Die Apps k\u00f6nnten Programmfehler aufweisen oder durch Schadsoftware auf dem Mobilger\u00e4t manipuliert werden.<\/li>\n<\/ul>\nHier muss jeder Nutzer und jede Nutzerin selbst entscheiden, ob man dieses Risiko eingeht. Ich pers\u00f6nlich setze auf einen Web-Browser zum Zugang zum Online-Banking \u00fcber die Webseite meiner Bank. Zur Transaktions-Authentifizierung verwende ich dann einen chipTAN QR-Generator, der unabh\u00e4ngig vom f\u00fcr das Online-Banking verwendeten Ger\u00e4t ist. Am chipTAN QR-Generator kann ich dann den Betrag sowie das Zielkonto der \u00dcberweisung vergleichen, bevor ich die generierte TAN in der Banking-Seite zur Best\u00e4tigen eingebe. Dieses Verfahren ist kaum manipulierbar.<\/p>\n
IT-Sicherheit f\u00fcr Online-Banking-Apps<\/h2>\n
Bleibt die Frage nach weiteren Risiken. Der Sicherheitsanbieter Check Point hatte mir Anfang August 2022 ebenfalls einige Informationen im Hinblick auf die IT-Sicherheit f\u00fcr Online-Banking-Apps zukommen lassen. Denn mobile Apps und Web-Anwendungen sollen ja das Gesch\u00e4ft einer Bank strategisch vorantreiben. F\u00fcr mich war es daher spannend, diese Informationen im Kontext des aktuellen Artikels zur Sicherheit von Online-Banking-Apps zu spiegeln.<\/p>\n
Zunahme der APIs vergr\u00f6\u00dfert Angriffsfl\u00e4che<\/h3>\n
Check Point weist auf einen Punkt hin, den ich nicht so klar auf dem Radar hatte: Je weiter die Digitalisierung bei Finanzdienstleistungen per Apps fortschreitet, umso mehr Programmierschnittstellen (API – Application Programming Interface<\/em>) werden parallel offengelegt. Aber dadurch vergr\u00f6\u00dfert sich aber auch die Angriffsfl\u00e4che und Cyber-Kriminelle machen sich dieses Ph\u00e4nomen gerne zunutze. Sie greifen die Apps und APIs mit fortschrittlichen Methoden wie SQL-Injection, Cross-Site-Scripting und dem Einsatz automatischer Skripte, so genannter Bots an. Diese Angriffe k\u00f6nnen nicht nur einen kostspieligen Schaden anrichten, sondern zeigen auch, dass die F\u00e4higkeit, die Anwendungen selbst zu sch\u00fctzen, noch nie so wichtig gewesen ist.<\/p>\nAbsicherung vor Angriffen<\/h3>\n
Die Erkennung und Verhinderung dieser Angriffe stellen jedoch eine Herausforderung dar. Hier kommt es darauf an, wie die Bank, die die Schnittstellen definiert und die App freigibt, am Ende des Tages bestehen kann. Dies erfordert, dass f\u00fcr die Apps spezifizierte Sicherheitsma\u00dfnahmen implementiert werden. Dazu geh\u00f6rt auch die Integration von Sicherheitsl\u00f6sungen und Sicherheitsstandards \"ab Werk\", so die Check Point Leute.<\/p>\n
Sollten die Verantwortlichen dies unterlassen, sind die Folgen verheerend und k\u00f6nnen der Sicherheit der Kunden und damit dem Ruf der Bank gro\u00dfen Schaden zuf\u00fcgen. Hier im Blog haben einige Leute aus dem Umfeld der Branche zwar geschrieben, dass die Banken-IT sich da sehr viele Gedanken mache. Bei manchen Instituten – und vor allem bei FinTechs – mache ich mir aber Sorgen, ob die Pr\u00e4misse wirklich zutrifft.<\/p>\n
Online-Banking: Worauf kommt es bei der IT-Sicherheit an?<\/h3>\n
Um die f\u00fcr E-Banking notwendigen Web-Anwendungen abzusichern, m\u00fcssen zun\u00e4chst die APIs gesch\u00fctzt und automatisiert werden. Daf\u00fcr braucht es einheitliche native Cloud-Sicherheit, die Assets und Workloads abschirmt und in der Lage ist, sie gegen Zero-Day-Angriffe und b\u00f6sartigen Bot-Verkehr zu verteidigen, davon ist Check Point \u00fcberzeugt. Abgerundet werden diese Ma\u00dfnahmen von einer L\u00f6sung, die Fehlinformationen vermeidet und von einer kontextbezogenen K\u00fcnstlichen Intelligenz (KI) erg\u00e4nzt wird, hei\u00dft es in der Informationen der Sicherheitsspezialisten.<\/p>\n
Neben der Skalierbarkeit sei jeder Bank eine automatisierte L\u00f6sung f\u00fcr \u00f6ffentliche Clouds \u2013 ob AWS, Azure oder Kubernetes \u2013 ans Herz gelegt. Da zahlreiche Unternehmen auf Multi-Cloud-L\u00f6sungen setzen, braucht es zudem eine entsprechende Software, die jedes Szenario und jede Kombination zuverl\u00e4ssig handhaben kann. Unverzichtbar sind hier erg\u00e4nzende On-Prem-Multi-Apps, die Schutz f\u00fcr Milliarden von j\u00e4hrlichen Anwendungsanfragen bieten.<\/p>\n
Wer alle Umgebungen und Anwendungen auf diese Weise automatisiert, kann zudem daf\u00fcr sorgen, dass manuelle Abstimmungen g\u00e4nzlich wegfallen und damit Betriebskosten sinken. Statt hier nun aber auf einzelne L\u00f6sungen aus unterschiedlichen H\u00e4nden zur\u00fcckzugreifen, wodurch ein Wildwuchs entsteht, der kaum zu verwalten ist, sollte eine konsolidierte IT-Sicherheitsarchitektur gew\u00e4hlt werden \u2013 das ist einfacher, g\u00fcnstiger und sicherer. Alle Komponenten sind hier abgestimmt und arbeiten zusammen. Das sind aber alles Fragen, die einen Bankkunden nur insoweit tangieren, als er hoffen muss, dass seine Bank da ihre Hausaufgaben gemacht hat.<\/p>\n
Online-Banking-Apps absichern<\/h3>\n
Da e-Banking zunehmend (zumindest von einem Teil der Kunden) mobil abgewickelt wird, gilt es, auch die Applikationen f\u00fcr das Smartphone entsprechend zu sch\u00fctzen. Zu den wichtigsten Aspekten geh\u00f6ren laut dem Check Point-Artikel:<\/p>\n
![\"\"](\"https:\/\/i.imgur.com\/DNxhm89.jpg\")
In den vorhergehenden Teilen habe ich einen Blick auf die Authentifizierung von Transaktionen beim Online-Banking von vielen Banken per chipTAN-Verfahren oder \u00e4hnlich geworfen. In Teil 4 ging es um die Frage, was sich Kunden von ihren Banken eigentlich in Sachen Service (Beratung, Apps etc.) w\u00fcnschen. Viele Banken bieten ja inzwischen Apps zur Abwicklung des Online-Bankings und zur Absicherung der Transaktionen (\u00dcberweisungen etc.) an. In Teil 5 geht es um die Frage der Sicherheit von Apps zum Online-Banking.<\/p>\n![\"Sparkassen-App](\"https:\/\/i.imgur.com\/z6Sg1G7.png\" "\\"Sparkassen-App")
<\/p>\n