Online-Banking / Mobile Banking

Im Mai 2019 setzten erstmals mehr als die Hälfte der Online-Banking-Nutzer ihr Smartphone für Bankgeschäfte ein.

Parallel dazu stieg in der ersten Jahreshälfte 2019 die Zahl der Betrugsfälle beim Onlinebanking in Deutschland rasant an. Allein die R+V Versicherung registrierte seit Anfang des Jahres fast 300 Fälle, die sich auf einen Schaden von 5 Millionen € summieren (im Vorjahreszeitraum: 1 Million €). Die Versicherungsgesellschaft R+V Versicherung gehört zum genossenschaftlichen Finanzverbund, auch Sparkassen und Privatbanken versichern bei ihr ihr Onlinebanking gegen Betrug. Die meisten Angriffe zielen auf das (veraltete) SMS-TAN-Verfahren ab.

Um die betrügerischen Aktivitäten und die damit verbundenen Schäden einzudämmen, tritt ab dem 14. September 2019 die "Zweite Zahlungsdiensterichtlinie" der EU (auch abgekürzt als "PSD 2" bezeichnet) in Kraft. Sie bestimmt, wie Bankkunden in Zukunft:

• sich im Online-Banking anmelden,
• ihre Zahlungen im Internet authentifizieren / autorisieren und
• wer auf die eigenen Bankdaten zugreifen darf. Fintechs, große (Versicherungs-)Konzerne und Vergleichsportale bieten Bankkunden in Zukunft Beratung und Angebote ("Deals") an. Verfügt das Unternehmen über die entsprechende Lizenz der Finanzaufsicht und gestattet der Bankkunde aktiv den Zugriff, kann das Unternehmen nicht nur den aktuellen Kontostand einsehen, sondern insbesondere alle Kontobewegung der vergangenen Monate. Makler für Versicherungen, Strom- oder Gasanbieter analysieren die monatlichen Rechnungen und bieten dem Bankkunden günstigere Alternativen an (und informieren ggf. hoffentlich auch über die möglichen Nachteile in Bezug auf Umweltschutz oder den Service-Level: z.B. die Erreichbarkeit eines lebendigen Kundenberaters im Betrugsfall).

Sowohl Anmeldung als auch das Authentifizieren von Transaktionen (ab 30 €) sind in Zukunft - nach einer Übergangsfrist - nur noch per Zwei-Faktor-Authentifizierung möglich.

Risiken beim Online-Banking

Ziel der Angreifer ist es, unbemerkt Zugangsdaten zum Online-Banking, Konto- und Kreditkartennummern und neuerdings auch Kryptowährungen wie Bitcoin abzugreifen.

Phishing

Große Datenbanken mit Tausenden E-Mail-Adressen können im Internet käuflich erworben werden. Die E-Mail-Adressen werden von Kriminellen benutzt, um (massenweise) gefälschte E-Mails zu verschicken (Phishing). Dabei wird dem Besitzer eine E-Mail, die oft täuschend echt aussieht, geschickt, die einen Vorwand nutzt, um den Benutzer dazu zu bringen, seine Zugangsdaten für das Online-Banking preiszugeben. Hierzu wird der Benutzer per Weblink auf eine gefälschte Bank-Website geführt, wo er seine Kontodaten eingeben soll. Phishing ist eine der Hauptgefahrenquellen im Online-Banking. Jede vierte derartige Attacke wird laut Kaspersky „im Namen einer Bank ausgeführt“.

Trojaner

Schadprogramme können sich auch über E-Mail-Anhänge, z.B. gefälschte Rechnungen, oder kompromittierte Apps auf dem Smartphone einnisten. Betroffen sind nach Angaben von Kaspersky hauptsächlich Nutzer des Betriebssystems Android von Google. Diese "Trojaner" greifen ohne Wissen des Benutzers Eingaben - also z.B. Benutzername und Passwort - ab.

Neue SIM-Karte (SIM-Swapping)

Die Betrüger geben sich bei der Mobilfunkgesellschaft als der anzugreifenden Bankkunde aus und bestellen eine neue SIM-Karte. Dadurch bekommen die Betrüger die Mobile-TAN dann auf ihr eigenes Handy ( SIM-Swapping).

Gefälschtes Online-Konto bei einem Fin-Tech

Haben die Betrüger erst die Zugangsdaten zum Konto, eröffnen sie - unter falschem Namen - ein neues Konto bei einer Mobile-Banking-Bank wie N26 oder Fidor. Auf dieses Konto überweisen sie Geld vom geknackten Online-Konto des betrogenen Bankkunden - und heben es ab.

Wie man sich schützen kann

Authentifizierungs-Methoden

Zu den gängigen Authentifizierungs-Methoden für das Online-Banking auf dem Smartphone zählen:

1. Das SMS-TAN-Verfahren, auch mTAN- oder Mobile-TAN-Verfahren genannt, ist veraltet und relativ leicht angreifbar, weil die Transaktionsnummern (TANs) nicht verschlüsselt von der Bank an den Bankkunden übertragen werden (und beim mobilen Banking sogar auf das selbe Gerät (Smartphone) übertragen werden). Die Nachrichten können vergleichsweise leicht von Betrügern abfangen werden.
2. Beim Push-TAN-Verfahren erzeugen Bankkunden über eine App (die mit Passwort und/oder Fingerabdruck gesichert ist) eine TAN.
3. Beim Photo-TAN-Verfahren scannt der Bankkunde mit seinem Smartphone einen Barcode oder QR-Code, der auf dem PC-Bildschirm angezeigt wird. Die App auf dem Smartphone generiert daraus eine TAN, mittels derer man seine Transaktion auf dem PC bestätigt / autorisiert.
4. Am sichersten ist das Chip-TAN-Verfahren: der Bankkunde bestätigt ("autorisiert") mithilfe eines kleinen Zusatzgeräts (das nicht größer als eine Giro-Card ist, auch TAN-Generator genannt) jede Transaktion. Das Zusatzgerät wird entweder über die USB-Buchse an den PC oder über Blootooth mit dem Smartphone verbunden.

Die letzten drei der Verfahren nutzen Zwei-Faktor-Authentifizierung und gelten damit als sicher.

Tipps für sicheres Mobile Banking

• Bewusstsein gegenüber den Risiken von Phishing, d.h. insbesondere:
  
  • keine Anhänge aus unbekannten Quellen öffnen (dabei kann u.U. ein Trojaner im Hintergrund installiert werden)
  • Keine E-Mails von unbekannten Absendern öffnen und insbesondere in solchen Fällen niemals auf die in der E-Mail angegebenen Links klicken.
  • Die Webadresse der Bank immer selbst eintippen. Niemals über einen Weblink in einer E-Mail auf die Bankseite gehen (es könnte sich um eine gefälschte Webseite handeln)
  • Passwörter, PINs, Bankverbindung oder Kreditkartennummern nur auf Webseiten eingeben, die man für absolut vertrauenswürdig hält. Jeweils prüfen, ob eine verschlüsselte Verbindung besteht (Schloss-Symbol links neben der URL (Web-Adresse), ganz oben im Browser).
• am PC/Laptop: stets Virenschutz aktivieren
• regelmäßig System-Updates installieren (lassen)
• keine öffentlichen WLAN-Netzwerke für's Online-Banking benützen
• Vorsicht bei kostenlosen Apps: keine App installieren, die Zugriff auf Daten, die nichts mit der eigentlichen Funktion zu tun haben, fordert.
• Sicheres Bezahlen im Internet bietet z.B. der Dienst paydirekt, ein Online-Bezahlverfahren deutscher Banken und Sparkassen. Bei jedem Bezahlvorgang im World Wide Web wird man kurzzeitig auf die Webseite der eigenen Bank geleitet, um dort die Transaktion - wie gewohnt, wie bei einer Überweisung - zu authentifizieren. Zum Vergleich: PayPal verkauft - mit Einverständnis seiner Nutzer - personenbezogene Daten...

Weiterführende Hinweise

• Phishing (Wikipedia)
• Attacken im Online-Banking: „Viele Smartphone-Nutzer haben die Bedrohung nicht erkannt“, von Stefan Reccius, WirtschaftsWoche, 20. August 2019
• Mobile Banking und der zweite Faktor – neun Verfahren (IT Finanzmagazin, 18. März 2019)
• Sicheres Online-Banking – so geht‘s (PC-Welt)
• Signaturverfahren: Karte statt TAN (Bundesamt für Sicherheit in der Informationstechnik)
• Was heißt eigentlich Secoder Verfahren? (wikibanking.net)
• Höchste Sicherheit mit Seal One Geräten (Seal One)

Siehe auch

• Zwei-Faktor-Authentifizierung
• Datenraub, Datenhandel, Datenschutz und Datensicherheit - auf privaten Geräten & im Internet
• Benutzungskonto & Passwort