Stiftung Warentest nimmt Banking-Apps unter die Lupe
von caschy | 56 Kommentare
Laut einer Umfrage des Branchenverbandes Bitkom nutzen 5 Millionen Deutsche eine App zum Erledigen Ihrer Banking-Geschäfte mobil, im Vergleich zu geschätzten 37 Millionen Onlinebanking-Nutzern eine überschaubare Zahl. Die Stiftung Warentest hat für einen Test insgesamt 38 Banking-Apps unter die Lupe genommen.
Als Voraussetzung galt: die Apps sollen mindestens den Kontostand anzeigen, Überweisungen zulassen und zudem für Android oder iOS verfügbar sein. Nur sieben der getesteten Apps erreichte hierbei die Note „Gut“, in vielen Fällen stellte man „viel Luft nach oben“ fest, da viele Apps lediglich eine auf die kleinere Ansicht des Onlinebankings setzen würden, zudem seien die Apps für iOS oft nutzerfreundlicher als die, die man auf der Android-Plattform vorfindet.
Ein Gewinner des Tests war die Outbank-App auf der iOS-Plattform (gerade für ein Jahr kostenlos, sofern ihr Telekom-Kunde seid) und die Sparkassen-Apps – diese konnten auch auf der Android-Plattform überzeugen. VR Banking und ING-Diba Banking + Brokerage (beide iOS) schnitten ebenfalls gut ab. Andere Apps waren lediglich befriedigend, die Numbrs-App musste sich sogar mit einem „Mangelhaft“ begnügen.
Getestet wurde wie folgt: Die Funktionen der App wurden mit 50 Prozent gewichtet, die Nutzerfreundlichkeit mit 30 Prozent und die Passwort- und Datenschutzbestimmungen machten 20 Prozent der Gewichtung aus. Nicht eingeflossen, aber getestet: das Datensendungsverhalten. Hierbei haben die Tester versucht, Informationen aus der Verbindung zu ziehen, die über SSL initiiert wurde. Wurde hierbei beispielsweise die eindeutige Gerätekennung gesendet, so wurde dies als kritisch gewichtet und in der Ergebnistabelle vermerkt.
Der kostenpflichtige Beitrag der Stiftung Warentest geht ferner auf die einzelnen Funktionen vieler Apps ein, so kritisiert man beispielsweise bei einigen Apps die nicht vorhandenen Filtermöglichkeiten oder die fehlende Möglichkeit, Aufträge als Vorlage zu speichern. Neben der Prüfung durch „Experten“ habe man die Apps auch in die Finger von geschulten Laien gelassen und geschaut, wie diese mit den Apps zurechtkamen. Mehr als die Hälfte der Tester hätte ihre Test-App nicht weiterempfohlen.
Sofern ihr den Beitrag in die Finger bekommen solltet: zwar testete man eine große Anzahl von Apps, doch die Apps, die im Mittelfeld liegen, die sind ganz nah beieinander. Die meisten werden als unkritisch in Sachen Datensendungsverhalten eingestuft, sodass in Sachen Funktion und Nutzerfreundlichkeit oftmals eh nur das eigene Verhalten und die Vorlieben entscheidend ist. Was mir persönlich im Test fehlte: Speichert die App die Zugangsdaten nur auf dem Gerät, oder ist eine Synchronisierung via Cloud eine Option – werden Daten vielleicht auf den Servern des App-Anbieters gespeichert? Wäre ja mal was für den neuen Test.
Wird geladen ...
@jensemann
nein, nicht rosa, sondern rose-gold! 😉
@lentille
ich hatte das auch gelesen aber nicht so 100%ig verstanden. ich gehe davon aus, dass damit gemeint ist, dass infizierte software auf einem mac installiert werden kann, ohne dass eine schutz-software davor warnt.
ok, kann sein, aber dafür muss ich erstmal die software nicht aus dem mac-appstore laden, sondern aus dem internet. zudem halt noch aus dubioser quelle, denn sonst würde wohl keine gefahr davon ausgehen.
sobald ich dann diese software aus nicht-vertrauenswürdiger quelle installiere, werde ich erstmal gewarnt, dass ich vermutlich nicht signierte software installieren möchte. dann werde ich aufgefordert, mein sicherheitslevel zu ändern, damit es überhaupt möglich ist, diese software zu installieren (die standard-einstellung lässt das nicht zu). dann werde ich zudem noch nach meinem root-passwort gefragt.
tja, wenn all das nicht verhindern konnte, dass ich den vorgang abbreche, dann hilft halt auch kein schutz-programm mehr. ein bisschen hirn braucht halt selbst ein mac-user 😉
@goodoo
also auch deine kritik bezieht sich nur auf die kosten und nicht die sicherheit bzw qualität von outbank.
zum glück ist die lage jetzt eindeutig, man muss dauerhaft die software in einem abo-modell mieten. vielleicht hat die diskussion damit endlich mal ein ende. wem das geld dafür zu schade ist, der soll halt abstriche machen (laut testbericht) und eine kostenlose/günstigere app nehmen.
@Thomas: Bitte was habe ich denn mit der Diskussion zu tun? oO
Du siehst ja selbst, dass hier ausgewogen Pro und Kontra von den Beteiligten angebracht wird. Mit manchen Menschen kommuniziere ich nicht mehr.
Lentille zB hat eine Mail von mir bekommen vor zwei Wochen, nachdem die Laberei mir zu persönlich wurden – und dann muss man halt damit leben, wenn ein Blogger einer solchen Person einen Arschtritt gibt. Die darf dann gerne auch unter dem dritten oder vierten Namen kommentieren, wie auch andere hier im Thread. Ich habe da keine Lust mehr drauf und werde mit dem großen Wischer durchgehen, damit die Trolle wieder Zensur rufen dürfen.
Dafür dass du mit der Diskussion nix zu tun haben willst, hast du dich aber ausgiebig beteiligt. Schade!
@Thomas: nicht zum konkreten Thema. Aber schau noch mal auf die von mir geposteten Links über die gebloggten Sicherheitslücken.
Ok, aber dann lass doch das Kommentieren dieser Personen besser ganz. So kam es eher wie ein inhaltlicher Angriffs der Position von lentille rüber und zu dem Schwachsinn von HO schweigst du ganz. Deine Privatfehde mit lentille ist ja nicht jedem geläufig;-)
@thomas
von diesen sicherheitsproblemen habe ich doch gesprochen… es gibt sie selten und die gefahr ist relativ theoretisch. in diesem fall wurde der schwachpunkt von den sicherheitsforschen gar nicht richtig veröffentlicht, damit das von hackern nicht ausgenutzt werden kann. die apps wurden dann wohl relativ zügig einem update unterzogen(!?).
von einem echten schaden, den hacker verursacht haben, wird in diesem fall also nirgendwo berichtet, oder?
Das spielt doch keine Rolle. Entscheidend ist, dass auch die App von Outbank davon betroffen sein kann und generell die Aussage Quatsch ist, ich mache aus Sicherheitsgründen alles übers iPhone.
Ich frage mich schon die ganze Zeit, wie sich die App „Centralway Numbers“ für iOS finanziert – nicht nur das die App kostenlos ist, die machen dafür auch nocht gewaltig TV-Werbung – wovon bitte ? Hab meinen Account bei denen heute endgültig gelöscht, nicht nur weil ich die App eh mies finde, auch aus datenschutzrechtlichen Bedenken. Bei mir läuft die App von der Sparkassen, die kann alles und funktioniert wunderbar. Für unterwegs mal den Kontostand abrufen oder bei Bedarf eine Überweisung machen, reicht das vollkommen, für alles andere Nutze ich eine Onlinebanking-Software auf dem PC
@thomas
ich habe ja nicht gesagt dass es niemals sicherheitslücken gibt, diese sind aber halt immer nur theoretische gefahren (wie auch in dem fall, den du verlinkt hast). diese lücken werden meist nicht durch ausnutzen von hackern gefunden, sondern durch solche dicherheitsforscher, die diese lücke dann aber niicht vollständig veröffentlichen. apple oder die app-anbieter brieten eigentlich immer recht schnell ein update an, damit das behoben wird.
generell hat es halt einen vorteil, dass ich bei apple bzw. iOS in einem goldenen käfig sitze. es gibt bzw braucht hier keinen virenscanner bzw firewall.
und da jeder pc und mac wesentlich offener ist, wird es darüber niemals sicherer sein onlinebanking zu betreiben.
konkret gibt es halt noch keinen vorfall unter iOS, bei dem datendiebe ein konto leer geräumt haben, zumindest ist mir keiner bekannt.
Nutze Banking 4 und bin damit vollkommen zufrieden. Lange genug das schrottige StarMoney benutzt und jedes Jahr brav aufs Neue zur Kasse gebeten worden. Würde schon gerne erfahren was genau Stiftung Warentest zu Banking 4 zu erzählen hat, aber deren Meinung ist mir nun wirklich nicht 2€ wert.
Banking App auf dem smartphon Nein danke ! Ich würde aus Sicherheitsgründen davon abraten! ! Aber es muss jeder für sich entscheiden ob er das Risiko eingehen möchte.
@Patrick: Die Ergebnisse von Banking4 wurden heute von Subsembly (dem Hersteller) getwittert.
https://twitter.com/subsembly/status/600633720882724864
Fragwürdiger Artikel. Die meisten getesteten Apps sind nicht multibankenfähig. Heißt, die App ist von der Bank für ihre Kunden und sie kann eh kein anderer nutzen. Ein Test ist für alle andere Kunden irrelevant. Und der Artikel brüstet sich zwar mit Sicherheit, wenn aber Finanzblick die Daten über eine Cloudinfrastruktur abfragt, wird das nicht hinterfragt. Laut Hersteller ist Banking 4A (Android) und Banking 4i (iOS) nahezu identisch, trotzdem großer Wertungsunterschied. Wenn eine App so sicher ist, dass ihr Traffic nicht bewertet werden kann, geht das logischerweise nicht in die Wertung ein, aber lesbarer unnötiger Traffic wird nur im Extremfall bewertet. Dafür wurde die Automatensuche bewertet?
Die Infobox zum Thema Sicherheit der verschiedenen Tan-Verfahren ist auch vollkommen lächerlich. Statt auf die verschiedenen Gefahren der verschiedenen Kanäle einzugehen wird nahezu alles als sicher bewertet. Ein Sicherheitsunterschied zwischen iTAN und mTAN ist nicht nachvollziehbar, insbesondere nachdem iTAN mit „Niedrige Sicherheit, weil die iTan nicht aus den Überweisungsdaten selbst erzeugt wird.“ bewertet wird, dass aber bei mTAN genauso zutrifft.
Weil Banking 4A optional anbietet, das Banking-Passwort im verschlüsselten Tresor zu speichern, was sicherheitstechnisch kein Problem, aber für die AGBs eventuell eins ist, wird die ganze App runtergewertet, obwohl sie im Text noch wegen Verzicht auf Analytics gelobt wurde? Die eigene App von StarMoney wird deutlich schlechter bewertet als ihre gebrandete Version Sparkasse+ (Testsieger)?
Nein, der Test ist mit der üblichen Willkür von Stiftung Warentest versehen und auch bietet man keinerlei nachvollziehbare Wertungsdetails an.
Die getesteten Multibanking-Apps waren übrigens:
– Android: Sparkasse+, Star Money, Online-Filiale+, Finanzblick, Banking 4A, 123Banking
– iOS: Outbank DE, Sparkasse+, Star Money, Online-Filiale+, Finanzblick, Banking 4i, 123Banking, Centralway Numbrs
Die Datensicherheit war nur bei Centralway Numbrs sehr kritisch und bei Sparkasse+ kritisch sowie einigen einzelnen Banken-Apps kritisch. Aber eigentlich haben die ja die Kundendaten eh schon.
Ich kann nur jeden Raten, die Apps selbst zu testen und kein Geld in den wenig aussagekräftigen Artikel zu investieren.
@geeg: danke für die Zusammenfassung. Ein erfreulicher Kommentar abseits von Fanboy- und Rechthaberei-Diskussionen 😉
Zum Thema „Banking App“ und „mTAN“: meine Bank unterbindet den Online-Zugriff vom Smartphone, weil ich mTAN aktiviert habe. Banking und Autorisierung auf dem gleichen Gerät erhöht das Sicherheitsrisiko deutlich.
@FriedeFreudeEierkuchen
so generell kann man dies nicht sagen, denn pushTan hat gerade „Banking und Autorisierung auf dem gleichen Gerät“ 😉