Mobile Banking: Tipps für die sichere Nutzung

Banking-Apps gehören bereits seit einigen Jahren zu den meistgenutzten Anwendungen auf Smartphones. Laut dem Branchenverband Bitkom nutzen inzwischen mehr als 50 Prozent der Smartphone-Besitzer (ab 16 Jahren) ihr Handy für Bankgeschäfte.

Mobile Banking sicher

Verschiedene Sicherheitsmaßnahmen schützen persönliche Daten und Gelder beim Mobile Banking. Dennoch warnen Sicherheitsexperten immer wieder davor, dass Kriminelle Sicherheitslücken ausnutzen und Bankkonten leer räumen können. Mit ein paar einfachen Verhaltensregeln können Smartphone-Nutzer Hackern das Leben schwer machen.

Nachfolgend einige nützliche Tipps für die sichere Nutzung von Online-Banking unterwegs. Werden die beschriebenen Sicherheitshinweise beachtet, muss im Schadensfall die Bank für den Schaden aufkommen. Der Verbraucher haftet immer dann, wenn er grob fahrlässig handelt, also seine Zugangsdaten anderen zugänglich macht. Grob fahrlässig handeln Smartphone-Nutzer beispielsweise, wenn sie auf Phishing-Mails antworten oder gefälschte Programme außerhalb des offiziellen App Stores herunterladen.

  • Um ein Konto leer zu räumen, benötigen Kriminelle zwei Informationen: die Anmeldedaten für das Konto und die Tans, mit denen Finanztransaktionen autorisiert werden. Tan steht für Transaktionsnummer. Smartphone-Nutzer sollten möglichst nicht auf das mTan-Verfahren zurückgreifen. Die Tan sollte nicht über den gleichen Kanal wie die Transaktion laufen. Sonst haben Hacker beim Zugriff auf das Smartphone gleich beide Informationen. Mit dem Chip-TAN-Verfahren kann dies verhindert werden. Bei diesem Verfahren wird ein TAN-Generator in Kombination mit dem Chip auf der Bankkarte verwendet. Lesen Sie auch: Welches TAN-Verfahren?
  • Smartphone-Nutzer sollten ihr Gerät vor Ausspähversuchen schützen. Betrüger schmuggeln meist Schadprogramme wie Keylogger und Passwortdiebe auf das Handy. Besonders anfällig sind Smartphones mit Android. iPhones sind per se in einem geschlossenen System und daher weniger anfällig. Android-Nutzer sollten einen kostenlosen Virenscanner installieren. Außerdem sollte das Betriebssystem durch Updates immer auf dem neuesten Stand gehalten werden. Kritische Sicherheitslücken werden so schnell geschlossen. Wer Malware auf seinem Smartphone entdeckt, sollte es sofort auf die Werkseinstellungen zurücksetzen und alle Zugangsdaten ändern.
  • Die Auto-Vervollständigung / Automatische-Passwortspeicherung im Browser, sollte man deaktivieren. Um zu verhindern, dass Kreditkarteninformationen und Passwörter im Browser gespeichert werden. Das Durchsuchen von Browser-Caches ist eine gängige Methode von Hackern, um persönliche Daten zu stehlen. Persönliche Daten von Hand einzugeben, anstatt die Autovervollständigung zu nutzen, kann mühsam sein, aber die dadurch gewonnene Sicherheit ist es wert. Die genaue Methode zur Deaktivierung von AutoVervollständigen/Passwort speichern ist von Browser zu Browser unterschiedlich.
  • Es gibt zusätzliche Sicherheitsoptionen für Kreditkarten, die Sie nutzen sollten. Dieser zusätzliche Schutz muss manuell aktiviert werden, wobei die genaue Umsetzung von Anbieter zu Anbieter unterschiedlich ist. SecureCode ist ein Produkt von MasterCard, das es dem Benutzer ermöglicht, bei jeder Online-Transaktion einen geheimen Code einzugeben. Dieser Code ist für den Händler nicht sichtbar. Visa-Kunden werden bei Transaktionen mit einer persönlichen Nachricht begrüßt und erhalten ein geheimes Passwort, das zur Autorisierung von Überweisungen eingegeben werden muss. Diese zusätzliche Sicherheitsstufe ist auch bei einigen Banken zu finden; einige Institute nutzen Verifizierungssysteme wie PIN-Codes, die sie ihren Kunden im Rahmen einer Zwei-Faktor-Authentifizierung aufs Handy schicken.
  • Jede unbekannte Zahlung oder Transaktion, an deren Autorisierung Sie sich nicht erinnern können, sollte sofort zur Kenntnis genommen und gemeldet werden. Nähere Auskünfte erteilt die jeweilige Bank.
  • Es ist keine gute Idee, öffentliche Netzwerke oder WLAN-Hotspots für Bankgeschäfte zu nutzen. Der Internetverkehr ist dort öffentlich. Jeder im Netzwerk könnte versuchen, die Daten abzufangen. Tipp: Ein VPN-Anbieter verhindert das Belauschen durch Dritte (Lesen Sie auch: Der beste VPN laut Stiftung Warentest).
  • Wer sein iPhone jailbreakt oder sein Android gerootet hat, sollte Mobile Banking meiden! Die Banken garantieren in diesem Fall keine vollständige Sicherheit. Durch Rooten oder Jailbreaken setzen Sie wichtige Schutzfunktionen außer Kraft. Besonders gefährlich ist dies, wenn Sie beim Online-Banking mit dem Smartphone den zweiten Faktor über eine Sicherheits-App auf demselben Gerät erhalten.
  • Eine weitere wichtige Maßnahme, um zu verhindern, dass Ihre Kontodaten in die falschen Hände geraten, ist die Wahl eines sicheren und schwer zu knackenden Passworts. Es sollten Satz- und Sonderzeichen sowie eine Mischung aus Groß- und Kleinbuchstaben verwendet werden.
  • Bluetooth-Funktionen wie NFC und WLAN sollten generell nur bei Gebrauch aktiviert werden. So kann sich kein Hacker mit dem Gerät verbinden.

Wer unterwegs Online-Banking nutzen möchte, kann dies tun. Je mehr Sicherheitsvorkehrungen bei Transaktionen getroffen werden, desto besser.

Unverzichtbar ist außerdem, sich bezüglich der neuesten Entwicklungen im Bereich der Sicherheit auf dem Laufenden zu halten.

Android und iOS-Apps nur aus den offiziellen Stores herunterladen

Ähnlich wie Computer können auch mobile Geräte Ziel von Malware werden. Um das Risiko zu minimieren, haben die führenden mobilen Plattformen Android und IOS Screening-Richtlinien eingeführt. Diese reduzieren das Risiko, dass Malware in die offiziellen Stores gelangt. Zudem werden die Betriebssysteme regelmäßig mit Sicherheitsupdates versorgt, um mögliche Schwachstellen zu schließen.

Standardmäßig können Benutzer nur Apps aus den offiziellen Stores herunterladen – Google Play für Android und der App Store für IOS. Ein Kontrollkästchen in den Einstellungen von Android erlaubt es dem Benutzer jedoch, Apps von jedem externen Server herunterzuladen. Und genau da liegt das Problem. Der Preis für Handy-Apps ist im Vergleich zu ihren PC-Pendants recht niedrig. Dennoch wollen viele Benutzer nicht für die Apps bezahlen. Malware-Ersteller machen sich das zunutze, indem sie kommerzielle Apps zum kostenlosen Download auf Servern von Drittanbietern bereitstellen. Unglücklicherweise enthalten diese modifizierten Apps oft Malware. Sobald die Malware auf einem mobilen Gerät installiert und ausgeführt wurde, übernimmt sie das Gerät und macht das, was PC-Malware oft macht. Einige Schadprogramme stehlen Anmeldeinformationen, während andere unerwünschte Werbung einblenden. Schadsoftware kann das Gerät so langsam machen, dass es nicht mehr benutzt werden kann. Das Zurücksetzen auf die Werkseinstellungen ist dann die einzige Option.

IOS hat kein Kontrollkästchen, um das Herunterladen inoffizieller Apps zu erlauben. Aber Bugs in der Software erlauben Jailbreaks. Jailbreaks sind IOS-Hacks, mit denen Benutzer ihre Geräte anpassen können. Sie erlaubt es Benutzern auch, inoffizielle Apps zu installieren. Diese Apps enthalten oft Malware und können das Gerät gefährden.

Vorsicht auch in den offiziellen App-Stores

Malware-Entwickler sind schlau und finden immer einen Weg, ein sicheres System zu umgehen. Apple und Google müssen Millionen von Apps überwachen, und es ist keine leichte Aufgabe, sicherzustellen, dass diese Apps keine Malware enthalten. Es gibt jedoch eine Möglichkeit, potenzielle Malware zu vermeiden. Wenn eine App bei der Installation nach unnötigen Berechtigungen fragt, installieren Sie sie nicht.

Weitere Informationen über die Gefahren beim Online-Banking Allgemein (Phishing und Co) finden Sie hier.

Felix Bauer
Felix Bauer ist IT-Security Consultant (IT-Sicherheitsberater) mit 20 Jahren Erfahrung in der IT-Sicherheitsbranche. Felix Bauer begann im Alter von 14 Jahren mit der Analyse von Malwaresamples.

Zusätzlich zur Tätigkeit als Sicherheitsberater schreibt Felix Bauer häufig Fachbeiträge zu den Themen IT-Sicherheit und Internet-Technik. Seine Themenschwerpunkte: Antivirus, Sicherheitslücken und Malware. Unter anderem schrieb Felix Bauer bereits Fachbeiträge für die IT-Fachzeitschriften Computerwelt, Heise und IT-Administrator. Felix Bauer wurde in zahlreichen Fach- und News-Beiträgen erwähnt (u. a. in der Wiener Zeitung und in der Computerworld). Einige Referenzen finden Sie auf Felix Bauers Internetseite.

Felix Bauer besitzt den Abschluss Master of Science in Security and Forensic Computing.

Felix Bauer ist Mitbegründer der Initiative bleib-Virenfrei.