Close
Wonach suchen Sie?
Site search
25. Januar 2017 Wie sicher sind meine mobilen Finanzdaten?

Digital Business Law Bites # 17

Mit der Reihe "Digital Business Law Bites" geben wir einen kleinen Einblick in die Fülle unserer Erfahrungen und Klientenprojekte rund um digitale Geschäftsprozesse.

Führende Anbieter von mobilen Finanz-Apps sorgen für ein gutes Sicherheitsniveau. Die grössten Risiken sind nicht Sicherheitslücken im System, sondern Unachtsamkeit und Fehler beim Benutzen mobiler Finanzapplikationen. Trotzdem besteht auch für erfahrene und vorsichtige Nutzer von Finanz-Apps eine gewisse Gefahr eines unerwünschten Zugriffs. Die strenger werdende Datenschutz­gesetzgebung wird helfen, diese Gefahr zu verringern.

FinTech: Neue Möglichkeiten für Anbieter und Kunden, aber auch für Kriminelle

Die Digitalisierung und neue technologische Innovationen verändern unseren Alltag. Neue Lösungen von etablierten Banken und neuen FinTech-Anbietern ermöglichen dem Kunden, jederzeit auf Finanzdaten zuzugreifen, Finanztransaktionen mühelos durchzuführen und einen besseren Überblick zu gewinnen.

Gutes Sicherheitsniveau

Das Bankgeheimnis, die Finanzmarktregulierung mit den Vorgaben der FINMA und die in der Datenschutzgesetzgebung geforderten technischen und organisatorischen Massnahmen zur Verhinderung eines unbefugten Zugriffs haben zu einem hohen Stand der Datensicherheit geführt. Die so eta­blierten Qualitätsstandards gelten auch für Schweizer Anbieter mobiler Finanzdienstleistungen. Die ­FINMA hat in den letzten Jahren gezielte Zusatzprüfungen zum Thema IT-Sicherheit durchgeführt. Die FINMA ist zudem dabei, das für den Bereich der IT-Sicherheit wesentliche Rundschreiben 2008/7 Outsourcing Banken zu überarbeiten und auf Versicherungen auszuweiten. Nicht zu vergessen ist schliesslich auch, dass mit E-Banking die früher oft vorkommende Manipulation von aus Briefeinwürfen entwendeten schriftlichen Zahlungsaufträgen ein Ende gefunden hat.

Finanz-Apps: Das sind die Risiken

Das Verwenden von Finanz-Apps auf mobilen Geräten birgt jedoch auch einige spezifische Risiken:

  • Die Anbieter von Finanz-Apps sind auf Plattformen wie Apple AppStore, GooglePlay oder den Windows-Store angewiesen. Auf jeder Plattform gelten unterschiedliche Nutzungsbedingungen, die sich je nach Land unterscheiden.
  • Das Logo der Hausbank prangt jetzt stolz auf dem Homescreen des Mobiltelefons. Auf Desktop oder Laptop wurde den Kunden zuvor während Jahren eingeschärft, nach dem E-Banking die temporären Internetdateien und damit die Spuren einer Bankbeziehung zu löschen.
  • Mobile Geräte gehen aufgrund ihrer geringen Grösse eher verloren oder werden gestohlen. Sind diese schlecht gesichert, können Dritte Zugang auf die Finanz-App erhalten.
  • Finanz-Apps sind eine interessante Zielscheibe: Je beliebter eine App und je sensibler die Daten, desto mehr lohnt sich der Versuch, unbefugt ins System einzudringen.

Daneben gibt es eine Reihe von Risiken, die sich durch vorsichtiges Verhalten der Nutzer vermindern lassen:

  • Betrügerische Apps können sich als offizielle Angebote von Finanzdienstleistern tarnen und so Zugangsdaten ausspähen. Vor allem in alternativen App Stores tauchen ab und zu betrügerische Apps auf.
  • Viele Nachrichten werden auf dem Mobiltelefon auch bei gesperrtem Bildschirm als Vorschau angezeigt. Wer eine Finanz-App nutzt und zum Beispiel mTAN-Codes per SMS empfängt, sollte diese Einstellung ändern.
  • Fehlende oder einfach zu erratende Passwörter machen es Kriminellen einfach, ein mobiles Gerät zu missbrauchen.
  • Heute ist offen, welche digitalen Dienstleistungen und Geschäftsmodelle sich mittelfristig durchsetzen werden. Viele Nutzer probieren neue Apps aus. Wichtig ist zu verhindern, dass in nicht mehr genutzten Apps und mobilen Geräten Datenfriedhöfe zurückbleiben, über die der Nutzer keine Kontrolle mehr hat.

Neues Datenschutzrecht fördert Transparenz und Sicherheit

Gemäss der im Mai 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung müssen Anbieter von Finanz-Apps unbefugte Zugriffe auf personenbezogene Daten umgehend an die zuständige ­Datenschutzaufsichtsbehörde melden. Die EU verlangt zudem eine Benachrichtigung der Betroffenen, wenn voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten besteht. Es ist davon auszugehen, dass der Vorentwurf des revidierten Schweizer Datenschutzgesetzes analoge Pflichten zur Meldung und Mitteilung von Datenschutzverletzungen enthalten wird. Bisher war die Finanzbranche mit Informationen über sicherheitsrelevante Vorfälle im Bereich E-Banking und Mobile Banking eher zurückhaltend, um ihre Kunden nicht zu verunsichern. Informationen über solche Vorfälle sind aber entscheidend, weil Hacker die erbeuteten Daten auch dazu verwenden, zukünftige Angriffe zielgerichteter und effizienter durchzuführen. Gesteigerte Transparenz in diesem Bereich wird der Informatiksicherheitsbranche erlauben, Lücken rascher zu schliessen und den allgemeinen Sicherheitsstandard kontinuierlich zu erhöhen.

Autor: Christian Wyss

Autor