Mittlerweile würden alle Apps die wichtigsten Grundfunktionen wie Daueraufträge oder Terminüberweisungen anbieten, selbst eine rein mobile Funktion wie die Foto-Überweisung sei inzwischen Standard.
Die Apps seien sich ähnlicher geworden, zeigen aber Unterschiede in der Nutzungsqualität. „Nicht alle Anwendungen erkennen zum Beispiel zuverlässig alle Details auf einer fotografierten Rechnung.“
Die Studie gewichtet daher die Nutzungsqualität höher als den reinen Funktionsumfang. Dazu gehöre auch eine intuitive Bedienung. Beim Funktionsumfang konnten die Banken etwa mit zusätzlichen Analyse-Services punkten. „Apps ermöglichen es, frühzeitig zu erkennen, ob ein Risiko für eine Überziehung des Kontos im nächsten Monat besteht“, sagt Higle.
Hohe Sicherheitsstandards
Wenn immer mehr Menschen mobiles Banking nutzen, wird das Feld für Kriminelle interessant. Doch die haben es nicht leicht. „Rein technisch gesehen gibt es immer weniger Angriffspunkte“, sagt der promovierte Informatiker und Sicherheitsberater Vincent Haupert. Smartphones böten heute Bereiche, in denen Daten sicher verschlüsselt seien. „Selbst wenn das Smartphone von Schadsoftware befallen ist, sind die Apps gut abgesichert.“ Zumindest wenn stets die neueste Version des Betriebssystems installiert werde.
>> Lesen Sie hier: Taschengeld-App Bling sammelt 3,5 Millionen Euro ein – und will den „deutschen Markt erobern“
Zu mehr Sicherheit hat auch die EU-Zahlungsdiensterichtlinie PSD2 beigetragen. Sie schreibt beim Online- und Mobile Banking eine Zwei-Faktor-Authentifizierung vor. Beschlossen wurde dies schon 2015, in Deutschland aber erst 2021 verpflichtend umgesetzt. In der Praxis heißt das: Nutzer müssen sich für Bankgeschäfte auf zwei verschiedenen Wegen identifizieren.
„Das Sicherheitsniveau ist dadurch noch einmal deutlich gestiegen“, sagt Haupert. Mögliche unterschiedliche Faktoren sind ein Passwort, eine über das Smartphone oder ein externes Gerät generierte TAN oder eine biometrische Identifizierung per Fingerabdruck- oder Gesichtsscan.
Externer TAN-Generator senkt Risiken
Besonders beliebt ist heute das Push-TAN-Verfahren. Dabei wird auf dem Smartphone meist eine zweite, von der eigentlichen Banking-Anwendung unabhängige App installiert, über die eine Transaktion freigegeben werden kann. Das ist bequem, allerdings laufen beide Faktoren über dasselbe Gerät. „Der Goldstandard ist nach wie vor ein Verfahren mit zwei Geräten“, sagt Haupert. Etwa das Chip-TAN-Verfahren, bei dem man die Girokarte in einen externen TAN-Generator steckt. Das ist aber aufwendiger und nicht immer ist das nötige Gerät unterwegs gerade griffbereit.
Zudem haben erste Anbieter damit begonnen, die Girokarte ganz abzuschaffen. Zum Auslaufmodell wird auch das SMS-TAN-Verfahren, das Sparkassen und Volksbanken bereits 2022 beendet haben. Es gilt als vergleichsweise unsicher, da die verschickte SMS mit der TAN theoretisch abgefangen werden kann.
App-basierte Verfahren wie bei der Push-TAN hält Haupert aber für akzeptabel. Freilich sollten Nutzer nicht für beide verwendeten Apps dasselbe Passwort verwenden. Auch biometrische Verfahren seien prinzipiell sicher. Diese hätten den Vorteil, dass sie kaum aus der Ferne zu knacken seien. Den Gesichtsscanner mit einem Foto auszutricksen sei in der Regel nicht möglich
Schwachstelle Mensch
Grundsätzlich lägen die Schwachstellen eher bei den Nutzern selbst, sagt Haupert. „Das Verfahren kann technisch noch so sicher sein – wenn man die generierten Daten dann an Kriminelle herausgibt, nützt es nichts.“ Genau das kommt aber durchaus vor. Weil technische Angriffe immer schwieriger werden, setzen die Kriminellen vermehrt auf Social Engineering – also das gezielte Täuschen der Anwender, um auf diese Weise an deren Daten zu gelangen. Angreifer benötigen zunächst die Zugangsdaten für das Online-Banking.
An diese gelangen sie in der Regel durch sogenanntes Phishing, sagt Haupert – etwa über eine Mail mit einem Link, der die Nutzer auf eine gefälschte Eingabemaske führt. Arglose Anwender geben dort ihre Daten ein, die direkt bei den Kriminellen landen. Damit allein gelingt der Betrug jedoch nicht – schließlich gibt es die Zwei-Faktor-Authentifizierung.
„Um zusätzlich etwa an eine generierte TAN zu gelangen, betreiben die Kriminellen teilweise enormen Aufwand“, sagt Haupert. Häufig versuchten sie, die Nutzer zu täuschen, indem sie sich als Vertreter der Bank ausgäben. „Sie schreiben zum Beispiel eine Nachricht über Messenger oder rufen sogar direkt an.“
Es sei technisch möglich, dass dabei die Nummer der örtlichen Bankfiliale im Display angezeigt werde. Die Kriminellen behaupten dann zum Beispiel, eine angeblich fehlerhafte Überweisung rückgängig machen zu wollen. Dafür fordern sie eine TAN an – oder bitten den Nutzer, einen Auftrag selbst freizugeben. Oder sie geben vor, ein neues Sicherheitsverfahren einzurichten, und registrieren dafür unter Mithilfe des Nutzers ein Gerät, das sie selbst besitzen. Haupert rät, die Ruhe zu bewahren.
„Keine Banking-Situation ist so dringend, dass man nicht kurz bei der Bank nachfragen kann, ob alles mit rechten Dingen zugeht.“ Generell gelte: „Kommunikation, die direkt von der Bank kommt, sollte man nie mit anderen teilen. Eine Bank wird auch niemals dazu auffordern, eine TAN am Telefon durchzugeben.“
Die Banken müssen also den Spagat zwischen Komfort und Sicherheit schaffen und möglichst einen Mehrwert bieten gegenüber dem reinen Onlinebanking. Ranking-Spitzenreiter Deutsche Bank, im Vorjahr noch auf Platz zwei, verfügte über die meisten der in der Studie abgefragten Funktionen und überzeugte vor allem beim Multibanking, also der gleichzeitigen Verwaltung von Konten verschiedener Banken in einer Anwendung. Auch die Nutzungsqualität erwies sich als durchgehend überzeugend.
Oft seien es die Neobanken, die neue Funktionen zuerst einführten, sagt SWI-Marktforscher Higle – die etablierten Banken übernehmen diese dann mit etwas Verzögerung. Im Ranking erreichte Vivid Money die beste Platzierung einer Neobank: Platz fünf und die Note „sehr gut“. „Die Apps der Neobanken erhalten sehr häufig Updates“, sagt Higle. Dadurch gebe es immer wieder neue Services und Bedienelemente. Es bestehe aber auch die Gefahr, Nutzer mit ständigen Änderungen zu irritieren.
Verbesserungspotenzial sieht Higle noch in der Personalisierung der Anwendungen. „Die Apps haben teilweise Funktionen, von denen der Nutzer gar nichts weiß, weil sie so versteckt sind.“ Andere Funktionen seien prominent platziert, würden aber vielleicht gar nicht genutzt. „Sinnvoll wäre ein Frage-Antwort-Dialog, über den ein individuelles Nutzerprofil erstellt werden könnte.“ Entscheidend sei, dass die Nutzer die Apps als Mehrwert für sich empfinden. So könnten diese auch Standortdaten nutzen, um an den Aufenthaltsort angepasste Tipps zu geben, sagt Higle. „Zum Beispiel, mit welcher meiner Karten ich im Urlaubsland gebührenfrei Geld abheben kann.“
Mehr: Diese drei Grafiken beleuchten den App-Markt
