Zudem würde ich behaupten, dass die meisten Smartphones bezüglich Updates wesentlich auf dem besseren Stand sind wie ein Computer. Auf jedem Smartphone werden
diverse Updates automatisch im Hintergrund heruntergeladen und wenn ein Update ansteht, erscheint ein Pop-Up und die User installieren dies. Ich habe schon Computer gesehen,
Da muss ich jetzt wirklich direkt wiedersprechen. Ausser du bist mit deinen Kenntnissen irgendwo bei Windows 95 hängen geblieben. Jedes aktuelle und noch im Support befindliche OS aktualisiert sich selbst. Bei Microsoft ist das jeweils der zweite Dienstag im Monat (Patch-Day) und spätestens am Mittwoch sind die Updates dann drauf. Einzige Ausnahme sind h äufig Geräte die gar nicht lange genug laufen um die Updates einzuspielen.
Wenn man manuell nach Updates sucht findet m an häufig OPTIONALE Updates, die sind aber nicht sicherheitsrelevant oder es handelt sich um Funktionsupdates (z.B. neue Windows Releases mit neuen Funktionen). Das heisst aber nicht, dass die installierte Version nicht mehr unterstützt oder gar anfällig wäre.
Bei Apple ist das ähnlich.
Das einzige was man wirklich bemängeln kann ist, dass auf dem wichtigsten Desktop-Betriebssystem bislang eine zentrale Paketverwaltung fehlt. Microsoft Updates schliessen nur Windows und einige Microsoft-Produkte ein. Updates für alle anderen Anwendungen müssen diese selber mitbringen. Das ist aber heute auch nur noch ein kleines Problem da die wichtigsten Anwendungen (wie Browser) heute alle eine Auto-Update Funktion haben.
Und ja, ich mache sehr viel Privat-PC-Support und der Zustand ist eigentlich immer gleich:
- Betriebssystem auf aktuellem Patch-Lelvel
- Ausstehende OPTIONALE Updates (nichts sicherheitsrelevantes)
- Browser, PDF-Reader etc. auf aktuellem Stand (Auto-Update)
WinGET existiert auch, aber ist noch nicht so weit verbreitet.
Für e-Banking ist in der Regel nur ein aktuelles OS und ein sicherer und aktueller Browser relevant und das ist ohne Benutzer-Interaktion heute meist der Fall.
Ausserdem wie gesagt ist die Sicherheit auch davon abhängig, dass man eben auch mehrere Faktoren zum Login verwendet denn man sollte selbst bei aktuellstem Patch-Stand nicht davon ausgehen, dass keine Sicherheitsprobleme existieren. Ausserdem sitzt der wichtigste Sicherheitsfaktor eben vor dem PC (wir sagen dazu PEBKAC, Problem Existsx Between Keyboard and Chair).
Auf Smartphones passiert in der Regel auch das gleiche. Geht man in den Play store werden bei den meisten Leuten bei einer manuellen Suche nach Updates auch gerne mal 20-30 Updates angezeigt die noch nicht installiert wurden (App-Updates). Die Updates in den Systemeinstellungen für das Betriebssystem prüft in der Regel auch niemand und dort stehen ja meistens auch höchstens alle 3-6 Monate mal Updates an (obwohl Android Security-Updates ebenfalls monatlich von Google freigegeben werden).
Windows XP hab' ich schon lange nirgendwo mehr gesehen und wenn doch, dann sind das entweder nicht vernetzte Geräte oder die Betreiber sollten genau wissen was sie tun. Ist ja nicht so, dass neuere Varianten nicht schon Jahre (Jahrzehnte) existieren. Die Einstellung des Supports kommt auch überhaupt nicht überraschend. Jeder kann nachlesen, dass im Oktober 2025 der Support für Windows 10 auslaufen wird. Hingegen kann ich nirgends finden wann das letzte Sicherheits-Update für mein Handy geplant ist. Irgendwann kommen einfach keine mehr.
Ausserdem sind die Support-Zeiträume im Desktop-Bereich deutlich länger. Ich hab' Kunden mit Windows 10 Systemen im Einsatz die damals mit Windows 7 gliefert wurden und rund 12 Jahre alt sind. Alles auf top aktueller Hardware. Bei Handies ist es schon schwierig ein Modell zu finden bei dem man nach 2 Jahren überhaupt noch irgend ein OS-Update bekommt - geschweige denn eine neue OS-Version. Desktop Support-Zeiträume von 5-10 Jahren sind also normal. Mobil eher so 12-18 Monate.
benfalls bietet eine App den Vorteil, dass du gegen Phishing etc. besser gesichert bist. Die Bank übergibt dir eine App, welche im Hintergrund automatisch
auf die richtigen Server etc. zugreift. Am Computer hast du das Risiko, dass du von einem Virus auf eine fremde Website umgeleitet wirst, welche diene
Daten abgreift.
Auch hier muss ich klar wiedersprechen. Es ist nicht schwer auf einem Handy mit unsicherem OS die Datenkommunikation zwischen App und Server mitzulesen oder gar zu manipulieren. Bisher kenne ich keine Banking-App die das sinnvoll verhindern könnte. Sie zeigen mir ja nicht einmal die Zertifikats-Fingerprints an um die prüfen zu können. Im Browser kann ich jederzeit das SSL-Zertifikat prüfen. Ausserdem muss ich mich nicht darauf verlassen, dass die Bank "es schon richtig machen wird". Wer in der Security arbeitet sollte sich ein Grundprinzip merken: Security und Encryption implementiert man NIEMALS selber denn dabei macht man immer Fehler. Du kannst mit Garantie davon ausgehen, dass die Security im Browser viel besser getestet ist als die einer Bank-App einer kleinen Bank die das möglichst schnell hin gerotzt hat.
Und ja, die meisten Banking-Apps prüfen nur ob das Zertifikat "vertrauenswürdig" ist. Erhält man Zugriff auf das OS (danke fehlender Updates z.B.) ist es nicht schwer ein Trusted CA Zertifikat einzuschleusen für einen MITM-Proxy und schon beschwert sich die Banking-App nicht mehr über die unsichere Verbindung mit gefälschtem Zertifikat.
Das Problem liegt aber teilweise auch bei den Banken. Vor etwa 2 Jahren hatte ich mal so eine Diskussion mit der Aargauer Kantonalbank. Deren e-Banking Zertikat war für einen falschen Host ausgestellt. Jeder Browser hat da natürlich eine Sicherheitswarnung ausgegeben. Ein Anruf beim Support ergab nur die Antwort "Ah ja, das wissen wir. Sie müssen einfach auf 'Ignorieren und trotzdem verbinden' klicken". Einen grösseren WTF-Moment hatte ich noch äusserst selten. Nicht nur, dass die Bank offenbar unfähig war ein richtiges Zertifikat zu installieren sondern sie haben auch noch ihre Kunden die das bemerkten dazu "erzogen" solche Sicherheitswarnungen einfach zu ignorieren. Das ist dann schon sehr fahrlässig. Gerade wenn viele Banken in ihren AGBs dann die Haftung für Schäden durch Fahrlässigkeit ausschliessen. Möchte mal sehen wie sie reagieren wenn bei einem Kunden dann das Konto leer geräumt wird nachdem man sich bei einer Phishing-Webseite angemeldet hat. Da kam zwar ebenfalls die Meldung, dass das Zertifikat ungültig wäre aber die Bank hat ja gesagt das wäre "OK so".
Also klar kann jeder selber entscheiden ob man einer undurchsichtigen Mobile-App auf dem Handy vertraut alles "magisch" besser zu machen als ein millionenfach getestetes Produkt und noch dazu auf einer notorisch unsicheren Platform aber man muss sich dann halt auch nicht wundern...