PostFinance: Wie sicher ist das neue Biometrie-Login?

Wie hoch ist die Gefahr, dass Kriminelle Fingerabdrücke auf dem Handy verwenden, Sind PostFinance-Kunden bei Diebstahl versichert und das sagt der Sicherheits-Experte zum PoFi-Verfahren

Wie hoch ist die Gefahr, dass Kriminelle die Fingerabdrücke auf dem Handy verwenden?

Unsere Fingerabdrücke sind überall auf unserem Smartphone zu finden. Kriminelle könnten diese verwenden, um sich damit in eine Banking-App einzuloggen. Doch wie hoch ist diese Gefahr tatsächlich?

Grundsätzlich ist es möglich, einen Fingerabdruck zu reproduzieren, um ein System zu täuschen. Allerdings ist es mit einem gewissen Aufwand verbunden. Damit man einen «lebendigen» Finger vortäuschen kann, muss nicht nur der Abdruck stimmen, sondern auch dessen elektrische Leitfähigkeit passen, die gemessen wird.

«Deswegen ist es umso wichtiger, dass Anwender ihre Mobilgeräte mit einer entsprechenden Anti-Diebstahlfunktion versehen, die ein gestohlenes Gerät nicht nur sperren, sondern im Notfall auch löschen können», rät Eset-Sicherheits-Experte Uhlemann.

Damit können Sie aus der Ferne alle Banking- und andere Daten löschen, während Diebe noch am «richtigen» Fingerabdruck arbeiten.

Sind PostFinance-Kunden bei Diebstahl versichert?

Machen wir ein kurzes Gedankenspiel. Wir gehen von zwei hypothetischen kriminellen Szenarien aus:
1. Eine PostFinance-Kundin wird auf der Strasse überfallen und gezwungen, mit dem Fingerabdruck oder Gesichtsscan das PoFi-Login freizuschalten.
2. Bei einem Kunden wird eingebrochen und der Anwesende wird zum selben wie bei Option 1 gezwungen. Bei beiden kommt es zu einer hohen Überweisung.
Natürlich ist das Risiko, dass es auf anderen Wegen zu einer erzwungenen Transaktion kommt, ebenfalls gegeben. Die Wahrscheinlichkeit ist bei Debit- und Kreditkarten heute wesentlich höher. Dennoch möchten wir von der PostFinance in Bezug auf das biometrische Login wissen:
● Würde die PostFinance auf diese Überweisung aufmerksam?
«Je schneller bei einem erzwungenen Zugang zu E-Finance die Polizei eingeschaltet und PostFinance informiert wird, desto grösser ist die Chance, dass betrügerische Transaktionen gestoppt werden können, bevor sie vom System verarbeitet und ausgeführt werden», antwortet uns PostFinance-Mediensprecher Richard Pfister. Zwar entwickle man die automatische Transaktionsüberwachung ständig weiter, aber garantieren könne man eine Erkennung nicht.
● Wären Kunden in so einem Fall versichert?
Die Versicherung gegen Risiken wie Diebstahl oder Raub sei grundsätzlich Sache des Kunden. Oftmals übernimmt die Privat- oder Hausratsversicherung Schäden, welche durch bestimmte Straftaten entstanden sind. «PostFinance würde den Einzelfall prüfen und Opfer einer solchen Straftat gegebenenfalls nach ihren Möglichkeiten unterstützen», sagt Pfister.

Das sagt der Security-Experte über das PostFinance-Verfahren

Sollen nun PostFinance-Kunden auf die beiden biometrischen Verfahren umsteigen? Wie eingangs erwähnt, Sie haben grundsätzlich eine Wahl. Sie können sowohl das gelbe Kästchen als auch die Mobile-ID weiterhin nutzen. Bankkunden, die kein Smartphone besitzen, haben letztlich sowieso keine Auswahl und müssen weiterhin den alten Kartenleser verwenden.

Wenn Sie den Fingerabdruck nutzen möchten, hat der Sicherheitsexperte einen Tipp: Verwenden Sie einen Finger, den Sie seltener verwenden, beispielsweise den kleinen Finger der «schwachen» Hand. Vermeiden Sie Daumen und Zeigefinger der «starken» Hand. PCtipp empfiehlt, nebst Fingerabdruck noch die Passwort-Abfrage aktiv zu lassen.

Update 17.06.19: Eset hat die Aussage zur Face-ID präzisiert.

Derzeit ist Face-ID bei der PostFinance lediglich mit iOS-Geräten ab iPhone X möglich. «Face ID ist in der Vergangenheit mit hohem technischen Aufwand bereits überlistet worden, aber wird ständig verbessert und gilt derzeit noch als sicher», sagt Eset-Sicherheits-Experte Uhlemann. Das Feature steht allerdings nur für Nutzer der iPhone-Generation X zur Verfügung. «Nicht einmal die Hälfte der Schweizer Smartphone-Nutzer besitzt überhaupt ein iPhone, davon nicht alle eines aus der X-Serie», gibt Uhlemann zu bedenken.




Das könnte Sie auch interessieren