Mobiles Online-Banking ist nicht automatisch unsicher

Moderne Handys sind Alleskönner. Wenn das Kreditinstitut des Vertrauens mitspielt, ist damit auch Mobile-Banking möglich. Dann lassen sich mit dem Mobiltelefon Überweisungen tätigen oder auch Kontostände abfragen. Und grundsätzlich ist das nicht unsicherer, als Geld am Automaten abzuheben oder die Bankgeschäfte am PC zu erledigen.

Letzteres ist vor allem durch Phishing-Attacken krimineller Hacker ins Gerede geraten: Mit gefälschten E-Mails, die vermeintlich von der Hausbank stammen, sollen Internet-Nutzer dazu gebracht werden, ihre Geheimnummer oder andere Zugangsdaten auf einer fingierten Webseite einzutragen. Gelingt dies den Betrügern, räumen sie das Konto der Betroffenen ab.

Grundsätzlich besteht die Gefahr, Opfer einer Phishing-Attacke zu werden, auch beim Handy-Banking - sofern der Zugriff auf die Webseite der Bank mit einem Browser erfolgt. Und das ist durchaus üblich. "Deshalb gilt auch hier, keine Links in Mails anzuklicken", warnt Daniel Bachfeld von der in Hannover erscheinenden Zeitschrift c't. Wer die Webadresse seiner Bank von Hand eintippt, ist noch sicherer.

Doch Handys sind nach Bachfelds Erfahrung schwieriger anzugreifen als Computer. Theoretisch ist es zwar möglich, dass Hacker sich Zugang mit Hilfe eines Trojaners verschaffen. In der Praxis habe es das aber noch nicht gegeben. Das liege möglichicherweise auch daran, dass die Zahl der Mobile-Banking-Anwender noch so klein ist, dass sich der Aufwand einer Attacke für Hacker noch nicht lohnt.

Sichere Tranksaktionsnummern

Um sich und ihre Kunden vor Missbrauch zu schützen, setzen Banken wie beim Online- auch beim Mobile-Banking auf eine Transaktionsnummer (TAN). Das gilt zum Beispiel für die Hamburger Sparkasse: "Der Kunde erhält wie beim Online-Banking eine Liste mit TANs", erklärt Sprecher André Grunert. Mit Eingabe einer bestimmten Nummer aus dieser Liste bestätigt der Kunde den Vorgang. "Er kann übers Handy unter anderem Überweisungen tätigen, seinen Kontostand abfragen oder sein Depot einsehen."

In der Regel wird beim Mobile-Banking die sogenannte indizierte TAN (iTAN) genutzt. Der Bankkunde enthält auch hier eine Liste mit TANs. Allerdings kann er die iTANs nicht beliebig verwenden, sondern muss sich an eine durch die Bank vorgegebene Reihenfolge halten. Durch diese Einschränkung werden Phishing-Attacken weiter erschwert.

Im TAN- oder iTAN-Verfahren sieht Holger Schildt vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn aber einen Nachteil: "Der Nutzer muss die TAN-Liste mit sich herumtragen." Besser sei die mobile TAN, kurz mTAN genannt: Der Bankkunde loggt sich mit dem Handy bei seiner Bank ein und führt die gewünschten Aktionen aus. Anschließend erhält er eine SMS mit der nur für diesen Vorgang verwendbaren mTAN, die er dann eintippt und somit den Vorgang bestätigt. "Immun gegen Angriffe", nennt der TÜV Rheinland dieses Verfahren.

Handy nicht zusammen mit Zugangsdaten aufbewahren

Nutzen können das mTAN-Verfahren zum Beispiel Postbank-Kunden. Zum Login benötigt der Kunde hier außerdem dieselben Zugangsdaten wie beim Online-Banking: Kontonummer und PIN. Auch hier stehen die klassischen Anwendungen wie Überweisung, Abfragen des Kontostandes oder Änderung von Daueraufträgen im Vordergrund. Darüber hinaus bietet die Postbank das "Mobile Brokerage" an - für Kunden, die über ihr Handy auch Wertpapiergeschäfte abwickeln wollen.

Welches Handy die Kunden für das Mobile-Banking benötigen, hängt von der Bank ab. Meist genügt ein Internet-fähiges Gerät mit Browser. Manche Kreditinstitute verlangen außerdem eine uneingeschränkte Java-Tauglichkeit des Handys. Bei älteren Geräten könnte der mobile Zugang zur Bank mit einer Fehlermeldung schnell beendet werden. Und damit es nicht irgendwann "Konto leer" heißt, sollte das Handy auf keinen Fall zusammen mit den Zugangsdaten und gegebenenfalls der TAN-Liste aufbewahrt werden. Weitere Sicherheitstipps finden Sie auch auf unseren Info-Seiten.