Mein iPhone SE passt in die Hosentasche, und es fasst nur 16 Gigabyte. Manchmal bereue ich die Wahl des schlanken Modells. Aber der Kauf war 2016 eine bewusste Entscheidung: damit ich nicht so viele Daten auf einem Gerät mit mir herumschleppe. Und nicht jede App hereinlasse, die aus dem Schaufenster winkt. Bei Games muss ich mich zügeln. Auch Mobile Banking habe ich mir gespart.
Doch meine Bank puscht gerade auf allen Kanälen ihre Smartphone-Anwendungen. Neben der Mobile-Banking-App bewirbt sie einen TAN-Generator. Der Anlass ist die Umsetzung der europäischen Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2), die höhere Sicherheit bei Online-Bankgeschäften auferlegt.
Zwei Faktoren, zwei Geräte
Aber wie sicher kann es sein, sowohl die Mobile-Banking- als auch die TAN-App auf demselben Gerät zu installieren? Gar nicht, meint Mike Kuketz. Der IT-Security-Blogger kritisiert:
Dadurch wird das Prinzip der Zwei-Faktor-Authentifizierung (2FA) ad absurdum geführt, bei der der Sicherheitsgewinn ja gerade dadurch erreicht wird, dass man zwei voneinander getrennte Geräte (Faktoren) benutzt, weil einer der beiden Faktoren grundsätzlich als kompromittiert angesehen werden kann. Dieses Dilemma dürfte den Banken bzw. Verantwortlichen durchaus bewusst sein und dennoch wird eben genau mit dieser Variante geworben.
Mike Kuketz: „Wie Banken Online-Banking durch Apps unsicher machen“
Gerade Android-Smartphones seien gefährdet: Manche Hersteller aktualisierten das Betriebssystem zu spät oder gar nicht mehr, um Sicherheitslücken zu schließen.
Kuketz empfiehlt statt einer TAN-App das Verfahren ChipTAN mit einem externen Generator. Damit könne man das Risiko, Opfer von Betrug zu werden, deutlich reduzieren. Auch die Stiftung Warentest befindet, ein Chipkartenleser biete sehr hohe Sicherheit.
Ich hatte noch keines dieser Dinger in der Hand. Aber ich werde meine Bank demnächst darauf ansprechen. Und ich weiß schon, an wen ich ein TAN-Gerät weiterreichen könnte: an ältere Verwandte, die Online-Banking am Desktop-PC betreiben, und das mit schlechtem Gefühl. Für sie ist das Smartphone ohnehin nur ein Fotoapparat mit WhatsApp-Anbindung. Andere Anwendungen wollen sie gar nicht erst anfassen.
Wider den Smartphone-Zwang
Manche Firmen werben nicht nur lautstark für ihre Smartphone-Anwendungen, sie lassen keine andere Wahl mehr. So will die Post-Tochter DHL ab August neue Nutzerinnen und Nutzer von Packstationen zur Installation ihrer Paket-App bringen. Das TAN-Verfahren ist für Neukunden nur noch über die DHL-Software möglich.
Scharfe Kritik daran formuliert Lennart Mühlenmeier auf Netzpolitik.org, auch wegen des Smartphone-Zwangs:
Das stellt ein Hindernis für Menschen dar, die nicht mit dem Strom gehen. Menschen, die kein Smartphone haben wollen. Menschen, die nicht jede App auf dem Smartphone haben wollen. Menschen, die nur quellfreie Software auf ihrem mobilen Begleiter und zweiten Gehirn anwenden und trotzdem ein lebenswertes Leben führen. Menschen, die ganz ohne Instagram, Tinder und Co. auskommen, aber trotzdem bequem online Geld überweisen und Pakete abholen wollen.
Lennart Mühlenmeier: „Warum Post, Bank und Co. ihre Kunden nicht zwingen sollten, Apps zu benutzen“
Mir ist zwar nicht ganz klar, was Online-Dating mit TAN-Verfahren zu tun hat. Aber ich reagiere wie der Autor störrisch: Solche Druckmittel kommen mir nicht in die datensparsame Hosentasche.