Mobile-Banking nur relativ sicher
Mobile-Banking hat sich als Zahlungsform etabliert, ist jedoch nicht uneingeschränkt sicher. Ein markanter Schwachpunkt des Mobile-Banking ist der Übertragungsweg. Über SS7-Protokolle vermitteln Provider Anrufe, SMS und Daten von einem Netz in das nächste. Ursprünglich hatten nur staatlich kontrollierte Telefonanbieter Zugang zu diesem Netzwerk, inzwischen können sich Unternehmen den Zugang erkaufen. Zugänge werden von „Überwachungsakteuren“ wie Strafverfolgern, aber eben auch Kriminellen systematisch ausgenutzt. Sicherheitslücken finden sich demnach „in 3G-, 4G- und 5G-Netzwerken. Mit Zugang ist es möglich Handynutzer orten, SMS mitlesen, SMS -etwa zwischen Banken und Kunden- umleiten, Rufnummern umleiten, Telefone zu blockieren.
Stärkung der Kundensicherheit durch PSD2 (Paymend Service Directive2)
Zur Stärkung der Kundensicherheit sind seit dem 14. September 2019 Kreditinstitute durch die EU-Richtlinie PSD2 (Payment Services Directive 2) zu einer sog. starken Kundenauthentifizierung verpflichtet. Danach muss bei Onlinezahlungen und beim Zugriff auf Online-Banking eine Zwei-Faktoren-Authentifizierung verwendet werden. Diese beiden Faktoren müssen wahlweise aus den drei Kategorien Wissen (Pin/Passwort), Besitz (Kontokarte, Smartphone, TAN-Generator) oder Inhärenz (Stimme/Gesichtserkennung/ Fingerabdruck) stammen.
Unterschiedliche Verfahren zur Authentifizierungen und unterschiedliche Sicherheit
Die Verfahren zur Generierung der TAN sind unterschiedlich sicher. Auch hat das Kundenverhalten Einfluss auf die Sicherheit der Verfahren.
- mTAN und smsTAN bieten nur eine geringe Sicherheit. Durch Trojaner können SMS abfangen werden. Es kann eine 2. Sim-Karte erstellt werden, die ebenfalls alle SMS erhält.
- pushTAN Die TAN wird auf der pushTAN-App des Kreditinstituts angezeigt. Dieses Verfahren gilt als relativ sicher WENN der Kunde für den Empfang der TAN und für das Online-Banking nicht das gleiche Gerät verwendet.
- chipTAN Ein Tan-Generator zeigt nach Eingabe der Bankdaten die TAN an. Dieses Verfahren gilt als nahezu sicher.
- photoTAN/QR-TAN Mit Lesegerät oder Smartphone wird eine Barcode gescannt und hierauf ein TAN angezeigt. Dieses Verfahren gilt als nahezu sicher WENN ein verwendetes Smartphone nicht verloren wird und nicht Dritten zugänglich ist.
Praxis zeigt häufigen Betrug
Die Praxis zeigt, dass trotz der erhöhten Sicherheitsanforderungen durch die PSD2-Richtlinie die Zahl der Betrugsfälle beim Mobile-Banking hoch ist.
Rechtslage: Bei nicht autorisierten Abbuchungen grundsätzlich Anspruch auf Wiedergutschrift
Der Kontoinhaber hat gegen das kontoführende Institut einen Anspruch auf Wiedergutschrift nicht autorisierter Zahlungsvorgänge binnen Tagesfrist, § 675u S. 2 BGB.
Dieser Erstattungsverpflichtung kann sich Kreditinstitut nur dann entziehen, wenn es anhand konkreter Tatsachen nachweist, dass der Kunde sich grob fahrlässig verhalten hat. Mit der pauschalen Behauptung, das eigene System sei „sicher“ deshalb müsse der Kunde sich grob fahrlässig verhalten haben kann sich das Kreditinstitut seiner Erstattungspflicht nicht entziehen. Die Erfahrung zeigt, dass es in der Regel fachlicher anwaltlicher Hilfe und verschiedentlich auch der Inanspruchnahme gerichtlicher Hilfe bedarf, um Kreditinstitute zur Erfüllung ihrer gesetzlichen Verpflichtungen zu bewegen.
Daneben besteht die Möglichkeit, sich vertraglich gegen unbefugte Abbuchungen abzusichern, etwa sog. „Cyberversicherungen“ gegen Risiken im Zusammenhang mit der Internetnutzung abzuschließen. Diese sollen dann greifen, wenn die Bank die Erstattung verweigert. So existiert die „Sparkassenversicherung Internetschutz“ bei der die Versicherung dann greift, wenn die Sparkasse selbst die Erstattung abgelehnt hat. Ähnliche „Sicherheitsversprechen“ oder „Sicherheitsgarantien“ finden sich bei der ING-DiBa AG oder der Deutschen Bank AG.
Sicherheitsempfehlungen im Mobile-Banking
Die Beachtung folgender Hinweise erhöht die Sicherheit im Online-Banking:
Geben Sie Ihre PIN/TAN/Kartennummer für das Banking-Konto nicht an Dritte weiter. Speichern Sie diese nicht auf ihren Endgeräten. Nutzen Sie für die TAN-Generierung und das Banking verschiedene Endgeräte. Halten Sie Ihr mobiles Gerät hinsichtlich Betriebssystem etc. auf dem aktuellsten Stand. Installieren Sie die entsprechende Software (Banking App) nur von Ihrer Bank oder Ihrem bekannten App-Store. Verwenden Sie stets die aktuellste Version der Banking-App und installieren Sie Softwareupdates, sobald sie verfügbar sind. Nutzen Sie keine öffentlichen Netzwerke bzw. öffentliches WLAN Hotspots beim MobileBanking. Aktivieren Sie Bluetooth, NFC (Near-field-communication) und WLAN nur bei konkretem Gebrauch. Sichern Sie Ihre Banking-App mit einem komplexen Passwort. Nutzen Sie die starke Kundenauthentifizierung. Bei Beenden des Bankings die Banking-App nach Benutzung nicht schließen, sondern über den Button „Logout“ oder „Abmelden“ abmelden. Nutzen Sie die Sperrfunktion ihrer mobilen Endgeräte um bei Verlust, Diebstahl o.ä. den unbefugten Zugang zu verhindern. Lassen Sie bei Verlust des mobilen Gerätes unverzüglich Ihre SIM-Karte und alle Zugänge zu Ihren hinterlegten Bankkonten sperren. Überprüfen Sie regelmäßig Ihre Kontobewegungen und informieren Sie Ihre Bank bei Unregelmäßigkeiten.