Das Internet ist aus unserem Alltag nicht mehr wegzudenken. Es hat im Laufe der Jahre viele Dinge vereinfacht: Shoppen, Bankgeschäfte und mit der elektronischen Patientenakte (ePA) sogar Arztbesuche! Das spart Ressourcen wie Sprit oder Papier, aber auch Wege und wertvolle Zeit. Wer schon einmal telefonisch einen Arzttermin vereinbaren wollte, der kennt das Problem ständig besetzter Leitungen. Da sind eine kurze E-Mail oder ein Online-Buchungsportal die deutlich zeit- und nervenschonendere Alternative. Und wie lange dauerte es früher, neue Kleidung oder Schuhe zu kaufen? Man rannte von einem Geschäft zum nächsten und fuhr evtl. noch in eine andere Stadt. Am Ende dieser Odyssee hatte man mit etwas Glück dann sein neues Lieblingsteil gefunden, aber dafür auch einen halben oder gar ganzen Tag verschwendet. Heute genügen wenige Klicks und die Ware wird bequem nach Hause geliefert. Vielleicht erinnert sich auch noch jemand an die Warteschlangen am Kontoauszugsdrucker der Bank. Dank zunehmender Digitalisierung gehört das alles der Vergangenheit an.
Diese ganzen Annehmlichkeiten setzen beim Verbraucher neben dem Internetzugang natürlich eine entsprechende Hardware (z. B. ein Smartphone oder einen PC) sowie ein gewisses technisches Verständnis voraus. Zudem ist es nötig, persönliche Daten an die Dienstleister weiterzugeben, damit Informationen ausgetauscht und Geschäfte reibungslos abgewickelt werden können. Während die jüngere Generation schon in der digitalen Welt aufgewachsen ist und sich ein Leben ohne Smartphone kaum vorstellen kann, fühlen sich ältere Menschen oft überfordert. Zudem mangelt es (generationsunabhängig) sehr häufig am Sicherheitsbewusstsein, wodurch Cyberkriminelle ein leichtes Spiel haben.
Sind meine Daten sicher? Nein!
Viele Unternehmen werben damit, dass Nutzerdaten bei ihnen sicher sind (siehe z. B. diese Google-Suche). Doch wer sich allein auf solche Versprechen verlässt und sorglos persönliche Informationen preisgibt, kann ein böses Erwachen erleben. Der Begriff des „hinzunehmenden Restrisikos“ taucht in diesem Zusammenhang immer wieder auf. Eine klare Definition, welches Risiko in Bezug auf seine persönlichen Daten ein Nutzer hinnehmen muss und warum, sucht man dagegen vergeblich. Viele Firmen gehen deshalb nach eigenem Ermessen vor. Datenpannen, die bei Bekanntwerden keinen größeren Image- oder gar wirtschaftlichen Schaden verursachen, nimmt man dabei aus Kostengründen schlicht in Kauf.
Je höher die Sicherheitsstandards eines Systems, desto teurer ist dessen Betrieb. Unternehmen, die mit sensiblen Kundendaten arbeiten, müssen z. B. ihre IT-Infrastruktur stets aktuell halten. Leider ist häufig genau das Gegenteil der Fall. Laut einer Erhebung des Bundesamtes für Statistik aus dem Jahr 2023 sind allein im D-A-CH-Raum (also in Deutschland, Österreich und der Schweiz) rund zwei Millionen PCs vollkommen veraltet und somit hochgradig unsicher. Insiderberichte zeigen zudem, dass selbst kritische Infrastrukturen sicherheitstechnisch nicht mehr auf dem neuesten Stand sind (siehe hier). Veraltete Anwendungssoftware und Betriebssysteme, die keine Herstellerupdates mehr erhalten, weisen Sicherheitslücken auf, die es Angreifern besonders einfach machen. Hinzu kommt, dass moderne Sicherheitsmechanismen und -programme mit solchen Altlasten oft nicht kompatibel sind und somit nicht eingesetzt werden können.
Aber das ist nicht das einzige Problem. Viele Firmen haben eine einfache Refinanzierungsmethode für teure Sicherheitsmaßnahmen für sich entdeckt. Wer sich die oft seitenlangen AGBs des vermeintlich kostenlosen Dienstes näher anschaut, stellt sehr häufig erstaunt fest, dass er dem Anbieter sogar das Recht eingeräumt hat, seine persönlichen Daten weiterzuverkaufen und sich damit eine goldene Nase zu verdienen.
Weil sicher niemals sicher genug ist
Selbst die sichersten Server sind nicht vollständig vor Cyberangriffen gefeit. Wie dieser Artikel zeigt, sind selbst Experten für Sicherheitslösungen schon Ziel solcher Attacken gewesen. Da man letztendlich jedes System knacken kann, liefern sich Softwareentwickler und Hacker ein andauerndes Wettrüsten. Jede entdeckte Sicherheitslücke muss schnellstmöglich geschlossen werden. Der Verbraucher spürt das zum einen an ständigen Softwareupdates, die teilweise durchaus den Eindruck erwecken, dass man ein unfertiges Produkt erworben hat. Zum anderen muss er sich bei hochsicheren Systemen, wie beim Online-Banking, regelmäßig mit neuen Sicherheitsmechanismen auseinandersetzen.
Früher genügte oft ein einfaches Passwort zur Authentisierung. Dann kam als zusätzliche Sicherheit eine abgefragte TAN hinzu. Diese wurde entweder per E-Mail oder SMS verschickt, oder man erhielt eine TAN-Liste per Post zugestellt. Diese drei Varianten gelten heute als unsicher. Bei Ersteren ist dies durchaus verständlich, denn sie können abgefangen, ausgelesen und manipuliert werden. Die postalischen Listen waren bei sicherheitsbewusster Handhabung aber wenig anfällig und hätten eigentlich nur ausgeklügelter gestaltet werden müssen, damit ein Entschlüsseln der TANs unmöglich wird.
Stattdessen setzt man aktuell auf verstärkte Zwei-Faktor-Authentisierung (2FA), zulasten von Benutzerfreundlichkeit und einfacher Zugänglichkeit für alle. Hierbei müssen, wie der Name schon andeutet, zwei Sicherheitsfaktoren aus zwei unterschiedlichen Kategorien zum Einsatz kommen. Ein normales Passwort oder eine PIN reichen dafür nicht aus, da sie beide zur Kategorie Wissen gezählt werden. Zusätzlich werden zur Identifikation biometrische Daten wie ein Fingerabdruck (Kategorie Biometrie) oder beispielsweise eine Chipkarte oder ein Smartphone des Kunden (Kategorie Besitz) herangezogen. Das bedeutet in der Regel, dass ein zusätzliches Gerät erforderlich ist – sei es ein TAN-Generator, ein Kartenleser oder ein Fingerabdruckscanner.
Wozu nur EIN Zusatzgerät? Nimm doch noch eins mehr.
Als Benutzer würde ich erwarten, dass ich nur ein einziges solches Zusatzgerät kaufen muss, mit dem ich alle Authentisierungsvorgänge gleichermaßen abwickeln kann. Aber weit gefehlt! In einer auf Konkurrenz ausgelegten Wirtschaft kocht natürlich jedes Unternehmen sein eigenes Süppchen. So manch einer hat sein Geld heutzutage z. B. wegen der schlechten Zinsen auf mehrere Geldinstitute aufgeteilt. Girokonto hier, Festgeld da und möglicherweise eine weitere Anlage ganz woanders. Da jede Bank scheinbar ein anderes System bevorzugt, stapeln sich plötzlich mehrere Geräte für den gleichen Zweck zu Hause, z.B. ein tanJack der Sparkasse, ein eigens gebrandeter DIGIPASS der ING und ein Spezialgerät der Partnerfirma Seal One der Postbank, für das hauseigene BestSign-Verfahren, das natürlich nur mit diesem funktioniert. Ein Großteil dieser TAN-Generatoren wird dann zu allem Überfluss nur selten genutzt, da Depot-, Anlage- und Tagesgeldkonten in der Regel keine ständigen Transaktionen erfordern.
Bei der elektronischen Patientenakte (ePA), die die Krankenkassen aktuell für alle Versicherten anlegen, geht man aktuell denselben Weg. Statt einer simplen Zertifikatsdatei wie bei der elektronischen Steuererklärung (Elster) ist auch hier wieder ein passendes Spezialgerät erforderlich. Wer zusätzlich elektronische Dokumente signieren möchte, braucht unter Umständen noch einen separaten Kartenleser für den Personalausweis. Der Berg an Spezialgeräten wächst – und mit ihr der Frust der Verbraucher. Ein Ende ist nicht abzusehen, denn wer weiß, welche Anwendungsfälle durch die Digitalisierung in der Zukunft noch hinzukommen.
Wer angesichts der vielfältigen nötigen Hardware nun auf günstige Alternativen setzt, tut sich selbst und der Umwelt keinen Gefallen. Die Billiggeräte lassen sich nämlich häufig nicht updaten. Das bedeutet, dass sie bereits nach kurzer Zeit nicht mehr den aktuellen Sicherheitsstandards entsprechen und ersetzt werden müssen.
Nichts als Probleme mit der ePA
Angesichts der Einführung der elektronischen Patientenakte für alle wollte ich herausfinden, wie ich meine gespeicherten Gesundheitsdaten am PC einsehen und vor allem bearbeiten kann. Wie bereits oben erwähnt, muss man dafür einen Chipkartenleser erwerben. Auf dem Markt gibt es eine ganze Reihe an Modellen und ein geeignetes zu finden, stellt sich für einen Laien als ziemlich schwierig heraus. So gibt es viele ältere Geräte, die nicht mehr über den entsprechenden Sicherheitsstandard verfügen (Sicherheitsklasse 2 oder zukunftssicherer 3). Manche Karten unterstützen bereits die Kameraerfassung via NFC und funktionieren nur mit bestimmten Geräten, andere sind auf einen Kartenslot angewiesen. In den Produktbeschreibungen finden sich häufig nur Kürzel und keine genauen Auflistungen aller unterstützten Kartentypen und Anwendungsfälle.
Von den Krankenkassen ist leider auch keine Hilfe zu erwarten. Bei einer flächendeckenden Ausrollung eines solchen neuen Systems sollte normalerweise bereits eine offizielle Liste von kompatiblen Chipkartenlesern verfügbar sein. Diese sucht man aber vergeblich. Der Kundendienst zeigt sich diesbezüglich häufig überfordert und reagiert nur mit Standardantworten. So erging es mir bei der AOK, die sich trotz mehrmaliger Nachfragen zu empfohlenen Geräten tapfer ausschwieg. Stattdessen bleibt Verbrauchern oft nur das zeitraubende Ausprobieren verschiedener Geräte – was zu unnötigen Rücksendungen und zusätzlicher Umweltbelastung führt. Und sollten sich nicht alle auf die gleichen Geräte geeinigt haben, dann geht die Sucherei bei einem Kassenwechsel wieder von vorn los.
Erfahrungsberichte von Nutzern zeigen zudem, dass PC-Anwender häufig benachteiligt werden. Die bereitgestellten Programme sind erst später verfügbar, unterstützen nicht alle Funktionen und sind teilweise unnötig verkompliziert. So werden z. B. eigene lokale Benutzerkonten für die ePA-Funktionalität benötigt. Die Anmeldung klappt nur sporadisch, weil die Server überlastet sind oder daran gearbeitet wird. Sie liefern keine klaren Rückinformationen, sondern häufig nur kryptische Fehlermeldungen. Anfang 2025 stellten viele Krankenkassen die Unterstützung der PC-Anmeldung wegen der Einführung von ePA 3.0 komplett ein. Nicht nur, dass Nutzer jetzt voraussichtlich ein halbes Jahr nicht mehr an ihre Daten kommen. Man vergaß auch schlichtweg, sie vorab darüber zu informieren.
Eine alternative Gratisvariante, die am Ende noch teurer ist
Was ist der Grund dafür? Die meisten Anbieter verfügen bereits seit längerer Zeit über eigene Smartphone-Apps und haben die Zwei-Faktor-Authentisierung der Einfachheit halber in diese integriert. Und man versucht natürlich, so viele Kunden wie möglich für dieses Verfahren zu begeistern, um den Entwicklungsaufwand gering zu halten. Deshalb lockt man damit, dass diese Apps im Vergleich zu den Zusatzgeräten sogar vermeintlich völlig kostenfrei sind. Das wird dem Kunden aber nur vorgegaukelt, denn neben der oben bereits erwähnten Möglichkeit des Verkaufs von Profildaten kostet die Gratissoftware auf Dauer sogar mehr als die Zusatzgeräte.
Das Hauptproblem ist nämlich, dass die Apps mit den neuesten Funktionen gespickt sind und deshalb ein sehr aktuelles Betriebssystem auf dem Smartphone benötigen. Bekanntermaßen liefern die Hersteller nur über einen begrenzten Zeitraum entsprechende Updates aus. Deshalb lässt sich die Software auf älteren Modellen überhaupt nicht mehr installieren. Wer, wie ich, sein Smartphone nur zum Telefonieren im Notfall und zur Navigation über Offlinekarten nutzt und deshalb kein High-End-Gerät benötigt, schaut in die Röhre.
Aber selbst wenn sich die App installieren lässt, heißt das noch lange nicht, dass man sie ewig nutzen kann. Wenn das Betriebssystem nicht mehr aktualisiert wird, läuft sie zwar noch weiter und kann genutzt werden, aber die neuesten Updates lassen sich unter Umständen nicht mehr installieren. Dadurch entstehen – im schlimmsten Fall völlig unbemerkt – gefährliche Sicherheitslücken, durch die Angreifer an die hochsensiblen Daten gelangen können. Man wird über kurz oder lang also doch dazu gezwungen, sich ein neues Gerät zu kaufen, um die App weiter sicher nutzen zu können. Da ein neu gekauftes Smartphone maximal vier (bei iPhones sechs) Jahre unterstützt wird, geht diese vermeintlich kostenlose Anmeldevariante so richtig ins Geld und zulasten der Umwelt.
Ohne Rücksicht auf die Umwelt und die Menschen
Wer sich für Nachhaltigkeit und Ressourcenschutz einsetzt, kann über diese Entwicklungen nur den Kopf schütteln. Dass besonders Smartphones einen gewaltigen ökologischen Rucksack mit sich herumschleppen, sollte in der Politik inzwischen bekannt sein. Für diese Geräte bedarf es zum Teil seltener Ressourcen, die in der Regel ohne jegliche Rücksicht auf die Umwelt gewonnen und weiterverarbeitet werden. Sie stammen häufig aus Problemregionen, in denen Arbeiter unter menschenunwürdigen, ausbeuterischen oder lebensgefährlichen Bedingungen schuften müssen, um den weltweiten Hunger nach neuen smarten Endgeräten zu stillen. Zudem entstehen wirtschaftliche und geopolitische Abhängigkeiten. Streitigkeiten um seltene Ressourcen führen häufig zu Krisen und bewaffneten Auseinandersetzungen. Schließlich bedeutet die Kontrolle über die Rohstoffvorkommen nicht nur riesige Profite, sondern auch Macht und Einfluss – ein gefundenes Fressen für Autokraten und Diktatoren.
Was wir an Zeit und Fahrtkosten einsparen, geht zulasten der Umwelt, der geopolitischen Stabilität (und damit unser aller Sicherheit) und der Menschen in den Abbauregionen. Während dank der Digitalisierung immer weniger Papier und damit Holz verschwendet wird, wachsen die Berge an Elektroschrott immer stärker an. Zwar können einige der seltenen Rohstoffe aus Altgeräten durch Recycling zurückgewonnen werden, aber längst nicht alle. Wer nachhaltig denkt, versucht daher, möglichst wenig Müll zu produzieren und Geräte mit einer schlechten Ökobilanz lange zu nutzen. Belohnt wird man dafür nicht, denn Politik und Wirtschaft fördern eher den ständigen Neukauf, anstatt geplante Obsoleszenz entschlossen zu bekämpfen.
Weitere Nachteile von Spezial-Apps auf dem Smartphone
Aber wie sieht es mit der Sicherheit dieser Variante der Zwei-Faktor-Authentisierung aus? Wir erinnern uns: TAN-Listen und ähnliche Verfahren gelten inzwischen ja als nicht mehr sicher genug. Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt zu bedenken, dass das pushTAN-Verfahren über die Banking-App nicht die sicherste Lösung ist (siehe hier). Die Empfehlung ist, zumindest zwei getrennte Geräte zu verwenden – eines für Bankgeschäfte, eines für die TAN-Generierung. Noch besser wäre einer der oben erwähnten TAN-Generatoren, weil dieser komplett vom Internet getrennt ist.
Diese Bedenken sind verständlich. Schon die Tatsache, dass man ein Smartphone ständig mit sich herumschleppt, sollte gegen ein solches Verfahren sprechen. Wie leicht ist ein solches Gerät verloren oder von Langfingern entwendet. Dazu gibt es im öffentlichen Raum oft auch unbemerkte Mitleser. Man erwartet hier vom Nutzer ein entsprechendes Sicherheitsverständnis, das leider häufig der Bequemlichkeit zum Opfer fällt:
- Smartphones bleiben meist rund um die Uhr eingeschaltet, da viele auf ständige Erreichbarkeit setzen. Dies ermöglicht Schadsoftware, unbemerkt Schaden anzurichten.
- Da die Gerätesperre nervt, verzichten Dauernutzer häufig komplett darauf oder wählen zu unsichere Entsperrmethoden aus.
- Apps laufen ständig im Hintergrund. Sie werden nach der Verwendung nicht korrekt beendet und vielmals nicht einmal entfernt, wenn sie überhaupt nicht mehr benötigt werden.
- Passwörter für sensible Anwendungen sind entweder unsicher auf dem Gerät gespeichert oder man bleibt aus Bequemlichkeit gleich dauerhaft angemeldet.
Die vielen Spezial-Apps für jeden einzelnen Anbieter haben noch andere Nachteile. Sie müllen das Smartphone zu, verbrauchen zusätzlichen Strom und bremsen den Nutzer irgendwann aus. Wer das nicht will, der muss z. B. gezwungenermaßen alle Konten und Anlagen über die gleiche Bank laufen lassen. Sparsamkeit bei Apps führt hier zur Kundenbindung und ungünstigeren Konditionen.
Ein Umdenken ist nötig
Natürlich bedeutet die Anschaffung der ganzen Geräte letzten Endes auch (unnötigen) zusätzlichen finanziellen Aufwand für den Anwender. Dies trifft besonders auf diejenigen zu, die mit ihrem Smartphone weder unterwegs im Internet surfen noch Unmengen an Anrufen darüber tätigen und deswegen weder die topaktuellen Modelle noch einen Prepaid-Tarifvertrag benötigen. Digitale Teilhabe ist deshalb immer häufiger auch eine Frage des Geldes. Da Alternativen nach und nach wegfallen, werden wissent- und willentlich immer mehr Menschen ausgeschlossen. Es bleibt Betroffenen oft nichts anderes übrig, als sich moralisch fragwürdigen Systemen anzupassen, weil sie ansonsten über kurz oder lang von der digitalen Welt abgeschnitten und isoliert werden.
Hier muss schleunigst ein Umdenken stattfinden. Die Digitalisierung darf nicht vorrangig auf Profit und Wettbewerb ausgerichtet sein. Nachhaltigkeit und digitale Inklusion müssen bei Politik und Wirtschaft stärker in den Fokus rücken, wenn nicht gar oberste Priorität haben. Das große Ziel sollte sein, dass zumindest jeder Mensch mit Internetzugang und einem abgesicherten Endgerät die Möglichkeit hat, Bankgeschäfte und Bestellungen online zu tätigen, seine Steuererklärung einzureichen und auch seine Patientenakte umfassend zu verwalten. Es ist an der Zeit, Lösungen zu finden oder stärker zu fördern, die nicht nur sicher, sondern auch fair, praktikabel und nachhaltig sind.
Dies könnte man z. B. schon dadurch erreichen, dass die Hersteller ihre smarten Endgeräte über einen wesentlich längeren Zeitraum updaten müssen, so lange wie auch ein PC-Betriebssystem Updates erhält. Eine weitere Alternative wäre, in gemeinsamer Anstrengung aller Akteure eine neutrale, leichtgewichtige App ausschließlich zur TAN-Generierung zu entwickeln, die mit jedem Anbieter zusammenarbeitet und aufgrund geringer Systemanforderungen langfristig lauffähig bleibt – ähnlich dem Google Authenticator. Eine solche App hätte den Vorteil, dass man sie auf einem abgelegten, veralteten Smartphone installieren könnte, welches man dann nur für diesen Zweck verwendet. Zum einen wäre dies durch Trennung von den Bank- und Shopping-Apps eine sicherere, zum anderen auch nachhaltigere Variante. Schließlich braucht man das spezielle TAN-Gerät nicht mehr ständig zu aktualisieren oder zu ersetzen.
Und was ist mit PC-Anwendern?
Auch PC-Nutzer dürfen nicht diskriminiert und mit minderwertigen, funktionseingeschränkten Anwendungen abgespeist werden. Hier sollten sich Politik und Wirtschaft dringend auf einheitliche, offene Standards einigen, um die Flut an Zusatzgeräten einzudämmen.
Für das Einlesen von Chipkarten am PC wäre ein universeller Leser sinnvoll, der mit allen gängigen Karten kompatibel ist und durch Firmware-Updates langfristig nutzbar bleibt. Man könnte dabei sogar auf Slots verzichten und die Geräte handlicher machen, wenn man eine bereits vorhandene Kamera zum Scannen des QR-Codes gleichzeitig für das oben erwähnte NFC-Verfahren nutzen würde. So ließen sich Funktionen von Chipkartenlesern und TAN-Generatoren sogar vereinen. Dazu müssten bereits existierende Multifunktionsgeräte nur gemeinsam weiterentwickelt werden, anstatt auf Alleingänge einzelner Unternehmen zu setzen.
Noch besser wären allerdings Sicherheitsmechanismen, die gar keine Zusatzgeräte erfordern, wie Zertifikatslösungen oder Desktop-Apps, die sich via QR-Code mit verschiedensten Anbietern verbinden lassen. Hier könnte man sich ebenfalls an bereits existierenden guten Beispielen wie dem Authentikator 2fast orientieren.
Was können wir als Verbraucher tun?
All die oben genannten Vorschläge sind stark vom Wohlwollen von Politik und Wirtschaft abhängig. Aber auch wir als Endverbraucher sind nicht machtlos. Wir können bewusst Anbieter unterstützen, die nachhaltige und offene Technologien nutzen und viele verschiedene Anmeldemöglichkeiten anbieten, und Unternehmen meiden, die ihre Kunden mit proprietären Eigenentwicklungen einschränken oder zu unnötiger Verschwendung animieren. Auf keinen Fall sollte man sich einfach anpassen, um bestimmte Vorteile nicht zu verlieren, denn darauf setzt die Wirtschaft heute vermehrt. Wenn Beschwerden nicht ernst genommen werden, sollte man konsequent kündigen und nach Möglichkeit den Anbieter wechseln.
Öffentliche Diskussionen, sei es durch Blogbeiträge, Social-Media-Posts oder Leserbriefe, tragen ebenfalls dazu bei, auf Missstände aufmerksam zu machen. Petitionen und Initiativen für digitale Inklusion und nachhaltige IT-Lösungen bieten weitere Einflussmöglichkeiten. Zudem kann jeder in seinem Umfeld das Bewusstsein für diese Themen schärfen und sich mit Gleichgesinnten vernetzen. Veränderung beginnt oft im Kleinen – aber sie kann Großes bewirken.
Weiterführende Artikel
Schöne neue, beschränkte Welt – Wenn Fortschritt zum Rückschritt wird
Quellen
Kassenärztliche Bundesvereinigung – Informationen zur ePA
Bundesamt für Sicherheit in der Informationstechnik – Informationen zur Zwei-Faktor-Authentisierung
IHK München und Oberbayern – Datenschutz-Folgenabschätzung nach der DSGVO
Datacenter-Insider – Windows XP in der industriellen IT
tize – Warum online nichts gratis ist
Datenschutz.org – Informationen zu Datenschutz und Privatsphäre
180° Gruppe – Beispiel für Cyberangriff auf Dienstleister für IT-Sicherheit
Verbraucherzentrale – Apps und Datenschutz – so geizen Sie mit Ihren Daten
Everphone – Lebensdauer Smartphone – so lange hält dein Handy wirklich
Informationszentrum-Mobilfunk – Wie sieht die Ökobilanz von Smartphones aus?
Nachhaltig telefonieren – Informationen zur Verwendung von Seltenen Erden in Smartphones
Antworten