Banking-Apps müssen die richtige Balance zwischen Benutzerfreundlichkeit und erstklassiger Sicherheit bieten: Cristofor, Product Security Engineer

Cristofor ist einer der vielen Mitarbeiter:innen von N26, deren täglicher Job darin besteht, für die Sicherheit unserer Kund:innen und ihrer Konten zu sorgen. Wir haben mit ihm über seine Arbeit als Product Security Engineer sowie darüber gesprochen, warum Sicherheit für ihn ein so spannendes Thema ist und wie man sich online am besten schützen kann.

Cristofor, du bist Product Security Engineer. Was bedeutet das? Was machst du in dieser Funktion genau?

Mein Job hat viele Facetten, und das macht ihn so unglaublich interessant. Ich bin für eine Reihe neuer Funktionen und Produkte zuständig, die N26 Kund:innen über ihre Online-Banking-App zur Verfügung gestellt werden. Das Team, zu dem ich gehöre, stellt sicher, dass diese neuen Produkte und Funktionen zum Zeitpunkt der Veröffentlichung sicher sind und auch in Zukunft sicher bleiben. Das heißt, dass die Möglichkeit zur Manipulation oder des Auftretens von Schwachstellen innerhalb des Produkts so gering wie möglich ist. Sicherheit ist natürlich für alle Arten von Dienstleistungen ein sehr wichtiges Thema, aber für eine Bank ist es absolut entscheidend, da unsere Kund:innen uns ihre Ersparnisse und ihre persönlichen Daten anvertrauen.

Wie kann man sicherstellen, dass die N26-App jederzeit für Millionen von Kunden sicher ist? 

Für die Sicherheit unseres Produkts sind mehrere Teams gemeinsam verantwortlich. Das Team, zu dem ich gehöre, konzentriert sich auf die technische Seite und arbeitet eng mit den Produktentwicklungsteams von N26 zusammen. Wir identifizieren und analysieren potenzielle Bedrohungen, die mit neuen Funktionen verbunden sein könnten, und testen ihre Sicherheit, bevor sie für N26 Kund:innen eingeführt werden. Wir überwachen auch alle Funktionen, die den Kund:innen bereits zur Verfügung stehen, um ihre Sicherheit zu gewährleisten. So können wir sichergehen, dass wir einen etwaigen Angriff – falls es jemals dazu kommt – sofort bemerken und ihn in Echtzeit stoppen können.

Auch wenn die technische Sicherheit des Produkts entscheidend ist, ist es auch wichtig zu verstehen, dass sie nur eine von mehreren Komponenten ist, die die Sicherheit der N26 App und unserer Kund:innen gewährleisten. Wir haben auch Teams wie Trust & Safety, die Informationen über potenzielle Sicherheitsbedrohungen liefern, aktive Betrugsversuche unterbinden und Verbraucher:innen aufklären.

Welchen Unterschied macht N26 deiner Meinung nach für Kund:innen im Bereich Sicherheit? 

Was N26 den Kund:innen als digitale Bank bietet, ist Benutzerfreundlichkeit. Wir versuchen, alle Prozesse zu vereinfachen, die bei traditionellen Banken anfallen, wie beispielsweise den Papierkram oder die Eröffnung und Verwaltung deines Bankkontos. 

Für die Entwicklung von digitalen Bankprodukten bedeutet das, dass wir auf der einen Seite immer die Grenze der technologischen Möglichkeiten weiter verschieben, während wir gleichzeitig die aktuell geltenden Vorschriften einhalten müssen. Durch die Einführung völlig neuer Ideen und Innovationen, die im Bankensektor oder in der Größenordnung unseres Unternehmens noch nicht zum Einsatz gekommen sind, werden die Grenzen dessen, was das Bankwesen für die Kunden leisten kann, ausgeweitet – und das alles auf höchstem Sicherheitsniveau.  Dadurch wiederum erweitern sich aber auch die Grenzen dessen, was Sicherheitsmaßnahmen abdecken müssen.

Welche Trends beobachtest du im Hinblick auf die Sicherheit digitaler Produkte oder Online-Sicherheit insgesamt? 

Ganz unabhängig von der Branche und dem Unternehmen ist der Bereich ‘Security’ ein ständiges Katz- und Mausspiel, bei dem die eine Seite daran arbeitet, ihre Systeme sicher zu halten, und die andere Seite – die böswilligen Akteure – versuchen, Möglichkeiten für Angriffe zu finden. Produktsicherheit steht bei diesem Kampf im Grunde an vorderster Front. Aber weil es ein Katz- und Mausspiel ist, verschiebt sich die Grenze dieser Front immer wieder: Wenn das Unternehmen beispielsweise eine potenzielle Schwachstelle behebt, an die niemand sonst denkt, dann rückt die Front in weitere Ferne. Aber wenn die böswilligen Akteure einen Schritt voraus sind, eine Schwachstelle finden und sie ausnutzen können, dann schiebt sich die Front nach hinten, bis das Unternehmen die Schwachstelle behebt.

Ein allgemeiner Trend, der meines Erachtens in der Produktsicherheit branchenübergreifend einigermaßen stabil ist, besteht darin, dass sich böswillige Angreifer das schwächste Glied in der Kette aussuchen. Oft ist das tatsächlich nicht die technische Seite des Produkts. So eine Schwachstelle kann zum Beispiel dort liegen, wo es böswilligen Akteuren gelingt, Phishing-Angriffe durchzuführen. 

Wir bei N26 glauben, dass es in unserer Verantwortung liegt, unsere Produkte so zu gestalten, dass auch mögliche Schwachstellen über die technische Produktsicherheit hinaus minimiert werden. Wir wollen, dass unsere Produkte einfach zu bedienen sind und unsere Kund:innen keine besonderen Fachkenntnisse haben oder anderweitig viel mitbringen müssen, um geschützt zu sein. Das ist eine Herausforderung, zu der Teams wie Trust & Safety einen wichtigen Beitrag leisten, indem sie die besten Möglichkeiten zur Verbesserung des Produktdesigns, zum Informieren und Aufklären der Kund:innen und zum Ermöglichen von sicherem Online-Banking ermitteln. 

Was sollten Kund:innen aus deiner Perspektive als Spezialist für Produktsicherheit über Online-Sicherheit wissen? 

Diese Frage ist aus der Sicht von Produktsicherheit gar nicht so einfach zu beantworten. Wie schon gesagt, gestalten wir unser Produkt so, dass es so intuitiv und einfach wie möglich zu bedienen ist. Der größte Teil daran ist für die Kund:innen gar nicht direkt sichtbar. 

Aber es gibt einige Dinge, die ich dir ans Herz legen möchte, um sicher im Web zu surfen und deine Bankgeschäfte zu erledigen:

• Wenn möglich, solltest du deine Konten mithilfe von 2-Faktor-Authentifizierung zusätzlich absichern. Die meisten Verbraucher:innen kennen das Konzept von ihren Bankkarten, bei denen ein PIN-Code – ein zweiter Sicherheitsfaktor neben der physischen Karte – benötigt wird, um Geld abzuheben. Außerdem kannst du bei vielen Apps biometrische Daten wie deinen Fingerabdruck oder die Gesichtserkennung als zweiten Sicherheitsfaktor hinzufügen und so dein Konto noch besser schützen. Die N26 App verwendet standardmäßig 2-Faktor-Authentifizierung.
• Gib deine Passwörter oder deine 2-Faktor-Authentifizierungscodes an niemanden weiter und teile deine Kartendaten nicht über offene Kanäle wie E-Mail oder Messaging-Apps. Pass allgemein gut auf deine persönlichen Daten auf. Wir Menschen neigen dazu, unseren physischen Besitz als schützenswert einzuordnen, sind aber weniger wachsam, wenn es um unseren digitalen Besitz geht. Es gibt da eine psychologische Trennung, eine ganz menschliche Eigenheit. Aber wir müssen sie letztlich überwinden und verstehen, dass auch Dinge, die wir nicht anfassen können – wie unsere Online-Daten und anderen virtuellen Besitztümer – dasselbe Maß an Sicherheit und Sorgfalt erfordern wie unser physisches Eigentum.
• Wenn du dir einmal Sorgen machen solltest, dass du Opfer von Betrug geworden sein könntest oder dass jemand Zugang zu deinem Konto erhalten hat, ändere immer deine Anmeldedaten und wende dich an den Kundendienst des betreffenden Services. Das gilt für alle Anwendungen oder Dienste. Sperre außerdem deine Bankkarte grundsätzlich, wenn du eine Benachrichtigung erhältst, dass jemand versucht hat, sie zu benutzen. Schiebe ein ungutes Gefühl keinesfalls beiseite.