Ihr Browser wird nicht mehr unterstützt.
Damit Sie auch weiterhin schnell und sicher auf CHECK24 vergleichen
können, empfehlen wir Ihnen einen der folgenden Browser zu nutzen.
Trotzdem fortfahren
Sie sind hier:

Banking auf dem Smartphone Sicherheit beim Mobile-Banking - das müssen Sie wissen

|

A A A
Wer beim Mobile-Banking auf Bequemlichkeit setzt, riskiert viel mehr, als ihm vielleicht bewusst ist: Unter Umständen sehen Nutzer von Banking-Apps ihr Geld im Betrugsfall nie wieder. Wie das Banking auf dem Smartphone sicher bleibt.
Sicherheit beim Mobile Banking

Auch wenn es nicht so bequem ist: Wer beim Mobile-Banking zwei Geräte verwendet, ist auch im Schadensfall auf der sicheren Seite. Bild: Getty Images / Fentino

Vor dem Einkauf noch schnell den Kontostand checken oder auf dem Weg zur Arbeit Geld überweisen: Mit Banking-Apps haben Nutzer ihre Bank immer griffbereit auf dem Smartphone. Was so einfach und praktisch ist, kann aber auch ein großes Sicherheitsrisiko mit sich bringen. Unsere Recherchen haben gezeigt: Beim Mobile-Banking ist nur sicher, wer stets misstrauisch und unbequem ist.

36 Prozent der 38 Millionen Online-Banking-Nutzer in Deutschland regeln ihre Finanzangelegenheiten auf dem Smartphone. Unter den 14- bis 29-Jährigen verwenden sogar 42 Prozent dieses Gerät, unter den 30- bis 49-Jährigen sind es immerhin 38 Prozent. Diese Zahlen hat der Digitalverband Bitkom im Juni letzten Jahres veröffentlicht. Die zugrundeliegende Umfrage hat zudem ergeben, dass jeder dritte Mobile-Banking-Nutzer dafür eine App verwendet. Doch das ist nur dann eine gute Idee, wenn sie auch wirklich sicher ist.

Sind Banking-Apps sicher?

Der Banking-App ihrer eigenen Bank können Verbraucher in der Regel vertrauen. Bei Multibanking-Apps − also jenen Anwendungen, mit denen Verbraucher die Konten verschiedener Banken verwalten können, − sollten sie besonders auf einen seriösen Hersteller mit gutem Ruf achten. Misstrauen ist in der Regel auch bei Anwendungen nicht nötig, die direkt in Apples App Store oder im Google Play Store zu finden sind. Zudem sollten Verbraucher vor der Installation einen Blick auf die Download-Zahlen und die User-Bewertungen werfen, denn auch diese Angaben lassen Rückschlüsse auf die Seriosität des Anbieters und die Qualität der App zu.

Ob eine App sicher ist oder nicht, hängt aber auch davon ab, welche Daten wie übertragen werden. Bei Banking-Apps ist eine verschlüsselte Übertragung ein Muss. Das geht aus den Ausführungen eines Tests von 38 Banking-Apps der Stiftung Warentest hervor. Dabei haben die Verbraucherschützer nicht nur die Funktionsfähigkeit der Anwendungen geprüft, sondern auch darauf geachtet, ob die App überflüssige und vor allem sensible Daten versendet – und ob die Daten verschlüsselt werden. Werden sie unverschlüsselt gesendet, können Dritte relativ leicht die Kommunikation zwischen Nutzer und Bank mitverfolgen und manipulieren. Als Negativbeispiel nennen die Tester eine Multi-Banking-App, die alle Zugangsdaten des Nutzers und die von ihm verwendeten Transaktionsnummern (TAN) zum Hersteller überträgt, so dass dieser sie speichern kann. Dieses Datensendungsverhalten ist den Testern zufolge als „sehr kritisch“ anzusehen. Informationen darüber, welche Daten eine Banking-App übermittelt, finden Verbraucher in der Regel in den Geschäfts- und Datenschutzbestimmungen. Diese „müssen so geschrieben sein, dass Kunden auf Anhieb verstehen, wie die App-Anbieter damit umgehen. Sind die Angaben unklar und vage, sollten Nutzer diese Apps lieber nicht nutzen“, sagte Andre Bajorat, IT-Berater für E-Banking, kürzlich der Süddeutschen Zeitung.

Ein weiteres wichtiges Thema in puncto Sicherheit beim Mobile-Banking ist der Virenschutz fürs Smartphone. Während das Gros der Verbraucher ihren PC und Laptop mit einer Firewall und einem Virenscanner ausstattet, fehlt dieser Schutz auf vielen Smartphones. Vor dem Download einer Banking-App sollten Verbraucher daher eine Antiviren-App installieren. Für Android-Geräte eignet sich zum Beispiel Avira Antivirus Security – der Grundschutz ist kostenlos.

Schnell-Check für sicheres Mobile-Banking

  • Meine Banking-App stammt aus sicherer Quelle (zum Beispiel von meiner Bank)
  • Meine Banking-App überträgt nur relevante Daten (KEINE Zugangsdaten und TAN)
  • Meine Banking-App überträgt Daten nur verschlüsselt
  • Auf meinem Smartphone ist ein Virenschutz installiert
  • Ich nutze zum Erzeugen der TAN ein zweites Gerät
  • Ich schütze mein Smartphone und meine Banking-App mit einer Zugangssperre

Adiós Bequemlichkeit: Richtig sicher ist derzeit nur, wer zwei Geräte nutzt

Die allerwichtigste Sicherheitsmaßnahme beim Erledigen von Bankgeschäften mithilfe einer Banking-App ist allerdings, dass ein weiteres, unabhängiges Gerät die TAN erzeugt, mit der Bankkunden Überweisungen freigeben können. Der Bereichsleiter für Banking und Fintechs beim Digitalverband Bitkom, Marco Liesenjohann, fasst gegenüber der Süddeutschen Zeitung zusammen: „Egal, ob Online-Banking vom PC oder vom Handy aus getätigt wird, der beste Schutz vor Hackern ist gegeben, wenn die Kunden zwei Geräte nutzen“. Die Stiftung Warentest beharrt ebenfalls darauf, dass für sicheres Banking via Smartphone auch das Authentifizierungsverfahren sicher sein muss. Das ist dann der Fall, „wenn die TAN aus den Überweisungsdaten erzeugt wird, zeitlich begrenzt gültig ist und für ihre Erzeugung ein zusätzliches Gerät genutzt wird.“

Demnach gilt die Nutzung eines TAN-Generators beim mobilen Banking als sehr sicher. Das Gerät erzeugt eine einmal gültige TAN, nachdem der Nutzer kontrolliert und bestätigt hat, dass die Empfängerdaten und der Betrag richtig sind. Wäre das Handy oder der Generator von Schadsoftware manipuliert, kann der Kunde das bei der Überprüfung bemerken und den Vorgang abbrechen. Autorisierungsmethoden, bei denen ein TAN-Generator zum Einsatz kommt, sind unter anderem das chipTAN-Verfahren (zum Beispiel Postbank) und das smartTAN-Verfahren (zum Beispiel GLS Bank). Einen Überblick über die sichersten TAN-Verfahren finden Sie hier.

Nicht zwei Apps auf einem Smartphone verwenden

Da für maximale Sicherheit zwei Geräte benötigt werden, ist auch das mTAN-Verfahren, bei dem der Nutzer eine SMS mit der TAN auf sein Handy geschickt bekommt, für Mobile Banking nicht geeignet. Deshalb haben die deutschen Banken laut Dr. Bernd Bochert, Wissenschaftler am Informatik-Institut der Universität Tübingen, schon 2009 in einem gemeinsamen Beschluss mTAN untersagt, „wenn das Online-Banking-Endgerät das gleiche Gerät ist, welches die SMS empfängt – mit der Begründung, dass die Kommunikationskanäle für die Dateneingabe und für die SMS nicht vollständig voneinander getrennt sind.“

Dennoch gibt es Geldhäuser, die ihren Kunden zusätzlich zur Banking-App Anwendungen zur TAN-Erzeugung zur Verfügung stellen, die sie theoretisch auf demselben Smartphone installieren können. Dem Wissenschaftler zufolge begründen sie dieses Vorgehen damit, dass mit zwei verschiedenen Apps (Banking-App und TAN-App) zwei getrennte Kanäle vorhanden seien und die TAN-Erzeugung per App demnach das Kanaltrennungsprinzip erfülle. Er verweist allerdings darauf, dass seit dem kürzlich beschlossenen Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie (PSD2) nicht mehr „Kanaltrennung“ für die Authentifizierung wichtig sei, sondern dass die zwei von den Banken abzufragenden Sicherheitsmerkmale unabhängig voneinander sein müssen.

Ein problematisches Beispiel aus der Praxis sind etwa Apps zur Erzeugung einer photoTAN. Zwar sind diese sehr praktisch, schließlich muss der Nutzer hierfür nicht ständig ein weiteres Gerät mit sich führen. Ein IT-Experte für Banking-Apps bezweifelt allerdings, dass sie im Einklang mit dem neuen Gesetz stehen: Vincent Haupert von der Friedrich-Alexander-Universität Erlangen-Nürnberg stellt die Unabhängigkeit der Authentifizierungsmerkmale infrage, wenn beide Faktoren – er bezieht sich in seiner Untersuchung auf die Banking-App und die photoTAN-App – auf demselben Smartphone betrieben werden. Auch für Liesenjohann ist klar: „Wenn die App zur TAN-Generierung unabhängig ist von der Banking-Anwendung, ist das ein Zugewinn an Sicherheit, der Schutz einer Zwei-Geräte-Lösung wird jedoch nicht erreicht“.

Haftung im Schadensfall

Verbraucher müssen sich demnach im Zweifel fragen, worauf sie mehr Wert legen: Bequemlichkeit oder Sicherheit und Absicherung durch die Bank im Schadensfall. Letztere gewähren Banken häufig nur dann, wenn zwei voneinander unabhängige Geräte zur TAN-Erzeugung genutzt wurden. Wer die AGB liest, kann dort je nach Bank auch ein Verbot der Verwendung zweier Apps auf einem Smartphone finden. In so einem Fall würde das Institut keine Haftung übernehmen.

Nichtsdestotrotz lautet die Antwort auf die Frage, ob Banking-Apps sicher sind: Ja, das sind sie − allerdings nur, wenn sie die eben genannten Bedingungen erfüllen.

Bekannte Betrugsversuche beim Mobile-Banking

Die Verbraucherschützer der Stiftung Warentest kommen im bereits erwähnten Test der Banking-Apps zu dem Schluss, dass Mobile Banking per App genauso sicher ist wie Online-Banking am heimischen Computer. Der Bitkom-Experte Liesenjohann ist zudem der Meinung, „dass der Markt für mobiles Online- und App-Banking noch jung und damit noch nicht so attraktiv für Betrüger ist“. Das bedeutet aber noch lange nicht, dass Kriminelle nicht bereits versuchen, Sicherheitslücken beim Mobile Banking zu nutzen, um Geld abzugreifen.
 

Das ist im Betrugsfall zu tun

  • Bank informieren
  • Karten sperren
  • Anzeige bei der Polizei erstatten (Smartphone mitnehmen)
  • Betrugsfall der Bank auch schriftlich mitteilen

Seit Herbst 2015 ist der Android-Virus Marchcaban.HBT bekannt. Betrüger verbreiten ihn mithilfe von Spam-Mails, die sie etwa an Kunden der Commerzbank, der Postbank und der ING-Diba, schicken. Darin werden diese aufgefordert, eine neue Banking-App zu installieren. Auffällig ist: Der Nutzer kann die Anwendung nicht in offiziellen App-Stores herunterladen und soll ihr etliche Rechte einräumen. Verwendet er nach Installation der schädlichen App seine Banking-App, verdeckt der Marchcaban.HBT deren Bildschirmausgabe mit seiner eigenen Eingabemaske. Gibt der Nutzer hier die Zugangsdaten zu seinem Bankkonto ein, übermittelt die Schadsoftware diese an die Kriminellen. Außerdem filtert der Schädling eingehende SMS und sendet sie an die Kriminellen weiter. Würden auf demselben Gerät eine Banking-App und das mTAN-Verfahren genutzt, hätte das fatale Folgen.

Eine Betrugsmethode, mit der die Kriminellen ebenfalls versuchen, Schadsoftware auf dem Smartphone des Bankkunden zu platzieren, verläuft wie folgt: Der Kunde nutzt Online-Banking auf einem PC, auf dem sich ein Banking-Trojaner eingeschlichen hat. Dieser zeigt in einem Pop-up-Fenster an, dass der Kunde auf seinem Handy eine neue Banking-Software installieren soll. Tut er das, lädt er keine Banking-App herunter, sondern einen feindlichen Code, der die mobile TAN abfängt und an die Betrüger weitergibt.

Das zeigt: Angriffe aufs Smartphone mögen zwar noch selten sein, aber es gibt sie. Deshalb sollten Verbraucher, wenn sie Banking-Apps verwenden, stets misstrauisch und unbequem sein.