Mobile ID und welche Verfahren nutzen Schweizer Banken?

Alternativ können Sie das Smartphone als ID fürs E-Banking nutzen. Dazu benötigen Sie eine Mobile-ID-fähige SIM-Karte und ein Smartphone.

Ein gewöhnliches Login (zum Beispiel in einem Shop) erfolgt anhand eines Benutzernamens in Kombination mit einem Passwort. Das ist relativ unsicher, denn Angreifer können durch Betrug oder Diebstahl an diese Login-Daten gelangen und diese missbrauchen. Es ist leider auch immer noch so, dass viele Nutzer viel zu unsichere Passwörter einsetzen.

Auf der Mobile-ID-fähigen SIM-Karte ist eine kleine Anwendung integriert. Diese Anwendung kann verschlüsselte Nachrichten in Form sogenannter stiller SMS empfangen, entschlüsseln, verschlüsseln und versenden. Das erlaubt beispielsweise dem Bank-Server, via Mobile ID auf einem separaten Kanal mit dem Smartphone des Kunden zu kommunizieren und sich dort das Login bestätigen zu lassen. Mit dem eigentlichen Betriebssystem Ihres Geräts kommt die Mobile ID kaum in Berührung.

Wer sich in Ihrem Namen beispielsweise in Ihr PostFinance-Konto einloggen will, braucht bei aktivierter Mobile ID nicht einfach bloss einen SMS-Code abzufangen. Er muss physisch im Besitz genau Ihrer SIM-Karte sein und muss exakt Ihre persönliche PIN zu dieser Mobile ID eingeben. Und genau das macht einen Missbrauch nach heutigem Kenntnisstand fast unmöglich.

Sowohl UBS als auch ZKB verzichten auf Mobile ID, wie wir auf Anfrage erfahren haben. Bei der ZKB sagt ein Sprecher zu PCtipp: «Im Rahmen der Ablösung von mTAN verfolgten wir unter anderem auch die Mobile ID. Zum damaligen Zeitpunkt überzeugte uns die Performance der Lösung sowie die Verbreitung der unterstützten SIM-Karten noch nicht. Die Lösung erfüllt unsere hohen Ansprüche an die Sicherheit in allen Belangen und bietet noch weitere Ausbaumöglichkeiten», so der ZKB-Sprecher. Man beobachte den Markt aktiv.

Die UBS setzt ganz auf die UBS-Access-App, die laut Sprecher vor jedem Login ins E- oder Mobile-Banking die Sicherheit des Smartphones prüfe. «Gegen Mobile ID sprechen der globale Trend zur Virtualisierung von SIM-Karten sowie fehlende Möglichkeiten zur Integration in unser eigenes digitales Sicherheitskonzept», so ein UBS-Sprecher.

Klären Sie ab, ob Ihr Telekomanbieter eine Mobile ID anbietet. Allgemeine Informationen, wie Sie die Mobile ID aktivieren, finden Sie auf der Webseite mobileid.ch. Geben Sie dort unter Jetzt Aktivieren Ihre Mobilnummer ein. Falls Ihre SIM-Karte nicht kompatibel ist, erhalten Sie sofort eine entsprechende Information. Bei Sunrise ist uns bekannt, dass die Mobile ID bei Prepaid-Kunden nicht funktioniert (siehe Screenshot).

Wir haben bei der UBS und der Zürcher Kantonalbank (ZKB) nachgefragt, welche Verfahren sie nutzen – und welche nicht.

Die ZKB fokussiert bei Neukunden ausschliesslich auf photoTAN. Bei Bestandskunden gibt es noch mTAN sowie eine «kleine Menge» an ZKB-IdentyKeys (USB-Stick).

Die UBS verzichtet auf smsTAN, pushTAN sowie Mobile ID und setzt auf das selbstentwickelte Verfahren der UBS-Access-App. Dieses ist ähnlich wie photoTAN (siehe im Artikel), ergänzt durch eine PIN.

Beim Mobile-Banking-Login bietet die UBS ausserdem Gesichtserkennung via Face ID von Apple (iPhone) und andere biometrische Verfahren wie z.B. Touch ID an. Allerdings nur als zusätzlichen Authentisierungsfaktor neben einer PIN oder verbunden mit eingeschränktem Funktionsumfang. Das heisst, ein Kunde hat Kontoeinsicht mit biometrischer Authentisierung, aber kann keine Transaktionen durchführen.

Die PostFinance verwendet, wie in diesem Artikel erwähnt, weiterhin chipTAN (Kästchen) und hat kürzlich ein neues E-Banking-Login via PostFinance-App lanciert (Computerworld hat berichtet). Das E-Finance-Login funktioniert mit Fingerprint und Gesichtserkennung.