber innerhalb unseres Konzerns schon Länder, in denen man sich vor der Überweisung mit dem Fingerabdruck identifiziert. Wir haben mit dem fünfstelligen Sicherheitscode, der an ein Gerät gebunden ist, aber auch schon jetzt ein sehr einfaches und sicheres System.

Welche Vorteile bietet dieser Smart-Code gegenüber mobilen TANs?
Die Freigabe mit Smart-Code und App ist aus unserer Sicht die höchste Sicherheits- und Einfachheitsstufe, deshalb empfehlen wir sie auch. Der mobile TAN wird unverschlüsselt über SMS übertragen. Ein Angreifer könnte die SMS abfangen oder die SIM-Karte klonen. Es ist einfacher einen mTAN zu knacken als den Smart-Code, der an das Gerät gebunden ist. Es gibt auch beim Smart-Code zwei Kanäle. Ein eigener Sicherheitsserver verifiziert das Gerät. Diese Verbindung ist komplett verschlüsselt.

Wie viele Kunden nutzen den Smart-Code?
Alle App-Nutzer haben automatisch einen Smart-Code zum Login. Und schon über50 Prozent der Kunden, die ein Girokonto bei uns haben, nutzen die Freigabe mit Smart-Code und App. Sie können mit unserer App die selben Bankgeschäfte erledigen, wie im Online-Banking. Das führt auch dazu, dass sie zunehmend nur noch die App nutzen, weil sie sich schneller einloggen und Überweisungen freigeben können als am Desktop.

Gibt es im ING-Konzern regionale Unterschiede, in der Akzeptanz von Authentifizierungsmethoden?
In Deutschland sind mTANs im mobilen Banking verpönt, sie gelten als unsicher. Sie können dort SMS-TANs nur am Desktop nutzen. Deshalb haben viele deutsche Banken eigene Apps gelauncht, die einen Code für mobiles Banking generieren. Das geht in Richtung Smart-Code und App Freigabe, man muss sich allerdings in zwei Apps einloggen. In Österreich waren mTans auch im Mobile-Banking immer üblich – das ist eindeutig eine regionale „Gewohnheit“. Technisch ist es das gleiche System. Wir haben als einer der ersten nun den Schritt gesetzt das Freigabesystem von Transaktionen in die App zu integrieren, sodass es für den Kunden einfach zu bedienen ist, aber andererseits auch höchste Sicherheit bietet.

Wie lange wird es mobile TANs noch geben?
Mobile TANs per SMS sind die noch immer am weitesten verbreitete Methode. Es kann sein, dass sie in den nächsten Jahren abgeschafft werden, sie sind ein Auslaufmodell, denn sie werden über einen unverschlüsselten Kanal gesendet. Es wird aber schwierig, sie den Kunden wegzunehmen, weil sie einfach zu handhaben sind.

Der Trend geht in Richtung biometrischer Authentifizierung. Welche Methoden sind für Banking-Apps noch vorstellbar?
In der niederländischen ING-App können sich Kunden mittels Stimmerkennung einloggen. Das funktioniert bereits. Es gibt viele biometrische Methoden, die technisch möglich sind. Die Frage ist, was für Kunden sinnvoll und einfach zu nutzen ist. Solange ich mir, wie beim Iris-Scan oder der Gesichtserkennung ein Gerät vor das Gesicht halten muss, glaube ich nicht, dass es sich wirklich durchsetzt.

Welche biometrischen Methoden werden sich durchsetzen?
Der Trend geht dahin, dass Authentifizierungsmethoden für den Kunden möglichst unsichtbar und trotzdem sicher sind. Man muss gar nichts mehr machen und wird automatisch identifiziert.

Zum Beispiel?
Etwa ein Armband für NFC-Zahlungen, dass meinen Pulsschlag oder meine Körperfunktionen misst. Es reicht, wenn ich das Ding hinhalte, weil das Armband nur mit mir gemeinsam funktioniert. Das ist die Zukunft. Der Fingerabdruck ist der erste Schritt in diese Richtung.

Disclaimer: Dieser Artikel entstand im Rahmen einer Kooperation mit der ING-DiBa. Die redaktionelle Verantwortung obliegt alleine der futurezone-Redaktion.

Klicken Sie hier für die Newsletteranmeldung

Hat dir der Artikel gefallen? Jetzt teilen!

Patrick Dax

pdax

Kommt aus dem Team der “alten” ORF-Futurezone. Beschäftigt sich schwerpunktmäßig mit Innovationen, Start-ups, Urheberrecht, Netzpolitik und Medien. Kinder und Tiere behandelt er gut.

mehr lesen