Wie dein Smartphone zur größten Sicherheitslücke deines Lebens wird.
Es beginnt mit einem Gedanken: „Ich mache das nur zur Sicherheit.“ Ein Selfie für die Bank, ein Fingerabdruck für die Gesundheits-App, ein kurzer Scan für den Login bei der Rentenkasse. Alles per Smartphone, alles bequem. Und angeblich alles sicher. Doch je tiefer man blickt, desto klarer wird: Das Smartphone ist nicht deine Schutzmauer, es ist das Einfallstor.
Die große Selbsttäuschung
Wir alle tragen unsere Smartphones mit uns, Tag und Nacht. Sie sind Kamera, Notizbuch, Geldbörse, Terminplaner, Kreditkarte, Zeitung, TV-Gerät, Behördengang in einem. Wir entsperren sie mit unserem Gesicht, lassen sie unsere Stimme erkennen, erlauben ihnen Zugriff auf Standort, Kontakte, Mikrofon, Gesundheitsdaten. Es ist der intimste digitale Spiegel unseres Lebens. Und gleichzeitig der am schlechtesten geschützte.
Warum also wird ausgerechnet dieses Gerät als Plattform für Sicherheit verkauft?
Die Antwort ist unbequem: Weil es den Anbietern dient. Nicht dir.
Die neue Abhängigkeit
Früher gingen wir mit dem Ausweis zur Bank. Heute verlangt die Bank, dass wir unser Smartphone nutzen. Mit Kamera. Mit Gesichtsscan. Mit einer App, deren Anbieter wir nicht kennen. FortiToken, WebID, Nect, Verimi, Plattformen, die zwischen uns und unsere Bank, unsere Versicherung, unsere Steuererklärung geschaltet sind. Sie speichern Daten. Sie übertragen sie. Und manchmal weiß nicht einmal die Bank, was genau dort verarbeitet wird.
Die Datenspeicherung erfolgt häufig in der Cloud, oft auf Servern in den USA, manchmal in Europa, selten nachvollziehbar. Der berüchtigte US CLOUD Act erlaubt es US-Behörden, auf Daten zuzugreifen, die von US-Unternehmen gespeichert werden, auch wenn diese physisch in Europa liegen. Das bedeutet: Wer etwa Fortinet nutzt, einen US-Anbieter, und gleichzeitig glaubt, seine Daten seien durch die DSGVO geschützt, irrt.
Der Mythos vom sicheren Handy
Smartphones sind keine geschützten Container. Sie sind Schnittstellen. Du installierst eine App, und du gibst ihr Rechte: Zugriff auf Kamera, Standort, Kontakte, Speicher, Netzwerkstatus, Telefonfunktion. Viele Banking-Apps verlangen Zugriff auf das Mikrofon. Warum? Viele TAN-Apps lesen SMS mit. Andere dürfen Bildschirminhalte erfassen. Noch andere verwenden die Kamera auch im Hintergrund. Und all das auf einem Gerät, das per Bluetooth, WLAN, Mobilfunk pausenlos mit Servern kommuniziert.
Sicher? Nein. Offen wie ein Scheunentor. Nur schön verpackt.
Online-Banking: Komfort statt Kontrolle
Es ist bequem. Man öffnet seine Banking-App, scannt den QR-Code, tippt eine TAN, bestätigt per Gesicht. Doch wer lässt sich schon die AGB der App durch? Wer prüft, welche externen Dienste sie verwendet? Wer weiß, ob diese App auf deinem Smartphone Root-Zugriff erkennt, oder ob sie sich von böswilliger Software manipulieren lässt?
Aktuelle Untersuchungen zeigen: Die meisten Banking-Apps sind voller Schwachstellen. Im Schnitt enthalten sie 50 bis 80 potenzielle Sicherheitslücken, darunter Zugriff auf sensible Systemfunktionen. In einer Welt, in der Trojaner wie „Godfather“ oder „BlackRock“ gezielt auf mobile Bankdaten zielen, ist dein Smartphone ein offenes Ziel.
Hinzu kommt: Push-TANs, die vermeintlich so sicher sind, laufen über denselben Kanal wie der Angriff. Wer dein Gerät kompromittiert, hat beides: die Banking-App und die TAN.
Der stille Kontrollverlust
Je mehr du über dein Smartphone autorisierst, desto weniger kontrollierst du. Du nutzt das Handy für Behördengänge, für das Impfzertifikat, für die Gesundheitsakte, für Steuern, für Vertragsabschlüsse, für die Altersvorsorge. Alle Daten, alle Berechtigungen, über ein einziges Gerät.
Ein Diebstahl reicht. Eine Malware. Ein kompromittierter App-Zugriff. Schon ist nicht nur dein Geld in Gefahr, sondern dein gesamtes digitales Leben.
Und schlimmer: Du merkst es oft nicht einmal. Moderne Schadsoftware läuft unsichtbar. Sie erstellt Schatten-Apps, kopiert Bildschirmdaten, greift Tastatureingaben ab, aktiviert Mikrofone. Und du denkst, du hast alles im Griff.
Das Smartphone als trojanisches Pferd
Was wir als Werkzeug der Freiheit begreifen, ist in Wahrheit ein trojanisches Pferd. Es bringt nicht uns in die Welt, sondern die Welt in uns. Mit jeder App, die wir installieren, öffnen wir Türen. Hinter jeder App stehen nicht nur Entwickler, sondern ganze Analyseketten, die unser Verhalten aufzeichnen, Muster erkennen, Verhaltensvorhersagen erstellen und im Zweifel an Dritte verkaufen.
In der Realität bedeutet das: Deine Interaktionen, deine Gewohnheiten, deine Wege, deine Käufe, deine Bewegungen, alles wird protokolliert. Ein Bewegungsprofil sagt mehr über dich als dein Tagebuch. Und dein Smartphone schreibt dieses Profil jeden Tag, automatisch, unaufgefordert.
Der Datenschutz als Placebo
Viele Nutzer beruhigen sich mit dem Hinweis auf die DSGVO. Doch in der Praxis ist die Datenschutz-Grundverordnung ein Placebo, solange die Architektur der Technik unberührt bleibt. Denn selbst wenn du einer App bestimmte Berechtigungen entziehst, kann sie durch andere Schlupflöcher auf Daten zugreifen, oder sich über fremde Dienste, Software Development Kits (SDKs), Werbung oder Hintergrundprozesse Zugang verschaffen.
Außerdem: Die DSGVO greift nicht in außereuropäischen Rechtsräumen. Nutzt eine App Server in den USA oder Dienstleister aus Drittstaaten, sind deine Daten nur so sicher, wie es der schwächste Punkt in dieser globalen Kette erlaubt. Und der ist oft schwach.
Wer profitiert wirklich?
Nicht du. Profiteure sind:
- Plattformanbieter, die Identitätsdienste verkaufen
- App-Entwickler, die aus jedem Klick ein Profil erstellen
- Analysefirmen, die Nutzerverhalten auswerten
- Cloudanbieter, die aus Daten Besitz machen
- Sicherheitsbehörden, die jederzeit zugreifen können
Du bist Produkt und Risiko in einem.
Was tun?
Zunächst: Vertraue deinem Smartphone nicht. Es ist kein Sicherheitswerkzeug. Es ist ein Werkzeug der Bequemlichkeit und der Kontrolle.
Zweitens: Nutze separate Geräte für Banking, für TANs, für Identität. Lass nicht alles auf einem Gerät laufen.
Drittens: Fordere Alternativen. Schriftliche Verfahren. Post-Ident. Vor-Ort-Verifikation. Offline-Tokens. Hardware-Schlüssel.
Viertens: Mach anderen bewusst, wie tief diese Gefahr reicht. Sprich darüber. Schreibe darüber. Wehre dich gegen eine Zukunft, in der deine gesamte Existenz von einem einzigen digitalen Schlüsselbund abhängt.
Denn es gibt nichts Unsichereres als ein Gerät, das alles kann und alles weiß.
Und nichts Gefährlicheres als eine Gesellschaft, die genau das als Fortschritt verkauft.
Quellenangaben
- BAI – Bank Administration Institute (2025): Analyse zu Sicherheitslücken in Banking-Apps. Rund 88 % der geprüften mobilen Banking-Apps enthielten mindestens eine Schwachstelle, im Schnitt 55 pro App.
https://www.bai.org/banking-strategies/security-vulnerabilities-are-common-in-bank-mobile-apps/ - Zimperium Labs (Juni 2025): Bericht zur „GodFather“-Malware, die echte Banking-Apps in eine virtuelle Umgebung lädt, um Nutzerdaten auszuspähen.
https://www.bankinfosecurity.com/godfather-malware-turns-real-banking-apps-into-spy-tools-a-28740 - TechRadar (Juli 2025): Überblick über Angriffe auf Hunderte Banking- und Krypto-Apps durch Virtualisierungstechniken.
https://www.techradar.com/pro/security/mobile-banking-users-beware-godfather-malware-is-now-hijacking-official-bank-apps - The Hacker News (Juni 2025): Bericht über eine neue Welle von Android-Malware, darunter Banking-Trojaner mit Overlay-Technik.
https://thehackernews.com/2025/06/new-android-malware-surge-hits-devices.html - Touchlane (Februar 2025): Beitrag zu den häufigsten Schwachstellen in mobilen Anwendungen, insbesondere in Finanz-Apps.
https://touchlane.com/common-mobile-application-vulnerabilities-2025/ - arXiv.org (2022): Studie zur Sicherheit von globalen Android-Banking-Apps in 83 Ländern, über 2.000 identifizierte Schwachstellen.
https://arxiv.org/abs/1805.05236 - CybelAngel Blog (2025): Analyse über den wachsenden Zusammenhang zwischen Cyberkriminalität und Bankensektor – besonders bei kleineren Banken.
https://cybelangel.com/banking-cybercrime-2025/ - The Financial Brand (2025): Beitrag über mangelndes Risikobewusstsein bei Nutzern von Banking-Apps trotz steigender Gefahren.
https://thefinancialbrand.com/news/mobile-banking-trends/the-silent-alarm-on-mobile-banking-apps-just-went-off-190162/ - Europol (2025): Analyse zu biometrischen Sicherheitslücken und deren langfristiger Bedrohung für die Identitätssicherheit.
https://www.europol.europa.eu/cms/sites/default/files/documents/Biometric-vulnerabilities.pdf - arXiv.org (2024): Untersuchung zur Sicherheitslage mobiler Bank-Apps im westafrikanischen Raum – zeigt globale Dimension des Problems.
https://arxiv.org/abs/2411.04068
Diese Quellen belegen die zentralen Aussagen des Artikels zur Unsicherheit mobiler Endgeräte im Bereich Banking, Identifikation und digitaler Authentifizierung. Alle verlinkten Inhalte wurden manuell geprüft und sind öffentlich einsehbar.
Morgen ist erst Doomsday
Sie werden tragen das Malzeichen des Platier Thiel (The Reptile), auf das sie, Tag und Nacht keine Ruhe finden. Sie werden von Gottes Zorneswein unvermischt eingeschenkt bekommen, auf das sie nicht mehr kaufen oder verkaufen können.
Mit der bitte,
um ein ordentliches Miyake-Ereignis ⚡
,,Viele Nutzer beruhigen sich mit dem Hinweis auf die DSGVO.“
Hinweis: DSGVO heißt DummeSollensGlaubenVerOrdnung
,,Was wir als Werkzeug der Freiheit begreifen…“
Ja sicher doch^^
Danke, guter Artikel!
Jedoch: „Was wir als Werkzeug der Freiheit begreifen, ist in Wahrheit ein trojanisches Pferd.“ Also ich begreife das Smartphone schon länger nicht mehr als als ein solches Werkzeug. Diese Bildchen-Hochladeritis und 2 Factor Authorization wurde mir aufgedrängt und ich weiß sehr wohl, dass die Profiteure dieser Industrie nicht in Deutschland sitzen. Oftmals gibt es ja nur diese eine, digitale Option. Auch 5G, Funkmasten usw. rücken immer näher an meinen Pelz, obwohl ich nicht darum gebeten habe.
Für ein analoges Leben! (Welche Partei darf ich wählen, die mich hier unterstützt?)
Geht mir genauso. Nach meinem Umzug bekam ich von meiner neuen Bank eine Karte mit Kreditkartenfunktion (andere Karten gibt es nicht). Als ich diese mal (im Ausland) gebrauchen wollte, hat sie nicht funktioniert. Auf Anfrage wird mir mitgeteilt, ich müßte über mein Smartphone noch zur Sicherheit….. Ich habe kein Smartphone und werde mir auch keines anschaffen, dafür aber doppelte Kosten für meine Bankkarte, die ich nicht wie vorgesehen nutzen kann. Und das ist nur eines von zahllosen Beispielen, über die Zwang ausgeübt wird, um einem diese Wanzen aufzuzwingen.
Ein ebenso wichtiger wie nutzloser Artikel. 99% der Leute ist das *****ssegal.
Vermutlich würde es selbst dann nichts helfen, wenn so ein Artikel 3 x wöchentlich auf der 1. Seite der BLÖD-Zeitung erschiene.
Hat dem Burbach eigentlich schon mal jemand gesagt das Overton elektronisch erscheint und nicht wie der Kram der Funke-Medien-Gruppe auf Totholz? Frage für einen Freund.
Ernsthaft die Menschen haben entschieden, nach der Diskussion rund um Snowden und NSA möchten die meisten dennoch auf die Bequemlichkeiten von Google und Co nicht verzichten. Und so lange man sie so einfach kriegen kann wie neulich „Ich bin jetzt bei Facebook“ „Warum?“ „Da gab es ein Kochrezept und da stand anmelden und da habe ich mich angemeldet“ 2 Tage später: „Ich bin jetzt bei Instagram“ „Warum?“ „Da war eine Tierparkserie in der ARD und die hatten eine Instagram-Story …“ „Und da stand anmelden?“ „Ja woher weißt du das?“ „Nur geraten …“
Die Menschen haben entschieden. Trotz vieler Cassandras, Snowdens, Burbachs und anderer.Trotz endloser Diskussionen die ich auch selbst geführt habe man will es so. Und wer nicht mitspielt schließt sich selbst aus der Gesellschaft der anderen aus. Das mag einigen hier nichts ausmachen, dennoch die Mehrheit besteht dennoch nicht aus der Overton-Community sondern aus den „anderen“ die Burbachs Artikel weder gelesen haben noch das was drinsteht annehmen werden.
@ NCC1701D
Weshalb redest dich auf „die Mehrheit“ heraus? Aus welcher Gesellschaft schliesst DU dich aus? Der der ANDEREN oder nicht doch eher jener all DEINER FREUNDE? DU bist einer der ANDEREN! Nicht nur dumm wie Stulle, sondern noch zu feige dazu zu stehen! Die anderen…; das ich nicht lache! LG an deine 376 Freunde und all deine gesammelten Daumen – hier hast noch einen für deine Sammlung: 👎🏻
Selbstverständlich gibt es noch Banken, bei denen man seinen Ausweis noch in der Filiale bei Kontoeröffnung vorzeigt. In der Regel werden diese als „altmodisch“ und „umständlich“ beschimpft und wegen „zu teuer“ von den Kunden abgelehnt.
Mikrofon-Zugriff? Die Kunden wollen Sprachnachrichten schicken. Schreiben ist für viele zu anstrengend.
SMS-Zugriff? Die Kunden wollen nicht auf ihre Passwörter aufpassen, aber sechs Ziffern abzutippen ist ihnen auch zu umständlich. Ist aber veraltet, jetzt schreibt die EZB MFA vor … bei der der zweite Faktor dieselbe App ist, aber es geht ja eh um Voodoo.
Bildschirmzugriff? Die Kunden wollen bequem ihre Rechnungen von der Banking-App abscannen lassen, ohne auch nur das Foto zu speichern.
Nichts davon muss man nutzen. Im Zweifelsfall muss man allerdings den Aufwand bezahlen – entweder durch persönliche Lebenszeit für Habdarbeit, durch Aufgabe der digitalen Souveränität oder eben entsprechend der Gebührenordnung wie in der guten, alten Zeit … in der Überweisungen 1 DM kosteten und Unterschriften erst ab 2000 Euro geprüft wurden, weil es billiger war, auf Beschwerden zu warten und die Betrugsfälle auszubuchen.
Dann doch lieber Schecks, die sechs Wochen lang platzen können. Oder Bargeld, das gestohlen werden kann? Kryptowährungen? Haha, Scherz.
Einen Tod muss man sterben.
Überweisungen? Die Leute lassen sich doch heutzutage einfach per Lastschrift in die Tasche greifen. Lastschriften gibt es bei mir nur ganz wenige, auch wenn die Gläubiger ständig versuchen mit jeder Rechnung ein Mandat zu bekommen. Dann führen die Banken belegbehaftete Überweisen nicht aus, weil ihre SCH**SS Ki die Unterschrift für ungültig erkennt und sie wollen sich dann noch rausreden, wenn sie auf Schadenersatz in Anspruch genommen werden. Da ist Bargeld die wirklich einzige Lösung, auch wenn dort Tracking immer mehr zunimmt (natürlich unter dem Deckmantel der Geldwäschebekämpfung).
Tja, ist ja alles nicht neu.
Ein Großteil der Leute will es so.
Warum? Weil es irgendwie modern ist und angeblich viel bequemer.
Das man erstmal einige hundert Euro investieren muss um sich ausweisen und zahlen zu können ….
Das Smartphone ist bekanntermaßen das unsicherste Gerät. Und dennoch verwenden es die meisten Personen für sicherheitsrelevante Aktivitäten. Leider gibt es keine ordentliche Massenware, nur Google oder Apple vereuchtes Zeugs. Oder Du mußt mehr als 1.000 Euronen für ein halbwegs sicheres Gerät hinlegen. Wozu? Dann lieber kein Smartphone oder nur mit relativ unkritischen Apps und restriktivem Berechtigungsmanagement. Apps, die Berechtigungen einfordern, die ich bei der Nutzung nicht benötige, kommen eben nicht drauf. Sprachnachrichten? Wozu? Entweder ich telefoniere mit meinem Gesprächspartner oder eine Notiz is völlig ausreichend. Das ganze Social Media Theater ist überflüssig und unnütz. Überall dort, wo Anmeldung oder die Zulassung von Cookies gefordert wird ist einfach Endstation und gut ist. Es gibt ein Leben ohne Smartphone. Und es ist schön.
Gutes, wichtiges Thema, danke! Ergänzend und beispielhaft (weil konkrete technische Alternativen im Beitrag nicht vorkommen – Alternativen, bei denen im Umgang damit mehr Sensibilität für das Thema erlernt werden kann, als wenn man sich lediglich darüber belehren lässt; dieser Umgang kann übrigens auch Spaß machen, Distinktionsgewinn bedeuten, neue Beziehungen entstehen lassen etc pp., wenn man sich auf den Weg macht, um sich dergestalt praktisch ein Stück weit zu emanzipieren..):
eine Android-Alternative: GrapheneOS
https://www.kuketz-blog.de/grapheneos-der-goldstandard-unter-den-android-roms-custom-roms-teil7/
(das Blog ist nicht nur diesbezüglich eine wahre Fundgrube)
https://grapheneos.org/
Aber natürlich unbedingt auch so etwas:
Petition gegen Digitalzwang
https://digitalcourage.de/blog/2024/petition-fuer-recht-auf-ein-leben-ohne-digitalzwang-gestartet
… und den Mut, das Haus auch ohne Begleitung der Petzen zu verlassen!
Mit GrapheneOS werde ich mich gleich mal näher befassen, danke!
@Karsten: Danke für den Link zur Petition, bin dabei!
Graphene-OS:
Es wird exklusiv für Google Pixel-Geräte entwickelt – andere Geräte werden nicht unterstützt.
Weisst Du, wem ich so ziemlich zu allerletzt ein Smartphone abkaufen möchte?
Wenn ich wählen kann, ob Google mein Geld oder meine Daten erhält, sehe ich die erste Möglichkeit als das geringere Übel an. Mittlerweile gibt es die Pixels auch gebraucht. Hauptgrund GrapheneOS für die Pixels zu entwickeln war der Titan-M2-Chip, der hardwareseitig zusätzliche Sicherheitsfeatures einführte.
Unlängst sah man den Außenminister sein Handy in ein Kästchen legen, um, wie er sagte, das Abhören zu verhindern. Hiermit Edward Snowden recht gebend, welcher warnte, das Handy sei keineswegs inaktiv, wenn man es abschaltet. Es guckt und horcht immer und telefoniert nach Hause.
Es wäre auch einfacher gegangen. Ich habe ein Fairphone, das sich zerlegen lässt und da nehme ich eben die Batterie heraus. Feierabend ist.
Das Fairphone ist aus Komponenten gebaut, die unter vertretbaren sozialen und umwelttechnischen Bedingungen gebaut wurden. Soweit möglich eben.
Ich könnte da jetzt einzelne Komponenten austauschen. Aber warum? Ich bin vollauf zufrieden.
Ich freue mich immer wenn ältere Kunden an der Discounterkasse anstehen und ihr ausgeschaltetes Smartphon der Kassiererin hinreichen und sagen: machen sie das bitte mal mit der App.
Leider braucht man heutzutage bei verschiedenen Hobbys so ein Smartphon für die bezahlbare China-Technik. Früher gab es Fernbedienungen, die jetzt durch ein Smartphon ersetzt wurden. Zum Glück reicht ein älteres Smartphon ohne Sim-Karte.