Yuh, Neon: Wie sicher sind Smartphone-Banken?

Die Bankfiliale in der Hosentasche: Mit den Banking-Apps Yuh und Neon unabhängig Bankgeschäfte tätigen. Ist Komfort und Sicherheit ein Widerspruch? Die Anbieter unternehmen alles, um ihre Apps sicher zu machen – und was Benutzer selber tun können.

Im Hintergrund tragen Neon und Yuh mit Vorkehrungen viel dazu bei, die Sicherheit hoch zu halten: Brute-Force-Schutz, Verschlüsselung und Plausibilität von Transaktionen. Der Benutzer selbst erhält für den Zugang zur App und seinem Geld eine mehrteilige Authentifizierung. Doch wie ist das Zusammenspiel und Wirkung der jeweiligen Benutzer-Codes? In der Übersicht ein Vergleich Neon vs. Yuh.

Banking App: Ist das riskant?

Noch halten sich teilweise Einwände wie: das klassische E-Banking am Heim-PC ist sicherer. Durchaus ein Trugschluss. Gegenüber dem E-Banking mit einem «offenen» Browser ist die Banking-App als eigenständige Software gut abgesichert.

Der Benutzer wählt auf dem Smartphone die Banken-App und die Verbindung wird ohne manuelles Zutun zur Bank hergestellt (Eingabe URL entfällt). Ausserdem werden die Apps der Banken unabhängig von Google, Apple und Co. weiterentwickelt und stetig aktualisiert bereitgestellt.

Doch die besten Sicherheitsvorkehrungen und -merkmale wirken nur dann ausgeprägt, wenn der Anwender aktiv mitwirkt: Gerätepflege, Umgang mit Zugangsdaten und Wachsamkeit.

Sicherer Umgang mit Smartphone-Banking-Apps Yuh und Neon

Mit Zugangsdaten (Codes, auch biometrisch) wird nicht nur die Banking-App sicher geöffnet, auch Mutationen und Transaktion werden hierdurch gesteuert.

Die beiden Apps Yuh und Neon haben anwendbare Sicherheitsmerkmale, die den Benutzern oft nicht Vertraut sind. Wer das Zusammenspiel und die Wirkung der Codes kennt, kann die Sicherheit seines Bankings beträchtlich erhöhen.

Die Zugangscodes von Yuh und Neon: eine erste Übersicht

Für den Zugang haben die beiden Banken-Apps je einen Code bereitgestellt, die wie folgt genannt werden:

• Yuh Key
• Neon Logincode

Mit dem Yuh Key werden nebst dem Zugang auch Mutationen und Transaktionen signiert. Neon hingegen differenziert mit zusätzlichen Codes zwischen Zugang und Transaktionen beziehungsweise Mutationen:

• Aktivierungscode
• Überweisungs-PIN

Je Code ist ein unterschiedliches Passwort zu wählen. Mit einem Passwortmanager muss man sich die unzähligen Passwörtern nicht mehr merken. Auf der Website datenschutz.ch der Datenschutzbeauftragten des Kantons Zürich gibt es hierzu ein informatives Merkblatt.

Nacholgend werden die Bedeutung der Codes je Use Case ausführlicher erläutert.

Geräteverbindung

Um einen Zugang zur App zu erhalten, ist das Smartphone gegenüber der Bank anzumelden. Die Funktion wird «Geräteverbindung» genannt.

Bei Yuh geschieht die Geräteanmeldung in zwei Schritten: Prüfung der Verbindung Handynummer mit dem Konto mittels Passcode. Stimmen die Angaben überein, ist eine Anmeldung mittels Yuh Key überhaupt möglich. In der App lassen sich die verbundenen Geräte anzeigen und bewirtschaften (entfernen).

Neon verfolgt einen anderen Ansatz. Für eine Geräteanmeldung genügt der Login Code. Konto- und Kartenmutationen bleiben bis zur Eingabe des Aktivierungscodes gesperrt. Kontotransaktionen sind nur mit dem ergänzenden Überweisungs-PIN möglich. Bedauerlicherweise werden in der App die verbundenen Geräte nicht angezeigt.

Ein zusätzliches Sicherheitsmerkmal der beiden App sind Mitteilungen über Konto-Geschehnisse mit Versand an die hinterlegte E-Mailadresse und Handy-Nummer (SMS, Push).

App Kontozugang und Anmeldung

Für den App-Zugang gen¨ügt lediglich die Anmeldung mittels einem Passwort: Yuh Key beziehungsweise Login Code bei Neon. In den Apps kann die Anmeldung auch mithilfe biometrischer Merkmale erfolgen.

Im klassischen E-Banking kann man sich bekannterweise an einem beliebigen PC anmelden. Zum Schutz wurde hierzu die «Zwei-Faktor-Authentifizierung» geschaffen. Bei den Banken-Apps ist das hinfällig. Kompensiert wird die fehlende Push-TAN indessen gleich mehrfach: Geräteaktivierung und Transaktions-Signierung sowie geräteseitig als Basis die Schutz-Mechanismen des Smartphones.

App Konto-Einstellungen

Um beispielsweise persönliche Angaben zu ändern oder Codes zu wechseln, wird der Yuh Key beziehungsweise bei Neon der Überweisungs-PIN benötigt. Um Änderungen insgesamt erst vornehmen zu können, ist eine Geräteanmeldung vorausgesetzt.

App Konto-Zahlungen freigeben

Getätigte Überweisungen und Zahlungen sind stets zu signieren. Bei Yuh geschieht das mit dem Yuh Key. Neon hat hierfür als zusätzliches Sicherheitselement den Überweisungs-PIN bereitgestellt und ist gewissermassen ein zweiter Authentifizierungsfaktor.

Ein Defizit haben beide Banken dennoch. Es fehlt die Möglickeit, sich per SMS oder Push-Nachricht über Kontoveränderungen informieren zu lassen.

Neon: Nach Eingabe des Überweisungs-PIN wird die Zahlung wiederholt angezeigt mit abschliessender Freigabe.

App Kartenverwaltung

Die Mastercard von Yuh und Neon sind direkt mit dem Konto verbunden. Wer die Kartendaten kennt, hat Zugang zum Konto. Gilt auch für die Debit Visa und Mastercard von Kantonal- und Regionalbanken.

Yuh wie auch Neon haben Sicherheitseinstellungen in ihre App integriert. Die Funktionen erfüllen eine solide Basis, sind jedoch noch ausbauwürdig.

Die temporäre Kartensperrung ist bei beiden erfüllt. Leider wird die Funktion oft unterschätzt – und sollte nicht nur seine Daseinsberechtigung haben, wenn die Karte abhanden gekommen oder verlegt worden ist. Vielmehr lässt sich die Karte aktiv steuern und mindert vorsorglich mögliche Betrugsschäden. Das Ein- und Ausschalten geht leicht und dauert wenige Sekunden.

Yuh bietet zudem die Möglichkeit, die Kartenlimite aktiv zu bewirschaften. Auch das ist ein Beitrag zur Kontosicherheit und sollte genutzt werden. Bei Neon fehlt diese Einstellungsmöglichkeit noch; stattdessen wird die Neon-Standardlimite herangezogen.

Der Umgang mit Kartendaten überträgt sich folglich auf die Sicherheit des Kontos.

Kartenzahlung stationär und online im Internet

Yuh und Neon sind im Hintergrund natürlich sehr aktiv: Zahlungsanfragen werden plausibilisiert und ungewöhnliche Transaktionen, die nicht dem bisherigen Verhaltensmuster entsprechen, werden so versucht zu verhindern oder gar abgewiesen.

Die App-Funktionen Kartensperrung (Yuh & Neon) und die Kartenlimite (Yuh) haben hier einen wesentlichen Einfluss auf die Kartensicherheit, schützt vorsorglich vor Betrugsversuchen, online und stationär.

Kartenlimiten Neon und Yuh

Neon

• Bargeld: CHF 2’000/Tag
• Einkäufe: CHF 5’000/Tag online und CHF 5’000/Tag stationär

Yuh (individuelle Kartenlimite selbständig bestimmen)

• Bargeld: CHF 1’000/Tag

Weitere Schutzmassnahmen bei Kartenzahlungen sind:

• Vor Ort Zahlungen sind mit einem PIN gesichert (nicht NFC).
• Mit dem 3-D Secure-Verfahren wird der Schutz von Online-Transaktionen ergänzend erhöht¹.

¹ Bei Yuh ist 3-D Secure immer aktiv. Bei Neon wird das Verfahren nur bei Aufforderung des Händers aktiviert. Verzichtet der Händler auf 3-D, trägt er die Schäden bei Betrug.

Bei kontaktlos Zahlungen ohne PIN bieten Yuh und Neon einen weiteren Mechanismus:

• nach 10 NFC-Kartenzahlungen (Neon: pro Tag) oder
• wenn die Summe aller NFC-Zahlungen 250 Franken (Neon) beziehungsweise 500 Franken (Yuh) übersteigt

ist am stationären Terminal einmalig eine PIN-Eingabe erforderlich. Bei Neon wird nach einer Zahlung mit PIN der «Zähler» automatisch zurückgesetzt (10 NFC-Zahlungen).

Im Internet bevorzugt bei vertrauten Onlineshops bestellen. Bei Erstbestellung die Seriosität prüfen (konsumentenschutz.ch).

Sicherheit mobiles Bezahlen mit Google Pay und Apple Pay

Eine Mastercard oder Visa bei Google Pay oder Apple Pay einzurichten geht auch auf einem Smartphone einer Drittperson, vorausgesetzt die Kartendaten sind bekannt.

Bei Neon wie auch Yuh wird der Kontoinhaber über diesen Vorgang informiert (E-Mail). Ist bei Yuh die Mastercard als Wallet hinterlegt, wird das in der Yuh App obendrein bildlich angezeigt.

Auch hier gilt: Die Sicherheit im Umgang mit mobilen Bezahlsystemen kann über die Banken-App aktiv beinflusst werden: Kartenlimite und Sperrung.

Ein Überblick und die Wirksamkeit der Schutzmechanismen gibt es in einer praktischen Grafik, zusammengetragen von digitalmedia.ch: Vergleich Yuh vs Neon (pdf).

Die besten Sicherheitsvorkehrungen wirken erst dann ausgeprägt, wenn der Anwender aktiv mitwirkt

Die Sicherheitsmerkmale und -varianten von Neon und Yuh sind wie gesehen ausführlich. Wer an der Sicherheit aktiv teilhabt, kann Missbräuche deutlich minimieren. Das persönliche Drei-Stufen-Modell:

1. Gerätepflege
2. Umgang mit Zugangsdaten
3. Wachsamkeit

Die Anbieter unternehmen alles, um ihre Apps und das Banking sicher zu machen – und was der Benutzer selber tun kann.

Gerätepflege

Smartphones enthalten standardmässig hohe Schutz-Mechanismen. Mit wenigen Schritten das Smartphone bestmöglich schützen:

• Gerätesperre aktivieren (PIN für die SIM-Karte und Bildschirmsperre)
• Smartphone bei Verlust sofort sperren und löschen lassen
• Apps aus vertrauenswürdigen Quellen installieren (höchste Vorsicht/Warnung bei Link-Updates, Messenger-Mitteilung, E-Mails etc.)
• Updates regelmässig durchführen
• Öffentliche Funknetzwerke mit Vorsicht nutzen. Drahtlose Schnittstellen bei Nichtgebrauch deaktivieren
• Smartphone beziehungsweise Daten vor Verkauf oder Entsorgung komplett löschen

Quelle/Teilauszug: datenschutz.ch – Datenschutzbeauftragte des Kantons Zürich):

Umgang und Schutz mit Zugangsdaten

Der/die Code/s beschaffen nicht nur Zugang zur Banking-App, sondern steuern indes auch Mutationen und Transaktionen. Folgende Punkte schützen Daten und die Banking-App:

• Zugangsdaten wie Identifikationsnummer und Passwörter nie auf dem mobilen Gerät abspeichern (auch nicht als Bilddatei und Foto).
• Keine Angaben über Benutzeridentifikationen, Passwörter, Konto- und Kreditkartennummern oder sonstige Zugangsdaten an Personen weitergeben.

Quelle/Teilauszug: datenschutz.ch – Datenschutzbeauftragte des Kantons Zürich):

Sichere Passwörter wählen und regelmässig ändern. Je Login ein unterschiedliches Passwort. Verschiedene E-Mail-Adressen für verschiedene Zwecke einrichten.

Wachsam sein

Technisch ist es nicht kompliziert, Smartphone und Banking-Apps wirksam gegen gängige Bedrohungen zu schützen.

Eine Schwachstelle bleibt: Wenn der Bankbetrug im Posteingang und im Messenger (SMS, Whatsapp) lauert: Phishing und Schadsoftware/Malware:

• Eine gefälschte Mail, die Links zu gefälschten Webseiten beinhaltet mit der Aufforderung, Zugangs- oder Bezahldaten einzugeben oder einen Download zu starten.

Nie von Unbekannten auf Links klicken und keine Datenanhänge öffnen; gilt auch für Messenger-Dienste. Selbst bei scheinbar «vertrauten» Absendern die Echtheit hinterfragen. Unsicher? Die Verbindung beenden und beim regulären Absender nachfragen.

Keinesfalls persönliche Daten wie Passwörter, Kreditkarten- oder Transaktionsnummern preisgeben (nicht elektronisch, nicht persönlich).

Niemals aus einer E-Mail einen Download starten.

«Lassen Sie sich nicht ausfragen!» – Hinweise unter anderem im Umgang mit Phishing sind auf der Website vom Nationalen Zentrum für Cybersicherheit (NCSC) nachzulesen.

Hotline Yuh und Neon

• Yuh Kundendienst: +41 44 825 87 89, Montag bis Freitag, 8 – 22 Uhr
• Neon Hotline: +41 43 508 03 76, Montag bis Freitag, 8 – 17 Uhr. Notfälle 24/7 ua für Kartensperrungen: +41 43 508 03 19.

Unterstütze digitalmedia.ch

Seit 2017 engagierter Blog zu den Schweizer Digitalbanking-Angeboten. Ausgewählte Themen sorgfältig recherchiert und aufbereitet. 6’000 Leser:innen monatlich. Ein grosses Leserinteresse haben die Beitragsserien zu den Banking Apps von Revolut, Neon und Yuh.

Vielbeachtet ist der Ratgeber «Vorsorge selbst gemacht»: Nutzbringende Hinweise und Impulse – verständlich zusammengetragen.

Mit gutem Text für das Thema Banking begeistern. Unterstütze meinen Blog mit einem Obolus. Die Möglichkeiten sind vielfältig: Freundschafts-Empfehlung, Link-Empfehlung oder eine Franken-Spende.

Swiss QR-Code zum Einlesen¹ (Download) oder direkt zum Scannen:

¹ QR-Code direkt ab Smartphone in die Banking-App einlesen – so gehts.

Einfachheit und Erlebnis in Technik, Bedienung und Preis – so geht Digitalbanking. Eine seit 2017 von digitalmedia.ch ausgesprochene Botschaft.

---

Weiterführende Informationen

• Schweizer Smartphone-Banken im direkten Vergleich – exklusiv auf digitalmedia.ch
• Zahlung an falsches Bankkonto – Wie hole ich mein Geld zurück?
• Vorsorgeauftrag Banken – wer heute entscheidet, denkt an morgen
• QR Rechnungen Risiken – wer nicht genau hinschaut, begünstigt Gaunereien
• Aktuell informiert und das Beste aus dem Netz: digitalmedia.ch auf Twitter

Der persönliche «GeldWert»-Coach
Bankprodukte optimieren, eine unabhängige Zweitmeinung anhören: Konto, Hypotheken, Basisprodukte und Vorsorge – oder gibt es eine Fachfrage beziehungsweise Unklarheiten mit der Bank? GeldWert für ihre Finanzen – lassen Sie uns darüber reden. Ich unterstütze Sie gerne. Klick auf: Kontaktaufnahme.

---