Mehr als die Hälfte aller Österreicher (53 Prozent) nutzt E-Banking. Damit ist die Abwicklung des Bankgeschäfts online hierzulande populärer als im EU-Schnitt, der bei 49 Prozent liegt, wie das EU-Statistikamt Eurostat erfasst hat. Künftig gibt es einige Änderungen für User – Hintergrund ist eine von der EU verabschiedete Richtlinie, die Zahlungsdienste vor allem sicherer machen soll. In Zukunft gibt es keine Transaktionsnummer (TAN) zur Bestätigung per SMS mehr, TAN-Listen per Brief sind – wenn das nicht schon länger der Fall ist – nun auch Geschichte: Stattdessen gilt es für Nutzer, eine neue App zu installieren, die künftig dazu verwendet wird, Überweisungen zu authentifizieren.

Nachteile für Smartphone-Verweigerer

Will man beispielsweise eine am Notebook durchgeführte Transaktion bestätigen, erhält man den TAN nun statt per SMS via Push-Benachrichtigung. Im Wesentlichen ändert sich also für User eines Smartphones nicht allzu viel. Wer allerdings keines besitzt – etwa ältere User, die zu Seniorenhandys ohne Android greifen –, ist klar im Nachteil. Das kritisiert der Verein für Konsumenteninformation (VKI): Nicht alle der heimischen Banken bieten eine Alternative zur App an.

Sicherer

Der Wechsel macht jedoch gerade aus Sicherheitsperspektive Sinn, ist der Versand der TAN via SMS doch relativ unsicher. Einerseits könnten Cyberkriminelle die Nachricht abfangen – SMS-Nachrichten sind, anders als Botschaften in Messengerdiensten wie Signal – nicht verschlüsselt. Schafft es ein Hacker, einen Rechner zu vereinnahmen, könnte er zudem auch die Telefonnummer eines Nutzers übernehmen, da er sich mit den gesammelten Informationen als der jeweilige User ausgeben könnte.

Aber: Wer die App hackt, hat Zugriff

Beim sogenannten SIM-Swapping gibt sich ein Nutzer als der eigentliche Besitzer aus und lässt eine SIM-Karte "klonen", also eine exakte Kopie erstellen, welche die gleiche Handynummer hat. Auf diese Weise ließe sich eine TAN umleiten. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher bisher auch von der SMS-Bestätigung abgeraten. Allerdings bedeutet der Fokus auf eine App auch, dass es gar nicht erst notwendig ist, mehr als ein Gerät zu knacken: Schafft es ein Hacker, eine App zu übernehmen, ist eine Authentifizierung über zwei Faktoren effektiv umgangen.

Neue App mit Ärgerlichkeiten

DER STANDARD hat beispielhaft die neue App der Bawag P.S.K. namens Klar ausprobiert. Diese bietet neben Sicherheitsoptimierungen zahlreiche Verbesserungen, zum Beispiel ein integriertes Budget-Tool, über welches Nutzer ihre Einnahmen und Ausgaben einsehen und einzelne Budgets definieren können.

Allerdings gab es bei der Verwendung zahlreiche frustrierende Aspekte. Nach mehrfacher falscher Eingabe von Passwort und E-Mail informierte einen die App nicht, dass der Verfüger gesperrt wurde und somit ein Anruf beim Kundendienst notwendig ist. Stattdessen wurde weiterhin angezeigt, dass die Kombination aus E-Mail und Passwort nicht stimmt. Erst ein weiterer Versuch in der alten, bald nicht mehr funktionsfähigen App lieferte diese Information.

Deadline verschoben

Bei der Registrierung war es zudem nicht möglich, im für die App definierten Passwort Umlaute einzutragen. Gibt man ä, ö oder ü ein, zeigt das Programm als Fehlermeldung an, dass die Passwörter nicht miteinander übereinstimmen würden. Zudem ist es mit Bawag P.S.K. Klar zwar möglich, sich mittels Fingerabdruck einzuloggen, allerdings funktioniert das aktuell noch sehr unzuverlässig – oft wird die Berührung des Sensors innerhalb der App gar nicht erkannt, sie muss erst geschlossen und neu geöffnet werden.

Der offizielle Umstellungstermin, an dem sich Banken an die neuen Regeln der Richtlinie halten müssen, war zunächst der 14. September, wobei er nun von der Finanzmarktaufsicht verschoben wurde. Ein neues Datum gibt es bisher noch nicht. Bei den meisten Anbietern in Österreich bleibt es aber dabei. (Muzayen Al-Youssef, 14.8.2019)