Wenn über die Sicherheit von Finanz-Apps gesprochen wird, dreht sich das Gespräch fast immer um Verschlüsselung, Tokens, Zertifikate und große Versprechen nach dem Muster "deine Daten sind zuverlässig geschützt". All das ist wichtig. Aber wenn wir ehrlich sprechen, nicht aus der Perspektive einer Marketingbroschüre, sondern aus der Perspektive des gesunden Menschenverstands, dann lautet die wichtigste Frage anders: Was genau bekommt ein Angreifer in die Hände, wenn etwas schiefläuft?
Für uns ist die Antwort auf diese Frage grundlegend. Wir bauen eine App für persönliche Finanzen, aber wir finden nicht, dass man um jeden Preis jeden Menschen hineinziehen muss. Wenn in deiner Situation der potenzielle Schaden durch die Nutzung eines solchen Werkzeugs größer ist als der Nutzen, dann lautet die richtige Antwort nicht "Das kriegen wir schon irgendwie hin", sondern "Diese App ist nichts für dich". Das Wohlergehen der Nutzerin oder des Nutzers ist uns wichtiger als eine zusätzliche Registrierung im Bericht. Dieser Ansatz passt gut dazu, wie moderne Frameworks für Risikomanagement Privatsphäre und Sicherheit beschreiben: Zuerst muss man verstehen, welche Daten überhaupt verarbeitet werden, wofür sie gebraucht werden und welche Risiken dadurch entstehen, und erst danach baut man Schutzmaßnahmen darum herum. (NIST)
Es gibt eine einfache Regel, etwas derb, aber sehr lebensnah: Sei nicht das fetteste Schaf in der Herde. In die Sprache der digitalen Sicherheit übersetzt bedeutet das Folgendes: Mach weder deinen Dienst noch dein Profil zu einem allzu verlockenden Ziel. Wenn ein System zu viele sensible Daten speichert, wenn diese Daten zu lange liegen bleiben, wenn zu viele Menschen und zu viele Komponenten Zugriff darauf haben, wenn das Produkt alles Mögliche "für später" einsammelt, dann beginnt das Problem lange vor jedem Einbruch. So ein System wird schlicht zu einem zu lohnenden Ziel. OWASP verknüpft die Reduzierung von Privilegien direkt mit einer kleineren Angriffsfläche und einem kleineren Schadensradius, und das NCSC betont zusätzlich, wie wichtig Maßnahmen sind, die das Abziehen von Daten erschweren und erkennbar machen. (OWASP)
An dieser Stelle erwarten viele, dass der Entwickler einer Finanz-App anfängt, den Nutzer davon zu überzeugen, dem Dienst möglichst viel anzuvertrauen: alle Konten, alle Gewohnheiten, alle Ausgabenkategorien, alle Dokumente, alle Benachrichtigungen, alle Verknüpfungen. Uns liegt so ein Ansatz fern. Wir gehen eher vom entgegengesetzten Prinzip aus: Die besten sensiblen Daten sind die, die wir gar nicht haben. NIST schreibt ausdrücklich, dass Datenminimierung die Menge personenbezogener Informationen reduziert, die für unbefugten Zugriff oder unbefugte Nutzung anfällig ist. Die FTC wiederholt in ihren Empfehlungen für Unternehmen seit Jahren im Grunde denselben Gedanken: Sammelt keine personenbezogenen Informationen, die ihr nicht braucht, bewahrt sie nicht länger auf, als das Geschäft sie wirklich braucht, und beschränkt den Zugriff auf das notwendige Maß. (NIST Pages)
Für eine App für persönliche Finanzen ist das besonders wichtig. So ein Produkt kann sehr nützlich sein: Es hilft, das tatsächliche Bild zu sehen, Ordnung in Ausgaben zu bringen, Geldlecks aufzuspüren und nicht mehr im Modus zu leben "Ich glaube, ich verstehe ungefähr, wohin das alles verschwindet". Finanzübersicht reduziert tatsächlich Chaos und hilft, schneller auf Ziele zuzugehen, von der Notfallreserve über den Schuldenabbau bis hin zu Rücklagen für größere Anschaffungen. Aber dieser Nutzen hat eine Grenze. Wenn ein Produkt aus Bequemlichkeit anfängt, ein zu detailliertes Profil einer Person zu sammeln, läuft es Gefahr, sich von einem Ordnungswerkzeug in einen neuen Verwundbarkeitspunkt zu verwandeln. Und das Problem betrifft hier nicht nur das Geld auf der Karte. Ausgabengewohnheiten, die Höhe fixer Zahlungen, Disziplinlücken, Impulskäufe, Zahlungsrückstände, Abhängigkeit von Krediten, Einkommensschwankungen: All das zusammen kann über eine Person viel zu viel erzählen. Solche Risiken zu steuern, ist eine der Aufgaben eines Privacy Frameworks: den Datenfluss, seinen Zweck und die Folgen der Verarbeitung für den Menschen zu verstehen. (NIST)
Darum ist für uns eine sichere App nicht die, die zuerst maximal viel sammelt und dann tapfer verspricht, all das zu schützen. Eine sichere App ist die, die den Nutzer gar nicht erst zu einer reichen Beute macht. Das klingt weniger spektakulär als Gerede über "militärische Schutzstandards", ist in der Sache aber deutlich ehrlicher. Verschlüsselung ist nötig. Geschützte Speicherung ist nötig. Verlässliche Authentifizierung ist nötig. Aber OWASP erinnert ausdrücklich daran, dass kryptografischer Schutz ruhender Daten ein wichtiger Teil des Modells ist und kein Ersatz für Architekturentscheidungen. Wenn ein System übermäßig Daten sammelt, sie ohne Maß speichert und breite Zugriffe verteilt, macht Verschlüsselung allein dieses System noch nicht reif. (OWASP Cheat Sheet Series)
Es gibt noch einen wichtigen Punkt, der oft übersehen wird. Sicherheit bedeutet nicht nur, "einen Vorfall zu verhindern". Sie bedeutet auch, den Schaden zu begrenzen, falls ein Vorfall dennoch eintritt. Genau deshalb wird in guten Systemen so viel Wert auf Rechte-Trennung, Segmentierung, Zugriffsbeschränkung, Komponentenisolierung und die Kontrolle gelegt, wer sensible Daten überhaupt sehen kann. Das Prinzip der geringsten Privilegien ist nicht zur Zierde da und auch nicht nur zum Abhaken. Sein Sinn ist sehr praktisch: Wenn ein Element oder ein Konto kompromittiert wird, darf das einem Angreifer nicht automatisch das gesamte System und den gesamten Datenbestand öffnen. (OWASP)
Derselbe gesunde Menschenverstand gilt auch für Aufbewahrungsfristen. Alte Archive, vergessene Backups, unbegrenzte Logs, historische Exporte "falls man sie irgendwann noch braucht": All das erhöht das angesammelte Risiko. Ein Leak alter Daten ist nicht besser als ein Leak frischer Daten, und manchmal sogar schlimmer: Man erinnert sich meist seltener daran und kontrolliert sie schlechter. Die Empfehlungen der FTC betonen genau das: Personenbezogene Informationen sollten nur so lange aufbewahrt werden, wie das wirklich gerechtfertigt ist, nicht endlos. Je weniger digitaler Ballast vorhanden ist, desto weniger muss irgendwann geschützt, erklärt oder nach einem Vorfall aufgeräumt werden. (Federal Trade Commission)
Daraus ergibt sich für uns eine recht einfache, aber wichtige Haltung. Wir glauben nicht, dass eine gute Finanz-App alles über den Nutzer wissen muss. Sie sollte genug wissen, um einem Menschen zu helfen, bessere Entscheidungen zu treffen. Nicht mehr. Wenn es für deinen Fall sinnvoller ist, einen Teil deines Finanzbildes außerhalb einer digitalen Spur zu halten, wenn es für dich entscheidend ist, nicht noch einen weiteren Konzentrationspunkt sensibler Informationen zu schaffen, wenn schon die Idee einer zentralisierten Erfassung in deinem Fall Angst oder Risiko erhöht, dann ist es vielleicht wirklich besser, einen anderen Weg zu wählen. Und das ist ein völlig normales Fazit. Ein Produkt sollte keinen Streit gegen die Interessen eines Menschen gewinnen.
Aber auch die andere Seite ist wichtig. Für sehr viele Menschen ist fehlende Übersicht keine Freiheit, sondern ein blinder Fleck. Wenn jemand nicht versteht, wie viel für verpflichtende Zahlungen draufgeht, wo Geld "versickert", wie stark die Person von schwankendem Einkommen abhängt, wie schnell sich ein Polster aufbaut, welche Ausgaben automatisch wiederkehren, dann trägt sie ganz reale finanzielle Risiken. Nicht in der Theorie, sondern im Alltag. Und hier kann eine gute App sehr viel Nutzen bringen: nicht durch ein Reichtumsversprechen, sondern durch ein Gefühl von Steuerbarkeit. Nicht durch Magie, sondern durch ein klares Bild der Lage. Im Kern ist das dasselbe Prinzip wie bei Sicherheit: erst die Realität sehen, dann Entscheidungen treffen. NIST formuliert es nüchtern und richtig: Risikomanagement beginnt mit Inventarisierung und dem Verständnis der Datenverarbeitung. Für persönliche Finanzen gilt das fast wörtlich: Ohne Bild gibt es keine Steuerung. (NIST)
Deshalb schauen wir genau so auf das Produkt. Unsere Aufgabe ist nicht, einen Menschen um jeden Preis davon zu überzeugen, möglichst viele Daten in der App zu lassen. Unsere Aufgabe ist es, ihm zu helfen, Ordnung in sein Geld zu bringen, ohne diese Ordnung in eine neue Verwundbarkeit zu verwandeln. Wir halten es für normal und ehrlich, wenn ein Produkt seinen Datenappetit begrenzt. Es erfasst nicht alles wahllos, sondern das, was wirklich hilft. Es speichert nicht alles, was möglich ist, sondern das, worauf es nicht verzichten kann. Es setzt nicht auf maximale "Klebrigkeit", sondern auf verständliche Kontrolle. Und es tut nicht so, als wäre Sicherheit eine absolute Festung. Es geht immer um den Umgang mit Kompromissen, nur sollten diese Kompromisse zugunsten des Nutzers getroffen werden und nicht zugunsten hübscher Analytics oder zusätzlicher Monetarisierung. (NIST)
In gewisser Weise beginnt für uns eine gute Finanz-App nicht mit der Frage "Wie sammeln wir mehr?", sondern mit der Frage "Wie helfen wir, ohne zusätzliches Risiko zu schaffen?". Und wenn man auf diese Frage nicht ehrlich antworten kann, dann sollte man besser nicht so tun als ob. Denn das Wohlergehen des Nutzers ist wirklich wichtiger als Umsatz. Ganz einfach gesagt: Ein sicherer Dienst ist nicht der, der um blindes Vertrauen bittet. Er ist der, der versucht, für dich nicht selbst zum Problem zu werden.