PostFinance: Wie sicher ist das neue Biometrie-Login?

Wie hoch ist die Gefahr, dass Kriminelle Fingerabdrücke ...

Wie hoch ist die Gefahr, dass Kriminelle die Fingerabdrücke auf dem Handy verwenden?

Unsere Fingerabdrücke sind überall auf unserem Smartphone zu finden. Kriminelle könnten diese verwenden, um sich damit in eine Banking-App einzuloggen. Doch wie hoch ist diese Gefahr tatsächlich?
Grundsätzlich ist es möglich, einen Fingerabdruck zu reproduzieren, um ein System zu täuschen. Allerdings ist es mit einem gewissen Aufwand verbunden. Damit man einen «lebendigen» Finger vortäuschen kann, muss nicht nur der Abdruck stimmen, sondern auch dessen elektrische Leitfähigkeit passen, die gemessen wird.
«Deswegen ist es umso wichtiger, dass Anwender ihre Mobilgeräte mit einer entsprechenden Anti-Diebstahlfunktion versehen, die ein gestohlenes Gerät nicht nur sperren, sondern im Notfall auch löschen können», rät Eset-Sicherheits-Experte Uhlemann.
Damit können Sie aus der Ferne alle Banking- und andere Daten löschen, während Diebe noch am «richtigen» Fingerabdruck arbeiten.

Sind PostFinance-Kunden bei Diebstahl versichert?

Machen wir ein kurzes Gedankenspiel. Wir gehen von zwei hypothetischen kriminellen Szenarien aus:
1. Eine PostFinance-Kundin wird auf der Strasse überfallen und gezwungen, mit dem Fingerabdruck oder Gesichtsscan das PoFi-Login freizuschalten.
2. Bei einem Kunden wird eingebrochen und der Anwesende wird zum selben wie bei Option 1 gezwungen. Bei beiden kommt es zu einer hohen Überweisung.
Natürlich ist das Risiko, dass es auf anderen Wegen zu einer erzwungenen Transaktion kommt, ebenfalls gegeben. Die Wahrscheinlichkeit ist bei Debit- und Kreditkarten heute wesentlich höher. Dennoch möchten wir von der PostFinance in Bezug auf das biometrische Login wissen:
  • Würde die PostFinance auf diese Überweisung aufmerksam?
«Je schneller bei einem erzwungenen Zugang zu E-Finance die Polizei eingeschaltet und PostFinance informiert wird, desto grösser ist die Chance, dass betrügerische Transaktionen gestoppt werden können, bevor sie vom System verarbeitet und ausgeführt werden», antwortet uns PostFinance-Mediensprecher Richard Pfister. Zwar entwickle man die automatische Transaktionsüberwachung ständig weiter, aber garantieren könne man eine Erkennung nicht.
  • Wären Kunden in so einem Fall versichert?
Die Versicherung gegen Risiken wie Diebstahl oder Raub sei grundsätzlich Sache des Kunden. Oftmals übernimmt die Privat- oder Hausratsversicherung Schäden, welche durch bestimmte Straftaten entstanden sind. «PostFinance würde den Einzelfall prüfen und Opfer einer solchen Straftat gegebenenfalls nach ihren Möglichkeiten unterstützen», sagt Pfister.

Das sagt der Security-Experte über das PostFinance-Verfahren

Sollen nun PostFinance-Kunden auf die beiden biometrischen Verfahren umsteigen? Wie eingangs erwähnt, Sie haben grundsätzlich eine Wahl. Sie können sowohl das gelbe Kästchen als auch die Mobile-ID weiterhin nutzen. Bankkunden, die kein Smartphone besitzen, haben letztlich sowieso keine Auswahl und müssen weiterhin den alten Kartenleser verwenden.
Wenn Sie den Fingerabdruck nutzen möchten, hat der Sicherheitsexperte einen Tipp: Verwenden Sie einen Finger, den Sie seltener verwenden, beispielsweise den kleinen Finger der «schwachen» Hand. Vermeiden Sie Daumen und Zeigefinger der «starken» Hand. PCtipp empfiehlt, nebst Fingerabdruck noch die Passwort-Abfrage aktiv zu lassen.
Update 17.06.19: Eset hat die Aussage zur Face-ID präzisiert.
Derzeit ist Face-ID bei der PostFinance lediglich mit iOS-Geräten ab iPhone X möglich. «Face ID ist in der Vergangenheit mit hohem technischen Aufwand bereits überlistet worden, aber wird ständig verbessert und gilt derzeit noch als sicher», sagt Eset-Sicherheits-Experte Uhlemann. Das Feature steht allerdings nur für Nutzer der iPhone-Generation X zur Verfügung. «Nicht einmal die Hälfte der Schweizer Smartphone-Nutzer besitzt überhaupt ein iPhone, davon nicht alle eines aus der X-Serie», gibt Uhlemann zu bedenken.
 



Kommentare
Avatar
karnickel
15.06.2019
Damit man nicht den gelben "Taschenrechner" umhertragen muss, kann man sich natürlich auch einfach per MobileID ins Yellownet einloggen.

Avatar
stebra
15.06.2019
Gedankenspiel unvollständig Die Szenarien sind absolut nicht spezifisch auf Fingerabdruck bzw. Gesichtserkennung bezogen. Wenn der Räuber mit vorgehaltener Waffe mein Passwort verlangt, so hat er auch alle Zugriffsmöglichkeiten, zusätzlich auch noch, wenn ich nicht dabei bin. Ich hätte gerne eine Zusammenstellung von noch weiteren Szenarien (Smartphone / Postcard verloren bzw. gestohlen und ich dies erst einige Stunden / Tage später feststelle usw.) Und wie schneidet die Variante mit MobileID ab? Am Schluss gibt es die absolute Sicherheit nicht und es ist immer ein Kompromiss zwischen sicher und bequem.

Avatar
aspengler55
15.06.2019
das neue Login via Post-Finance-App Ich habe mit dem Kundenservice der Postfinance , die Software geladen,ohne Finger-Id und ohne Gesichtserkennung , klappt. Bin sehr zufrieden.Passe mich mit 58 Jahren an die Technik an . Alles TOP????

Avatar
Oldsailor
16.06.2019
Nur zuhause Es gibt für mich nur eine vernünftige Handhabung für Zahlungen an Bankinstitute: Zuhause am heimischen PC. Auch wenn der einmal gestohlen werden sollte (in meiner Abwesenheit logischerweise), Zugangsdaten sind da keine drauf.

Avatar
aspengler55
16.06.2019
For zuhause Für zuhause brauchen Sie auch das Natel , um den Code zu bestätigen , bevor Sie mit dem neuem System arbeiten können.

Avatar
gucky62
16.06.2019
Für zuhause brauchen Sie auch das Natel , um den Code zu bestätigen , bevor Sie mit dem neuem System arbeiten können. Beim bisherigen System eben nicht. Und auch wenn das viele nicht verstehen können, es gibt noch genug Leute die kein Mobil-Telefon haben, geschweige dann ein Smartphone. Derselbe Unsinn will Postfinance nun auch bei deren Kreditkarten mit 3D Secure einführen. Anstelle des bisherigen Passwort-Schutzes (2. Stufe), soll nun eine SMS oder Smartphone App zum Einsatz kommen. Es gilt oben gesagtes. Nicht alle haben und wollen ein Mobile-Phone. Beim Smartphone - da werden natürlich mal wieder nur iOS & Android unterstützt - natürlich dann mit Fingerprint oder Face ID. Will oder kann Postfinance nicht begreifen, das solche Identifikationssysteme ein Rückschritt in Sachen Sicherheit sind? An sich sollte der Kunde, da er vom Anbieter dazu gezwungen wird, schriftlich den Zusatz zu den AGBs verlangen, dass die dadurch schlechtere Sicherheit das vollständige Risiko des Anbieters (PF) sind und dies auch vollumfänglich haften. Aber die anderen Anbieter werden genau denselben Weg gehen, bzw. sind ihn schon gegangen. Mich nervt dieser Zwang zu Smartphone-Apps zunehmend. Auch deswegen, weil damit eine Unmenge an weiteren Daten erfasst werden, die keinen irgendwas angehen! Man siehe die diversen Tracker, welche bei den meisten Zahlungen bei Online-Shops aktiv sind. Spitzenreiter bisher 30 und das bei der Zahlungsseite des Anbieters. Gruss Daniel

Avatar
Ernesto13
20.06.2019
Ich erledige meine Geschäfte zu Hause, daher ziehe ich das Lesegerät vor, das kann mir nicht so einfach gestohlen werden und ist sogar sicherer, nach meinem Empfinden. Wie sicher ist chipTAN (und TAN2go) vs diesen Systemen?

Avatar
Claudia Maag
25.06.2019
Ich erledige meine Geschäfte zu Hause, daher ziehe ich das Lesegerät vor, das kann mir nicht so einfach gestohlen werden und ist sogar sicherer, nach meinem Empfinden. Wie sicher ist chipTAN (und TAN2go) vs diesen Systemen? Hallo Ernesto13, ich habe mit Eset kurz Rücksprache gehalten. ChipTAN und TAN2go sind laut der Sicherheit-Experten aus heutiger Sicht ebenfalls sichere Verfahren. Beide Verfahren erstellen die TAN-Nummern auftragsbezogen und sie sind nur für kurze Zeit gültig. liebe Grüsse, Claudia Maag