Ratgeber: "Online Banking"
Worauf Sie beim Mobile Banking achten müssen
Mobile Banking ermöglicht Bankgeschäfte überall, spart Zeit und ist bequem. Schon jeder fünfte deutsche Smartphone-Besitzer erledigt Geldangelegenheiten unterwegs. Andere Verbraucher sind noch distanziert und fragen sich: Wie sicher ist Mobile Banking? Ein Überblick.
Knappe Öffnungszeiten der Bankfiliale, mühsames Ausfüllen von Formularen per Hand, ewiges Anstehen am Schalter: 28 Millionen Deutsche haben das hinter sich gelassen. Sie vertrauen auf Online-Banking und erledigen ihre Bankgeschäfte am PC. Ob mit Homebanking-Software oder im Webbrowser: Online-Banking klappt rund um die Uhr, sieben Tage die Woche. Und es erlaubt schnelles und ortsunabhängiges Handeln - solange ein Computer nutzbar ist, der Anonymität und Sicherheit gewährleistet.
Doch im Büro, am Flughafen, im Hotel oder sonst wo auf Reisen gibt es selten vertrauenswürdige PCs. Online-Banking passiert deshalb meistens daheim. Wer viel unterwegs ist, braucht aber flexible Lösungen, um Bankgeschäfte jederzeit sicher erledigen zu können. Hier setzt Mobile Banking an.
Jeder fünfte Smartphone-Besitzer nutzt Mobile-Banking
2011 wurden 11,8 Millionen Smartphones in Deutschland verkauft, 2012 werden es noch mehr sein. Schon jetzt ist jedes zweite Mobiltelefon in Deutschland ein Smartphone. Was liegt näher, als auch Bankgeschäfte damit abzuwickeln? Nach Schätzungen der Deutschen Bank tut das schon heute jeder fünfte Smartphone-Nutzer - Tendenz stark steigend.
"Alles weist darauf hin, dass sich der rasche Aufschwung des Mobile Banking fortsetzen wird", sagt Heinz Beeck, Leiter Online-Business bei der Deutschen Bank. "Kunden schätzen die Mobilität sowie die Unabhängigkeit von Filialen und Öffnungszeiten." Dabei würden neben den Smartphones zunehmend Tablets eine wichtige Rolle spielen, so Beeck.
Eigene Apps der Banken
Um der steigenden Nachfrage gerecht zu werden, bieten inzwischen viele Kreditinstitute eigene Banking-Apps an. Dabei konzentrieren sie sich zumeist auf die am weitesten verbreiteten Smartphone-Betriebssysteme - Android und iOS (iPhone/iPad). Die Bank-eigenen Apps sind fast immer kostenlos, erlauben aber meistens nur die Verwaltung von Konten bei dem Kreditinstitut, das die App anbietet.
Wer also Konten bei verschiedenen Banken besitzt, etwa ein Tagesgeldkonto bei der einen und ein Sparkonto bei der anderen Bank, muss entweder mehrere Apps installieren oder auf eine der wenigen unabhängigen Mobilanwendungen zurückgreifen. Solche Apps erlauben es, Konten unterschiedlicher Kreditinstitute unter einer Oberfläche zu verwalten. Die neutralen Apps sind trotz geringer Anschaffungskosten sehr empfehlenswert, weil sie weitaus mehr Funktionen bieten als die meisten Apps der Banken.
Das Setup aller Apps ist dabei ganz einfach
Nach der Installation über den jeweiligen App Store müssen Sie mindestens ein Konto einrichten, damit die Anwendung funktioniert. Genau wie Banking-Software für den Windows-PC oder den Mac greifen die mobilen Apps mit Hilfe der Sicherheitsstandards HBCI oder FinTS auf Bankkonten zu.
Die Bank muss also HBCI oder dessen Weiterentwicklung FinTS zur sicheren Datenübertragung unterstützen sowie entsprechende Schnittstellen für das Konto bereitstellen, damit die Kontoeinrichtung in der App klappt. Welches Banking-Verfahren dann zum Einsatz kommt - siehe Kasten auf der nächsten Seite - ist im Prinzip egal. Vorsicht ist allerdings beim mTAN-Verfahren geboten.
mTAN birgt ein Risiko
Beim mTAN-Verfahren, auch als SMS-TAN bekannt, wird die zur Ausführung einer Transaktion notwendige TAN von der Bank als SMS aufs Mobiltelefon des Kunden geschickt. Handelt es sich um dasselbe Smartphone, auf dem auch die Banking-App läuft, übernehmen Banken in der Regel keine Haftung für Schäden, die durch ein gestohlenes oder manipuliertes Smartphone entstehen.
In ihren Allgemeinen Geschäftsbedingungen weisen die Banken auf die so genannte Kanaltrennung hin: die Notwendigkeit, für SMS-TANs und das Mobile Banking verschiedene Smartphones zu nutzen. Wie groß die Gefahr tatsächlich ist, dass ein Handy-Schädling volle Kontrolle über die Banking-Software und ankommende SMS-TANs erhält, lässt sich schwer beurteilen. Genauso groß oder klein dürfte das Risiko sein, dass ein gestohlenes oder kurzzeitig entwendetes Smartphone missbraucht wird. Auf jeden Fall sollten Sie achtsam sein, falls Sie das mTAN-Verfahren auf dem Smartphone nutzen.
Sicherheit ist gegeben
Von dieser Einschränkung abgesehen ist Mobile Banking derzeit aber nicht gefährlicher beziehungsweise genauso sicher wie Online-Banking per Homebanking-Software - mit den vorgestellten Apps ist es sogar gefahrloser als Banking im Browser. Dafür sorgt zum einen die Absicherung durch ein vom Anwender bestimmendes Masterpasswort, das zusätzlich zur Banking-PIN bei jedem Programmstart benötigt wird, zum anderen erfolgt bei allen Apps die Datenübertragung nach neuesten technischen Standards.
HBCI und FinTS haben wir schon genannt - hinzu kommt die Verschlüsselung nach dem Advanced Encryption Standard mit einer Blockgröße von 256 Bit, kurz: AES-256. Diese Verschlüsselung gilt nach heutigem Stand der Technik als unknackbar.
Bietet Ihre Bank allerdings für die Eingabe der Transaktionsnummern noch das veraltete PIN/TAN-Verfahren an, ist es höchste Zeit für einen Kontowechsel. Das iTAN-Verfahren ist zwar auch nur mittelmäßig sicher; bei sorgsamem Umgang mit der iTAN-Liste ist es für das Banking per Smartphone aber allemal empfehlenswerter als mTAN. Höchste Sicherheit fürs Mobile Banking bietet schließlich chipTAN. In gewisser Weise führt es aber die Idee des mobilen Bankings ad absurdum, da mit dem TAN-Generator neben dem Smartphone ein weiteres Gerät benötigt wird.
Tipps für Anwender
Anwender können selbst für optimale Sicherheit sorgen. So sollte jeder Nutzer gut überlegen, ob es sich lohnt, die PIN in der Banking-App zu speichern. Die Anwendungen weisen vorsorglich darauf hin, dass dies auf eigenes Risiko geschieht und die Banken keine Haftung übernehmen. Wir empfehlen unter keinen Umständen das Speichern der PIN. Und auch die Möglichkeit, TAN-Listen ins Smartphone zu importieren, birgt ein gewisses Sicherheitsrisiko, weshalb Sie sich dies besser zweimal überlegen sollten.
Ungefährlich und sehr praktisch ist dagegen die Offline-Speicherung von Kontobewegungen. Die Banking-Apps erlauben es, sämtliche Umsätze aufs Smartphone zum späteren Abruf zu übertragen. Während viele Apps der Banken die Umsätze nur so lange anzeigen wie die Banken-Website beim Online-Banking - meist maximal 180 Tage - verbleiben bei iControl und iOutBank die Buchungen so lange auf dem Smartphone, bis sie vom Nutzer gelöscht werden. Die beiden Apps verfügen außerdem über Exportfunktionen, mit denen Sie Daten archivieren und anschließend auswerten können, beispielsweise in Excel.
Überblick: Sicherheitsverfahren beim Online- und Mobile Banking
- PIN/TAN
Das älteste und mithin unsicherste Verfahren. Der Nutzer meldet sich mit einer persönlichen Identifikationsnummer (PIN) an und gibt jede Transaktion wie Überweisung oder Dauerauftragsänderung mit einer Transaktionsnummer (TAN) frei. Das PIN/TAN-Verfahren ist besonders anfällig für Phishing-Angriffe, bei denen TANs gestohlen werden. Deshalb wird es heute praktisch nicht mehr verwendet.
Status: veraltet
Sicherheit: unsicher
- iTAN
Weiterentwicklung des PIN/TAN-Verfahrens, bei dem jede TAN eine eindeutige Nummer erhält. Zur Freigabe einer Transaktion muss genau die TAN eingegeben werden, die der Bankenrechner anfordert. Das erhöht die Sicherheit, doch Phishing- und Trojaner-Attacken können trotzdem erfolgreich sein.
Status: rückläufig
Sicherheit: mittelmäßigchip
- chipTAN
Beim chipTAN-Verfahren kommt ein elektronischer TAN-Generator zum Einsatz.Dazu muss der Kunde im richtigen Moment seine Girokarte ins Lesegerät einschieben und dieses vor den Bildschirm halten. Über Fotosensoren liest der Generator die Auftragsdaten ein. Der Anwender muss sie per Tastendruck am Gerät bestätigen, woraufhin es die TAN anzeigt. Das chipTAN-Verfahren eignet sich sehr gut fürs Mobile Banking. Der große Nachteil: Man trägt unterwegs immer zwei Geräte bei sich.
Status: aktuell
Sicherheit: sehr gut
- mTAN(auch SMS-TAN)
Beim mTAN-Verfahren wird jede TAN per SMS an das Mobiltelefon des Bankkunden geschickt - eigentlich ein sicheres Verfahren. Allerdings befinden sich beim Mobile Banking die Transaktionsnummer und die eigentliche Banking-Appliaktion in der Regel auf einem einzigen Gerät. Wird es gestohlen, erhält der Dieb somit womöglich vollen Zugriff auf den Geldverkehr mit beliebig vielen Zahlungsvorgängen. Mit den Bank-eigenen Apps S-Banking und Online-Filiale+ funktioniert mTAN daher nicht. Die anderen Apps erlauben die Nutzung des Verfahrens trotz des möglichen Sicherheitsproblems.
Status: aktuell
Sicherheit: sehr gut (Online-Banking), mittelmäßig (Mobile Banking)
- HBCI
Das Homebanking Computer Interface ist kein Banking-Verfahren, sondern ein Sicherheitsstandard. Mittlerweile wird HBCI von fast allen Banken unterstützt. Die in diesem Artikel vorgestellten Apps sind ohne HBCI nicht nutzbar.
Status: aktuell
Sicherheit: je nach Banking-Verfahren gut bis sehr gut
- FinTS
Der Financial Transaction Service ist eine technische Weiterentwicklung des HBCI-Standards, die unter anderem mit einer stärkeren Verschlüsselung für eine weitere Erhöhung der Sicherheit sorgt.
Status: aktuell
Sicherheit: je nach Banking-Verfahren gut bis sehr gut
- Chipkarten-Verfahren
Dies beruht auf HBCI bzw. FinTS. Der Nutzer identifiziert sich mit seiner persönlichen Chipkarte, die er zu diesem Zweck in ein am Computer angeschlossenes Lesegerät einschiebt. Für das Mobile Banking ist dieses System naturgemäß ungeeignet.
Status: aktuell
Sicherheit: sehr gut
