Kurze Frage an Leserinnen und Leser, die bei der HSBC-Bank sind und dort Online-Banking machen (weiß nicht, wie viele das sein könnten). Die Tage ist mal wieder eine Meldung aufgepoppt, dass die HSBC Online-Banking-App die Funktion verweigert, wenn ein Passwort-Manager wie Bitwarden nich aus offizieller Quelle installiert ist.
Das Kürzel HSBC steht für "Hongkong & Shanghai Banking Corporation Holdings PLC". Das ist eine international agierende Großbank mit Sitz in London, einem Umsatz von 74 Milliarden US-Dollar, und einem Gewinn von 22,2 Mrd. USD. Die HSBC ist laut den Forbes Global 2000 auf Platz 8 der weltgrößten Banken. Gleichzeitig ist HSBC die größte europäische Bank (Stand: Jahr 2023). Das Unternehmen hat eine Bilanzsumme von 2.951 Mrd. USD und erzielte Anfang 2018 eine Marktkapitalisierung von ca. 200 Mrd. USD. Diverse Töchter der HSBC (z.B. Schweiz) stehen wegen diverser Geschäftspraktiken (in der Wikipedia nachlesbar) in der Kritik.
HSBC Banking-App streikt
Vor einigen Tagen sind mir Tweets wie nachfolgend untergekommen, die sich auf die Online-Banking-App der HSBC beziehen.
Der Tweet zeigt einen Screenshot auf einem Smartphone, wo die App meldet, dass man Bitwarden als Passwort-Manager auf dem Gerät gefunden habe. Daher würde der Zugriff auf die HSBC UK Mobile Banking-App suspendiert, bis die genannte App deinstalliert wird.
Im Tweet schreibt der Poster "Die HSBC-App funktioniert nicht, weil dieser Nutzer einen Passwort-Manager auf seinem Android-Smartphone installiert hat. Warum sollte das HSBC interessieren, und warum erlaubt Google HSBC überhaupt, die Liste der anderen installierten Apps einzusehen? Das ist lächerlich."
Allerdings gibt es noch ein feines Detail: Die HSBC-Online-Banking-App gibt an, dass Bitwarden von einer "nicht offiziellen Quelle" geladen und installiert wurde. Die Banking-App will also, dass ein Passwort-Manager aus einem offiziellen Store (Google Play Store) heruntergeladen und installiert wird.
Login per AutoFill blockiert
Ich habe diesen sechs Jahre alten reddit.com-Post gefunden, dass die HSBC keine Anmeldung beim Online-Banking am Desktop erlaubt, wenn Benutzer das Passwortfeld automatisch ausfüllen lassen möchten.
Ältere Meldungen
Ich habe mal gesucht – es gibt bereits Meldungen von April 2025 wie hier, wo etwas ähnliches unter Windows 11 mit der HSBC-Online-Banking-App im Bitwarden-Forum berichtet wird. Das konnte aber mit Interaktionen oder per Browser gelöst werden.
Auf reddit.com habe ich diesen Post aus 2024 gefunden, wo jemand schreibt, dass sich die HSBC-Mobile-Banking-App nicht öffnen lässt und behauptet, dass Bitwarden ein Sicherheitsrisiko darstellt. Der Benutzer habe zwei Möglichkeiten: "Barrierefreiheit für die App deaktivieren" oder die "App vom Gerät deinstallieren". Es sei das erste Mal, dass der Nutzer hört, dass Bitwarden als Sicherheitsrisiko bezeichnet wird, da es offensichtlich dazu dient, die Sicherheit zu erhöhen. Die Mitarbeiter von HSBC haben die Situation in einem Telefonat bestätigt.
Nachvollziehbar und wiederum nicht
Es ist nachvollziehbar, dass die Bank nicht will, dass Passwörter oder PINs durch die Nutzer per Passwort-Manager in die App eingegeben werden können, wenn die Quelle der App unbekannt ist. Es ist ein Sicherheitsmerkmal, mit dem verhindert werden soll, dass Nutzer möglicherweise auf Fake-Passwort-Manager-Apps, die die Zugangsdaten dann weiter geben, hereinfallen und so das Online-Banking kompromittiert wird.
Andererseits hat das die Implikation, dass man dann unter Android auf die Google Play Services und den Google Play Store angewiesen wäre. Verwundert hat mich auch, dass da überhaupt ein Screenshot angefertigt werden konnte [Anmerkung: Mein Fehler – es ist ein Foto, kein Screenshot]. Bei vielen Online-Banking-Apps werden Screenshots gesperrt oder es wird ein schwarzer Bildschirmausschnitt gespeichert (gerade noch bei einer Banking App getestet).
Bleibt die Frage, ob bei deutschen Benutzern inzwischen ein ähnliches Verhalten beobachtet wurde oder ob andere Banking-Apps das Verhalten auch zeigen?
Ähnliche Artikel:
Deutsche Bank: Neues Onlinebanking ab 25. August 2025
Online-Banking a la Sparda-Bank (ab Ende Juli 2025)
Der Fail der Banken beim Online-Banking – Teil 1
Fail der Ing beim Online-Banking – Teil 2
MVP: 2013 – 2016
Hallo Herr Born,
das Foto zeigt einen abfotografierten Bildschirm, keinen Screenshot.
Grüße
Karo
Stimmt … mein Fehler
Betr. "Verwundert hat mich auch, dass da überhaupt ein Screenshot angefertigt werden konnte. Bei vielen Online-Banking-Apps werden Screenshots gesperrt …":
In aller Kürze: Gem. (1) steuert das einschlägige Flag FLAG_SECURE auf Ebene Window und nicht auf Ebene App.
–
(1) https://developer.android.com/security/fraud-prevention/activities
Ich kann es leider nicht testen, da ich weder Bitwarden noch die App der HSBC verwende.
Wie ist das mit dem Screenshot gemeint? In dem Bild im Artikel wurde doch das Display, vermutlich mit einem zweiten Smartphone einfach abfotografiert. Dagegen dürfte es kaum einen technischen Schutz geben.
Bei den Apps der Sparkasse kann man in den Einstellungen der App entscheiden, ob man Screenshots zulassen möchte. Auch gibt es einen Ansichtsmodus in welchem alle Umsätze unkenntlich gemacht werden. Das kann hilfreich sein, wenn Dritte kurz bei etwas helfen, nicht aber die Kontostände sehen sollen.
Ein Abfotografieren mit einer Kamera mag durchaus die Aufmerksamkeit des Telefonbesitzers erregen, das unbemerkte Auslesen des Bildschirms über die Funktionen der Barrierefreiheit/Bedienungshilfen von einer App ohne vorherige Prüfung der App (sofern man dem Play-Protect-Scan von Google diese Kompetenz zusprechen möchte) ist aber ein anderes Kaliber.
Gerade beim Banking sollte Sicherheit an erster stelle Stehen und Bitwarden ist ja erst kürzlich aufgefallen, also macht die Bank alles richtig, erst recht wenn nicht aus offizieller Quelle installiert!
Ich würde als Bank das halt so regeln; deine Entscheidung, bei Schäden haftest du selbst in vollen Umfang! Da würden dann manche mal aufwachen.
Mein Handy, meine Entscheidung.
Ich roote meine Phones seit je her. Mich kotzt es richtig ab, wenn eine dulli App (DB, WSW, Banking Apps) mir vorschreiben will, wie ich mein Phone nutze.
Ich roote, weil ich nur dann benötigte Funktionen habe, die sonst wohl unmöglich sind zu implementieren. Z.B. eine App mit längeren drücken der Zurück-Taste zu Beenden, nicht nur schließen. Oder das aussehen der notification-bar. Oder, ganz wichtig, RICHTIGE Backups erzeugen mit NeoBackup bzw. damals Titanium. Und noch wichtiger, vereinzelt Berechtigungen für die Apps entziehen. War mal vor 15 Jahren Thema, wieso eine Taschenlampe dein Standort braucht.
Der Root-Prozess gelangt auch Now-How, also das man weiß was man tut.
Ich meinen Augen hat keine App, auch keine Bank-App, das Recht einem vorzuschreiben, was und wie man das tun soll.
Das sehe ich genau so.
Ein veraltetes Android dass seit Jahren keine Updates bekommt ist kein Problem aber wehe es ist ein aktuelles Android dass nicht vom Smartphone Hersteller kommt, dann ist plötzlich Gefahr im Verzug.
OT:
…und Bitwarden ist ja erst kürzlich aufgefallen…
Ich bitte um eine Quellenangabe. Womit soll Bitwarden kürzlich aufgefallen sein? Siehe: https://status.bitwarden.com/history
https://borncity.com/blog/2025/08/24/ups-password-manager-schwachstelle-in-11-produkten-ermoeglichen-datenklau/
Die Banking-App blockiert nicht Bitwarden, sondern sie blockiert jede App, die über die Funktionen der Barrierefreiheit den Bildschirminhalt lesen kann und gleichzeitig nicht aus den (nach Meinung der HSBC) offiziellen App-Stores für Android-Geräte stammt. Das kann die Bank aus Sicherheitsgründen ja erstmal so für ihre App verlangen, schließlich müssen Banken für eine größere Anzahl an Betrugsfällen bei ihren Kunden einstehen.
Warum man Bitwarden jetzt genau am Google Play Store vorbei manuell installieren muss, sei mal dahin gestellt. Die offiziell verfügbare Version im Play Store ist gleich der offiziell verfügbaren App im Github-Repository bitwarden/android. Gleichzeitig kann ich sehr wohl nachvollziehen, dass man bestimmte Apps lieber zB per F-Droid oder einer anderen Art Side-Loading statt Play Store installiert, wenn die Play-Store-Version den Entwicklern Einschränkungen aufzwingt, die der Funktion im Wege stehen (Nextcloud-App mit Zugriff auf Dateien ist da ein Beispiel).
Wenn man aber darauf besteht, dass man Herr seines Schlaufones bleiben will (was durchaus berechtigt ist), muss eben damit leben, dass es Apps gibt, die sich auf die bevormundende Überwachung des OS-Anbieters besagten Schlaufones verlassen und daneben eben nichts gelten lassen.
@Luzifer
>also macht die Bank alles richtig, erst recht wenn nicht aus offizieller Quelle installiert!
Definiere Offizielle Quelle. Du meinst also, der Google Play Store, zu dem man sich via Google Mail Adresse anmelden muss, ist eine offizielle Quelle? Wirklich? Wo steht dass der Google Play Store weltweit als offizielle Quelle gilt? Was macht ihn zu einer offiziellen Quelle? Meinst Du wirklich den Google Play Store, in dem es ein paar tausend verseuchte Apps gibt, das ist eine offizielle Quelle?
@All
Man bekommt übrigens auch bei der Consorsbank App (nicht die SecurePlus App) den Hinweis, die App ist aus einem nicht vertrauenswürdigen Store, wenn man sie mit Hilfe der Aurora Store App vom Google Play Store downloaded und installiert. Erst beim Aufruf kommt der Hinweis.
BTW: Die HVB App möchte auf einem Phone ohne Google Play Services die HMS (Huawei Mobile Services) installiert haben, auf einem Samsung! Auf dem Markt der Apps läuft es 98% in die falsche Richtung.
Ich bin ganz bei @Giesama, mein Phone, meine Regeln. Wer das nicht möchte ist raus bei mir.
Da wird jetzt die ganze Zeit von Digitaler Souveränität geschrieben und gesprochen, aber an der Stelle macht sich die Welt so richtig abhängig von Google und/oder Apple. Da kann man nur mit dem Kopf schütteln.
Ist auch vollkommen richtig dein Handy deine Regeln, aber dann steh auch dazu und hafte im Ernstfall und nicht mimimi die phöse Bank!
Wo hab ich was von phöse Bank und mimimi geschrieben? Wie immer bei dir, provozieren, aber nichts, überhaupts dahinter. Schade dass es hier keine Ignorieren Funktion gibt, Du wärst ganz oben in der Liste! :D
Bei der Santander App wird, beim ersten Start, ein Warnhinweis eingeblendet wenn nicht das GBoard verwendet wird.