Mobile Banking
Banking-Apps für iPhone und Android im Vergleichstest
Wie sicher sind Banking-Apps für iPhone und Android? Schließlich weiß niemand so genau, was mit den anvertrauten Daten im Hintergrund passiert. Wir wollten der Sache auf den Grund gehen und haben sechs Apps aufwändig getestet. Im Fokus: Sicherheitslecks und Datenklau.
Banking-Apps sind nicht nur ein Tresor für Ein- und Ausgabenlisten, der auf dem Smartphone unbedingt mit einem Passwort geschützt werden muss. Vielmehr sind voluminöse Geldtransaktionen möglich. Die funktionieren längst nicht mehr nur mit einem Überweisungsträger, der ohne Unterschrift gar nicht gültig ist, sondern durch den undurchsichtigen Austausch von Zahlen und Daten über den Äther. Und so gibt es wohl kaum eine mobile Software, die sensibler ist.
Allen Unsicherheiten zum Trotz liegen Smartphone und Tablet beim Online-Banking voll im Trend und verzeichneten allein in den vergangenen zwei Jahren einen deutlichen Zuwachs, während die Zahl der Einwahlen über den PC oder Laptop zurückging.
Schwerpunkt im Test: Die Sicherheit
Ein Unternehmen, das sich auf die Sicherheitsprüfung und Zertifizierung von Apps spezialisiert hat, ist die mediaTest digital GmbH aus Hannover. Die Ergebnisse des unabhängigen Testinstituts sind gleichfalls relevant für die Entwicklungsarbeit der Anbieter wie für das Vertrauen der Verbraucher. Diese Kompetenz haben wir uns zunutze gemacht und für den aktuellen Test der Banking-Apps mit mediaTest digital zusammengearbeitet.
Welche Gefahren lauern beim Mobile Banking per App?
Eine Banking-App, die Zugriff auf die Kamera haben will? Wenn sie das Foto-TAN-Verfahren unterstützt und Überweisungen fotografisch oder per QR-Code erfasst werden können, ist das zulässig. Aber sonst eben nicht.
Zugriff auf die Kontakte? Das verlangt nur eine App im Test, aber die fordert ausgerechnet auch eine Registrierung - und hält Verbindungen zu Google Analytics.
Zusätzlich wächst in Anbetracht der zunehmenden Bedrohungen durch Schadsoftware - auch auf Handys und Tablets - die Sorge um die Daten-Container, die in ihnen schlummern. Ob Entwickler um sensible Daten herum einen soliden Schutzwall aufbauen, wird daher im connect-App-Test ab sofort eine Rolle spielen.
Verschlüsselung
Gefahr lauert auch beim Versenden von Kontonummern und Bankleitzahlen zu den Servern im Netz. Um potenziellen Angreifern das Leben schwerer zu machen, sollten die sensiblen Daten nie unverschlüsselt zwischen Smartphone und Dienstleister übertragen werden. connect-Partner mediaTest digital stellte alle Banking-Apps im connect-Test auf den Prüfstand und setzte damit auch die Entwickler gehörig unter Druck: Auf Vorwürfe, dass sensible Daten unverschlüsselt ausgetauscht oder ohne Notwendigkeit übermittelt wurden, reagierten sie in allen Fällen sofort.
In der folgenden Galerie stellen wir Ihnen die sechs getesteten Banking-Apps vor:
Ein bekanntes Verfahren, um den Datenverkehr überhaupt analysieren zu können, heißt Man-in-the-Middle-Attack. Dabei wird eine Infrastruktur geschaffen, die es möglich macht, Datenströme abzufangen, zu analysieren, unter Umständen zu manipulieren und hernach an den Initiator weiterzuleiten - möglichst ohne dass dieser den Zwischenfall bemerkt.
Über den Erfolg der Operation kann man zu Recht zweigeteilter Meinung sein: Nur wenn der Hack gelingt, lässt sich anschließend eine Aussage darüber treffen, ob und welche sensiblen Daten über eine verschlüsselte Datenleitung ausgetauscht wurden.
Andererseits konnte die Verschlüsselung offensichtlich aufgebrochen werden. Gelingt dies nicht, haben die Entwickler eigentlich einen guten Job gemacht; trotzdem kann sich der Verbraucher nicht in Sicherheit wiegen, denn er hat dann keine Info über die Details der Kommunikation.
Verbindungsanalyse: Welche Server werden kontaktiert
Spätestens dann fällt der nächste Blick auf die Verbindungsanalyse: Welche Server wurden durch die App kontaktiert, und wie hoch ist das Risiko, dass hierbei Informationen gegen den Willen ihrer Eigentümer geflossen sind. Was nicht bedeuten muss, dass sie auch ohne deren Einverständnis getauscht wurden. Denn - und hier darf jeder einmal in sich gehen - wer sich zur Gewohnheit gemacht hat, Datenschutzerklärungen und Allgemeine Geschäftsbedingungen ungeprüft zu akzeptieren, stimmt damit unter Umständen auch der Weitergabe persönlicher Daten an Analytics-Unternehmen implizit zu, die die betreffenden Anbieter in der Regel durchaus kommunizieren.
Vier von sechs Banking-Apps stellen Verbindungen zu zahlreichen Servern her, darunter zu Amazon als Provider der Amazon Webservices, aber auch zu Datensammlern wie Google-Analytics. Auch Server der sozialen Netzwerke tauchen mehrfach auf, wenn der Herausgeber der App beispielsweise über Facebook oder Google+ einen Support anbietet, der direkt aus der App heraus erreichbar ist. Am Ende der Testphase, in der die Entwickler nicht nur die Gelegenheit für Nachbesserungen bekamen, sondern auch davon Gebrauch machten, stufte mediaTest digital die verbliebenen Verbindungen überwiegend als harmlos ein. In einem Fall liegt allerdings immer noch ein Verstoß gegen die Allgemeinen Geschäftsbedingungen oder die Datensicherheit vor.
Fazit: Es geht auch anders
Ob vertretbar oder nicht - Querverbindungen erregen Unbehagen, und wir waren erstaunt, dass überhaupt so viele verschiedene Server kontaktiert wurden. Dass mobiles Banking auch geradlinig funktioniert, beweisen die Star-Money-Apps von Star Finanz: Über die hauseigenen Server hinaus, starmoney.de und starfinanz.de beim iPhone, bei Android sogar nur starfinanz.de, gibt es nur eine weitere Connection: Bei der greift Star Finanz, wie die meisten Anbieter, für das zweistufige PIN/TAN-Verfahren auf einen Dienst der renommierten Unternehmensgruppe GAD zurück. Mehr sollte also nicht nötig sein.
