Mal eben die Bahnfahrkarte kaufen, den Leihwagen bezahlen oder die Miete überweisen: Viele Menschen erledigen ihre Geldgeschäfte übers Smartphone. Das ist praktisch und bequem - aber auch sicher?

Jan-Peter Kleinhans, Leiter des Projekts "IT-Sicherheit im Internet der Dinge" bei der Stiftung Neue Verantwortung", warnt: Software auf Smartphones sei "nicht wirklich sicher". Immer wieder fände sich in App Stores, sowohl bei Google als auch bei iOS, Schadsoftware.

"Dann bin ich eben (…) vielleicht eine Taschenlampen-App oder ich bin ein kleines Spiel oder eine Wetter-App, aber in Wirklichkeit, wenn der User sich diese App installiert, installiert er sich eben auch Schadsoftware, die dann im Hintergrund mithört, Facebook-Passwörter mitschreibt oder eben auch Kreditkarteninformation abführt."

Derzeit würden die Apps lediglich einer automatisierten Prüfung unterzogen, ob es sich dabei um Schadsoftware handele. "Aber wenn ich eine trickreiche, kriminelle Hackerin bin, dann kann ich diese Tests natürlich umgehen, und dann weiß ich, wie ich diese Tests austricksen kann."

Insofern rät Kleinhans davon ab, regelmäßige Geldgeschäfte über das Smartphone zu tätigen: "Das komplette Online-Banking über das Handy zu machen, finde ich derzeit verfrüht, einfach weil die Sicherheit dieser Plattform noch nicht gegeben ist."

Sinnvoll könne es aber sein, das Smartphone beim E-Banking als "zweiten Faktor" zu nutzen. "Das heißt, über mein Laptop mache ich mein Online-Banking, ich bekomme aber die Autorisierung für die Transaktion auf mein Handy", sagt Kleinhans. "Selbst wenn Kriminelle den Zugang zu meinem Online-Banking bekommen haben, können sie keine Transaktionen ausführen, wenn sie nicht auch mein Handy haben." Das sei ein deutlicher Sicherheitsgewinn.

(uko)

Ute Welty: Es ist ein Alptraum, wenn das Smartphone gestohlen wird oder verloren geht, nicht nur weil viele persönliche Fotos drauf sind oder Nachrichten der oder des Liebsten befinden sich auch Passwörter, TAN-Listen oder Angaben zu Kreditkarten. Immer mehr und immer öfter wird über das Handy bezahlt. Für die Stiftung Neue Verantwortung beschäftigt sich Jan-Peter Kleinhans mit der Sicherheit solcher Bezahlvorgänge. Der Thinktank entwickelt konkrete Ideen, wie die deutsche Politik den technologischen Wandel in Gesellschaft, Wirtschaft und Staat gestalten kann. Guten Morgen, Herr Kleinhans!

Jan-Peter Kleinhans: Schönen guten Morgen!

Welty: Moderne Smartphones sind ja geschützt durch einen Code, den Fingerabdruck oder auch durch Gesichtserkennung. Wie sicher sind solche Verfahren?

Kleinhans: Die eigentlichen Erkennungsmaßnahmen, die Sie eben aufgezählt haben, sind relativ sicher. Das Problem ist, dass die Software dahinter, also wenn das Handy freigeschaltet ist, nicht wirklich sicher ist. Man findet immer wieder in App-Stores, sei das jetzt von Google oder von Mac-OS, IOS, findet man immer wieder Schadsoftware, die kriminelle Hacker absichtlich aufgespielt haben und die dazu führen können, dass Daten vom Handy verloren gehen, Sie haben es eben schon erwähnt, dass vielleicht Bezahlinformationen gestohlen werden oder Ähnliches.

Das heißt, diese eine PIN, selbst wenn ich mir eine ganz lange ausgedacht habe, oder mein Fingerabdruck, die sind ein gewisser Schutz, wenn ich mein Handy in der Bahn liegenlasse und Dritte nicht einfach so an meine Daten kommen. Aber über das Internet bestehen eben noch mal ganz andere Gefahren. Und dagegen feit ein Fingerabdruck leider nicht.

Welty: Und diese Schadsoftware, die hole ich mir über eine ganz normale App, oder das sieht aus wie eine ganz normale App beispielsweise?

Kleinhans: Genau. Man muss sich vorstellen, die App-Stores oder die Apps, die man in den App-Stores findet, da guckt ja keiner drüber manuell und sagt, das sieht nach einer vernünftigen Entwicklung aus, und die geben wir jetzt mal frei. Sondern wie bei vielen Onlinediensten passiert das vollautomatisch. Das heißt, wenn ich als Entwicklerin eine App hochladen will, dann wird diese App einer vollautomatisierten Prüfung unterzogen, um quasi sicherzustellen, dass diese App keine Schadsoftware ist. Aber wenn ich eine trickreiche kriminelle Hackerin bin, dann kann ich diese Tests natürlich umgehen, und dann weiß ich, wie ich diese Tricks austricksen kann.

Das kann man sich ähnlich vorstellen wie bei Virensoftware auf dem PC. Da gibt es auch immer wieder findige Hacker und Hackerinnen, die diese Virensoftware austricksen können. Und dann bin ich im App-Store und ich bin vielleicht eine Taschenlampen-App oder ich bin ein kleines Spiel oder eine Wetter-App. Aber in Wirklichkeit, wenn der User sich diese App installiert, installiert er sich eben auch Schadsoftware, die dann im Hintergrund mithört oder Facebook-Passwörter mitschreibt oder eben auch Kreditkarteninformationen abführt.

Welty: Was bedeutet das dann für die Bezahlvorgänge, die man über das Telefon abwickelt? Lieber gar nicht machen?

Kleinhans: Solange das Smartphone noch so offen ist, im Sinne davon, dass es einfach hochgradig angreifbar ist, wäre ich persönlich sehr vorsichtig damit, regelmäßig Geldgeschäfte über das Handy abzuschließen. Ich persönlich bin da kein gutes Beispiel, weil auch ich, wenn es abends spät wird, und man will noch schnell beim Lieferdienst was bestellen, dann bezahle ich auch über das Handy, weil dann siegt, wie so oft, leider die Faulheit.

Allerdings, für regelmäßiges Onlinebanking zwar als zweiten Faktor finde ich das vernünftig, das heißt, man kriegt noch mal zusätzlich eine Zahl von der Bank auf sein Handy gesendet, die man beim Onlinebanking angeben muss. Aber das komplette Onlinebanking über das Handy zu machen, finde ich derzeit verfrüht, einfach, weil die Sicherheit dieser Plattform derzeit noch nicht gegeben ist.

Welty: Inwieweit macht es einen Unterschied, welchen Weg des Bezahlens ich wähle? Also beispielsweise die Kreditkarte oder eben ein System wie PayPal?

Kleinhans: Hinsichtlich der Sicherheit spielt das eher eine untergeordnete Rolle. Bei Treuhanddiensten wie zum Beispiel PayPal, das ist eben für mich noch mal ein zusätzlicher Weg, und es fallen unter Umständen, ähnlich wie bei der Kreditkarte noch mal Gebühren an. Von der Sicherheit würde ich da erst mal keinen Unterschied machen. Der Sicherheitssprung kommt eher, was jetzt auch mit der neuen Richtlinie auf EU-Ebene, die seit diesem Januar gilt, eingeführt wurde, dass eben die Banken zum Beispiel keine Papier-TAN-Listen mehr verschicken können. Das gilt nicht ad hoc, sondern dafür haben die Banken auch wieder 18 Monate Zeit, um das einzuführen.

Aber der größte Sicherheitsgewinn ist, wenn man davon wegkommt, irgendwo im Schubkasten eine Liste mit TANs ausgedruckt zu haben, die man dann eben nimmt, und stattdessen die TAN auf sein Handy geschickt bekommt, oder, noch besser, so einen kleinen Taschenrechner hat von seiner Bank, auf dem man dann die TAN generiert. Das ist ein richtiger Sicherheitsgewinn, viel stärker als jetzt das einzelne Bezahlmittel.

Welty: Also da ist das Smartphone auch wieder von Vorteil.

Kleinhans: Genau. Weil da das Smartphone ja quasi als zweiter Faktor, so nennt man das, benutzt wird. Das heißt, über mein Laptop mache ich mein Onlinebanking. Ich bekomme aber die Autorisierung für die Transaktion dann auf mein Handy. Das bedeutet eben auch für Kriminelle, selbst wenn Kriminelle den Zugang zu meinem Onlinebanking bekommen haben, können sie keine Transaktionen ausführen, wenn sie nicht auch mein Handy haben. Und dafür die die Wahrscheinlichkeit einfach deutlich geringer. Vielleicht lasse ich mal mein Handy in der Bahn liegen oder mein Laptop wird geklaut. Dass aber beides gleichzeitig von derselben Person geklaut wird, ist einfach deutlich unwahrscheinlicher. Und das ist ein echter Sicherheitsgewinn.

Welty: IT-Sicherheit ist das Thema von Jan-Peter Kleinhans, und deshalb beschäftigt er sich auch mit der Frage, wie sicher das Bezahlen per Smartphone ist. Und genau darüber haben wir hier in "Studio 9" gesprochen. Herr Kleinhans, herzlichen Dank!

Kleinhans: Danke schön!