Neues Online-Banking-Verfahren Praktisch, aber riskant

Die Tan per SMS soll das Online-Banking sicherer machen. Doch Betrüger haben die mobile Transaktionsnummer längst im Visier - und sie sind erfolgreich.

Von Andreas Jalsovec

Das Verfahren ist bequem und gilt eigentlich als sicher: Immer mehr Bankkunden lassen sich ihre Transaktionsnummern (Tan) für das Online-Banking per SMS aufs Handy schicken. Die Nummer braucht man, um Überweisungen zu tätigen. Mit der mobilen Tan übers Telefon soll das sicherer gehen als mit den alten Tan-Listen auf Papier, die die Kunden bisher für Bankgeschäfte im Internet nutzen. Doch es zeigt sich: Online-Betrüger haben verstärkt auch das Banking mit der mobilen Tan im Visier - und sie sind erfolgreich.

Das Problem bei den alten Tan-Listen: Obwohl die Banken das Verfahren schon mehrfach verbessert haben, gelingt es Betrügern immer wieder, bei Online-Überweisungen am PC Kontodaten und Transaktionsnummern abzugreifen und damit Geld vom Konto abzuräumen. Die mobile Tan per SMS kommt über das Telefonnetz auf dem Handy an. Dieser zweite Kanal ist unabhängig vom Internet und macht es Betrügern schwerer, die Transaktionsnummer abzufangen.

Neben dem sogenannten Tan-Generator setzen daher immer mehr Banken auf die mobile Tan. So hat die Postbank im Frühjahr ihre Konten auf die neuen Tan-Verfahren umgestellt. Bei den Sparkassen müssen sich Kunden bis Jahresende für eines der beiden Verfahren entscheiden. Tan-Listen gibt es dann nicht mehr.

Doch vor allem die Tan per SMS bereitet Experten Kopfzerbrechen: "Besitzer internetfähiger Smartphones müssen verstärkt damit rechnen, dass Online-Betrüger mobile Transaktionsnummern und Kontodaten ausspähen", meint Sven Bugiel, Informatiker an der TU Darmstadt. Besonders gefährdet seien Kunden, die Bankgeschäfte direkt am Smartphone erledigten.

Computerexperten haben bereits Schadprogramme ausgemacht, die - wie auf dem PC - auch auf dem internetfähigen Handy Kontodaten erschnüffeln. Diese Trojaner lesen unter anderem die Kurznachrichten aus, mit denen die Tan-Nummern ankommen. Erst jüngst, berichtet der Branchendienst Heise Online, sei ein neuer Trojaner entdeckt worden. Er habe "vor allem Bankkunden in Deutschland im Visier".

Aufs Handy gelangen die gefährlichen Programme oft über Apps. Die Mini-Anwendungen würden selten von den Anbietern auf digitale Schädlinge kontrolliert, warnt Experte Bugiel - vor allem dann, wenn sie aus inoffiziellen Quellen stammten: "Die Wahrscheinlichkeit, dass Kriminelle auf diesem Weg Programme einschleusen, die Konten plündern, steigt mit der Zahl der Kunden, die Bankgeschäfte mobil erledigen."

Die Tan per SMS ist nicht sicher

Das seien immer mehr Verbraucher, meint Sascha Straub. Der Finanzexperte bei der Verbraucherzentrale Bayern warnt grundsätzlich davor, Online-Banking und Tan-Empfang per SMS auf ein Handy zu legen. "Das ist extrem gefährlich, sogar grob fahrlässig." Auch die Banken selbst weisen auf die Gefahren hin. SMS-Tan und Banking auf einem Gerät auszuführen sei "unsachgemäß", heißt es beim Bankenverband. Die Sparkassen schließen für Kunden, die Bankgeschäfte mobil erledigen wollen, die SMS-Tan sogar aus. Wer am Handy Geld überweisen will, braucht den Tan-Generator. "Der Kanal fürs Banking muss vom Kanal für die Übermittlung der mobilen Tan getrennt bleiben", sagt eine Sprecherin.

Wer demnach die Tan auf dem Handy nutzen will, muss Bankgeschäfte am PC erledigen. Doch selbst dann ist die Tan per SMS nicht hundertprozentig sicher. Viele verbinden ihr Smartphone regelmäßig mit dem PC, etwa um Musikdateien zu überspielen. "Dabei können Schadprogramme übertragen werden", warnt Verbraucherschützer Straub. So kann einerseits in einer Musikdatei vom PC ein Trojaner sitzen, der aufs Smartphone wandert und dort mobile Tans ausspäht. Umgekehrt kann das Smartphone den PC infizieren. Dann fließen von dort aus Bankdaten an die Betrüger.

Deshalb sollte nicht nur der PC, sondern auch das Smartphone eine aktuelle Sicherheitssoftware haben", rät Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Das aber ist noch selten der Fall. So zeigt eine Umfrage des BSI: Nur 40 Prozent der Smartphone-Nutzer glauben, dass die kleinen Computer so schutzbedürftig sind wie ein PC. Dabei sind die Risiken eigentlich noch höher, weil man mit dem Smartphone ständig unterwegs ist. "Das jedoch ist den wenigsten Nutzern bewusst", meint Griese.