Sicherheit ist kein Hindernis für Mobile Banking

Kunden von Mobile Banking überzeugen

Abonnieren Sie den kostenlosen Bank Blog Newsletter
Aspekte der Sicherheit und des Risikos beim Trend Mobile Banking

Mobile Banking

Mobile Banking ist in aller Munde. Um den Durchbruch auch beim Kunden zu schaffen, ist dessen Vertrauen in die Sicherheit dieser Leistung erforderlich. Hierfür gibt es einige Ansätze.

Partner des Bank Blogs

Prestatech ist Partner des Bank Blogs

Aktueller Trend

Mit mobilen Dienstleistungen können Banken einen Markt erschließen, der viel größer ist als der Online-Banking-Sektor. Während Kunden für Online Banking Computer und Internetzugang benötigen, reicht für Mobile Banking ein Mobiltelefon. Da viele Konsumenten bereits ein mobiles Endgerät besitzen, ist die potenzielle Nutzerbasis riesig. Vom Sicherheitsstandpunkt aus gesehen gibt es zwischen Internet-Banking und Mobile Banking kaum Unterschiede. Tatsächlich bietet das Mobiltelefon sogar ein höheres Maß an Sicherheit, da sich auf dem vernetzten Gerät selbst nicht so viele persönliche Informationen befinden wie auf einem Computer.

Vertrauen der Kunden ist wichtig

Die wichtigste Sicherheitshürde für Mobile Banking und Mobile Payment besteht darin, das Vertrauen der Konsumenten zu gewinnen. Noch vor zehn bis 15 Jahren war das Konzept des Internet Bankings und Online Shoppings ganz neu: Um sich mit diesen Nutzungsarten anzufreunden, war eine radikale Veränderung im Denken und Handeln notwendig. Banken und Handelsunternehmen brauchten Zeit, um ihre Geschäftsaktivitäten auf den Online-Kanal umzustellen und ihr Angebot darauf abzustimmen. Doch auch die Konsumenten mussten sich an die neuen Interaktionswege gewöhnen. Die Umstellung auf Mobile Banking und Mobile Payment wird viel einfacher und schneller vonstattengehen. Bereits die SMS bietet ein adäquates Mittel für die Durchführung mobiler Bezahlvorgänge: Dank Smartphones mit Wi-Fi, Browser und anderen Anwendungen ist „mobile“ nun jedoch fast synonym mit „online“ zu verwenden, so dass die Umstellung auf mobile Endgeräte nur noch ein kleiner Schritt ist.

Mobile Banking Kanäle

Finanzinstitute, Mobilfunkbetreiber und Unternehmen haben verschiedene Kanäle zur Auswahl, über die sie Mobile Banking anbieten können: SMS, Rich-Client-Anwendungen und mobile Browser. Da Smartphones sich immer mehr durchsetzen und Betriebssysteme mit Commerce-Funktionen entwickelt werden, erleben diese Anwendungsarten zukünftig einen starken Zuwachs. Man betrachte nur die Vielzahl an Anwendungen für das mobile Bezahlen, die im vergangenen Jahr auf den Markt kamen, darunter Starbucks Card Mobile, Google Wallet oder Card Case von Square. Zu sehen ist auch eine Explosion der Person-to-Person (P2P)-Zahlungen weltweit. Hersteller kündigen an, Near-Field-Communication (NFC)-Chips in Mobiltelefone einzubauen, die das Sicherheitsniveau für Mobiltelefone auf ein höheres Niveau, als es je auf einem PC gab, heben.

Risiken beim Einsatz

Doch die Gefahr, die den Geräten selbst innewohnt, sollte nicht heruntergespielt werden. Mit ihrer handlichen Größe und geringem Gewicht sind Mobiltelefone nicht nur einfach zu transportieren, sie stehen auch in ständiger Gefahr, verlorenzugehen oder gestohlen zu werden. Die effektivste Sicherheitsmaßnahme ist in diesem Zusammenhang ein starker Passwortschutz und eine Remote-Wipe-Funktion, über die alle persönlichen Daten, wenn es notwendig ist, gelöscht werden können. Bei Payment-Services kann die Abfrage von PIN oder Kennwort des Nutzers, bevor die Zahlung erfolgt, zusätzliche Sicherheit bieten.

Der Kunde muss Vertrauen in die Sicherheit von Mobile Banking haben

Mobile Banking: Sicher oder risikobehaftet?

Wichtige Sicherheitsaspekte

Bei den verschiedenen Kanälen sollten folgende Aspekte beachtet werden, um ein Maximum an Sicherheit zu gewährleisten:

SMS. Wenn man mCommerce-Transaktionen über SMS anbieten möchte, muss man sich mit dem Thema Datenerfassung beschäftigen. Jede Textnachricht wird im SMS-Speicher des Mobiltelefons abgelegt. Die Nachrichten sollten keine Informationen enthalten, die einen Verstoß gegen die Sicherheitsbestimmungen darstellen könnten. Die Anwendung sollte Account Masking unterstützen und den Umfang der im SMS-Log gespeicherten Daten begrenzen. Sind diese Informationen verborgen, ist der Nutzer im Fall eines Verlustes oder Diebstahls geschützt.

Rich-Client-Anwendungen. Wichtig ist, dass die Anwendungen aus einer vertrauenswürdigen Quelle, wie z.B. dem Apple App Store, stammen. Diese Quelle muss Schutzmechanismen gegen Trojaner-Anwendungen, die das Gerät eines Nutzers und damit verbundene Konten beeinträchtigen könnten, bieten.

Mobile Browser. Secure-Sockets-Layer (SSL)-Zertifikate und 128-bit-Verschlüsselungen sind universelle Datenschutz-Sicherheitstechniken, die sich bereits im Zusammenhang mit Online Banking bewährt haben.

Eine weitere Sicherheitsebene kann hinzugefügt werden, indem verlangt wird, dass der Anwender über Aktivitäten wie Geldbewegungen, Passwortänderungen, neue Kontoregistrierung und Änderungen des Nutzerprofils per Alert informiert wird. Sollte er selber diese Veränderung nicht veranlasst haben, kann er die Bank kontaktieren, um den Schaden zu begrenzen.

Schwachstellenbeseitigung

Unabhängig vom gewählten Kanal müssen Banken und Unternehmen sich mit potenziellen Schwachstellen befassen. Einer der besten Ansätze hierfür ist die Zusammenstellung von Anwendungsfällen, wie z.B. „Anwendungsfall: Verlust des Mobiltelefons“. Der jeweilige Anwendungsfall sollte für jede einzelne Transaktionsart durchgespielt werden, um Risiken zu identifizieren. Für das Szenario eines verlorenen Mobiltelefons sollten folgende Fragen gestellt werden:

  • Könnte das SMS-Log irgendwelche Kontoinformationen enthalten, die das Konto des Nutzers gefährden?
  • Enthalten die Textnachrichten Informationen über Überweisungstransaktionen?
  • Welche Daten werden für den Zugriff auf die Anwendung benötigt?
  • Könnten die Zugangsdaten für die SMS-Transaktion auf einem anderen Mobiltelefon angewendet werden und welche Schutzmaßnahmen könnten dem entgegenwirken?
  • Welche Prozesse schränken den Kontenzugriff bei den Finanzinstituten ein?
  • Welche zusätzlichen Empfehlungen können Finanzinstitute den Nutzern geben, wenn diese sie kontaktieren, wie z.B. Kontaktaufnahme mit dem Mobilfunkbetreiber, um die Deaktivierung des Mobiltelefons zu veranlassen?
  • Stellen Banken Nutzern hilfreiche Informationen im Call Center, in der Filiale, als Interactive Voice Response (IVR) und auf ihrer Website zur Verfügung, um sie im Verlustfall oder bei Diebstahl zu unterstützen?

Ausblick

Zukünftig müssen Mobilfunkbetreiber und Finanzinstitute Standards entwickeln und Best Practices für mBanking anwenden, die alle Ökosystem-Teilnehmer schützen. Denn nur, wenn die Transaktionen über integrierte Sicherheitsfeatures verfügen, wird sich mBanking flächendeckend durchsetzen.

Wie sehen Sie die Zukunft des Mobile Banking? Und was kann getan werden, um eine schnelle Akzeptanz zu erreichen?

Über den Autor

Matthew Talbot

Matthew Talbot verantwortet als Senior Vice President die stetig wachsende mCommerce-Sparte bei Sybase 365. Er stieß 2004 im Zuge der Übernahme von Mobile 365 zu Sybase und treibt seit Mitte 2006 die damals neu ins Leben gerufene Initiative zur Etablierung von Mobile Commerce entscheidend voran. Vor seiner jetzigen Position war Talbot bei Sybase 365 als Vice President für die Region Asien zuständig und machte Sybase dort zu einem führenden Anbieter von Messaging Services zwischen Mobilfunkbetreibern und Unternehmen wie Citibank, Microsoft oder Singapore Airlines. Vor seiner Tätigkeit bei Sybase war Talbot in Peking und Sydney als CEO der Mobile Internet Group (MIG), einem führenden Anbieter für Wireless Application Services und Co-Publisher für mobilen Content, tätig.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

2 Kommentare

  1. Avatar

    Danke für den Beitrag, der aus meiner Sicht eine recht hohe Flughöhe hat.
    Wenn ich mir das Thema Mobile-Banking in Deutschland ansehe, so scheint es mir weitestgehend standardisiert und auch sicherheitstechnisch auf mindestens dem Niveau des Internet-Bankings. Ich bin mir nicht sicher, ob hier weitergehende integrierte Sicherheitsfeatures von Nöten sind.
    Im mPayment sehe ich durchaus das Potential für diesen integrierten Ansatz.

  2. Avatar

    Dank für den schönen Artikel.

    Ich beschäftige mich seit einiger Zeit mit dem Thema und sehe erste, noch nicht öffentliche, Gehversuche mit Sprachbiometrie. Dieses Verfahren überträgt die Stimme des Benutzers über das Mobiltelefon und ermöglicht dem Finanzdienstleister erstmals sicher zu stellen, das wirklich nur die berechtigte Person und nicht der Besitzer des PIN’s den mobilen Service nutzt.

    Ich bin mir sicher, das dieses Verfahren in den nächsten Jahren an verschiedenen Stellen Einzug halten wird, denn die Erhöhung der Sicherheit ist enorm.

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren