Von Volker Riebartsch - 25.03.2013, 13:43

Geld und iPad

Bankgeschäfte auf dem iPad ohne Risiko

©iStockfoto

Laut Bundesverband Deutscher Banken erledigten im Jahr 2011 bereits 44 Prozent der Bevölkerung ihre Bankgeschäfte übers Internet. Zur Jahrtausendwende waren es gerade mal elf Prozent. Dabei gibt es Online-Banking schon mehr als 25 Jahre, damals noch unter dem Namen Btx – über Wählleitungen statt Internet-Verbindungen.
Für den rasanten Anstieg der Nutzerzahlen und die inzwischen hohe Akzeptanz gibt es mehrere Gründe. Internet-Anschlüsse sind heute in fast jedem Haushalt vorhanden. Online-Banking befreit zudem vom läs­ti­gen Ausfüllen der Überweisungsträger und macht unabhängig von Schalter-Öffnungszeiten.
Auch die Banken und Kreditinstitute haben großes Interesse daran, dass Finanztransaktionen automatisiert zwischen Kunden und Bank­rechner ablaufen – das spart Personal und somit Kosten. Schon seit geraumer Zeit haben die Banken deshalb die Kontoführungsgebühren für beleglosen Zahlungsverkehr heruntergesetzt und verlangen für Transaktionen, bei denen der Kunde etwa einen ausgefüllten Überweisungsträger oder Lastschriften einreicht, happige Beträge bis zu 2,50 Euro pro Transaktion.
Die hohe Akzeptanz von Online-Banking hat aber auch üble Zeitgenossen auf den Plan gerufen, die auf verschiedenen Wegen versuchen, an Ihr Geld zu kommen.

Banking-Apps


Die sicherste Lösung für Online-Banking am iPad sind Banking-Apps. Zwar können Sie theoretisch auch per Safari Ihre Geldgeschäfte am iPad erledigen, Apps sind aber deutlich sicherer. Sie unterstützen den HBCI-Standard, Transaktionen werden direkt zwischen iPad und Bankserver ausgeführt. Gute Apps unterstützen alle wichtigen TAN-Verfahren.

Online-Banking und Sicherheit

Legendär ist einer der ersten erfolgreichen Banken-Hacks aus dem Jahre 1984. Mitglieder des Chaos Computer Clubs (CCC, www.ccc.de ) hatten mit einem sogenannten Btx- oder Haspa-Hack das vom Btx-Betreiber Deutsche Post als sicher beworbene System ausgetrickst. Sie bekamen Zugriff auf den Zugangsrechner und luden dessen Hauptspeicherinhalt auf ihre Computer. Sie fanden die Zugangsdaten und das Passwort eines Accounts der Hamburger Sparkasse (Haspa). Die Mitglieder des CCC riefen nun die kostenpflichtige eigene Seite des Clubs mit den Account-Daten der Haspa wiederholt auf. In der Nacht wanderten auf ­diese Weise knapp 135.000 Mark auf das Konto des CCC – der das Geld nach dem Bekanntmachen des Sicherheitsproblems natürlich zurückzahlte.
Lange schon hat das Internet Btx beim Banking abgelöst. Doch auch hier werden immer wieder Sicherheitsprobleme gefunden und Bankkunden um ihr Geld gebracht. Während im genannten Fall vor fast 30 Jahren der Fehler in der Server-Konfiguration lag, also aufseiten der Betreiber, sind die Bankrechner heute direkt kaum angreifbar.
Die heutigen Sicherheitsprobleme betreffen die Rechner, Smartphones oder Tablet-PCs des Kunden sowie den Übertragungsweg der Transaktion, Stichworte: Phishing, Pharming, Trojaner. Hier ist der Benutzer gefordert, egal, über welches Endgerät er die Bankgeschäfte abwickelt. Die gute Nachricht: Ob am Rechner daheim über den Webbrowser oder am iPad, auch unterwegs: Sicheres Online-Banking ist möglich, solange sich der Benutzer an einige Richtlinien hält.

Basis PIN und TAN

Schon seit Btx-Zeiten sind die Eingabe einer PIN (Persönliche Identifikationsnummer) und der Kontonummer die Voraussetzung dafür, sein Bankkonto online abzufragen. Mit diesen beiden Parametern lassen sich Kontostände überprüfen und ge­tä­tig­te Überweisungen einsehen – aber keine Transaktionen wie Überweisungen, Lastschriften und so weiter erledigen. Für jede Transaktion benötigen Sie eine TAN (Transaktionsnummer). Diese ist etwa bei einer Überweisung sozusagen Ihre digitale Unterschrift. PIN und TANs werden von den Kreditinstituten ausgegeben.
Fast 25 Jahre lang bekamen die Bankkunden eine Liste, auf der Dutzende Transaktionsnummern verzeichnet waren. Jede Transaktion erforderte die Eingabe einer TAN, die man daraufhin auf der Liste durchstrich. Etwas sicherer war das Nachfolgeverfahren mit iTANs, das auch heute noch vereinzelt angewendet wird. Dabei ist jeder TAN auf der Liste eine Nummer zugeordnet. Will man etwa eine Online-Überweisung vornehmen, wird man angewiesen, die zu einer vom Bankrechner vorgegebenen Nummer zugehörige TAN einzutippen.
Beide Varianten haben gefährliche Sicherheitslücken. Gerät die Liste in falsche Hände, benötigt ein Datendieb lediglich noch Ihre PIN und Kontonummer, um das Konto zu räumen. Neben dem Diebstahl oder Verlust der Listen droht auch Gefahr bei einer Phishing-Attacke, wenn Sie also auf eine betrügerische E-Mail oder Website hereinfallen, die Ihnen gleich mehrere TANs unter einem falschen Vorwand entlocken will.

Sicheres mobiles TAN-Verfahren

Die meisten Geldinstitute bieten TAN-Listen gar nicht mehr an oder zumindest eine sichere Alternative. Ideal für iPad-Benutzer, die auch unterwegs Bankgeschäfte tätigen wollen oder müssen, ist das Verfahren mTAN, auch mobile TAN oder SMS-TAN genannt. Einzige Voraussetzung ist ein Mobiltelefon, das SMS empfangen kann. Am Rechner oder iPad nutzen Sie entweder das Web­inter­face oder eine geeignete App beziehungsweise ein Programm, mit dem Sie die Daten für die Überweisung eingeben können.
Der Bankrechner schickt Ihnen dann eine TAN auf Ihr Mobiltelefon, die Sie zur Überweisung eintragen. Die TAN ist zeitlich begrenzt nutzbar. Das mTAN-Verfahren setzt auf einen zweiten Übertragungskanal: Die Überweisung und der Empfang der SMS müssen auf getrennten Geräten erfolgen.

Vorsicht beim Banking per Browser

Wer zu Hause oder am iPad Banking über den Webbrowser erledigen will, sollte einige Vorsichtsmaßnahmen ergreifen, um sich vor bösen Überraschungen schützen.

 
  1. Schreibtisch aufräumen: 
Die Zugangsdaten oder Zugangsmedien zum Online-Banking wie PIN, TAN oder Chipkarte niemals offen auf dem Schreibtisch liegen lassen oder auf der Festplatte speichern.
  2. Guter Passwortschutz: 
Ein Passwort sollte mindestens acht Stellen lang sein, aus einer Mischung aus Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen bestehen und keine bekannten Begriffe oder Namen enthalten.
  3. Virenschutz: 
Wichtige Schutzmaßnahmen sind nicht nur der Einsatz aktueller Virenschutzsoftware und Firewalls, sondern auch stets aktuelle Updates des Betriebssystems.
  4. Verschlüsseln: 
PIN und TAN nur dann eingeben, wenn man sicher davon ausgehen kann, dass man sich auf der geschützten Internet-Seite der Bank befindet und eine verschlüsselte Verbindung benutzt. Letzteres erkennt man unter anderem daran, dass die Internet-Adresse (URL) der Bank mit https:// beginnt. Prüfen Sie das Zertifikat, falls Sie unsicher sind.
  5. Webseiten prüfen: 
Immer die Adresszeile des Browsers prüfen, ob die Adresse der Bank korrekt wiedergegeben ist. Bereits minimale Abweichungen in der URL könnten auf eine gefälschte Internet-Seite und damit auf einen Phishing-Angriff hinweisen – nutzen Sie Lesezeichen Ihres Browsers, nie Links in E-Mails.
  6. Keine öffentlichen Rechner: 
Online-Banking nach Möglichkeit nur von eigenen Geräten daheim betreiben und öffentliche Computer in Hotels oder Internet-Cafés meiden.
Im Jahr 2010 wurde die Möglichkeit einer Trojaner-Attacke auf das mTAN-Verfahren bekannt. Dazu war allerdings eine Manipulation am PC des Benutzers erforderlich. Er muss­te dazu gebracht werden, auf einer gefälschten Bankseite seine Handynummer einzugeben. Daraufhin wurde eine SMS mit einem Link an das Handy geschickt, der den Download einer Schadsoftware auslöste. Das Schadprogramm startete seine Arbeit am Handy. Die genannte Trojanerversion funktionierte an Symbian-Smartphones und Blackberrys. Unter iOS ist das bei einem nicht „gehackten“ iPad oder iPhone nicht möglich, hier braucht man sich also keine Sorgen zu machen.
Daneben gibt es weitere sichere TAN-Verfahren, die die Anschaffung beziehungsweise Nutzung von zusätzlicher Hardware erfordern.

TAN-Verfahren

  • iTAN Jede TAN auf der TAN-Liste ist fortlaufend nummeriert. Gibt man eine Transaktion ein, fragt der Bankrechner eine TAN von der Liste ab. Dies verhindert Phishing, jedoch nicht Pharming oder Trojaner.
  • iTAN plus Eine Weiterentwicklung des iTAN-Verfahrens. Ein Kontrollbild wird vor der TAN-Eingabe eingeblendet, das die Daten des Zahlungsauftrags, das Geburtsdatum des Kunden sowie die laufende Nummer der geforderten TAN anzeigt. Das Kontrollbild hat ein Raster, ein maschinelles Auslesen der TAN ist so nicht möglich.
  • mTAN Für jede Transaktion sendet der Bankrechner eine TAN sowie die Transaktionsdaten per SMS auf das Mobiltelefon. Das Verfahren gilt als sicher, weil zwei verschiedene Übertragungswege beteiligt sind. Eine unbenutzte mTAN verfällt nach kurzer Zeit.
  • eTAN Von seiner Bank erhält man ein elektronisches Gerät, das für jede Transaktion per Knopfdruck eine TAN erzeugt, die nur wenige Minuten gültig ist. Phishing-Versuche werden zwar erschwert, aber vor Trojanern oder Pharming schützt das Verfahren nicht.
  • eTAN Plus Eine Weiterentwicklung des eTAN-Verfahrens, bei der zusätzlich ein Karteneinschub für die EC-Karte im TAN-Generator vorhanden ist. Den von der Bank anhand der Transaktionsdaten erhaltenen Code tippt man auf der Tastatur des Gerätes ein, das daraus anschließend die TAN errechnet.
  • HBCI-Verfahren Das derzeit sicherste Verfahren, bei dem man eine Chipkarte der Bank, eine entsprechende Software auf dem Rechner und ein Kartenlesegerät benötigt. Zu empfehlen sind Kartenleser der Klasse 2 oder 3 mit Prozessor und eigener Tastatur. Die Chipkarte verschlüsselt die Daten und wehrt somit Phishing, Pharming und Trojaner ab.

Browser oder App

Die meisten Nutzer setzen auf On­line-Banking per Browser. Fast alle Geldinstitute bieten Banking per Webinterface. Nach der Anmeldung für das Online-Banking und der Wahl des TAN-Verfahrens kann es losgehen. Doch hier ist Vorsicht geboten. Banking per Webbrowser setzt voraus, dass Sie Sicherheitsmaßnahmen ergreifen – ganz sicher ist die Lösung weder am PC noch am iPad.

Sicheres TAN-Verfahren nutzen

Ob Sie zu Hause am Rechner über den Webbrowser oder ein Banking-Programm Ihre Geldgeschäfte erledigen oder unterwegs am iPad mit einer Banking-App: Nutzen Sie das mTAN-Verfahren. Sie füllen im Browser oder in der iPad-App die Überweisung aus und schicken das Formular ab. Sie bekommen eine neue Seite angezeigt, wo die Überweisungsdaten noch einmal angezeigt werden. Hier müssen Sie die TAN für die eigentliche Überweisung eintragen. Sie bekommen sie per SMS auf Ihr Mobiltelefon geschickt. mTANs sind zeitlich begrenzt gültig.
Einige Sicherheitsrisiken resul­tie­ren aus der Schwäche der Web­brow­ser und des Betriebssystems – nicht nur bei iPad und iPhone, sondern besonders auf dem PC. Dazu kommt oft die Arglosigkeit der Benutzer. Beim sogenannten Phishing etwa wird ein Benutzer per E-Mail aufgefordert, seine Kontoinformationen online zu aktualisieren. Die angegebenen Links führen allerdings nicht zur eigenen Bank, sondern auf täuschend echt aussehende, aber gefälschte Seiten. Dort wollen Betrüger die vertraulichen Daten abfangen. Basierend auf einer Manipulation der DNS-Anfragen von Webbrowsern, versuchen Betrüger, den Benutzer auf gefälschte Webseiten trotz korrekt eingegebener URL umzuleiten – Pharming genannt. Zu guter Letzt können sogenannte Trojaner im Hintergrund ihr Unwesen treiben, etwa Passwörter abfangen. Unterwegs an einem Hotspot könnte zudem ein betrügerischer Betreiber des Internet-Zugangs versuchen, relevante Daten abzufangen.
Banking-Apps setzen auf den Standard HBCI. Alle Daten werden verschlüsselt zwischen der iPad-App und dem Bankserver übertragen und nehmen keine Umwege über die Sys­te­me Dritter. Phishing, Pharming und Trojaner haben keine Chance.
HBCI steht für Homebanking Computer Interface und ist ein offener Standard für den Bereich Electronic Banking. Er wurde von verschiedenen Bankengruppen in Deutschland entwickelt und vom Zentralen Kreditausschuss (heute: Deutsche Kreditwirtschaft) beschlossen. HBCI ist eine standardisierte Schnittstelle für das Homebanking. Dabei werden Übertragungsprotokolle, Nachrichtenformate und Sicherheitsverfahren definiert.

Welche Bank, welche App?

Wer seine Finanztransaktionen online mit dem iPad erledigen will, sollte dies unbedingt mit einer Banking-App tun. Auch Benutzer, die am heimischen Rechner Online-Banking betreiben, sollten das sicherheitshalber nicht per Browser tun. Auch hier gibt es Programme, die sichere Datenübertragung und TAN-Verfahren unterstützen wie etwa Starmoney oder Outbank.

Outbank: Banking-App für iPad und iPhone

Schon lange auf dem Markt ist die Banking-App Outbank, vormals unter dem Namen iOutbank. Stoeger IT bietet sie als Universal-App für iPad und iPhone an. Mit einem Preis von 8,99 Euro gehört die App zu den teureren Lösungen. Outbank ist aber wie seine Vorgänger gut ausgestattet und arbeitet mit allen gängigen Geldinstituten. Vor dem Kauf prüfen Sie unter www.outbank.de/support-und-kontakt, ob Ihre Bank dabei ist – das gilt übrigens auch für Apps anderer Hersteller.
Outbank unterstützt alle wichtigen Geldinstitute sowie Kredit­karten, Paypal-Accounts und mehr.
Mit der gut gemachten App lassen sich auch Daueraufträge ­verwalten, Kontakte mit Bankdaten speichern und mehr. Outbank ­beherrscht alle modernen TAN-Verfahren.
Für die Nutzung an iOS-Geräten hat der Benutzer die Qual der Wahl. Viele Geldinstitute bieten ihren Kunden eigene Lösungen, die entweder kostenlos oder wenigstens kostengünstig sind. Wer Konten bei mehreren Geldinstituten, dazu Kreditkarten, Paypal-Accounts und mehr verwalten will, dem empfehlen wir Outbank (vormals iOutbank) von Stoeger IT. Die Lösung unterstützt fast alle Geldinstitute, zudem Kreditkarten-Anbieter, Paypal und mehr. Darüber hinaus lassen sich Termin-Überweisungen ebenso einrichten wie Auswertungen der Kontobewegungen. Outbank unterstützt alle wichtigen TAN-Verfahren.
Wichtig bei der Wahl der App ist es, vor dem Kauf zu prüfen, ob die Hausbank unterstützt wird. Die App-Anbieter stellen auf ihren Webseiten dazu ein Formular ein, in das Sie die Bankleitzahl Ihrer Bank eintragen. So erfahren Sie, ob die App für Ihre Zwecke geeignet ist.
Unterstützt Ihre Hausbank kein modernes TAN-Verfahren, erhebt gar Extragebühren für die Online-Nutzung oder bietet das nur beschränkt an, sollten Sie sich nach einem anderen Institut umsehen, wollen Sie Geldgeschäfte online erledigen.
Kommentar verfassen:
Kommentar verfassen

Login über einen Foren Account





Gastposting

Gastbeiträge müssen erst freigeschaltet werden, bevor Sie auf der Seite erscheinen.





Bestellen Sie "Macwelt Daily-Newsletter" kostenlos
Immer informiert sein:

Mit den kostenlosen Newslettern der Macwelt bleiben Sie auf dem Laufenden!

- Anzeige -
Angebote für Leser
Macwelt für iPad

Für iPad und iPhone: Macwelt Kiosk
Die Macwelt als Digitalausgabe für iPad und iPhone - schon am Freitag vor dem Erstverkaufstag des Heftes im App Store erhältlich.

Macwelt mobil

Macwelt Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Handytarif-Check
Mit unserem neuen Smartphone Tarifrechner finden Sie schnell den passenden Handytarif.

3x Macwelt testen!
Ja, ich teste 3x die Macwelt mit CD für nur 12,90 € (19,- Sfr).
Macwelt 08/14
Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:
Bestätigen
Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.
Ich bin damit einverstanden, dass die IDG Tech Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.
Jetzt anfordern
1741637
Content Management by InterRed