Verbraucherschützer warnen vor Risiken beim Online-Banking per Smartphone. Vor allem wenn auf dem für die Transaktionen genutzten Gerät auch die SMS-Mitteilung mit der TAN eintrifft, besteht eine größere Gefahr des Missbrauchs durch Fremde - Betroffene können in einem solchen Fall nicht mit Entschädigung durch die Bank rechnen.
Banking per Smartphone | (c) Sparkasse
Beide Vorgänge - Überweisung und TAN-Empfang - über dasselbe Smartphone laufen zu lassen, ist zwar für den Kunden bequemer, aber das Risiko des Missbrauchs steigt, warnt die Verbraucherzentrale Sachsen. Banken und Sparkassen betrachten es daher als Verletzung der Sorgfaltspflicht, wenn der Kunde beim Online-Banking nur auf das Smartphone setzt, und kommen in der Regel nicht für einen entstandenen Schaden auf. In ihren AGB haben sie sich durch entsprechende Formulierungen abgesichert. Dort heißt es beispielsweise: "Beim smsTAN-Verfahren darf das Gerät, mit dem die TAN empfangen werden (z.B. Mobiltelefon), nicht für das Online-Banking genutzt werden."
Die Verbraucherzentrale rät Smartphone-Nutzern zur Nutzung zwei verschiedener Systeme beim Online-Banking, beispielsweise das Internet für die Überweisung und das Mobilfunknetz für den TAN-Empfang. "Sitzen Verbraucher vor ihrem Computer und geben dort für eine Überweisung die ihnen zuvor auf das Handy geschickte TAN ein, kann grundsätzlich nicht viel passieren", sagt Andrea Heyer, Finanzexpertin der Verbraucherzentrale Sachsen.
Doch auch wer das Zwei-Wege-System verinnerlicht hat, sollte weitere kritische Fallkonstellationen kennen und meiden. Der Verlust des Handys muss zum Beispiel dem Kreditinstitut gemeldet werden, sofern es auch zum Empfang von SMS-TAN genutzt wurde. Auch könnten über Verbindungen zwischen PC und Smartphone, etwa um Musik-Dateien auf das Mobiltelefon zu übertragen, Schadprogramme auf das Handy geschleust werden, so die Verbraucherzentrale. Daher sollten auch Smartphones mit aktueller Sicherheitssoftware ausgestattet werden.
Die Sicherheits-Problematik besteht übrigens auch beim mobilen Banking per Smartphone-App. Die Banken untersagen es in ihren Sicherheitsbestimmungen den Nutzern, sich die TAN auf das für die Transaktion genutzte Gerät zusenden zu lassen. Alternativ sollte die TAN auf einem zweiten Handy oder auf einem Tablet angefordert werden.
Die Kommentarfunktion ist hier leider nur für angemeldete Benutzer freigegeben.
Du bist nicht dabei?Ich hoffe doch mal, dass es nicht so einfach geht, dass man einfach eine andere Nummer eintragen kann. Das wäre absolut lächerlich, dann wäre ja das alte TAN-Verfahren mit den Bögen noch sicherer.
@ pixelflicker
Das scheinen die Banken unterschiedlich zu händeln, in der Übergangszeit, reichte eine alte Tan von der Papierliste, zum Handy anmelden und da hatte der Gangster das Problem, das die Freischaltung nicht sofort ausgeführt wurde aber ein Profi loggt sich halt später ein, wer schaut schon regelmätig in seine Kontoverwaltung, welche Handys da eingetragen sind.
Wenn deine HandyID vom Gangster dupliziert wurde, kann dieser aber nicht verhindern, das auf deinem Handy die SMS mit den Tans auch erscheinen, wenn er dein Konto abräümt. Nur zum duplizieren benötigt er zusätzlich zu deinen Login Daten auch noch die Handynummer, welche du zum Banking verwendest und diese Nummer sollte z.B.nicht zum Briefkopf passen.
Geht das so einfach? Ich dachte die Handynummer kann man nur bei der Bank ändern, oder braucht eine TAN auf das alte Gerät um das neue zu registrieren?
Nichts ist wirklich sicher...
Das SMS Tan Verfahren machts den Gangstern aber auch nicht leicht. Eine Tan, wo der Betrag und die Ziel-Kontonummer für eine Transaktion bindend sind, ist nicht so einfach von dieser Bindung zu trennen und abgefangen somit wertlos. Empfindlicher sind da die Login Daten zum Konto, hat der Gangster diese, sind alle Wege offen. Es gibt auch ein altes Nokia Handy mit Systemfehler, der es dem Nutzer leichtmacht sich als Mithörer zu jeder beliebigen Handynummer ohne passende Simkarte ins Mobilfunknetz einzuloggen. Dieser Nutzer empfängt alle SMS und kann auch Anrufe entgegen nehmen oder zu lasten des realen Inhabers dieser Rufnummer telefonieren. Schwarzmarktpreise von 50 000 Euronen für diese Nokias weckten aber auch die Polizei auf.
Der Schwachpunkt sind die Login-Daten zum Konto, hat ein Gangster diese, kann er schnell mal ein nicht registriertes Handy eintragen und das Konto abräumen und sich aus dem Staub machen, wenn er geschickt ein Zielkonto unter falscher Flagge fährt...
Handys oder Systeme ohne Firewall und Antivirussoftware sollten daher nicht einmal zum Login ins Konto genutzt werden und Apps, bzw. Programme, wo diese Daten auf dem Gerät gespeichert werden, sollte man ebenso nicht verwenden.
Banken sollten vielleicht auch die Kontoverwaltung vom Banking trennen. Also ein weiteres login, z.B. zur Veränderung des Transaktionsrahmens oder Eintragung von Handys. Noch sichererr wäre, solche Sachen nur schriftlich, bzw. in der Filiale auszuführen.
Ja, ich nutze es bei der Sparkasse. Aber eine Überweisung vom Telefon aus zu machen ist mir viel zu unbequem, ich mach das am PC und bekomm die SMS aufs Handy.
Die App nutze ich nur um meine Umsätze zu checken.
Also ich nutze das genau so und ich kann bei der Sparkasse per Smartphone keine Aktionen tätigen, dann kommt die Meldung "Mit ihrem gewählten Tan-Verfahren, ist mobiles Banking leider nicht möglich!" Es geht also defintiv nicht. Dazu kommt, dass man die Handynummern, die man dazu nutzt auch per Handy nicht ändern kann, da es wie gesagt nicht möglich ist, irgendeine Aktion per Handy zu machen, mal von Umsätze und Kontostand ansehen abgesehen. Der Halunke der irgendwas bei mir ändern will, braucht also die ID, PW und auch noch eine kopie von meiner SIM-Karte um mich zu bestehlen, so viel Aufwand dürfte sich bei den meisten Privatleuten kaum lohnen. Da denke ich lohnt es eher, durch gefakete EC-Karten-Einschübe und Pin-Eingabe-Felder die EC Karten auszuspionieren um das Konto so leer zu räumen, denn bei Überweisungen kann man auch immer nachvollziehen wo die hin gegangen sind, bei Bargeld-Abhebungen nicht.