Mobile Banking: Smart, aber sicher?

Onlinebanking ist so bequem wie gefährlich. Wie Microsoft und das amerikanische FBI am Mittwoch bekannt gaben, sollen Betrüger über ein kriminelles Botnet Bankkunden weltweit um über 500 Millionen Dollar geprellt haben. Mithilfe von Phishing-Mails haben die Betrüger die Zugangsdaten zu den Konten ergattert. Während es für PCs und Notebooks ausgeklügelte Sicherheitsprogramme gibt, sollte man sich beim Abrufen von Kontoständen über das Smartphone oder beim Vorbereiten einer Online-Transaktion mit dem Tablet-PC am Café-Tisch der besonderen Gefahren des Mobile Banking bewusst sein.

Vom mobilen Banking über frei zugängliche W-Lan-Netze raten Experten kategorisch ab. „Hier können andere die Daten abfangen oder manipulieren“, sagt Bitkom-Experte Michael Barth. Er rät dazu, sich unterwegs nur über das Handynetz ins Onlinebanking einzuloggen. Und Sebastian Tiesler vom Hamburger Onlinebanking-Softwarehersteller Star Finanz ergänzt: „Auch im Ausland habe ich immer ein größeres Vertrauen in den Mobilfunkanbieter als in das W-Lan-Netz irgendeiner Café-Kette.“

Die Risiken beim Mobile Banking unterscheiden sich im Prinzip nicht von denen des Onlinebanking am PC – allerdings ist es mobil noch nicht so einfach, sich durch Virenscanner oder Firewalls zu schützen. Umso wichtiger ist es, Sicherheitslücken durch regelmäßige Updates rasch zu schließen. Wird für den mobilen Bankbesuch der Webbrowser des Smartphones oder Tablets genutzt, sollte darauf geachtet werden, dass in der Adresszeile ein https:// am Anfang steht. Durch die Verschlüsselung wird sichergestellt, dass die Kommunikation zwischen Mobilgerät und Bankserver nicht belauscht werden kann. Eine andere Gefahr betrifft das Signieren von Transaktionen über mTAN oder smsTAN. Die nötige Transaktionsnummer wird dem Nutzer dabei per SMS zugeschickt. Bei Smartphones oder Tablets besteht nun die Gefahr eines Man-in-the-Mobile-Angriffs. Dabei wird dem Nutzer vorgegaukelt, er müsse für das Onlinebankingverfahren eine Software auf seinem Smartphone installieren. In Wirklichkeit holt sich der Nutzer aber einen Trojaner aufs Gerät, der die TANs abfängt.

Mit dem Push-Tan-Verfahren wird vieles einfacher

Das Programm StarMoney gehört auf dem PC zu den besonders weit verbreiteten Programmen. In abgespeckter Form wird es als App für mobile Endgeräte und in speziellen Varianten für Sparkassen-Kunden angeboten. Der entscheidende Unterschied zwischen PC und Smartphone liegt bei den Onlinebanking-Apps darin, dass man mobil zwar den Kontostand im Auge behalten kann, aber eine direkte Buchung aus der App heraus nicht möglich ist – jedenfalls noch nicht. Der Gesetzgeber schreibt die sogenannte Kanaltrennung vor. Die Transaktionsnummer (TAN) darf nicht über das gleiche Medium verschickt werden wie die Buchung. Auf dem Smartphone kann eine Überweisung darum nur dann vorgenommen werden, wenn die dafür nötige smsTAN über ein zweites Handy zum Nutzer gelangt.

Mit dem gerade in der Pilotphase befindliche Push-TAN-Verfahren wird dieses Verfahren vereinfacht. Auf iPhones (ab iOS 4.2) kann dann ohne zweites Handy eine Transaktion vorgenommen werden, weil das Betriebssystem zwei Zugangswege ermöglicht. Für Android und Windows Phone ist dies nicht der Fall. Das Verfahren soll Anfang des zweiten Halbjahres zur Verfügung stehen, die einzelnen Sparkassen entscheiden selbst, wann sie einsteigen. In Berlin wird bereits daran gearbeitet, die nötigen Voraussetzungen zu schaffen.

Bei Onlinebanking-Apps speziell bei Android sollte man nicht nur auf den Preis achten, sondern zugleich prüfen, ob der Anbieter vertrauenswürdig ist. Empfehlungen von Banken oder Zertifikate beispielsweise vom Tüv können dabei hilfreich sein. Wichtig ist, dass die gesamte Kommunikation mit der Bank oder Sparkasse verschlüsselt wird. Desgleichen sollten die Daten nur verschlüsselt auf dem Mobilgerät abgelegt werden. So muss nach dem Verlust des Handys nicht befürchtet werden, dass Unbefugte Einblick in die eigenen Finanzen bekommen. (mit dpa)