Beratung vor Bestellung

☎ 0351-64757550

(Mo-So 8-20 Uhr)

Wie sicher ist Mobile-Banking wirklich?

26.04.2018
Bildquelle: Michaela Zimmermann / MZ-Datenservice

In Deutschland gab es zuletzt 2017 einen neuen Rekord an Kunden, die Online-Banking für ihre Transaktionen nutzen. Im vergangenem Jahr belief sich die Zahl der Online-Banking-Kunden auf 42 Millionen. Ein Großteil dieser Kunden betreibt auch Mobile-Banking per Smartphone. Diese Art Bankgeschäfte durchzuführen ist eine sehr bequeme, jedoch wie sich in jüngster Zeit herausgestellt hat, nicht unbedingt die sicherste.

Neue Sicherheitslücke bei Mobile-Banking entdeckt

Zwei IT-Sicherheitsforschern der Friedrich-Alexander-Universität Erlangen-Nürnberg ist es gelungen, Mobile-Banking in Verbindung mit einer photoTAN-App zu manipulieren. Das photoTAN-Verfahren (auch „push-Tan“ genannt) funktioniert so, dass zunächst ein einmaliges Passwort erzeugt wird. Bei der Variante der Forscher, wurde eine Grafik, die Transaktionsdaten enthält, von einem Computermonitor gescannt. Als Scanner diente ein Android-Smartphone. Nach Entschlüsselung der photoTAN sind auf dem Bildschirm zur Kontrolle die Transaktionsdaten (Betrag und Name des Empfängers der Überweisung) und eine siebenstellige Transaktionsnummer zu sehen, mit der die Überweisung freigegeben werden kann. Allgemein gilt das Verfahren als sicher und sehr bequem für die Kunden. Allerdings nur solange wie sich die photoTan-App nicht auf dem gleichen Smartphone befindet, wie die App zum Online-Banking. Den Forschern ist es nämlich gelungen die App so zu manipulieren, dass sie die Transaktionen umleiten und selbst Transaktionen erstellen konnten. Dabei war es für die Forscher kein Problem die tatsächliche Überweisung zu verstecken. Der Kunde kann diese Art des Betrugs nicht entdecken, solange er ausschließlich Mobile-Banking betreibt. Grundlage für diese Manipulation war es aber, dass die Apps bereits vor der Installation auf dem Gerät die Viren enthielten. Aufgrund von Sicherheitslücken bei Google und Apple kann es in manchen Fällen dazu kommen, dass es Apps mit Viren in den App-Store oder Play-Store schaffen und im Zweifelsfall für Schaden auf den Geräten sorgen. Alle Geräte, die mit dem Internet verbunden sind, haben allgemein eine größere Angriffsfläche für solche Manipulationen. Den Betrügern wird es aber noch viel einfacher gemacht, wenn sich alle benötigten Informationen für die Manipulation, auf dem gleichen Gerät befinden. Das Ergebnis der Studie zeigte, dass vor allem Kunden der Commerzbank, Norisbank und der Deutschen Bank von dieser Art des Betrugs geschädigt werden könnten.

Welche Alternativen gibt es?

Für das Online-Banking und Mobile-Banking gibt es viele verschiedene Verfahren, um Transaktionen durchzuführen. Bei so vielen Verfahren, ist es leicht, dass der Kunde den Überblick verlieren kann. Das wohl bekannteste Verfahren ist das iTan-Verfahren. Die Abkürzung hierbei steht für „indizierte Transaktionsnummer“. Das Verfahren beruht auf eine Liste, die dem Kunden von der Bank gesendet wurde. Auf der Liste befinden sich Transaktionsnummern, die zum Beispiel für Überweisungen gebraucht werden. Nach Nutzung einer der Nummern für eine Transaktion, wird diese ungültig und kann nicht mehr verwendet werden. Wenn ein Kunde alle Nummern der Liste benutzt hat, bekommt er eine neue von seiner Bank zugeschickt. Diese altbewährte Art des Online-Bankings soll aber ab Herbst 2019 in der Europäischen Union nicht mehr zulässig sein. Es hat sich nämlich gezeigt, dass altbewährt nicht gleich gut ist. Von allen Verfahren des Online-Bankings scheint das iTan-Verfahren sogar das unsicherste zu sein. Da bei dem iTan-Verfahren die Tan-Nummer nicht an die Überweisung gebunden ist, können Kriminelle sehr leicht in den Besitz der Tan-Nummern kommen und so das Konto des Kunden leer räumen. Ein anderes weitverbreitetes Verfahren ist das mTan-Verfahren. Die Abkürzung steht für „mobile Transaktionsnummer“. Das Verfahren funktioniert so, dass der Kunde die Überweisungsdaten eingibt und die dafür benötigte Tan-Nummer per SMS auf sein Smartphone erhält. Die Tan-Nummer wird extra für die spezielle Transaktion des Kunden erzeugt. Dies macht es Betrügern schwieriger, aber nicht unmöglich. Smartphones sind dazu meist auch nicht mit ausreichenden Schutzprogrammen ausgestattet. Neuerdings wird von vielen Banken sogar eine Gebühr für die Tan-SMS verlangt. Je verschickte SMS muss der Kunde beispielsweise 9 Cent Providerkosten zahlen.

Was ist das sicherste Verfahren?

Das Verfahren, welches selbst vom Bundesamt für Sicherheit in der Informationstechnik für Online-Banking empfohlen wird, ist das Chip-Tan-Verfahren. Dieses wird beispielsweise von der DKB und vielen Sparkassen angeboten. Der Kunde erhält bei diesem Verfahren ein Extragerät (den Tan-Generator) und muss in dieses bestimmte Überweisungsdaten eingeben. Damit der Kunde eine Tan erhalten und auch seine Überweisung tätigen kann, muss er zunächst seine Girocard (ehemals EC-Karte) in den Generator stecken. Das Verfahren gilt als das sicherste, da Betrüger im Besitz der Girocard des Kunden sein müssen, um jeglichen Betrug durchzuführen. Eine andere Art der Manipulation dieses Verfahrens ist bisher nicht bekannt. Aber auch wenn Kunden andere Arten des Mobile-Banking nutzen, sollten sie sich vor diesen Sicherheitslücken nicht zu sehr fürchten. Seit diesem Jahr gilt, dass geschädigte Bankkunden nur einen Betrag von 50 Euro selbst zahlen müssen, wenn sie Opfer eines solchen Betrugs wurden. Manche Banken erstatten sogar den gesamten Betrag zurück.




Weitere Neuigkeiten gibt es unter "Kreditkartennews".


Werfen Sie auch einen Blick in den großen Kreditkartenvergleich.


Deutschland-Kreditkarte