Nach Revolut-Betrug: Wie sicher sind Geld-Apps fürs Smartphone?

Letzte Woche sorgte ein Betrugsfall bei der Smartphone-Bank Revolut für Aufregung. Ganze 30'000 Franken knöpften Betrüger dem betroffenen Kunden ab. Kurz nach Bekanntwerden des Vorfalls meldeten sich weitere Betrugsopfer in der Schweiz und Deutschland.

Immer mehr Menschen benutzen für den Zahlungsverkehr Smartphone-Apps wie Revlout, Twint und Co. Wie sicher sind diese? Michel Ketterle von der Digitalen Gesellschaft Schweiz schätzt im Interview ein.

Nau.ch: Herr Ketterle, kürzlich wurden einige Kunden der Smartphone-Bank Revolut um Zehntausende Franken erleichtert. Wie überrascht sind Sie?

Michel Ketterle: Das überrascht mich nicht wirklich. Aus meiner Sicht war das lediglich eine Frage der Zeit. Was man halt nie sagen kann, ist, wie so was passieren wird.

Nau.ch: Worin bestand die Sicherheitslücke höchstwahrscheinlich? Und warum gab sich Revolut hier teils bedeckt?

Ketterle: Wenn es Phishing war, dann war es nicht eine eigentliche Sicherheitslücke. Es hat sich jemand als jemand anderes ausgegeben. In diesem Fall hat sich ein Betrüger per SMS als das Unternehmen Revolut ausgegeben und es wurde vom Betroffenen geglaubt. Somit besteht eher ein Problem mit der Identifizierung und Kommunikation zwischen Kunde und Bank.

Was die Zurückhaltung seitens Revolut betrifft: Ich vermute, dass Revolut noch interne Abklärungen machen muss, was je nachdem sehr aufwendig sein kann. Aber ich hoffe mal nicht, dass sie es aussitzen wollen.

Nau.ch: Das erste bekanntgewordene Opfer war selber IT-Experte. Werden Phishing-Angriffe also immer gerissener?

Ketterle: Oh ja. Das ist wie in der Evolution. Der Jäger muss sich anpassen, wenn die Beute knapp, intelligenter, erfahrener oder besser ausgebildet wird. Die schwachen Jäger verschwinden, die Starken überleben.

Nau.ch: Sind denn nun Angebote wie Revolut grundsätzlich sicher?

Ketterle: Es ist nichts per se sicher. Es ist ein Prozess, der stetige Aufmerksamkeit und entsprechende Reaktion erfordert. Es gibt auch keine festgeschriebenen Standards. Am besten hält man sich an bestimmte Techniken, sogenannte «Best practices», die dafür bekannt sind, dass sie mehr Sicherheit bieten.

Und je nachdem, auch immer mal wieder durch Experten herausgefordert werden. Hier sind die Unternehmen gefordert, aufmerksam die Entwicklungen zu beobachten und darauf zu reagieren. Das ist allerdings auch nicht billig.

Nau.ch: Dann würden Sie Revolut auch selber nicht benutzen.

Ketterle: Nein, ich würde die App nicht verwenden. Aktuell sind diese Apps eher für Early Adopters. Also Leute, die das Risiko bewusst eingehen wollen. Sich als Kunde abzusichern, ist schwierig.

In diesem Phishing-Fall hier ist das Unternehmen in der Pflicht, einen Kommunikationskanal zu definieren, der die notwendige Sicherheit bietet. Grundsätzlich gilt: Alle System- und App-Updates zeitnah durchführen. Nicht mehr benötigte Apps deinstallieren und bei neuen Apps die Seriosität hinterfragen.

Zudem sollte man, wenn möglich, das Verschlüsseln der Mobiltelefondaten aktiveren. Und eine sinnvolle PIN zum Entsperren hinzufügen.

Nau.ch: Nebst Smartphone-Banken nutzen viele Menschen heute auch andere Geld-Apps. Die App Twint erfreut sich beispielsweise zunehmender Beliebtheit bei vielen jungen Leuten. Wie ist es um die Sicherheit von Twint bestellt?

Ketterle: Das ist schwer zu sagen. Der Vorteil ist hier sicher, dass etablierte Institutionen dahinterstehen, die sich zumindest schon mit Online-Banking auskennen und die besser wissen, wie man im Schadenfall reagieren muss.

Der Code der App ist leider proprietär und kann somit, im Gegensatz zu Open Source Software, nicht öffentlich eingesehen werden. Ich kenne auch noch keine Veröffentlichung, welche Aufbau, Abläufe und Kommunikation getestet hätte.