Der unaufhaltsame Siegeszug der Smartphones macht auch vor dem Finanzsektor keinen Halt: So wird jedes fünfte Bankgeschäft mittlerweile über Mobile Banking abgewickelt. 47 Prozent der Smartphone-Besitzer in Deutschland nutzen ihr Mobilgerät bereits heute für die Verwaltung ihrer Finanzen, um etwa spontan Kontostände abzufragen oder unterwegs Überweisungen zu erledigen.
Immer mehr greifen dabei auf spezielle Banking-Applikationen zurück anstatt via Internetbrowser zu den mobilen Onlineseiten ihres Finanzdienstleisters zu gelangen. Rund 5,2 Millionen Banking-Apps wurden im vergangenen Jahr in den App-Stores von Google und Apple heruntergeladen.
So bequem und praktisch Smartphone-Banking auch sein mag, in Sachen Sicherheit stellt es Nutzer und Anbieter vor große Herausforderungen. Obwohl die Sicherheitsbedenken beim Bezahlen über mobiles Internet relativ groß sind, lassen die notwendigen Sicherheitsmaßnahmen oft zu wünschen übrig und machen mobile Transaktionen für Hacker und Betrüger so zur leichten Beute. Wie sicher mobile Bankgeschäfte sind, hängt letztlich von den Standards der Bank, dem Sicherheitsniveau der Applikationen sowie den Vorsichtsmaßnahmen der Nutzer ab. Worauf gilt es bei Endgerät, Banking-App und Netzwerk also zu achten, um Hackerangriffen und Manipulationen bestmöglich zu entgehen?
1. Banking-Apps auch in offiziellen Stores überprüfen
In die erste Hacker-Falle kann man bereits beim Download der ausgewählten Banking-App tappen. Unseriöse App-Stores und Drittanbieterseiten sind hier grundsätzlich tabu, das ist klar. Zu groß ist die Gefahr an Fake-Apps oder verseuchte Anwendungen zu gelangen. Aus diesem Grund gilt es auch sicherzustellen, dass die Einstellungen des Mobilgerätes Downloads aus inoffiziellen Stores von vorne herein unterbinden. Leider bieten aber auch etablierte Stores wie Google Play oder die App Stores von Apple oder Samsung keine hundertprozentige Sicherheit, denn hin und wieder gelingt es versierten Cyberkriminellen, kompromittierte Applikationen als reguläre Versionen beliebter Apps zu tarnen und in die Stores zu schmuggeln. Fatal ist dabei, dass die schadhaften Programme nicht nur den gleichen Namen wie die Originale tragen, sondern oft auch mit dem gleichen Symbol auftauchen. Auch in offiziellen Stores lohnt sich vor dem Download deshalb ein zweiter Blick, z.B. auf Downloadzahlen, Nutzerbewertungen oder Preise. Wurde die Banking-App einer beliebten Bank nur wenige Male heruntergeladen oder ist eine eigentlich kostenpflichtige Anwendung plötzlich kostenlos zu haben, sollte man stutzig werden.
2. Betriebssystem und Banking-Applikationen regelmäßigen updaten
Wer sich für Mobile-Banking über eine Applikation entscheidet, sollte dafür sorgen, dass sowohl das Betriebssystem des Gerätes als auch die App selbst sicherheitstechnisch immer auf dem neuesten Stand sind. Versierte Hacker sind stets auf der Suche nach möglichen Sicherheitslücken und Schwachstellen der App und werden dabei auch immer wieder fündig. Betroffene Anbieter stellen ihren Kunden dann in der Regel so schnell es geht ein Update mit entsprechenden Patches zur Verfügung. Für Banking-Kunden ist es daher unerlässlich, die aktuellste Version der App regelmäßig herunterzuladen, um das Risiko von Hackerangriffen zu minimieren. Am besten aktiviert man daher bei Banking-Apps ein automatisches Update-Download.
3. Auf wirksame Applikations-Härtung, Verschlüsselung und Laufzeitschutz achten
Wie schlecht es um die Sicherheit mobiler Banking-Apps gestellt ist, zeigen regelmäßig verschiedene Untersuchungen und Studien. So auch der State of App Security Report vom vergangenen Januar, im Rahmen dessen 55 der beliebtesten mobilen Finanz- und Banking-Apps aus Deutschland, den USA, UK und Japan analysiert wurden. Das Ergebnis ist erschreckend: Der Großteil der untersuchten Apps ist demnach anfällig für Manipulationen und Datendiebstahl: So mangelte es 98 Prozent der Apps an einem wirksamen Binärcodeschutz. 91 Prozent der Finanz-Apps wiesen zudem eine unzureichende Sicherung der Transportschicht auf, d.h. die Ebene, auf der die Daten übertragen werden. Sicherheitslücken wie diese begünstigten gefährliche Manipulationen durch Hacker. Obwohl heute bereits 84 Prozent aller Cyberangriffe auf Applikationsebene stattfinden, vernachlässigen viele Banken und Finanzdienstleister offensichtlich die notwendigen Sicherheitsvorkehrungen bei der Entwicklung ihrer mobilen Apps. Doch nur wenn die App bereits nach Abschluss ihres Entwicklungsprozesses auf Binärcode-Ebene mit mehrschichtigen und dynamischen Schutzmechanismen und einer aktiven Verschlüsselung sensibler Keys ausgestattet wurde, kann sie ausgefeilten Hackerangriffen standhalten. Banken und ihre Software-Entwickler sollten daher auf innovative App-Härtungs-Technologien, Laufzeitschutz und WhiteBox-Kryptographie zurückgreifen, um ihre Kunden vor Datendiebstahl, unautorisierten Transaktionen und finanziellen Verlusten bestmöglich zu schützen.
4. Sichere Chip- oder Smart-TAN-Verfahren nutzen
Sicherheit steht beim Online-Banking – egal ob am PC oder mobil – an erster Stelle. Das wissen auch die Banken und haben neben Einwahldaten und Passwort mit der Transaktionsnummer ein weiteres Verfahren eingeführt, um Online-Bankaufträge abzusichern. Neben der klassischen TAN-Liste aus Papier steht den Bankkunden mittlerweile eine ganze Reihe von unterschiedlichen TAN-Methoden zur Verfügung, die es sorgfältig abzuwägen gilt. Denn wie sicher Mobile Banking ist, hängt letztlich auch stark vom verwendeten TAN-Verfahren ab. Nicht nur das beliebte mTAN-Verfahren, bei dem eine einmal gültige Transaktionsnummer per SMS auf das Smartphone geschickt wird, wurde schon mehrfach angegriffen. Auch die PushTAN-Variante, bei der die TAN über eine spezielle App auf dasselbe Gerät mit verschlüsselter IP-Verbindung übertragen wird, stand in den letzten Monaten immer wieder in den Schlagzeilen. Das Problem: Ist das Mobilgerät an sich kompromittiert, hat ein Hacker möglicherweise auf beide Applikationen Zugriff und damit auch die Möglichkeit, Transaktionen zu manipulieren. Sicherer – wenn auch deutlich weniger praktisch – sind beim Mobile Banking daher das Chip-TAN- oder Smart-TAN-Verfahren, bei dem die TAN auf einem externen Lesegerät, einem sogenannten TAN-Calculator, generiert wird.
5. Login-Daten niemals auf dem Gerät speichern
600 Smartphones werden in Deutschland jeden Tag gestohlen, wobei 86 Prozent der Bestohlenen den Diebstahl nicht sofort bemerken. Schlimmer als der materielle Verlust des Gerätes, ist in der Regel der Verlust der privaten und sensiblen Daten, die darauf gespeichert sind. Auch wenn es bequem erscheint, sollten Mobile Banking-Kunden daher davon absehen, ein automatisches Login einzurichten oder Einwahldaten auf dem Mobilgerät zu speichern, um einen Missbrauch bei Diebstahl oder Verlust zu vermeiden. Wer mobil Bankgeschäfte macht, sollte zudem stets darauf achten, die Tastensperre mit PIN eingestellt zu haben.