DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Online-Banking mit dem Smart­phone

Früher, Heute, Morgen – die Zeiten ändern sich und wer nicht mit der Zeit geht, geht mit der Zeit! Ein neues Ver­fahren erleichtert Bank­ge­schäfte jeder Art und das Positive: die Risiken sind nicht wirklich größer geworden.

Früher war alles Analog! Und heute? Heute ist vieles auch digital möglich. Manche ver­teufeln das Internet wie andere im vor­letzten Jahr­hundert die Eisenbahn als Mutter vieler Pro­bleme.

Zu allen Zeiten und auch in der ana­logen Welt gibt es Betrüger und Kri­mi­nelle. Und was uns die Geschichten von Hoch­s­ta­blern lehren: Man sieht es nie­manden an der Nasen­spitze, seiner Kleidung oder Her­kunft an. Auch beim Online-Banking im Internet sind die Zustände nicht anders. Also alles beim alten!?
Nicht ganz! Wie überall im Leben: Man muss erst ein Gespür für die Sache ent­wi­ckeln, oder noch besser: die Regeln und Risiken kennen. Ein erster Schritt ist es, Zugang zum Konto zu erhalten. Kri­tisch wird es aber erst, wenn bei­spiels­weise Über­wei­sungen gefälscht werden.

Wenn nun der gesamte Banking-Vorgang auf das Smart­phone ver­lagert werden und dort mög­lichst einfach funk­tio­nieren soll, sind ein paar Dinge zu beachten.

Beim Online-Banking gibt es für die Sicherheit bei Geld-Tran­s­ak­­tionen ein Duzend ver­schiedene Ver­fahren. 2 davon gelten als zeit­gemäß und besonders sicher: Über­mittlung einer TAN via SMS an ein Smart­phone (mTan) und Erstellen einer TAN durch einen Tan-Gene­­rator mit­hilfe einer Chip-Karte einer Bank (Sm@rtTAN / Cip-TAN).

Nach den Erfolgen am PC hat das so genannte Phishing — auf­grund stei­gender Nut­zer­zahlen beim Online-Banking — natürlich auch das Smart­phone erreicht (Quelle: BSI).
 

Der weit ver­breitete Meinung, es gibt kaum Malware für Smart­phones, kann man ent­ge­gen­halten: Mitte der 80er gab es auch kaum Viren für PCs. Was nicht ist, wird sicher mit stei­genden Nut­zer­zahlen noch kommen. Und es wird  — wie damals — vor allem das Betriebs­system mit dem größten Markt­anteil treffen.
 

Am Smart­phone ist das am PC sichere Ver­fahren mTAN sogar gefährlich: Im Gegensatz zum Arbeiten mit Handy+PC gibt es keine phy­sische Trennung von TAN-Über­­­tra­­gungsweg und TAN-Eingabe in Browser bzw. Online-Banking-Software. Hat man sich einen Banking-Tro­­janer ein­ge­fangen ist dann ganz schnell das Geld bei der nächsten Über­weisung weg: Die Über­wei­sungs­daten sind schnell gefälscht – und die TAN zur Bestä­tigung kommt auch gleich frei Haus.


Sicherer ist hier das Chip-TAN (Sm@rt-TAN) ‑Ver­fahren. Aller­dings gibt es hierbei das gleiche Han­dicap wie bei den anderen Ver­fahren: neben dem Smart­phone muss man ein zusätz­liches Medium mit sich führen: Ent­weder habe ich meine TANs auf Papier dabei – oder ich muss sie via TAN-Gene­­rator erst erstellen, also per zusätz­lichem elek­tro­ni­schem Gerät. Die Idee, TANs ein­zu­spei­chern, war bereits bei den PC-Lösungen schon keine gute Idee: Malware kann sie aus­lesen.
 

Für Phi­scher und Malware-Her­steller ist es recht prak­tisch, dass sowohl die Sicher­heits-Software als auch die Sicher­heits­kultur für´s Arbeiten mit Smart­phones noch in den Kin­der­schuhen steckt. Nicht für alle Geräte gibt es Anti­­viren-Software – und nicht überall ist sie instal­liert. Aber auch Gele­genheit macht Diebe: Smart­Phones bleiben gerne mal liegen oder werden schnell ver­loren: Ohne PIN-Schutz für das Gerät und mit ein­ge­spei­cherten PIN´s und Kon­to­daten sowie per­manent aktiven Banking-Apps kann sich eigentlich jeder bedienen, der das Gerät in die Hände bekommt.
 

Zusam­men­ge­fasst: Wer seine Bank­ge­schäfte kom­plett auf dem Smart­phone erle­digen möchte, muss ent­weder darauf ver­trauen, dass schon nichts pas­sieren wird, einen guten Viren­scanner haben oder ein 2. Medium für TANs.
 

Grund­sätzlich sollte man immer dann ein Anti­­viren-Pro­­­gramm instal­lieren, wenn die AV-Her­steller eines anbieten. Es gibt dann meist einen guten Grund: Ist auf­grund der Markt­po­sition genügend Malware im Umlauf, wird der Druck auf die Anbieter von Smart­phones groß genug, um Sicher­heits­software anzu­bieten, Sicher­heits­software zuzu­lassen bzw. sich um mehr Sicherheit zu kümmern.

Ein Kommentar zu Online-Banking mit dem Smartphone

  • Horst Blum sagt:

    TAN-Gene­rator oder doch nicht am smart­phone
    Die Emp­feh­lungen beim online-banking mit smart­phones nicht das mTAN-Ver­fahren zu ver­wenden kann ich gut nach­voll­ziehen .…. aber habt ihr wirklich mal in der Praxis den TAn-Gene­rator am smart­phone-Bild­schirmchen ein­ge­setzt? War eine volle Kata­strophe bei mir. Wenn ich im Urlaub mal ein paar Über­wei­dungen machen muss, bleibe ich beim m‑TAN-Ver­fahren, lasse aber die TAN an das Handy meiner Frau schicken. Wer keine ver­trauen­würdige Frau mit Handy hat, muss den Trend eines Zweit- oder Dritt­handys einfach weiter folgen. *g

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Walter Leon­hardt, DATEV eG

Dipl. Infor­ma­tiker (FH). Hat Technik von der Pike auf in seiner Aus­bildung zum Nach­rich­ten­ge­rä­te­me­cha­niker und Fein­ge­rä­te­elek­tro­niker gelernt. Nach seinem Studium der Infor­matik begann er 1990 bei DATEV in den Bereichen Ent­wicklung und Grund­satz­stra­tegien. Mitt­ler­weile leitet er die Abteilung IT-Research im Bereich Stra­te­gische Unter­neh­mens­ent­wicklung und beschäftigt sich mit der Vir­tua­li­sierung von Com­pu­ter­res­sourcen, der digi­talen Rech­te­ver­waltung oder Workflow-Management-Sys­temen.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.