<iframe title="GTM" src="https://www.googletagmanager.com/ns.html?id=GTM-WBPR4W&gtm_auth=3wMU78FaVR9TNKtaXLbV8Q&gtm_preview=env-23&gtm_cookies_win=x" height="0" width="0" style="display:none;visibility:hidden"></iframe>
Online-Banking

Bankgeschäfte übers Handy sind unsicher

Von Dennis Kremer
Aktualisiert am 26.11.2013
 - 10:18
Hier ist Vorsicht geboten: Betrüger können auch beim Online-Banking über Smartphones das Konto schnell leer räumen
Online-Banking-Kunden lassen sich bei Überweisungen die TAN oft übers Handy schicken. Doch auch die mobile TAN kann geknackt werden. Mit verschiedenen Mitteln können sich Kunden gegen Betrüger wehren.

Die Welt der Finanzen hat seit je eine Vorliebe für schwierige Fachausdrücke. Überweisungen heißen „Transaktionen“, und die Guthaben der Kunden bezeichnet man gerne mal als „Sichteinlagen“. Nun haben die Banker in diesen Wochen ein neues Lieblingswort für sich entdeckt, und auch dieses klingt wieder verdammt kompliziert: die „mobile TAN“ oder mTAN. Dabei hätten sie auch einfach sagen können: Es geht um Online-Überweisungen, die man mit Hilfe des Handys freigibt.

Daran sollen sich nach dem Willen der Finanzbranche nun immer mehr Kunden versuchen. Es gibt kaum eine Bank, die das „mTAN-Verfahren“ nicht in ihrem Angebot hat, und kaum ein Institut, das dafür nicht mit drei magischen Worten wirbt: modern, bequem und sicher. Marketing, ohne Frage, aber Marketing, bei dem selbst kritische Experten lange Zeit einräumten: Daran ist nichts übertrieben.

Der Albtraum wird Wirklichkeit

Doch nun, wo die Banken die Offensive starten, sieht es mit einem Mal so aus, als ob sie ihr wichtigstes Versprechen nicht halten könnten: Sicher nämlich erscheint das mTAN-Verfahren in diesen Tagen nicht mehr. Es sind zwar nicht viele Fälle, die nun publik werden, aber stets wurde der größte Albtraum jedes Bankkunden Wirklichkeit: Betrüger räumen das Konto leer - und zwar immer unter Zuhilfenahme der mobilen TAN.

Also bloß Finger weg von Überweisungen per SMS? Um das beantworten zu können, gilt es zu verstehen, wie das Verfahren überhaupt funktioniert. Zunächst muss der Kunde über seinen Computer sein Konto aufrufen - ganz wie beim klassischen Online-Banking auch. Um nun eine Überweisung auszuführen, braucht er eine sogenannte Transaktionsnummer (TAN). Auch das ist auf den ersten Blick keine Neuerung, der entscheidende Unterschied aber ist: Anders als früher übernimmt der Kunde diese Nummer nicht aus einer Liste, die ihm die Bank einmal zugeschickt hat.

Stattdessen sendet ihm die Bank eine Nachricht auf sein Mobiltelefon. Der Inhalt: die Details der Überweisung und eine eigens dafür generierte TAN-Nummer, die nur für diese eine Zahlung gilt. Die Nummer muss der Kunde zur Bestätigung nun wieder in den PC eingeben. Der Vorteil des Hin und Hers: Es reicht nicht, wenn Betrüger nur den PC ihres Opfers ausspähen und dort mittels illegaler Überwachungsprogramme die Kontodaten abfangen. Sondern sie müssen auch noch das Handy infizieren.

Unzureichend gegen Hackerangriffe geschützt

Was ziemlich schwierig klingt, ist nun aber viel leichter geworden - und schuld daran ist eine technologische Revolution: der Siegeszug der Smartphones. Denn über die meisten heutigen Mobiltelefone wie das iPhone sind die Besitzer ständig mit dem Internet verbunden. Das heißt aber auch: Sensible Daten lassen sich für Betrüger wesentlich leichter abgreifen. Denn Smartphones haben eine große Schwäche: Sie sind gegen Hackerangriffe oft nur unzureichend geschützt - zumal die meisten Nutzer bei Mobiltelefonen weniger Wert auf Anti-Viren-Programme legen als bei ihrem Computer.

Mit den Apps vieler Banken lässt sich dies zwar verbessern, aber richtig gut schützen können sich die Kunden nur auf anderem Wege: „Für das M-TAN-Verfahren sollten sie ein altes Handy einsetzen, das keinen Zugang zum Internet hat“, sagt Kryptologe Bernd Borchert von der Universität Tübingen. Vor einem der hinterhältigsten Tricks sind sie aber auch dann nicht gefeit: Zuletzt waren Hacker über die PCs ihrer Opfer auch an die Daten der Handynummer gelangt. Dann hatten sie das Telefon als gestohlen gemeldet und sich eine neue Handykarte zusenden lassen. Computer und Telefon waren so in ihrer Hand.

Was also tun? Wer nicht auf ein altes Handy ausweichen möchte, sollte vor allem für eines sorgen: Die Virenschutzprogramme auf Smartphone und PC müssen stets auf dem neuesten Stand sein. Auch gesundes Misstrauen ist wichtig. Wer via Computer oder Handy dazu aufgefordert wird, zu Testzwecken eine bestimmte Software zu installieren (ein beliebtes Vorgehen vieler Betrüger), sollte wissen: Solche Aufforderungen kommen nie von der Bank. Ein Überweisungslimit für das OnlineKonto kann zudem verhindern, dass Hacker beim Zugriff gleich das ganze Konto leer räumen. Sorglosigkeit kann ebenfalls gefährlich sein: Die Überweisungen vom gleichen Handy zu tätigen, auf dem auch die mTANs eingehen, hebelt den gesamten Schutzmechanismus aus.

Deutlich unbequemer, aber nach Ansicht vieler Experten auch deutlich sicherer ist eine Alternative, die ohne Handy auskommt - das ChipTan-Verfahren. Hiervon bieten alle wichtigen Banken Varianten an, die üblichste geht so: Der Kunde erhält ein Extragerät (den TAN-Generator), das über eine Art Sensor die Überweisungsdaten vom PC-Bildschirm übernimmt. Um sie zu bestätigen, muss der Kunde nun seine EC-Karte in den Generator hineinstecken. So wird eine TAN generiert, die nur für die aktuelle Überweisung gilt. Der Clou: Ohne im Besitz der EC-Karte zu sein, gibt es kaum eine Möglichkeit, das Verfahren zu manipulieren. Sich angesichts all des technischen Aufwands nach den guten alten TAN-Listen auf Papier zurückzusehnen, braucht übrigens niemand. Da Betrüger dabei allein den PC ausspähen mussten, gilt: Keine Art des Online-Bankings mochten die Hacker lieber.

Quelle: F.A.S.
Autorenporträt / Kremer, Dennis
Dennis Kremer
Redakteur im Ressort „Geld & Mehr“ der Frankfurter Allgemeinen Sonntagszeitung.
  Zur Startseite

Diese Webseite verwendet u.a. Cookies zur Analyse und Verbesserung der Webseite, zum Ausspielen personalisierter Anzeigen und zum Teilen von Artikeln in sozialen Netzwerken. Unter Datenschutz erhalten Sie weitere Informationen und Möglichkeiten, diese Cookies auszuschalten.