Für die Freigabe von Online-Überweisungen und anderen Bankgeschäften im Internet bieten Kreditinstitute Smartphone-Apps an. Sie sind kostenlos und komfortabler als Extra-Lesegeräte, die sogenannten TAN-Generatoren. Doch zu viel Bequemlichkeit birgt Risiken, warnen Sicherheitsexperten.
Frankfurt - Die Zeit läuft“, warnt die BW- Bank auf ihrer Website. Die bislang für das Online-Banking des Instituts verwendeten TAN-Generatoren verlieren ihre Gültigkeit. Bis zum Monatsende sollen die Kunden entscheiden, ob sie ein moderneres Gerät kaufen oder für Überweisungen und andere Transaktionen künftig eine Smartphone-App nutzen wollen. Wer sich nicht äußert, bekommt automatisch einen neuen TAN-Generator zugeschickt – einschließlich Versandkosten fallen dafür 23,30 Euro an. Kein Wunder, dass sich eine Mehrzahl der bereits umgestiegenen Kunden für die kostenlose Smartphone-App entschieden hat.
In puncto Sicherheit allerdings ist der TAN-Generator, bei der BW-Bank Chip-TAN-QR-Lesegerät genannt, die beste Lösung. Denn um dieses Verfahren zu knacken, müssten Betrüger neben den Zugangsdaten zum Online-Banking ihres Opfers nicht nur das Lesegerät, sondern auch noch die dazugehörige Kontokarte in ihren Besitz bringen. Unter allen aktuell verfügbaren TAN-Verfahren seien „Chip-TAN-Generatoren die sicherste Variante“, sagte ein Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf Anfrage.
Die Frage, ob sie Kunden über ihre Preispolitik in ein weniger perfektes Verfahren drängt, weist die BW-Bank zurück: „Beide von der BW-Bank angebotenen Verfahren erfüllen höchste Sicherheitsstandards.“ Tatsächlich hegt auch das BSI keine grundsätzlichen Bedenken gegen Banking-Apps, rät aber zu einer Vorsichtsmaßnahme: Für Überweisungen und andere Transaktionen „empfehlen wir, zwei Geräte zu verwenden“, sagte der Behördensprecher. Das heißt: Es ist besser, den Überweisungsauftrag am Computer auszufüllen und dann mit der Banking-App freizugeben, als die gesamte Prozedur auf dem Smartphone zu erledigen.
Banken werben mit maximalem Komfort
Gerade diese Möglichkeit – nämlich den Überweisungsvorgang komplett übers mobile Telefon abzuwickeln – wird aber von vielen Banken als Fortschritt beworben. Auf diese Weise „können Sie mit wenigen Klicks von einem Gerät überweisen“, schreibt beispielsweise die Deutsche Bank über ihre Foto-TAN-App.
Das Problem: In wissenschaftlichen Versuchen ist es bereits gelungen, Banking-Apps zu manipulieren. Möglich sei dies mit einer auf dem Smartphone installierten Schadsoftware, erläutert Vincent Haupert, Forscher am Lehrstuhl für IT-Sicherheitsinfrastrukturen der Universität Erlangen-Nürnberg. „Sobald ein Nutzer eine Transaktion in der Banking-App aufgibt, wird diese, kurz bevor sie an den Server des Kreditinstituts übermittelt wird, von der Schadsoftware verändert. Angezeigt werden dem Nutzer aber die Transaktionsdaten, die er ursprünglich eingegeben hat, so dass er die Überweisung bestätigt – die dann aber beim falschen Empfänger landet,“ erläuterte der Sicherheitsexperte das Vorgehen.
Bislang sind keine Schadensfälle bekannt
Haupert hat genau einen solchen Angriff getestet. Außerhalb wissenschaftlicher Labors sind derartige Manipulationen mit Smartphone-Apps bislang allerdings nicht bekannt geworden. Die Betrugsfälle der jüngeren Vergangenheit betrafen meist das sogenannte SMS- oder mobile TAN-Verfahren, bei dem die Transaktionsnummern per Kurznachricht versandt werden. Kriminelle verschafften sich Zugriff auf diese SMS, indem sie mit falschen Angaben beim Mobilfunkanbieter ihrer Opfer eine zweite SIM-Karte bestellten. Erst kürzlich wurde mit dieser Masche Geld von Kunden der Volksbank Freiburg gestohlen, das nach deren Angaben auf Konten verschiedener Direktbanken landete. Bekannt wurde der Fall, weil die Volksbank in Freiburg den Zahlungsverkehr mit diesen neuen Wettbewerbern daraufhin Ende vergangener Woche vorübergehend aussetzte. Am vergangenen Dienstag wurde die Sperrung von Transaktionen mit den Direktbanken N26, Fidor, Solaris, bunq, und Revolut aber wieder aufgehoben.
Moderne Smartphone-Apps sind sicherer als der SMS-Versand und auch als TAN-Listen auf Papier, das ist unstrittig. Sicherheitsexperte Haupert fürchtet allerdings: „Wenn TAN-Verfahren über Banking-Apps erst einmal Standard sind, wird die Entwicklung entsprechender Schadsoftware lukrativer. Auch Kriminelle denken ökonomisch.“ Verbreitet werden könnten Schadprogramme beispielsweise über andere Apps, die vorgeblich andere Zwecke erfüllen.
Es werde an Lösungen gearbeitet, um die Sicherheitslücken zu stopfen, sagt Haupert. Aber noch sei die Manipulation von Transaktionsdaten nicht auszuschließen: „Obwohl alle gängigen Smartphones die technischen Hardware-Voraussetzungen mitbringen, um solche Angriffe zu verhindern, werden diese aktuell noch nicht genutzt.“
TAN-Generatoren sind meistens kostenpflichtig
Trotzdem sind derzeit viele Kreditinstitute bestrebt, ihren Kunden TAN-Verfahren auf dem Smartphone nahezubringen. Der sicherere TAN-Generator kostet nicht nur bei der BW-Bank Geld. Die Deutsche Bank verlangt für ihr Lesegerät 14,99 Euro, nur Inhaber von Premiumkonten erhalten es kostenlos. Bei der Commerzbank kostet der Generator sogar 29,90 Euro. Und die Direktbank ING, mit neun Millionen Kunden inzwischen die Nummer drei unter den Privatbanken hierzulande, bietet bislang gar keinen TAN-Generator an. Interessierte Kunden müssen warten.
Der Vertrieb der kleinen Lesegeräte ist für die Geldhäuser aufwendiger, als eine TAN-App zum Download bereitzustellen. Dass die Branche vor allem die Smartphone-Lösung bewirbt, hat aber offensichtlich auch noch andere Gründe. „Für die Banken sind Apps wichtig, um nahe am Kunden zu bleiben“, sagt Dieter Heiliger, Experte für Zahlungsdienstleistungen bei der Beratungsfirma Capco. Wenn Kontoinhaber Bankgeschäfte auch mobil, also überall und jederzeit, erledigen, kann das Kreditinstitut aus diesen Umsätzen viel erfahren. Einige Banking-Apps können beispielsweise auf Standortinformationen des Smartphones zugreifen. Das eröffnet dem Institut die Möglichkeit maßgeschneiderter Dienstleistungen – so könnte beispielsweise Kunden noch am Flughafen eine Auslandsreiseversicherung angeboten werden.
Selbstverständlich bieten Banking-Apps auch den Nutzern Vorteile. „Der TAN-Generator ist nicht besonders kundenfreundlich“, meint Capco-Experte Heiliger. Unterwegs mal schnell auf dem Handy den Kontostand zu überprüfen, hält auch Sicherheitsexperte Haupert für unkritisch. Problematisch sei nur Auslösung und Freigabe einer Zahlung auf ein- und demselben Smartphone oder Tablet. „Ob man wirklich zum Beispiel in der U-Bahn Überweisungen tätigen muss, sollte jeder für sich entscheiden.“