Wenn ich Dich richtig verstanden habe, denkst Du auch, dass ein Smartphone *nie* gegen Infiltrierungen sicher sein wird. Wie bei einer Hydra entsteht beim Patch einer Sicherheits-Lücke gleich die nächste Lücke mit ...

Bei der Deutschen Bank oder bei der Sparkasse (Photo-TAN/App-Version bzw. Push-TAN) wird der geheime Schlüssel für die Erzeugung der TAN im Speicher des Smartphones abgelegt. Ein Trojaner auf dem Smartphone würde zuerst das Online Passwort abhören, wenn es vom Kunden eingegeben wird, und dann den geheimen Schlüssel kopieren. Damit kann er selber eine beliebige Betrugsüberweisung ausführen: https://media.ccc.de/v/32c3-7360-un_sicherheit_von_app-basierten_tan-verfahren_im_onlin...

Bei Unternehmensanwendungen ist es unter Umständen noch kritischer, ein Credential in der Firmen-App zu speichern.

Das Vertrauen in die Smartphones ist groß. Das hat was Psychologisches - manche Entscheider kommen gar nicht auf die Idee, dass Smartphones infiltriert sein könnten. Meistens sind es BWLer, nicht IT-ler, die solche kritischen Apps pushen, denn sie denken, dass die Kunden/Mitarbeiter es so haben wollen (obwohl bei Umfragen Bankkunden Sicherheit als wichtigstes Kriterium für Zahlungsverfahren nennen). Sie sagen sich: Wir gucken mal, und solange keine großen Schadensfälle passieren, machen wir so weiter.

Bernd Borchert