Ich denke, so ziemlich jeder Langzeitreisende wird in irgendeiner Form Onlinebanking nutzen. Die Banken haben dafür unterschiedliche Sicherheitsverfahren, u.a.
- iTAN
- mTAN
- TAN-Generator (Hardware)
- Banking-Apps
Alle diese Verfahren funktionieren im Normalfall mehr oder weniger gut. Was mich interessieren würde: Was für Möglichkeiten seht Ihr, dass da mal Sand ins Getriebe kommt, und gibt es akzeptable Prozeduren, um scnell wieder Zugriff auf das Konto zu bekommen?
Ein Beispiel: Ich habe eine Zeitlang sehr erfolgreich mit dem iTAN-Verfahren gearbeitet. Grundsätzlich ist dabei auf Reisen das Risiko nicht zu vernachlässigen, von seiner TAN-Liste getrennt zu werden, sei es durch simples Verlieren oder gar durch einen Diebstahl/Raub. Im ersten Fall kann man erst dann wieder an sein Konto, wenn eine neue Liste vorliegt (wobei Geld abheben am ATM natürlich immer noch geht). Im letzten Fall kann vielleicht sogar ein Verbrecher Dein ganzes Konto abräumen, indem er die PIN erspäht oder aus Dir rausprügelt. Gegen beides hatte ich mich abgesichert, indem ich die TANs nicht physisch dabei hatte, sondern in einem abgesicherten Cloud-Speicher im Netz. Und selbst wenn jemand den gehackt hätte, wäre es immer noch extrem schwierig gewesen, das dazu gehörende Konto herauszubekommen. Ich fand diese Lösung immer recht praktikabel und sicher. Leider wird das iTAN-Verfahren in der EU in diesem Jahr abgeschafft, zumindest für den Zahlungsverkehr.
Als Alternative wird von den Banken offensichtlich das Banking über Smartphone-App favorisiert. Kein Wunder: mit dem Smartphone lässt sich wunderbar die demnächst vorgeschriebene 2-Faktor-Authentisierung umsetzen, sei es durch Speicherung von Tokens/Schlüsseln im Gerät oder durch Biometrie (Erkennung von Fingerabdruck/Gesicht/Stimme/...). Und da ein Smartphone nicht gehackt werden oder in falsche Hände fallen kann, ist das Ganze auch absolut sicher. Moment, irgendwo war da ein Denkfehler drin.
Also aus meiner Sicht ist eine 2-Faktor-Authentisierung über das Smartphone genau so sicher wie das Smartphone selbst.
- Wenn ich es verliere (oder es einfach nur kaputt geht), war's das erst mal mit dem Onlinebanking. Welche Prozeduren gibt es, wie ich wieder an ein authorisiertes Smartphone mit initialisierter Banking-App komme? Geht das so einfach, während ich im Ausland bin? Das läuft ja dann wohl doch wieder über das gute alte iTAN-Verfahren, oder schlimmstenfalls per Post an die Heimatadresse.
- Wenn es geklaut wird, muss der Täter nur noch irgendwie meinen Fingerabdruck besorgen. Stelle ich mir schwer vor, aber für Profis nicht unmöglich.
- Bei einem Express Kidnapping braucht der Täter nicht mal das, denn er hat ja mich.
Das sind z.T. ganz schöne Horrorszenarien, und wahrscheinlich kommt das derzeit echt selten vor. Es kann aber auch sein, dass es die zunehmende Verbreitung der Banking-Apps für Verbrecher erst attraktiv macht, sich darauf zu spezialisieren, so wie es in der Vergangenheit mit Kreditkarten war.
Also, was denkt Ihr? Machen die neuen Authentisierungsverfahren das Banking wirklich sicherer, oder schafft man neue Probleme, indem man ein anderes löst? In dem Maße, wie alles technisch komplizirter wird, steigt auch das Ausfallrisiko. Gibt es Verfahren, die gleichzeitig sicher sind und bei Ausfall/Verlust von Hardware nicht gleich einen inakzeptablen Aufwand nach sich ziehen? Noch einmal: mich interessiert hier weniger der Gut-Fall, der funktioniert eigentlich bei allen Verfahren. Mich interessiert, was geschieht, wenn die Scheiße den Ventilator trifft. Was könnte passieren, und vor allem: wie kann man sich im Vorfeld dagegen absichern bzw. darauf vorbereiten? Geht das überhaupt?
LG Karoshi
