Schon seit das Smartphone nach der Veröffentlichung der ersten iPhones ein Verkaufsschlager wurde, verwenden seine Besitzer es, um damit Käufe zu bezahlen. Zunächst naturgemäß nur im Online-Handel, seit einigen Jahren jedoch immer stärker auch in Form des Mobile Payments an Offline-Bezahlpunkten – hieran hat nicht zuletzt die Pandemie einen bedeutenden Anteil.
In der Praxis ist deshalb das Smartphone heute bei vielen Menschen eine Art Hub, auf dem die Stränge verschiedenster Finanzen zwischen Bankkonto-Anbindung, Kreditkarte, Payment-Dienstleister und ähnlichen Systemen zusammenlaufen.
Komfortabel ist das zweifelsohne. Allerdings birgt es eine hohe Brisanz, wenn so viele persönliche Finanzdaten auf einem Gerät lagern beziehungsweise Zugänge dazu vorhanden sind. Maximale Sicherheit sollte diesbezüglich das oberste Gebot sein. Wie immer gilt dabei: Der Komfort muss etwas in den Hintergrund treten. Dafür aber besteht die Gewissheit, bei Verlust oder Diebstahl des Handys nicht gleich das Allerschlimmste befürchten zu müssen.
#1 Ständige Sperrung ist oberste Pflicht
Wenn ein „Finder“ nur einen Sperrbildschirm wegwischen muss, um an sämtliche Anwendungen zu gelangen, dann ist ungeachtet aller weiteren Hürden auf dem System bereits eine gefährliche Bresche geschlagen.
Umgelegt auf einen Hauseinbruch: Der Einbrecher fand eine offene Vordertür vor, weshalb selbst verriegelte Zimmertüren und ein Tresor weniger Sicherheit bieten.
Ergo: Ganz gleich ob mit biometrischen Daten oder einer PIN, das Smartphone sollte vor jeder Benutzung entsperrt werden müssen. Ferner sollte der Sperrbildschirm auf eine Weise konfiguriert werden, durch die keine Meldungen von Zahlungs-Apps und dergleichen darauf gelesen werden können.
Zudem sollte das Handy so konfiguriert werden, dass der Bildschirm sich nach höchstens einer Minute der Nichtbenutzung sperrt.
#2 Sperrung aus der Distanz sollte unbedingt eingerichtet sein
Eine typische Situation: Man gibt in der Öffentlichkeit einen Moment lang nicht acht und jemand hat das Smartphone eingesteckt. War der Bildschirm zu dem Zeitpunkt nicht gesperrt, muss der Dieb nur dauernd auf dem Display herumwischen, um eine Sperrung zu verhindern.
Dagegen sollte jeder User folgendes tun:
- Die Sperrung aus der Distanz samt Möglichkeit der Datenlöschung muss eingerichtet sein (Windows) (Android) (iOS).
- Die dafür nötigen Login-Daten müssen stets bekannt sein – entweder im Kopf des Besitzers oder in sicherer (= verschlüsselter) Form notiert und ständig dabei (etwa im Portemonnaie). In ähnlicher Form sollte die Geräte-IMEI sowie der Kaufvertrag vorhanden sein.
- Diese Login-Daten müssen ein besonders starkes Passwort umfassen, damit Diebe es nicht umgehen können.
Im Notfall muss es dann jedoch schnell gehen: Sobald die Vermutung im Raum steht, das Gerät ist verloren, sollte nicht nur die Sperrung schleunigst durchgeführt werden, sondern überdies die Löschung. Das mag zwar rabiat anmuten. Aber es ist ungleich einfacher, sein Handy nach der Wiederauffindung neu zu konfigurieren, als zu beweisen, dass jemand unbefugte Zahlungen und Käufe damit durchgeführt hat.
#3 E-Wallets nutzen
Stock.adobe.com © terovesalainen
Es gibt viele Möglichkeiten, mit dem Handy zu bezahlen. E-Wallets stellen diesbezüglich allerdings eine besonders sichere und gleichsam komfortable Technik dar. Das liegt nicht nur an der generell starken Verschlüsselung, auf die zumindest etablierte Anbieter setzen.
Vor allem die Möglichkeit, viele E-Wallets ohne dauerhafte Verbindung zu einer „unbegrenzten“ Zahlungsmöglichkeit nur mit einem gewissen Betrag aufzuladen, ist sehr interessant mit Blick auf hohe Sicherheit. Wer sich trotz allem unbefugten Zugang verschafft, kann nur das Guthaben ausgeben, mit dem das Wallet aufgeladen wurde – keinen Cent mehr.
Natürlich müssen sicherheitsbewusste User dann trotzdem Abstriche machen. Das heißt nur mit geringeren Beträgen, dafür häufiger aufladen.
#4 Bei allen relevanten Apps und Diensten Auto-Login deaktivieren
Hürden sind letztendlich der Kern jeder Form von Sicherheit. Je mehr Hürden ein Unbefugter überwinden muss, desto schwieriger wird es für ihn und desto höher ist die Wahrscheinlichkeit, dass er es irgendwann aufgibt oder man ihm weitere Möglichkeiten nehmen kann.
Insofern zählt buchstäblich jede Sekunde, die ein Handy-Dieb mit dem Entschlüsseln verbringen muss, während man sich selbst mehr Zeit verschafft, um beispielsweise die Fernsperrung oder -löschung durchzuführen.
Aus diesem Grund sollten alle Apps und alle Seiten im Browser, die auf irgendeine Weise mit den eigenen Finanzdaten verbunden sind, bei jeder Benutzung einen neuen Login verlangen – also keinesfalls dauerhaft eingeloggt sein.
Einfaches Beispiel: Wer auf seinem Gerät die PayPal-App nutzt, sollte sich immer erst einloggen müssen, bevor er das Tool nutzen kann. Ähnlich sollte es bei allen anderen Anwendungen sein.
#5 Immer Zweifaktor-Authentifizierung verwenden
Manchem mögen die bis hierhin bereits genannten Punkte vielleicht arg komplex und mitunter übertrieben vorsichtig anmuten. Wenn es jedoch um die eigenen Finanzen geht, kann Sicherheit tatsächlich gar nicht groß genug geschrieben werden. Einmal angenommen, das Handy ist verschwunden. Die Vorsicht gebietet dann die Annahme, ein Finder wird damit unbefugt Dinge anstellen. Die Folgen:
- Es muss schnellstmöglich eine Anzeige bei der Polizei gestellt werden. Denn erst ab diesem Zeitpunkt kann gegenüber Banken, Kreditkartenfirmen und anderen Zahlungsdienstleistern rechtssicher eine illegitime Nutzung nachgewiesen werden. Was ein Dieb zuvor beispielsweise mit dem Zugang zum Girokonto macht, kann in der Regel nicht so problemlos rückgängig gemacht werden.
- Alle Zugänge, die mit dem Smartphone verbunden wurden, müssen gesperrt werden. Das gilt für die Kreditkarte ebenso wie für das Online-Banking.
- Für sämtliche Dienste (auch jenseits des Bezahlens) müssen die Login-Daten geändert werden. Das benötigt neue Passwörter und E-Mail-Adressen – mit allen anderen Aufgaben, die damit verbunden sind.
Die Einrichtung eines neuen Handys mutet gegen diesen Berg an Aufgaben geradezu trivial an. Wer versteht, wie aufwändig es ist, sich nach einem Verlust zu schützen, der versteht wahrscheinlich ebenso, warum kein Aufwand zu gering sein sollte, um das Gerät für jeden Finder wertlos zu machen.
Das bringt uns zur Zweifaktor-Authentifizierung. Egal ob es Amazon ist, eBay, PayPal oder ein anderes System, das mit den eigenen Finanzen verknüpft ist: Jeder Login (egal ob auf dem Handy, per Browser, App oder von einem anderen Gerät) sollte nur nach Eingabe eines zugesendeten Einmal-Codes möglich sein.
Natürlich bringt es gar nichts, wenn dieser ebenfalls auf das Handy gesendet wird – etwa per SMS oder E-Mail. Zumindest für Menschen, die sich häufig außerhaus aufhalten und deshalb keine Zweifaktor-Authentifizierung über einen Anruf aufs eigene Festnetztelefon nutzen können, ist deshalb ein zweites Handy nicht die schlechteste Idee.
Im Klartext: Ein extrem günstiges, simples Feature-Phone* mit einer Prepaid-SIM. Dessen einzige Aufgabe ist es, unterwegs als Anlaufstelle für die Codes der Zweifaktor-Authentifizierung zu dienen. Selbst in unwahrscheinlichen Fällen, in denen Diebe Login-Daten herausfinden, können sie dann trotzdem keinen Schaden anrichten, weil ihnen dieser Code nicht aufs gestohlene Smartphone geliefert wird.
*Wer nur selten allein unterwegs ist, kann alternativ den Code auf das Handy eines guten Bekannten oder seines Partners senden lassen.
Netter Nebeneffekt: Man bekommt es durch die Code-Zusendung sofort mit, wenn jemand einen Login probiert – und wird vielleicht dadurch überhaupt erst auf einen Verlust seines Smartphones aufmerksam.
#6 Keine Doppelnutzung von Passwörtern
Stock.adobe.com © hfng
Ein nach jeder Definition sicheres Passwort ist an sich bereits buchstäblich unbezahlbar. Allerdings ist letztlich jedes Passwort mit genügend Zeit überwindbar. In einem solchen Fall wäre es dann äußerst fatal, wenn beispielsweise der mit der Kreditkarte verbundene PayPal-Zugang mit demselben Passwort abgesichert wäre wie das mit dem Girokonto verknüpfte Amazon-Konto.
Das heißt: Für alle Finanzdienste auf dem Smartphone sollte es unbedingt eigenständige und einander nicht ähnelnde Passwörter geben. Natürlich macht das in der alltäglichen Praxis besonders viel Aufwand. Wem jedoch wirklich die Sicherheit seines hartverdienten Geldes am Herzen liegt, der sollte ihn nicht scheuen.
Übrigens: Nicht zuletzt mit dem Thema Cybercrime vor Augen ist es zudem nicht die schlechteste Idee, für seine finanziellen Angelegenheiten eine eigene E-Mail-Adresse zu verwenden – und nicht diejenige, die man bei jedem Social-Media-Profil nutz und bei jedem Online-Händler angibt.
#7 Das Handy draußen sicher verwahren
Gelegenheit macht Diebe. Dieser alte Leitsatz gilt im digitalen Zeitalter nach wie vor –besagte Gelegenheit hat viele Gesichter:
- Das Handy auf dem Tisch eines Straßen-Cafés,
- in den Tiefen der Handtasche inmitten einer Menschenmenge,
- auf dem Beifahrersitz des unverschlossenen Autos, während man den Tankvorgang bezahlt,
- im Club in der Gesäßtasche und dort aufgrund der Kombination von Smartphone-Größe und Hosen-Enge halb herausschauend.
Es gibt im Alltag der meisten Menschen zahlreiche Gelegenheiten, zu denen ein Dieb lediglich zur richtigen Zeit am richtigen Ort zugreifen muss. Und Taschendiebe sind extrem geschickt darin, selbst Smartphones unbemerkt zu entwenden.
Die Quintessenz hieraus sollte für Aufenthalte in der Öffentlichkeit lauten:
Wenn das Smartphone sich nicht gerade in der Hand befindet, dann
sollte es ausschließlich unsichtbar in einer verschlossenen Tasche
an der Vorderseite des Körpers versteckt sein.
Bauchtasche, Brustbeutel, mit Knopfriegel gesicherte Sakko-Innentasche, das sind Orte, die es Taschendieben extrem schwer machen. Und selbst wer am Ende des Monats nicht mehr viel auf dem Konto hat, das über das Smartphone gestohlen werden könnte, der sollte immer entschlossen sein, es Dieben in jeglicher Hinsicht so schwer wie möglich zu machen. Es geht um das eigene Geld. Ob das 20 oder 20.000 Euro sind, sollte keine Rolle spielen.