Leser Martin S. aus Bern ist Kunde von Raiffeisen und erledigt seine Bankgeschäfte mit dem Computer. Um sich gegenüber der Bank zu identifizieren und zum E-Banking zugelassen zu werden, lässt er sich per SMS jeweils einen PIN-Code auf sein Handy senden. Ein Smartphone hat er nicht. Mit dem PIN-Code kann sich der Berner in sein Konto einloggen. Diese Methode heisst mTAN.
Ende Mai teilte Raiffeisen Martin S. mit, er habe 33 Tage Zeit, um auf das neue mobile Login-Verfahren PhotoTAN zu wechseln. Dazu müsste er sich die entsprechende App auf sein Smartphone oder Tablet laden und bei jedem Einloggen eine Grafik scannen. Die Authentifizierung über das normale Handy sei nicht mehr möglich. Wechsle er nicht auf die App, könne er E-Banking nur noch im «Lesemodus» nutzen. Das heisst, den Kontostand überprüfen, aber keine Zahlungen mehr machen.
Raiffeisen liess den saldo-Leser wissen, falls er kein Smartphone besitze, könne er stattdessen ein Lesegerät für 49 Franken kaufen. Das findet Martin S. unverschämt.
Auch die Zürcher Kantonalbank setzt seit Anfang Jahr auf Photo-TAN. Neue Kunden, die kein Smartphone oder Tablet haben, zahlen für ein Lesegerät 44 Franken, die bestehenden Kunden mit mTAN werden laufend umgestellt. Bei der Valiant-Bank und bei der Zuger Kantonalbank sind es 50 Franken.
Dass es auch anders geht, zeigen Berner Kantonalbank, Postfinance oder UBS: Deren E-Banking-Kunden zahlen für das Lesegerät nichts (siehe Tabelle im PDF).
Die Banken begründen die Umstellung mit mehr Sicherheit. SMS-Codes könnten abgefangen werden. Im Gegensatz dazu sei die App-Lösung verschlüsselt. Das stimmt. Doch Ende 2016 gelang es Forschern der Friedrich-Alexander-Universität in Erlangen-Nürnberg, auch E-Banking-Apps zu manipulieren.
Apple und Google erfahren von der Bankbeziehung
Dazu kommt: Durch die Benutzung der Apps erhalten Firmen wie Apple oder Google Informationen über die Banking-Tätigkeit. So schreibt etwa Credit Suisse auf der Website zum E-Banking per App: «Durch die Nutzung dieser App können Dritte – beispielsweise Apple oder Google – unabhängig vom Standort auf das Bestehen einer aktuellen, vergangenen oder potenziell zukünftigen Geschäftsbeziehung zwischen dem Benutzer und einem Unternehmen der Credit Suisse Group schliessen.»
Tipp: Wer elektronischen Bankgeschäften nicht vertraut, kann seine Zahlungen nach wie vor per schriftlichem Zahlungsauftrag erledigen.
