1960208

Banking-App Numbrs im Sicherheits-Check

29.07.2014 | 09:14 Uhr |

Besonders bei Banking-Apps sollten Sie sich die Frage stellen, welche Informationen der App-Hersteller von Ihnen erhält. Das gilt natürlich auch für andere Lösungen

Während der letzten Wochen haben aufmerksame iPhone-Nutzer vermutlich die recht massive Werbung für die neue Banking-App Numbrs bei den TV-Sendern der Prosieben-Sat1-Gruppe bemerkt. Die kostenlose App verspricht die Verwaltung aller Bankkonten der etablierten Geldinstitute mit einer Lösung, dazu den Überblick über vergangene und künftig zu erwartende Kontobewegungen. Überweisungen sollen sich einfach erledigen und in Kategorien zur Analyse der Ein- und Ausgaben festhalten lassen.
Schaut man sich die Bewertungen der noch jungen App im Store an, fallen sie zum Teil sehr negativ aus. Zum einen vermuten viele Benutzer einen Hinterhalt, da sie sich nicht erklären können, warum die App kostenlos ist. Das sind zwar auch die meisten Apps der Banken, doch das lässt sich einfach als Kundendienst akzeptieren. Für unabhängige Banking-Apps wie Outbank 2 sind zum Beispiel knapp 20 Euro zu berappen. Zumindest diese Einwände lassen sich einfach entkräften.

Werbung für Anteile

Der in der Schweiz beheimatete Hersteller Numbrs AG bekam vor etwa einem Jahr Investitionskapital in Höhe von rund sechs Millionen Euro vom Schweizer Finanzierer Company Builder Centralway. Die Numbrs AG muss folglich zunächst mit der App kein Geld verdienen.

Banking mit Numbrs

© 2015

Die kostenlose Banking-App bietet nicht nur eine Übersicht über die Konten, sondern auch eine Analyse der vergangenen und zukünftig erwarteten Geldflüsse. Dafür ist bei der Ersteinrichtung neben der Kontonummer auch die PIN einzugeben. In der Folge werden Sie gefragt, ob Sie die PIN dauerhaft auf dem Server der Numbrs AG speichern wollen – das sollten Sie nicht erlauben. Numbrs zeigt, dass Banking-Apps auch ein schönes Interface haben können und zusätzliche Optionen bieten – unter anderem Zugang per Wischgeste. Nach unseren Tests werden die Daten sicher übermittelt mittels Token, sie liegen allerdings auf Numbrs-Servern.

Verantwortlich ist ein Deal mit der Seven Ventures Gmbh, einer Tochtergesellschaft der Prosieben-Sat1-Media AG. Seven Ventures investiert über zwei Geschäftsmodelle im Online-Markt, mit Media-for-Revenue-Share- und Media-Forequity-Geschäften. Bei ersterem erhält der Investor Anteile am Gewinn, das fällt bei Numbrs aus. Bei Media-For-Equity erhält der Partner (Numbrs AG) Werbezeit für Anteile am Unternehmen. Erklären lässt sich damit, dass die gut gemachte App kostenlos angeboten werden kann.
Da das Unternehmen in seinem Blog verspricht, dass Numbrs auch in Zukunft kostenlos bleibt, besteht natürlich die Befürchtung, das Unternehmen könnte die Daten der Benutzer an Dritte weitergeben. Laut Aussage des Unternehmens soll das auf keinen Fall geschehen, man überlege zur Zeit, in der Zukunft Umsätze über Mehrwertdienste zu generieren.

Numbrs und Sicherheit

Mittlerweile hat die Numbrs AG auch zum Thema Sicherheit Informationen nachgeliefert, die wir bei unseren Tests zumindest in kontrollierbaren Teilen nachvollziehen und bestätigen konnten.
Dabei arbeitet Numbrs anders als herkömmliche Banking-Programme. Die Kommunikation läuft über die deutschen Server des Anbieters, sicher verschlüsselt. Anders wären dann etwa App-Optionen wie das Gruppieren von Ein- und Ausgaben, die sogenannte „Timeline“, für die künftige und zurückliegende Entwicklung von Einnahmen und Ausgaben nicht möglich. Diese Daten werden erst beim Start der App von den Servern des Anbieters geladen und vom iPhone gelöscht, sobald die App beendet ist. Was gut ist in Hinblick auf den Datenschutz bei einem möglichen iPhone-Klau, hinterlässt zumindest beim Autoren einen Nachgeschmack. Die Finanzdaten liegen auf fremden Servern – zwar nach deutschem Recht und vermutlich auch sicher, aber eben bei Dritten.

Banking per iPhone

Wer via iPhone und iPad sein Banking erledigt, macht sich hoffentlich besonders Gedanken über die Sicherheit der Daten auf dem iPhone und beim eigentlichen Banking unterwegs. Die Lösungen der Banken können ebenso als sicher gelten wie das schon lange auf dem Markt befindliche Outbank. Die Kommunikation mit dem Server der Bank läuft verschlüsselt via HBCI (Homebanking Computer Interface), Kontodaten und -historie liegen verschlüsselt am iOS-Gerät vor. Die AGBs der Banken schränken die Nutzung der Lösungen erheblich ein. Bei einen Verstoß kann das Risiko im Schadensfall auf den Benutzer abgewälzt werden. So darf das SMS-TAN-Verfahren nie auf dem mobilen Endgerät genutzt werden, mit dem Sie das Banking durchführen. Auch beinhalten die AGBs immer einen Passus, die PIN zu Ihrem Konto niemals Dritten zur Kenntnis zu geben.

Bequemlichkeit vs. Sicherheit

Die sehr gut gemachte Optik und die von Numbrs-Servern und Analyseprogrammen gemachten Timeline-Aussagen sind sehr verlockend, da auch die App an sich sehr schön bedienbar ist.
Numbrs begründet das anonymisierte Auslagern der Benutzerdaten auf den eigenen Server mit der komplexen Datenanalyse. Man hat eigene Algorithmen entwickelt, um Zukunftsprognosen und Kategorisierungen der Kontobewegungen vornehmen zu können. Laut Numbrs AG übersteigt die hardwareseitige Anforderung der verwendeten Algorithmen die Leistung des iPhone bei Weitem.

Vorsicht, PIN und SMS-TAN

Wer den Aussagen des Unternehmens hinsichtlich der Sicherheit der Daten auf den Servern – auch bezüglich des Zugriffs der Mitarbeiter auf Ihre persönlichen Bankdaten – Glauben schenkt, sollte zumindest auf ein Feature verzichten. Per Push-Benachrichtigung kann Numbrs Sie benachrichtigen, wenn Abbuchungen oder Zahlungseingänge erfolgen. Dazu müssen Sie die PIN zu Ihrem Konto zur Speicherung auf Numbrs-Servern freigeben – hier arbeitet der Push-Dienst. Das kann die AGBs Ihrer Bank verletzten, Sie sollten auf den Komfort verzichten. Auch Nutzer von SMS-TAN für Überweisungen müssen aufpassen. Das überweisende Mobilgerät und der Empfänger der TAN müssen unterschiedliche Geräte sein, also zum Beispiel ein zweites Handy.
Numbrs ist prima umgesetzt, viele Programmierer von Banking-Apps können sich ein Beispiel nehmen. Wir nutzen es nach dem Test nicht mehr und haben unsere Daten auf den Servern bei der Numbrs AG löschen lassen. Ein Unbehagen, sämtliche Transaktionen auf fremden Servern gespeichert zu wissen, bleibt.

Login per Google und Facebook

Ebenfalls in den Bereich „Bequemlichkeit“ fällt die Option vieler Apps, bei der Erstanmeldung statt einer E-Mail samt Passwort die Anmeldung via bestehenden Facebook- oder Google-Plus-Account zu erledigen. Im Idealfall werden Sie nur zu Facebook weitergeleitet, ein sicherer Token regelt die Anmeldung bei der App.

App-Anmeldung

© 2015

Viele Apps verlangen vom Benutzer eine einmalige Registrierung. Immer mehr Apps bieten eine vermeintlich praktische Alternative anstelle der Eingabe von E-Mail-Adresse und einem (sicheren) Passwort: Stattdessen können Sie sich über Ihren Facebook- oder Google-Plus-Account anmelden, müssen sich also nicht zusätzliche Zugangsdaten merken. Theoretisch ist der Weg klasse, der App-Entwickler kann dabei sichere Token nutzen, in denen verschlüsselt Ihre Facebook- oder Google-Authentifizierung enthalten ist. Theoretisch lässt sich aber zudem die E-Mail-Adresse (Ihrer Accounts) mit übertragen und vom App-Betreiber speichern. Wählen Sie lieber den Weg über die Registrierung per Mail und Passwort.

Was Sie bei einigen Apps nicht bemerken und nur ein dazwischen geschalteter Man-in-the-Middle-Proxy offenbart: Neben dem Token wird an den Server des App-Betreibers auch Ihre E-Mail-Adresse übermittelt, mit der Sie bei Facebook oder Google Plus angemeldet sind. Wir empfehlen hier immer die traditionelle Anmeldung bei einer App per E-Mail und Passwort.

Trash-E-Mails

Viele Benutzer setzen einen Mail-Account für derartige Anmeldungen ein, nicht den Haupt-Account – das ist natürlich sinnvoll. Noch mehr verfeinern lässt sich das Anonymisieren durch die Nutzung eines Trash-Accounts, im Deutschen oft Wegwerf-E-Mail genannt. So lassen sich bei verschiedenen Anbietern temporäre E-Mail-Adressen nutzen und mit einer echten Mailadresse verknüpfen. Das reicht für die Erstanmeldung bei vielen Apps, die einen Account verlangen. Die meist versendete Bestätigungsmail wird an Ihren echten Account weitergeleitet. Da die Trash-Mailadresse zum Beispiel nach einer Woche erlischt, bekommen Sie keine Spam-Mails.

Alternative Trash-Mail

© 2015

Werden E-Mail-Adressen nur für die einmalige Anmeldung bei einer App oder in einem Forum benötigt, dienen also als Account-Name (plus Passwort), empfehlen wir Wegwerf-E-Mails. Die gibt es zum Beispiel bei Trashmail. Wählen Sie einen Benutzernamen plus Domain für die Mailadresse, und geben Sie Ihre richtige Mail als Weiterleitung an – etwa für einmalige Bestätigungs-Links. Nach einem von Ihnen festgelegten Zeitintervall erlischt die Adresse, kein Spam, aber auch keine Kommunikation über die Adresse.

0 Kommentare zu diesem Artikel
1960208