Mobile Banking: Warum die mTan ausgedient hat – und was wirklich sicher ist

Peinlich !11
Mobiles Banking ist schön einfach und bequem, aber wie wird auch sicher mit dem Smartphone bezahlt?
Mobiles Banking ist schön einfach und bequem, aber wie wird auch sicher mit dem Smartphone bezahlt?(© 2017 iStock/ErimacGroup)

Zur Filiale gehen, Zettel ausfüllen und abgeben: Banking war früher wirklich eine mühselige Angelegenheit. Und dann dauerte es auch noch mehrere Tage, bis die Überweisung tatsächlich beim Empfänger ankam. Mittlerweile ist Online-Banking Standard – und mit den Smartphones sind wir in der Lage, teilweise sogar in Echtzeit Geld über den Globus zu schicken. Doch wie sicher sind diese Dienste eigentlich?

TAN und mTAN sind veraltet

Seit den 80ern haben wir beim Online-Banking mit Transaktionsnummern (TAN) unsere Überweisungen bestätigt. Erst gab es die TAN-Listen auf Papier, später digital. Diese erwiesen sich als nicht so sicher, weil die darauf enthaltenen Codes für die Überweisungsbestätigung nicht an bestimmte Transaktionen gebunden sind. Computer, die mit Schadsoftware infiziert sind, leiten TAN-Nummern an den Angreifer weiter. Dieser kann die Codes dann für andere Überweisungen verwenden.

2005 kam dann die mTAN - eine per SMS zugeschickte Nummer, die nur auf die angeforderte Überweisung passte. Doch mit der Einführung der Smartphones war auch dieses Sicherheitskonzept dahin. Früher konnten Handys nicht viel mehr außer Telefonieren und SMS schreiben. Heute sind es komplette Computer, auf denen Schadsoftware ausgeführt werden kann. Hat sich der Nutzer zum Beispiel eine infizierte App installiert, kann diese im Hintergrund die SMS abfangen und an den Angreifer schicken. So würde der Benutzer des Handys nicht bemerken, dass jemand sein Konto leerräumt, weil in seinen SMS keine mTANs aufgetaucht sind.

Mobile Banking

Beim Mobile Banking wird die Transaktion komplett auf dem Smartphone ausgeführt. Dafür werden meist zwei getrennte Apps benutzt. Bei dieser Möglichkeit habt Ihr eine App, die die Kontodaten erhält, und eine zweite für die Generation der passenden TAN. Einige Anbieter versuchen sich allerdings auch an einer App, die beide Funktionen integriert.

pushTAN oder photoTAN per App

Bei der pushTAN gebt Ihr in der Online-Banking-App alle Daten für die Überweisung ein und schickt diese wie gewohnt ab. Danach wechselt Ihr in die zugehörige pushTAN-App und überprüft die Daten der Transaktion. Jetzt könnt Ihr diese bestätigen und erhaltet dann eine TAN, die nur für diese Transaktion gültig ist. Diese Nummer gebt Ihr dann wieder in der Online-Banking-App ein und die Überweisung wird ausgeführt. Ende 2015 stand vor allem die App der Sparkasse in der Kritik, da sie mehrfach von Sicherheitsforschern gehackt wurde.

Bei der photoTAN benötigt Ihr (eigentlich) wieder einen Computer. Doch mit der Verlegung vom Online-Banking auf das Smartphone ist es auch hier möglich, beide Apps auf dem Handy zu benutzen. Nach Eingabe der Überweisungsdaten an Eurem PC bzw. der Online-Banking-App erscheint dann ein farbiger Code, ähnlich dem QR-Code, der mit einer speziellen photoTAN-App gescannt werden muss. Daraus resultiert dann die Nummer, die Ihr am Computer bzw. in der Online-Banking-App als Bestätigung für die Überweisung eintragt. Im Oktober 2016 stellte sich heraus, dass die photoTAN-Apps der Deutschen Bank, der Norisbank und der Commerzbank angreifbar waren. Per Schadsoftware am Smartphone wurde dem Nutzer ein reibungsloser Ablauf seiner Überweisung mit der photoTAN-App vorgegauckelt, während im Hintergrund Geldbeträge an andere Konten als angegeben geschickt wurden.

Eine App für alles

Viele Start-ups setzen auf den sogenannten FinTech-Bereich. Das sind meist Apps oder Dienste, die sich mit Finanzen beschäftigen und für Smartphones optimiert sind. In Berlin sitzt beispielsweise N26. Der Dienstleister will die beiden benötigten Handy-Apps für Banking in einer vereinen will. Bei der Lösung gab es aber große Defizite bei der Sicherheit: Es war unabhängig vom Gerät möglich, Überweisungen zu manipulieren. Auf dem 33. Chaos Communication Congress in Hamburg hat der Sicherheitsforscher Vincent Haupert vorgeführt, wie man ein Bankkonto übernimmt und sogar den Sofort-Kreditrahmen von 2000 Euro abgreift. Gemeldet hatte Haupert die Mängel am 25. September 2016. N26 hat nach eigener Aussage am 13. Dezember die letzte Sicherheitslücke geschlossen. Auch hat das Start-up angekündigt, noch mehr für die Sicherheit unternehmen zu wollen und ein "Bug Bounty"-Programm gestartet, bei dem Hacker aus aller Welt versuchen sollen, Sicherheitslücken zu finden und dafür entsprechend belohnt werden.

Kontaktloses Bezahlen per NFC

Beim Bezahlen per NFC, also Near Field Communication, muss das Smartphone oder die Geldkarte nur an einen Sensor gehalten werden, um die Überweisung vorzunehmen. Das ist besonders an der Kasse im Supermarkt praktisch, da Warteschalngen umgangen und Zeit gespart werden kann. Problematisch wird diese Technik wenn Smartphones mit Schadsoftware infiziert werden. Da viele Smartphones inzwischen mit einem NFC Sensor ausgestattet sind und wir in der Tasche Portmonee oft neben Handy aufbewahren, ist es theoretisch möglich die Daten einer NFC-fähigen Kreditkarte zu ergaunern. Betrüger halten ihr Smartphone einfach zum Bezahlen an ein Lesegerät. Über das Internet wird eine Art Brücke zu Eurem Smartphone hergestellt, welches dann die Daten der Karte in der Tasche ausliest. Auch wann und wie viel Geld Ihr mit der Kreditkarte ausgegeben habt, wurde recht einfach mit einer Smartphone-App ausgelesen.

Kleine Tipps sorgen für mehr Sicherheit

Nein, Ihr müsst nicht auf den technischen Komfort verzichten und wieder Papierscheine für Überweisungen ausfüllen. Doch seid Euch der Risiken bewusst, wenn Ihr Euer Smartphone für Bankgeschäfte benutzt. Gerade auf Android-Geräten hat man Schadsoftware oft schneller drauf, als man sich bewusst ist. Die folgenden kleinen Tipps können Euch helfen, für mehr Sicherheit zu sorgen.

1. Getrennte Hardware benutzen

Sicherheitsforscher weisen immer wieder darauf hin: Getrennte Hardware für die Zwei-Wege-Authentifizierung ist eine Grundvoraussetzung für mehr Sicherheit. Da es auf Smartphones inzwischen möglich ist, mTANs abzufangen, wird das chipTAN-Verfahren empfohlen. Dafür benötigt Ihr einen schmalen Kartenleser Eurer Bank, in den Ihr zum Erzeugen der TAN Eure EC einsteckt. Diese sind inzwischen so klein, dass sie auch problemlos in die Handtasche passen.

2. Offene WLAN-Netze meiden

Offene WLAN-Netze sind unter Umständen unsicher. Beispielsweise könnte ein Angreifer neben einem Restaurant ein WLAN mit ähnlichem Namen aufspannen. Oder das Restaurant hat gar kein freies WLAN, Ihr findet aber dennoch eins mit dem Namen in der Liste – und geht einem Betrüger ins Netz, der auf diese Weise Eure Daten abgreifen kann.

3. Verlorenes/gestohlenes Smartphone melden

Habt Ihr Euer Handy für Online-Banking benutzt und es wird Euch gestohlen oder Ihr habt es verloren, nehmt am besten mit Eurer Bank Kontakt auf. Weiterhin gilt: Keine Login-Daten zum Banking auf dem Smartphone speichern!

4. Nicht auf Links klicken, denen Ihr nicht vertraut

Man kann es nicht oft genug sagen: Bekommt Ihr Mails oder SMS oder Nachrichten per WhatsApp und Co. von Personen oder Unternehmen, die Ihr nicht kennt: Klickt niemals auf die enthaltenen Links. Sie könnten Schadsoftware enthalten.

5. Apps nur mit Vorsicht installieren

Apps solltet Ihr nur aus dem offiziellen App Store installieren. Achtet vor dem Herunterladen darauf, dass der Hersteller der App auch der ist, der er vorgibt zu sein (beispielsweise sollte bei der Facebook-App auch Facebook als Developer aufgeführt sein). Lest außerdem vorher die Nutzerbewertungen. Sollte es sich um eine betrügerische App handeln, haben das vielleicht schon Leute kommentiert.


Weitere Artikel zum Thema
"The Punis­her” ballert ab Mitte Novem­ber auf Netflix
Christoph Lübben
Der Punisher Frank Castle mit Totenkopf-Shirt
Der Startschuss fällt im November: Nun ist das Datum bekannt, ab dem "The Punisher" auf Netflix zu sehen sein wird. Es gibt zudem einen neuen Trailer.
Smart­phone am Steuer: So viel müssen Verkehrs­sün­der jetzt zahlen
Christoph Lübben5
UPDATEOhne Freisprechanlage dürft Ihr das Smartphone am Steuer nicht nutzen
Neue Strafen ab Mitte Oktober 2017: Ab sofort ist die Smartphone-Nutzung am Steuer teurer. Aber auch Tablets dürft Ihr im Wagen nicht nutzen.
Apple erklärt: So funk­tio­niert "Hey Siri" auf iPhone und Apple Watch
Christoph Lübben
Wenn Siri beim ersten Versuch nicht geweckt wird, hört Euer iPhone genauer hin
Die Technologie der Spracherkennung: Apple erklärt, was genau passiert, sobald Ihr "Hey Siri" zu iPhone, iPad oder Apple Watch sagt.