https://www.faz.net/-hsn-7jqs2

Online-Banking : Bankgeschäfte übers Handy sind unsicher

Hier ist Vorsicht geboten: Betrüger können auch beim Online-Banking über Smartphones das Konto schnell leer räumen Bild: AFP

Online-Banking-Kunden lassen sich bei Überweisungen die TAN oft übers Handy schicken. Doch auch die mobile TAN kann geknackt werden. Mit verschiedenen Mitteln können sich Kunden gegen Betrüger wehren.

          Die Welt der Finanzen hat seit je eine Vorliebe für schwierige Fachausdrücke. Überweisungen heißen „Transaktionen“, und die Guthaben der Kunden bezeichnet man gerne mal als „Sichteinlagen“. Nun haben die Banker in diesen Wochen ein neues Lieblingswort für sich entdeckt, und auch dieses klingt wieder verdammt kompliziert: die „mobile TAN“ oder mTAN. Dabei hätten sie auch einfach sagen können: Es geht um Online-Überweisungen, die man mit Hilfe des Handys freigibt.

          Dennis Kremer

          Redakteur im Ressort „Geld & Mehr“ der Frankfurter Allgemeinen Sonntagszeitung.

          Daran sollen sich nach dem Willen der Finanzbranche nun immer mehr Kunden versuchen. Es gibt kaum eine Bank, die das „mTAN-Verfahren“ nicht in ihrem Angebot hat, und kaum ein Institut, das dafür nicht mit drei magischen Worten wirbt: modern, bequem und sicher. Marketing, ohne Frage, aber Marketing, bei dem selbst kritische Experten lange Zeit einräumten: Daran ist nichts übertrieben.

          Der Albtraum wird Wirklichkeit

          Doch nun, wo die Banken die Offensive starten, sieht es mit einem Mal so aus, als ob sie ihr wichtigstes Versprechen nicht halten könnten: Sicher nämlich erscheint das mTAN-Verfahren in diesen Tagen nicht mehr. Es sind zwar nicht viele Fälle, die nun publik werden, aber stets wurde der größte Albtraum jedes Bankkunden Wirklichkeit: Betrüger räumen das Konto leer - und zwar immer unter Zuhilfenahme der mobilen TAN.

          Also bloß Finger weg von Überweisungen per SMS? Um das beantworten zu können, gilt es zu verstehen, wie das Verfahren überhaupt funktioniert. Zunächst muss der Kunde über seinen Computer sein Konto aufrufen - ganz wie beim klassischen Online-Banking auch. Um nun eine Überweisung auszuführen, braucht er eine sogenannte Transaktionsnummer (TAN). Auch das ist auf den ersten Blick keine Neuerung, der entscheidende Unterschied aber ist: Anders als früher übernimmt der Kunde diese Nummer nicht aus einer Liste, die ihm die Bank einmal zugeschickt hat.

          Stattdessen sendet ihm die Bank eine Nachricht auf sein Mobiltelefon. Der Inhalt: die Details der Überweisung und eine eigens dafür generierte TAN-Nummer, die nur für diese eine Zahlung gilt. Die Nummer muss der Kunde zur Bestätigung nun wieder in den PC eingeben. Der Vorteil des Hin und Hers: Es reicht nicht, wenn Betrüger nur den PC ihres Opfers ausspähen und dort mittels illegaler Überwachungsprogramme die Kontodaten abfangen. Sondern sie müssen auch noch das Handy infizieren.

          Unzureichend gegen Hackerangriffe geschützt

          Was ziemlich schwierig klingt, ist nun aber viel leichter geworden - und schuld daran ist eine technologische Revolution: der Siegeszug der Smartphones. Denn über die meisten heutigen Mobiltelefone wie das iPhone sind die Besitzer ständig mit dem Internet verbunden. Das heißt aber auch: Sensible Daten lassen sich für Betrüger wesentlich leichter abgreifen. Denn Smartphones haben eine große Schwäche: Sie sind gegen Hackerangriffe oft nur unzureichend geschützt - zumal die meisten Nutzer bei Mobiltelefonen weniger Wert auf Anti-Viren-Programme legen als bei ihrem Computer.

          Mit den Apps vieler Banken lässt sich dies zwar verbessern, aber richtig gut schützen können sich die Kunden nur auf anderem Wege: „Für das M-TAN-Verfahren sollten sie ein altes Handy einsetzen, das keinen Zugang zum Internet hat“, sagt Kryptologe Bernd Borchert von der Universität Tübingen. Vor einem der hinterhältigsten Tricks sind sie aber auch dann nicht gefeit: Zuletzt waren Hacker über die PCs ihrer Opfer auch an die Daten der Handynummer gelangt. Dann hatten sie das Telefon als gestohlen gemeldet und sich eine neue Handykarte zusenden lassen. Computer und Telefon waren so in ihrer Hand.

          Was also tun? Wer nicht auf ein altes Handy ausweichen möchte, sollte vor allem für eines sorgen: Die Virenschutzprogramme auf Smartphone und PC müssen stets auf dem neuesten Stand sein. Auch gesundes Misstrauen ist wichtig. Wer via Computer oder Handy dazu aufgefordert wird, zu Testzwecken eine bestimmte Software zu installieren (ein beliebtes Vorgehen vieler Betrüger), sollte wissen: Solche Aufforderungen kommen nie von der Bank. Ein Überweisungslimit für das OnlineKonto kann zudem verhindern, dass Hacker beim Zugriff gleich das ganze Konto leer räumen. Sorglosigkeit kann ebenfalls gefährlich sein: Die Überweisungen vom gleichen Handy zu tätigen, auf dem auch die mTANs eingehen, hebelt den gesamten Schutzmechanismus aus.

          Deutlich unbequemer, aber nach Ansicht vieler Experten auch deutlich sicherer ist eine Alternative, die ohne Handy auskommt - das ChipTan-Verfahren. Hiervon bieten alle wichtigen Banken Varianten an, die üblichste geht so: Der Kunde erhält ein Extragerät (den TAN-Generator), das über eine Art Sensor die Überweisungsdaten vom PC-Bildschirm übernimmt. Um sie zu bestätigen, muss der Kunde nun seine EC-Karte in den Generator hineinstecken. So wird eine TAN generiert, die nur für die aktuelle Überweisung gilt. Der Clou: Ohne im Besitz der EC-Karte zu sein, gibt es kaum eine Möglichkeit, das Verfahren zu manipulieren. Sich angesichts all des technischen Aufwands nach den guten alten TAN-Listen auf Papier zurückzusehnen, braucht übrigens niemand. Da Betrüger dabei allein den PC ausspähen mussten, gilt: Keine Art des Online-Bankings mochten die Hacker lieber.

          Weitere Themen

          Topmeldungen

          Länger leben : Kerle, macht’s wie die Frauen

          Von der Gleichstellung der Geschlechter profitieren auch Männer – sie sind gesünder und leben länger. Die regionalen Unterschiede, die in einer Studie sichtbar werden, überraschen.
          Viele Fragen an den Präsidenten in der Whistleblower-Affäre: Donald Trump beantwortet Reporterfragen vor dem Weißen Haus.

          Telefonat mit Selenskyj : Trumps Erpressung

          Für Donald Trump ist das Telefonat mit dem ukrainischen Präsidenten nicht verwerflich. Er sieht nichts Schlimmes darin, seine Macht zu nutzen, um politischen Konkurrenten wie Joe Biden zu schaden. Dabei beginnt der Skandal schon an anderer Stelle.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.