Mobile Banking der Bank Austria

Manche österreichischen Banken haben bei der Umsetzung von e-Banking auf eine eigene APP gesetzt und so die Anwendung browserunabhängig gemacht. Ein Beispiel ist Bank Austria Mobile Banking. Diese APP wurde von der UniCredit entwickelt und kann über den Android Market installiert werden. Bei der APP handelt es sich um eine Webview auf die e-Banking Weban-wendung für den Computer. Diese wurde für das mobile Gerät angepasst. Die einzelnen Button rufen keine eigene Activity auf, sondern stellen einen neuen Webrequest an den Server. Die Antwort wird als Content der APP dargestellt.

Die aufgeführten Funktionen stammen aus der Beschreibung der APP.^[19] Sie konnte aufgrund eines

Abb. 21. Bank Austria Mobile Banking – Kontoübersicht, News ^[19]

7.3.1 Funktionen

Die Applikation Mobile Banking verfügt über einige Funktionen, die die Verwaltung des Kontos und der Depots ermöglichen. Die Navigation zu diesen Funktionen erfolgt über die obere und untere Navigationsleiste.

7.3.1.1 Aktuelles

Unter Aktuelles kann sich der Benutzer über aktuelle Änderungen in der Bank und am Finanzmarkt informieren. Hier werden auch Angebote und Events des Bankinstituts angeführt.

7.3.1.2 Kontofunktionen

Mobile Banking verfügt über die wichtigsten Funktionen zur Verwaltung der Konten. Es können die Kontostände abgefragt, sowie Überweisungen erfasst und abgesendet werden. Wie bei ELBA mobil ist es jedoch nicht möglich, Daueraufträge zu erstellen oder zu bearbeiten.

7.3.1.3 Wertpapierfunktionen

Mit den Wertpapierfunktionen können bestehende Wertpapiere verkauft und neue gekauft werden.

7.3.1.4 Kontaktfunktionen

Über die Kontaktfunktionen können Kontaktdaten wie e-Mail und wichtige Telefonadressen abge-rufen werden. Mit diesen Nummern ist es möglich, schnell Kontakt zum Bankberater aufzunehmen,

um Terminvereinbarungen, Hilfestellungen und Kartensperrungen für verlorene Bankomatkarten zu erhalten.

7.3.2 Sicherheitsrisiken bei der Verwendung am Smartphone

Eine APP hat gegenüber einer Webanwendung den Vorteil, dass der Entwickler auf mehr Funk-tionen des Android Systems Zugriff hat. Bei Mobile Banking wird anstatt des Browsers eine eigene APP genutzt. Dadurch ist es möglich, eigene Buttons für Quicklinks zu verwenden. Die Sicherheits-probleme, die bei einer Webanwendung entstehen können, bestehen jedoch weiter. An der Infra-struktur im Rechenzentrum sind gegenüber der reinen Webanwendung keine Änderungen not-wendig.

Ein Großteil der Risiken entsteht durch die Unwissenheit des Benutzers. Es gibt keine Mecha-nismen, die gegen Schadsoftware, Shoulder Surfing oder Social Engineering wirken. Als Zugriffs-schutz bei Diebstahl oder Verlust des Gerätes wirkt nur die PIN oder das Passwort und gegen das unautorisierte Absenden von Aufträgen die mTAN. Somit sollte bei Verlust des mobilen Gerätes sofort die PIN geändert werden.

Die Abhörsicherheit der Kommunikation wird mittels Serverzertifikat und TLS Verschlüsselung sichergestellt. Da jedoch der Aufbau des Rechenzentrums nicht bekannt ist, kann es hier zu weiteren Sicherheitsrisiken kommen.

7.3.3 Implementierte Sicherheitsmechanismen

Die Anwendung verwendet unterschiedliche Sicherheitsmechanismen. Da kein Bankkonto bei der Bank Austria zur Verfügung steht, kann die APP nicht getestet werden. Deshalb werden hier die Sicherheitsmerkmale der Installationsinformationen des Android Market angeführt.

7.3.3.1 PIN und TAN Kontrolle

Die Basissicherheit wird durch die PIN Eingabe bei der Anmeldung und TAN Eingabe beim Ab-senden von Aufträgen gewährleistet. Die TAN Ermittlung kann mittels mTAN durchgeführt werden. Durch die mTAN besteht jedoch das Problem, dass die 2 Wege Autorisierung nicht mehr gegeben ist. (vgl Seite 25, 5.3.3)

Diese Kontrollsysteme verhindern einen unberechtigten Zugriff und erhöhen somit die Zurechen-barkeit der Daten.

7.3.3.2 Serverzertifikate

Serverzertifikate bestätigen die Authentizität eines Servers und gewährleisten, dass die APP mit der

Benutzer davon ausgehen, dass dieser Server derjenige ist, für den er sich ausgibt. Problematisch ist es, wenn das Zertifikat von einem Angreifer gestohlen und für den eigenen Server verwendet wird.

(vgl Seite 76, 8.3.1)

Die Zertifikate erhöhen die Authentizität der Systemkomponenten und die Zuverlässigkeit des Systems.

7.3.3.3 Kommunikation mit SSL Verschlüsselung

Die Kommunikation wird mit SSL verschlüsselt. Damit kann eine sichere Übertragung gewähr-leistet werden. Wichtig ist dabei, dass der Schlüsselaustausch für die Verschlüsselung mit dem public Key des Serverzertifikates verschlüsselt wird. Dadurch kann es nur mit dem privaten Key des Servers gelesen werden. Der Schlüsselaustausch ist für einen Angreifer nicht vollständig lesbar.

Damit wird die spätere Übertragung abhörsicher.

Die Vertraulichkeit der Daten kann gewährleistet werden. Werden die Daten bei der Übertragung geändert, können sie nicht mehr korrekt verschlüsselt werden. Somit kann auch die Integrität der Daten gesichert werden. (vgl Seite 79, 8.4.2)

7.3.3.4 Automatischer Logout nach 15 Minuten

Der Benutzer wird nach 15 Minuten automatisch aus dem System ausgeloggt. Damit soll einem unberechtigten Zugriff vorgebeugt werden. Diese Zeit ist im Vergleich zu den ELBA Produkten sehr lange und kann ein gewisses Sicherheitsrisiko darstellen.

Der automatische Logout ermöglicht, die Zurechenbarkeit der Daten bei gleichzeitigem Erhöhen der Benutzerfreundlichkeit zu gewährleisten, da der Benutzer nebenbei Aktionen durchführen kann, ohne sich für jede Bankaktion neu anmelden zu müssen.

7.3.3.5 Speicherung der Verfügerdaten

Standardmäßig speichert die APP die Verfügerdaten für den Login. Dies kann ein Sicherheitsrisiko darstellen, da der Angreifer nur mehr die PIN benötigt, um auf die Konten und Depots zugreifen zu können. Für die Benutzerfreundlichkeit ist es jedoch förderlich, da sich der Benutzer die Konto-nummer, Bankleitzahl und Verfügernummer nicht merken muss. Über das Menü der APP kann im angemeldeten Zustand dieses Speichern der Logindaten deaktiviert werden. Ein unberechtigtes Anmelden wird erschwert, da der Angreifer die Daten nicht mehr aus dem Speicher auslesen kann.

7.3.3.6 Android-Version 2.2 notwendig

Die APP benötigt die Android Version 2.2, um sich installieren zu lassen. Damit kann sichergestellt werden, dass die Sicherheitslücken im System, die bis zu dieser Version geschlossen wurden, nicht

mehr ausgenützt werden können. Derzeit ist jedoch die Version 4 aktuell. Versionsmanagement und Updates stellen bei Android jedoch ein Problem dar (vgl Seite 23, 5.2.2). Damit die Anwendung von einem Großteil der Benutzer genutzt werden kann, ist es somit notwendig, eine ältere Version als Systemvoraussetzung zu wählen.

7.3.4 Angeforderte Berechtigungen

Da die APP nur die Berechtigung „Uneingeschränkter Internetzugriff“ benötigt, kann sie das mobile Gerät nicht auf eventuelle Schadsoftware überprüfen oder eine Ortung des Gerätes durchführen.

7.3.5 Handhabung und Benutzerfreundlichkeit

Mobile Banking wurde für Smartphones entwickelt und ermöglicht die Verwaltung der Konten vom mobilen Gerät aus. Um auf einem Handy gute Übersichtlichkeit zu gewährleisten, sind die Buttons am Rand eher klein gestaltet. Dies kann bei der Verwendung auf einem Tablet störend wirken.

7.3.6 Fazit zum Mobile Banking

Mobile Banking der Bank Austria bietet eine sichere Plattform, um Bankgeschäfte abzuwickeln. Sie bietet durch Buttons an der oberen und unteren Leiste eine gute Übersichtlichkeit. Es werden jedoch keine spezifischen Anwendungen für Smartphones wie Bankomatfinder oder Filialfinder angeboten.