Menü
Mit Leidenschaft recherchiert in Berlin

Mobile Banking: Wie sicher sind Banking-Apps?

Immer mehr Menschen nutzen ihr Smartphone als Bankschalter. Aber wie sicher ist Mobile Banking, und worauf müssen Verbraucher dabei achten?

© Priscilla Du Preez

Nur mit Mühe haben sich die Deutschen daran gewöhnt, ihre Bankgeschäfte von zu Hause aus an ihrem Computer zu erledigen. Doch kaum ist das Misstrauen gegenüber dem Internetbanking überwunden, da müssen sie sich schon der nächsten Entwicklungsstufe stellen: dem Mobile Banking.

Der Grund dafür ist einfach. Im Wettbewerb vor allem um junge Kunden liefert sich die Bankenbranche ­gegenwärtig einen harten Kampf. Symbol dafür ist N26. Bis 2016 firmierte das so­genannte Fintech unter Number26 und ­besitzt seitdem eine eigene Banklizenz. Markenzeichen dieses Kreditinstituts ist die Kontoführung mit dem Smartphone. N26 wirbt unter anderem damit, dass man ein Girokonto mithilfe seines Smartphones innerhalb von acht Minuten eröffnen kann.

Bankgeschäfte werden einfacher

Auf diesen Zug springen vor allem große Direktbanken wie die ING-DiBa oder die Comdirect aber auch die Sparkassen auf. »Unsere Kunden können eine Rechnung mit unserer App einscannen. Das Programm identifiziert die IBAN, den Zahlungsempfänger und den Rechnungs­betrag auf der Rechnung und erzeugt ­daraus eine Transaktion, bei der der Kunde nicht mehr wie früher die 22 Buchstaben bzw. Ziffern der IBAN mühselig mit der Hand eingeben muss«, erklärt Marten Ahrens von Comdirect.

Ein anderes Beispiel ist die viel gerühmte Kwitt-Funktion in der App der Sparkassen und Volksbanken. Damit werden gezielt junge Menschen angesprochen. Mit Kwitt hat ein Bankkunde die Möglichkeit, Freunden und Bekannten Geld mit seinem Smartphone zu überweisen, ohne dafür eine IBAN einzugeben. Dafür muss er lediglich die Kontakte in seinem Smartphone anklicken.

Wenn nach einem geselligen Abend mit Freunden in einem Restaurant die Rechnung fällig wird, bezahlt nur einer. Die anderen überweisen ihren Anteil innerhalb von Sekunden mit einem Klick auf ihrem Handy. Das funktioniert bis zu einem Betrag von 30 Euro sogar ohne TAN.

Ausgefeiltes Sicherheitskonzept

Hört sich alles gut an. Doch wie sicher ist Mobile Banking? Welche Risiken gehen Bankkunden ein, wenn sie Geld über ihr Smartphone an der Haltestelle vor dem nächsten Bus oder vor dem Fahrstuhl überweisen? Was müssen sie tun, damit ihr Handy vor Cyberangriffen sicher ist?

Beim klassischen Onlinebanking geht das so: Wer sein Geld auf seinem Computer via Internet überweist, bekommt eine Transaktionsnummer (TAN), mit der er die Überweisung auf seinem Computer autorisiert. Die TAN dafür erhält er in der Regel auf seinem Smartphone – entweder per SMS oder als Foto-TAN. Doch dieses Zwei-Kanal-Verfahren, also die Trennung von Banktransaktion und dem Zugriff auf die TAN, funktioniert beim Mobile Banking, bei dem sich alles auf dem Smartphone abspielt, eigentlich nicht.

Lediglich die Sparkassen versuchen, das Zwei-Kanal-Verfahren auch beim ­Mobile Banking aufrechtzuerhalten. Dazu arbeiten sie mit zwei Apps. Neben der eigentlichen Sparkassen-App für die Bank­geschäfte bieten sie eine sogenannte ­S-pushTAN-App. Damit erhält der Kunde die für eine Überweisung notwendige TAN gesondert über diese pushTAN-App. Diese TAN kann entweder per Hand in die eigentliche Banking-App übertragen werden oder wird automatisch von dieser übernommen. Erst dann ist eine Transaktion möglich.

Neue Sicherheitsarchitektur

Bei N26 setzt man dagegen auf ein mehrstufiges Sicherheitskonzept. »In einem ersten Schritt muss man sein Smartphone zunächst mit dem Konto verknüpfen. Dazu wird das Gerät bei uns registriert«, erklärt Georg Hauer von N26. Für diesen Zweck erhält der Kunde, der über ein Passwort für sein Konto verfügt, per SMS einen Verknüpfungscode von der Bank. Ist das Smartphone registriert, muss sich der Kunde später in die App von N26 einloggen. Das geht entweder mit dem Passwort oder per Fingerabdruck. Bei Apple-Geräten funktioniert es auch per  Gesichtserkennung.

Für die eigentliche Transaktion, zum Beispiel für eine Überweisung, benötigt der Kunde dann eine Transaktions-PIN, die er selbst vorher festlegt. Hauer: »Sie können das mit der PIN vergleichen, die Sie benutzen, wenn Sie Geld an einem Geldautomaten abheben.« Darüber hinaus gibt es bei N26 noch eine vierte Sicher­heits­ebene. »Wir senden unseren Kunden bei jeder Kontobewegung eine Push-­Notifikation.« Der Kunde erfährt per Push-Nachricht oder Mail, dass von seinem Konto zum Beispiel 100 Euro für die Bezahlung einer Ware abgebucht wurden. Wenn er diese Kontobewegung nicht kennt, kann er der Abbuchung sofort widersprechen.

Sicherheitsrisiken

Beim Bundesamt für Sicherheit in der ­Informationstechnik (BSI) ist man dagegen skeptisch. Dort heißt es zu diesem Thema: »Wenn es ums Mobile Banking geht, halten wir Vorsicht für geboten.« Die Tat­sache, dass die Kommunikation mit der Bank nicht über zwei getrennte Hardware-Komponenten erfolgt, ist aus Sicht des BSI ein Schwachpunkt.

In der Rea­lität würden Angriffe auf Smartphones ohnehin weniger mithilfe einer Schadsoftware erfolgen, die heimlich installiert wird. »Im Alltag sind die guten alten Phishing-Mails, mit denen Zugangsdaten und Passwörter für Konten abgefischt werden, eine viel größere Gefahr.«

Bislang keine Schadensfälle

Ähnlich sieht das auch Christiane Fritsch von der ING-DiBa. »Wir wissen zwar, dass manchen Kunden Fehler bei der Nutzung unserer App auf ihrem Smartphone passieren. Aber einen Schadensfall, bei dem Dritte durch eine Sicherheitslücke in der App Zugriff auf das Konto eines Kunden bekommen hätten, gab es bei uns bisher nicht.«

Wer die Banking-App der ING-DiBa nutzt, muss die App ähnlich wie bei N26 zunächst bei der Bank registrieren. Die wird dann mit dem Smartphone »verdrahtet«. Das heißt, die App funktioniert nur auf diesem Gerät. Für Transaktionen muss sich der Kunde dann entweder mit einer fünfstelligen Mobile-PIN oder via Fingerabdruck bzw. Gesichts-Scan in die App einloggen. Beim Zugriff auf das Konto prüft die Bank dann, ob Smartphone und App dazu berechtigt sind.

Login durch Biometrie

Biometrische Verfahren, wie Touch ID (Fingerabdruck) oder Gesichts-Scan, suggerieren, dass man beim Mobile Banking auf der sicheren Seite ist. Doch stimmt das auch? Bei einem Fingerabdruck, der auf einem Smartphone hinterlegt ist, handelt es sich eigentlich um nichts anderes als um eine abgespeicherte Datei.

Christiane Fritsch hält dagegen: »Bei der Identifikation eines Fingerabdrucks nutzen wir eine Technologie, die unter ­anderem von Apple angeboten wird. Das hat noch nichts mit unserer eigenen Sicherheitsarchitektur zu tun. Sollte das iOS-Betriebssystem von Apple gehackt werden, wäre das ein Angriff auf Apple. Das heißt, ein Hacker würde nicht unsere Bank angreifen, sondern Apple weltweit.«

Betriebssysteme aktualisieren

Dass dieses Selbstbewusstsein nicht gespielt ist, zeigt die Tatsache, dass weder N26 noch ING-DiBa und Comdirect von ihren Kunden einen Virenscanner auf ihren Smartphones verlangt. »Anders als beim klassischen Onlinebanking, bei dem der Kunde im Netz mit einem fremden Browser auf unsere Seite zugreift, nutzt er beim Mobile Banking unsere eigens entwickelte App inklusive ihrer Schutzmechanismen«, erklärt Marten Ahrens von Comdirect.

Ein BSI-Sprecher bestätigt, dass die Banken beim Mobile Banking tatsächlich die Möglichkeit haben, Angriffe auf ihren Apps zu erkennen und zu reagieren. Es sei jedoch zu früh, um diese Abwehrstrate­gien langfristig beurteilen zu können.

Immerhin empfehlen alle drei Banken ihren Kunden lediglich, das Betriebssystem auf ihrem Smartphone immer auf dem neuesten Stand zu halten. Denn ältere Versionen des Betriebssystems werden von den Kreditinstituten teilweise nicht mehr unterstützt, da sich hier tatsächlich Sicherheitslücken auftun können. »Wir schalten unsere Banking-App auf Smartphones mit älteren Betriebssystem-Versionen wie zum Beispiel Android 4.0 zum Schutz des Kunden ab«, erklärt Christiane Fritsch.

Fazit

An Mobile Banking führt über kurz oder lang kein Weg vorbei. Wer j­edoch nicht täglich auf sein Konto zu­greifen muss, sollte diese Form der Bankgeschäfte zunächst dosieren. Als Einstieg empfiehlt es sich, die Banking-App nur für einfache Kontostandabfragen auszuprobieren. Transaktionen, die autorisiert werden müssen, sollte man damit erst später vornehmen.

Zusammengefasst – Pro und Contra

Vorteile Nachteile
Flexibilität: Mit dem Smartphone ist ein Bankkunde immer und überall Herr seines Bankkontos. Wem am Fahrstuhl plötzlich einfällt, dass er die Rechnung seines Zahnarztes noch nicht bezahlt hat, der kann das im Extremfall zwischen dem ersten und fünfzehnten Stockwerk mit dem Smartphone sofort erledigen. Informationsflut: Wer Mobile Banking nutzen möchte, benötigt für sein Smartphone einen Datentarif, um im Internet mit seiner Bank kommunizieren zu können. Zwar gibt es heute bereits preisgünstige ­Datentarife, aber unter dem Strich bedeutet Mo­bile Banking zusätzliche Kosten.
Bequem: Die meisten Banking-Apps bieten Servicefunktionen, mit denen Bankgeschäfte einfacher werden. Besonders häufig wird dabei die Fotoüberweisung genutzt. Risiken: Wenn ein Smartphone verloren geht oder gestohlen wird, bedeutet das viel Aufregung für den Betroffenen. In den meisten Fällen muss die SIM-Karte gesperrt werden. Das bedeutet auch Kosten. Ein neues Smartphone mit neuer SIM-Karte muss bei der Bank zunächst registriert werden. Das kann mehrere Tage dauern.
Reaktionszeit: Wenn man Wertpapiere besitzt, kann es wichtig sein, schnell auf Änderungen an der ­Börse zu reagieren. Fallen die Kurse für ein Wert­papier, kann der Kunde auch im Urlaub am Strand verkaufen – oder umgekehrt günstig kaufen. Stress für die Augen: Obwohl die Nutzungsoberfläche der Banking-Apps für die kleinen Displays von Smartphones optimiert sind, führt Mobile Banking häufig zu Stress für die Augen.
Sicherheit: Banking-Apps sind Programme, die von den Banken selbst ent­wickelt wurden und kon­trolliert werden. Ein Manipulationsversuch führt dazu, dass die Bank die App abschaltet. Sendet die Bank eine Mail oder SMS, wenn es auf dem Konto eine Bewegung gibt, kann der Kunde bei einem nicht autorisierten Zugriff sofort widersprechen. Bedrohungen wachsen: Auch wenn es bislang keine Fälle gegeben hat, bei denen beim Mobile Banking Dritte unbefugt Zugriff auf ein Konto bekommen haben, dürfte es nur eine ­Frage der Zeit sein, bis ­Kriminelle den Versuch starten, auch auf Smartphones zuzugreifen.