In der Online-Banking-Branche passiert in Deutschland seit Jahren wenig Neues. Die Smartphone-Apps von Banken sind meist nicht mehr als abgespeckte Versionen ihrer Websites. Andere Unternehmen sehen das als Chance und entwickeln deshalb neue Girokonto- und Geldtranfer-Apps. Sie heißen Avuba, Cringle oder Lendstar und wollen mit Feelgood-Faktor und komplett mobiler Handhabung ein junges Publikum ansprechen. Seit Ende Januar haben die etablierten Banken noch einen weiteren Konkurrenten: die Banking-App Number26.
Maximilian Tayental und Valentin Stalf, die Gründer des Berliner Startups, bezeichnen ihr Produkt als „Europas modernste Girokonto“. Dabei ist Number26 eigentlich nur das Frontend der Wirecard Bank, bei der auch die Konten der Nutzer liegen. Dennoch können sämtliche Transaktionen über die App abgewickelt werden. Tayental und Stalf wollen eine mobile Banking-App anbieten, die alle derzeitigen Möglichkeiten nutzt. Fast schon Standard ist die sogenannte MoneyBeam-Funktion, um Geld via SMS oder E-Mail an Freunde zu überweisen und das digitale Haushaltsbuch. Aber Number26 möchte auch kostenlose Überweisungen in Echtzeit, ein zeitsparendes Anmeldungsprozedere und eine Karte für gebührenfreie Zahlungen auf der ganzen Welt anbieten. Bleibt nur eine Frage: Wie sicher ist das Ganze? Das haben wir Valentin Stalf gefragt, CEO und Gründer von Number26.
WIRED: Welche Sicherheits-Features hat Number26?
Valentin Stalf: Durch das Smartphone geben wir dem Kunden volle Transparenz und Kontrolle über sein Konto. Für jede Kontobewegung wird eine Mitteilung auf dem Smartphone angezeigt — so kann bei ungewollter Verwendung schneller reagiert und die Karte mit einem Klick jederzeit in der Mobil-App ge- oder entsperrt werden. Zusätzlich entscheidet der Kunde selbst, wo seine Karte funktioniert — im Ausland, am Bankautomaten oder beim Online-Shopping. Er kann diese Einstellungen in der App vornehmen.
WIRED: Die Verifizierung läuft per Videokonferenz statt über das Postident-Verfahren. Was braucht man dafür?
Stalf: Für die Verifikation benötigt man einen gültigen Reisepass oder Personalausweis, der Wasserzeichen aufweist. Die Videoverifizierung kann direkt im Webbrowser oder am Smartphone durchgeführt werden und dauert etwa sechs Minuten. Das gesamte Videotelefonat wird aufgezeichnet, während des Prozesses werden verschiedene Sicherheitsmerkmale des Ausweises überprüft. Zum Beispiel durch Kippen des Passes und verschiedene elektronische computergestützte Prüfungen. Es wird davon ausgegangen, dass die Verifizierung über Videokonferenz sogar sicherer als Postident ist.
WIRED: Aber was passiert, wenn ein Kunde sein Smartphone verliert?
Stalf: Grundsätzlich speichert die Number26-App keinerlei sensible Transaktionsinformationen auf dem Endgerät. Um den Prozess so sicher wie möglich zu gestalten, benutzen wir ausschließlich HTTPS-Verbindungen, client- und serverseitige Session-Control-Mechanismen und zusätzlich eine clientseitige Hardware-Verschlüsselung von Verbindungsdaten. Das ermöglicht es, die Daten vor unbefugtem Zugriff durch andere Apps oder das Betriebssystem zu schützen. Falls das Smartphone verloren geht, sind dort keine sensiblen Daten gespeichert. Durch einen Anruf bei unserem Support kann der Verlust gemeldet werden und nach telefonischer Verifikation ein neues Smartphone mit dem Konto zusammengeschaltet werden.
WIRED: Wie läuft eine Überweisung mit Number26 ab?
Stalf: Wir wenden ein dreistufiges Sicherheitsverfahren an. Als Erstes benötigt man Benutzernamen und Passwort, um überhaupt Zugang zur App oder zum Online-Banking zu bekommen, ähnlich wie bei einer traditionellen Bank. Um eine Überweisung freizugeben, muss ein bei der Kontoanmeldung festgesetzter Überweisungscode eingegeben werden. Zusätzlich kann eine Überweisungen nur mit einem speziell gekoppelten Smartphone endgültig freigegeben werden, bevor sie ausgeführt wird.
WIRED: Wo werden die Daten der Kunden gespeichert?
Stalf: Die Bankdaten liegen verschlüsselt auf deutschen Servern und sind an mehreren Orten unabhängig von einander gespeichert. So können wir sicherstellen, dass sie selbst im Falle von Naturkatastrophen nicht verloren gehen.
WIRED: Mit Number26 soll man ohne IBAN/BIC Geld überweisen können. Wie läuft das ab?
Stalf: Die entsprechende Person erhält eine SMS oder E-Mail und kann sich damit sicher sein, dass sie das Geld erhalten wird. Falls die empfangende Person schon Number26-Kunde ist, wird das Geld sofort gutgeschrieben, und IBAN/BIC sind nicht notwendig. Falls sie noch kein Kunde ist, hat sie sieben Tage Zeit, um das Geld abzuholen, indem sie den in der E-Mail oder SMS enthaltenen Link öffnet und ein Konto angibt, auf welches der Betrag ausbezahlt werden soll. In dem Fall können wir IBAN/BIC nicht ganz vermeiden, haben uns aber bemüht, den Prozess angenehmer zu gestalten.
Vielversprechende Features hin oder her Einige Schwachpunkte hat die App dann aber doch: Auf Number26-Konten kann kein Bargeld eingezahlt werden. Es ist nicht möglich, das Konto zu überziehen. Und Kartenzahlungen funktionieren nur via Kreditkarte, was in Deutschland problematisch werden kann. Außerdem ist die Registrierung bei Number26 derzeit ausschließlich über eine persönliche Einladung möglich.
