Letzte Aktualisierung des Beitrags am 5. Januar 2020
iTANs, TAN-Generatoren, kostenpflichtige Mobil-TAN, Push-TAN und weitere teils sichere, teils unsichere Verfahren haben mich die letzten Jahre beim Online-Banking begleitet. Kurzum: alles Unfug.
Zu unflexibel, zu aufwändig, zu teuer, zu unsicher, zu umständlich. Das ist das Kurz-Fazit zur deutschen Banking Welt im Jahr 2016.
Volksbanken und Raiffeisenbanken, Sparkassen und Konsorten haben die Chance verpasst, sinnvolles Online-Banking auf der (technischen und nutzerfreundlichen) Höhe der Zeit zu etablieren, das gut aussieht und einfach funktioniert.
Selbst die DKB, bei der ich eigentlich zufriedener Kunde bin, schaffte es nicht, neue Maßstäbe zu setzen. Richten muss es ein Startup, das mit dem unscheinbaren Giganten und B2B-Zahlungsdienstleister Wirecard kooperiert, um mit deren Banklizenz frischen Wind in die verstaubte Online-Banking Welt zu bringen: N26 (zuerst Number26).
Um es an dieser Stelle bereits vorwegzunehmen: nein, ich bekomme (leider) kein Geld von dem Startup, sondern schreibe diesen Beitrag aus freien Stücken. Zum einen, weil mich die Idee und die Umsetzung von N26 schlicht begeistert. Zum anderen, weil ich gerne andere Menschen überzeugen möchte, dass Online-Banking einfach sein kann.
„Ich kann dir das Geld am Wochenende überweisen, da bin ich wieder zu Hause.“ Aussage von ehemaligen Kommilitonen, wohlgemerkt dieses Jahr. Das geht einfacher – und ich versuche hier von mehreren Seiten zu beleuchten, wieso und warum.
Die Grundidee
Dreh- und Angelpunkt des N26 Kontos ist das eigene Smartphone. Also das Gerät, welches jeder heutzutage ständig bei sich hat, mit über 90% Wahrscheinlichkeit mit Android oder iOS läuft und somit für sehr sehr viele Menschen die perfekte Basis für ein sichereres und einfaches Banking bietet. Wenn das Smartphone einmal plötzlich den Dienst versagen sollte oder gegen ein neues ausgetauscht wird: es gibt natürlich ein Web-Interface, über das sich die Smartphone-Kopplung regeln lässt. Mehr dazu später bei der Darstellung des Sicherheitskonzepts.
Die Kontoeröffnung
Für eine Kontoeröffnung wird im ersten Schritt die N26 App installiert. Damit ist der erste von drei großen Schritten geschafft. N26 wirbt mit einer Kontoeröffnung in 8 Minuten. Das ist natürlich übertrieben. Ich hatte mitgestoppt – bei mir waren es 10 Minuten!
Die App fiel aber bereits bei diesem Prozess sehr positiv auf: liebevoll gestaltete Animationen, durchdachtes Design, extrem nutzerfreundliche und intuitive Benutzerführung: Hut ab, hier wurde alles richtig gemacht!
Eine Kontoeröffnung verlangt eine Identitätsprüfung. Die Bank muss wissen, dass ich der bin, der ich sage, dass ich bin. Das läuft bei anderen Banken entweder über das weit verbreitete PostIdent-Verfahren oder über die dermaßen komplizierte Authentifizierung mit dem elektronischen Personalausweis. Da letzteres gut gedacht, aber schlecht gemacht ist, pfeift N26 (völlig zu Recht) auf diese Lösung und setzt auf eine App innerhalb eigenen App. Über den Dienst IDnow wird bis 24 Uhr in der Nacht bestätigt, dass ich die im Registrierungsprozess angegebene Person bin und tatsächlich existiere. In meinem Fall telefonierte ich per Video-Chat um halb elf nachts mit einem sehr gut gelaunten Mitarbeiter, der fließend deutsch sprach und alles reibungslos abwickelte.
Fazit: nach dem Herunterladen und Starten der App hatte ich innerhalb von zehn Minuten ein neues Konto eröffnet mitsamt der dazugehörigen IBAN: ich konnte also ab jetzt bereits Überweisungen empfangen – Geld war ja natürlich noch keines drauf und einen Dispo gibt es ohne Antrag nicht. Dafür wird aber nicht mal der Datenkrake Schufa was mitgeteilt – wozu auch.
Die Master- und Maestro Card
Danach hieß es natürlich erst einmal warten, bis Geld eingetroffen ist (immerhin inzwischen nach einem Werktag) und bis die MasterCard kam. Drei Tage später im Briefkasten wird die Kreditkarte verifiziert und freigeschaltet – auch hier unterstützt die App durch eine einfache Bedienung und nutzerfreundlichem Design.
Die Maestro Card – quasi ein naher Verwandter der bekannten EC-Karte mit ähnlich hohem Akzeptanz-Grad bei den Geschäften, kann der Neukunde von N26 erst bestellen, wenn mindestens einmal 100 Euro drauf sind. Ist ein fairer Deal, wenn man die bisherigen Kosten von null Euro bedenkt und bereits eine Kreditkarte in den Händen hält.
Das Sicherheitskonzept
Wie eingangs erwähnt bin ich kein Freund der aktuell etablierten Lösungen der Bankenwelt – auch mit den neuen Secure Apps für die TAN-Generierung: zu kompliziert. Bei N26 ist die App mit dem physischen Gerät gekoppelt und mit dem Login-Passwort bzw. dem Fingerabdruck geschützt. Ebenfalls Bestandteil der Einrichtung ist das Festlegen eines sogenannten Überweisungscodes, mit dem Transaktionen nochmal geschützt werden. Dieser ist vierstellig, natürlich geheim und frei wählbar. Also keine TAN, die sich ständig ändert, sondern vergleichbar mit dem PIN für die EC-Karte.
Konto leerräumen
Das bedeutet: wer Geld über mein N26 Konto überweisen will, benötigt also mein Smartphone, die TouchID bzw. den PIN-Code für das Entsperren des Gerätes, nochmal die TouchID bzw. das Passwort zum Entsperren der App und meinen geheimen Überweisungscode. Das ist doch okay, oder?
N26 bietet neben der App für das Smartphone auch eine Website für die Desktop-Nutzung (und Tablet-Nutzung im Querformat – das wiederum ist Mist). Unter my.number26.de kann sich der N26-Nutzer also mit E-Mail Adresse und dem Passwort (welches auch für die App verwendet wird) anmelden, den Kontostand und Analysen einsehen und natürlich auch überweisen. Hierzu wird ebenfalls noch der Überweisungscode benötigt und – hier kommen wir wieder zum Sicherheitskonzept – die Freigabe der Transaktion mittels Smartphone.
Das bedeutet, dass selbst wenn die Zugangsdaten zum Online-Banking kompromittiert werden, können Angreifer lediglich den Kontostand und die Transaktionen sehen (wie bei jedem anderen Online-Banking auch), jedoch keine Überweisungen durchführen (fehlender Überweisungscode und fehlendes Smartphone zum Freigeben).
Push-Benachrichtigung über eine soeben erfolgte (kostenfreie) Abhebung an einem Geldautomaten.
Sicherheit durch sofortige Transaktionsanzeige
Egal ob Bezahlen mit der Mastercard, Maestro Card, bei Online-Bestellungen oder normale Daueraufträge: jede Transaktion (auch eine Vorab-Belastung) wird umgehend angezeigt. Kein mehrtägiges Warten, bis das Geld des letzten Restaurant-Besuchs auch wirklich in der Umsatzanzeige auftaucht, sondern eine umgehende Push-Benachrichtigung aufs Smartphone über die soeben erfolgte Abbuchung (oder Gutschrift). Das bedeutet: wenn meine Kreditkarte für eine Bezahlung verwendet wird, erfahre ich das sofort – und kann sie umgehend sperren, wenn die Transaktion nicht ich ausgelöst habe.
Kreditkarte vermeintlich verloren? Einfach sperren! Wieder gefunden? Wieder entsperren und weiter nutzen!
Fortsetzung folgt im Teil 2 mit einer Übersicht von Vor- und Nachteilen, Alternativen und einer Erfahrung aus einem halben Jahr N26-Nutzung.