Banking vom Smartphone: Dieser Gefahren sollte man sich bewusst sein | Update 2023

  • 5 Minuten Lesezeit

Die vielfältigen Betrugsmaschen im Kontext Mobile Banking und Online-Banking


Überweisungen bequem von unterwegs tätigen. Dazu wird inzwischen gerne zum Smartphone gegriffen. Mittels einer mobilen Banking-App lässt sich bequem auf das eigene Konto zugreifen und Transaktionen tätigen. Mobile-Banking ist jedoch nicht ohne Risiken. Betrüger nutzen verschiedene Methoden, um an die Zugangsdaten für das Online-Banking zu gelangen. Einem Betroffenen entsteht schnell ein hoher finanzieller Schaden.


Die Angriffsmethoden bei Online- und Mobile-Banking ähneln sich


1.  Schadsoftware/Malware

Eine Angriffsmethode, besonders beim Online-Banking, ist die Verwendung von Schadsoftware. Diese zeichnet die Tastatureingaben des Nutzers auf und übermittelt sie an Dritte. Als nützliches Computerprogramm bzw. App getarnt, gelangt Malware auf das Gerät des Nutzers und wird zum Ausspähen von Bank- und Zugangsdaten genutzt. Die Attacke ist für den unvorbereiteten Nutzer nicht offen erkennbar. Was für den Nutzer wie ein gewöhnlicher Verbindungsabbruch aussieht, wird zur Verdeckung des Abfangens der Nutzereingaben verwendet. Die Schadsoftware kann auf verschiedene Arten auf ihr Gerät gelangen. Das versehentliche Besuchen einer schadhaften Website oder auch eine Sicherheitslücke im Betriebssystem des Geräts, die mittels Exploit ausgenutzt wird, können Gründe dafür sein.


2.      Pharming

Eine weitere Methode eines typischen Angriffs nennt sich Pharming. Angriffsziel ist der DNS-Server einer Website. Diese dienen dazu, den URL-Link einer Website in die dazugehörige IP-Adresse zu übersetzen. Es handelt sich beim Pharming um die Manipulation eines DNS-Servers, sodass die Webseiten-Adresse nicht auf die gewollte, sondern auf die Seite des Betrügers weiterleitet. Die Fake-Seite sieht der eigentlich gewünschten dabei täuschend ähnlich, da sie detailgetreu nachgebaut wird. Gibt der Nutzer dort jedoch seine Zugangsdaten ein, gelangt er nicht zu seinem Bankkonto, sondern gibt seine Daten dem Angreifer preis.


3.      Man-in-the-Middle-Angriff

Bei einem Man-in-the-Middle Angriff schaltet sich ein Dritter zwischen die Kommunikation von Zahlungsdienstleister und Zahlungsdienstnutzer. Diese wird abgefangen und der Zahlungsauftrag vor der Autorisierung durch den Nutzer manipuliert. Auf diese Weise wird dem Nutzer eine Autorisierung für einen gar nicht beabsichtigten Zahlungsauftrag entlockt.


4.      Phishing

Die Angriffsvariante des Phishings ist vielen Nutzern bekannt. Durch unterschiedliche Methoden wird dabei versucht, die Zugangsdaten eines Online-Banking-Nutzers zu erbeuten. Dabei wird gerne auf E-Mails oder SMS zurückgegriffen, welche den Eindruck erwecken, sie seien eine offizielle Nachricht der Bank des Nutzers, indem sie den tatsächlichen Namen der Bank in der Absenderadresse verwenden. Phishing kann auch über einen Anruf erfolgen. Beim sogenannten Voice-Phishing handelt es sich um automatisierte Telefonanrufe, welche, in denen der Betroffene unter einem Vorwand zur Preisgabe seiner Zugangsdaten bewegt werden soll.


5.      Social Engineering

Beim Social Engineering wird der gute Glaube des Opfers, das Richtige zu tun, ausgenutzt. Ein solcher Angriff zielt dabei als Schwachstelle auf menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft oder Respekt vor Autorität ab. Dem Betroffenen wird beispielsweise vorgegaukelt, beim Anrufe handele es um einen Systemadministrator, der die Zugangsdaten des Betroffenen benötige, um eine angeblich bestehende Sicherheitslücke zu schließen. Das Opfer, das auf die Täuschung hereinfällt, handelt daher häufig in dem Glauben, einen Schaden abzuwenden. Damit die Identitätstäuschung des Angreifers gelingt, wird der Social-Engineering-Angriff regelmäßig sorgfältig vorbereitet. Im Vorfeld werden dazu durch Phishing Daten erbeutet, damit dem Opfer keine aufkommen. So berichten Opfer davon, dass Angreifer sie unter der Angabe des korrekten Namens des tatsächlich zuständigen Kundenbetreuers anriefen oder bereits über bestimmte Kontovorgänge Bescheid wussten.


Wie lässt sich die Sicherheit beim Online- bzw. Mobile-Banking erhöhen?


Aktuelles Betriebssystem und Virenschutzprogramm

Den Zahlungsdienstnutzer trifft nach § 675l BGB eine allgemeine Pflicht zur Sicherung seiner IT-Infrastruktur. Dies bedeutet, dass er seinen Computer oder sein Smartphone mit der entsprechenden Software zur Abwehr typischer Angriffsarten ausstatten muss. Je nach Gerät sind die Anforderungen unterschiedlich. Beim Online-Banking am Computer sollte dieser über ein aktuelles Antivirenprogramm verfügen. Weiterhin sollten sowohl das Betriebssystem als auch die Antivirensoftware regelmäßig durch Sicherheitsupdates aktualisiert werden.


Sichere Legitimations- und Übertragungsverfahren

Beim Online-Banking besteht die Möglichkeit, den FinTS- oder EBICS-Standard zu nutzen. Dabei handelt es sich um Online-Banking-Softwareprodukte, bei denen der Nutzer über standardisierte Legitimations- und Übertragungsverfahren mit dem Zahlungsdienstleister kommuniziert. Dies empfiehlt sich insbesondere für Unternehmen und Nutzer mit großvolumigen Aufträgen.


Vorsicht ist besser als Nachsicht

Bei Verdachtsmomenten, die auf einen Online-Banking-Angriff schließen lassen, sollte im Zweifelsfall die Nutzung des Online- oder Mobile-Bankings eingestellt und eine sofortige Kontosperrung bei der Bank veranlasst werden. Hier gilt das bekannte Sprichwort: Vorsicht ist besser als Nachsicht. Wenn Sie beim mTAN-Verfahren Abweichungen zwischen dem gewünschten Zahlungsauftrag und dem in der SMS angegebenen Zahlungsauftrag feststellen, sollten Sie den Vorgang unbedingt abbrechen. Gleiches gilt, wenn Sie auf einer Website, per E-Mail oder telefonisch aufgefordert werden, mehrere TANs für einen einzelnen Zahlungsauftrag einzugeben.


Geräte im Werkszustand belassen

Insbesondere beim Mobile Banking, also der Nutzung des Smartphones für das Online-Banking, sollten keine Geräte verwendet werden, deren Hard- oder Software verändert wurde. Apple-Geräte sind aufgrund ihres geschlossenen Systems, bei dem jede Anwendung vor der Veröffentlichung auf Schadsoftware geprüft wird, bauartbedingt besonders sicher. Dieser Schutz geht jedoch verloren, wenn ein sogenannter Jailbreak, also eine Veränderung der Software, durchgeführt wird. Ähnlich verhält es sich bei Geräten mit dem Betriebssystem Android. Auch hier ist Software, die über den systemimmanenten Play-Store bezogen wird, geprüft. Allerdings kann mittels Side-Loading auch ungeprüfte Software aus unbekannten Quellen installiert werden, was ein Sicherheitsrisiko darstellt. Software für Smartphones sollte daher grundsätzlich nur von offiziellen Quellen heruntergeladen werden.


Sicherer Umgang mit sensiblen Daten

Das für das Online-Banking verwendete Gerät sollte vor dem Zugriff Dritter geschützt werden. Am Computer kann dies durch das Festlegen eines Passwortes erfolgen. Beim Smartphone sollte das Entsperren des Displays mit einem Passwort gesichert werden. Ferner sollten alle sensiblen Daten und die zur Autorisierung verwendeten Geräte sicher verwahrt werden.


Erfolgreicher Online-Banking-Betrug - Wer kommt für den Schaden auf?

Grundsätzlich haftet die Bank dem Zahlungsdienstnutzer nach § 675u Satz 2 BGB, wenn sie nicht autorisierte Zahlungsaufträge ausführt. Kann der Zahler also nachweisen, dass er einen entsprechenden Auftrag nicht autorisiert hat, steht ihm ein Erstattungsanspruch zu. Verstößt der Zahlungsdienstnutzer jedoch grob fahrlässig gegen seine Pflicht aus § 675l BGB, angemessene Vorkehrungen gegen nicht autorisierte Zugriffe zu treffen und im Falle einer missbräuchlichen Verwendung die Bank unverzüglich zu unterrichten, kann die Bank die Erstattung berechtigterweise verweigern.


Sie haben Probleme mit Ihrer Mobile Banking Sicherheit?

Kontaktieren Sie die Kanzlei Hermann Kaufmann und vereinbaren Sie einen persönlichen Termin. Als Kanzlei mit einem Fachanwalt für Bank- und Kapitalmarktrecht verfügen wir für Ihre rechtliche Angelegenheit über die nötige Expertise, Sie professionell und individuell zu beraten und Ihr Recht - erforderlichenfalls auch vor Gericht - zu erkämpfen.


Quellen

BSI - Mobile Banking (bund.de)

BSI - Gefahren und Sicherheitsrisiken (bund.de)

BaFin - Fachartikel - Fachartikel: Online-Banking - Sicherheitsaspekte aus …

Betrug: Naive Bankkunden bekommen keinen Schadensersatz (lto.de)

Fake-SMS zu Online-Banking, Steuerbescheid und Gerichtsvollziehern | Verbraucherzentrale.de

Online-Banking | Wer haftet, wenn das Konto leer geräumt wurde? (iww.de)

Girokonto-Vergleich: So geht sicheres Onlinebanking | Stiftung Warentest

FinTS - Deutsche Kreditwirtschaft (die-dk.de)

Neuer Online-Banking-Betrug | Update 2021 | Jetzt Hilfe Holen! (rechtsanwaltkaufmann.de)

https://rechtsanwaltkaufmann.de/bank-und-kapitalmarktrecht/mobile-banking-sicherheit-und-gefahren-2023




Foto(s): Foto von Tech Daily gefunden auf Unsplash


Artikel teilen:


Sie haben Fragen? Jetzt Kontakt aufnehmen!

Weitere Rechtstipps von Rechtsanwalt Hermann Kaufmann

Beiträge zum Thema