Gefahren beim Online-Banking mit Smartphone: So können Sie sich schützen! | Update 2024

Online Banking Smartphone Gefahren und Phishing
Foto von Tech Daily gefunden auf Unsplash

Pharming, Phishing, Man-in-the-Middle: Die Risiken des Online- und Mobile-Banking – Betrugsmaschen 2024

Was man beim Verwenden des Smartphones zum Mobile-Banking beachtet werden sollte | Update 2024

Das Smartphone ist aus der heutigen Gesellschaft kaum hinweg zu denken. Es ist den meisten Nutzern ein ständiger Wegbegleiter und wird längst nicht mehr lediglich zum Telefonieren genutzt. Auch Online-Banking erfolgt vermehrt über das Smartphone. Das sogenannte Mobile-Banking birgt allerdings ähnliche Gefahren, wie sie auch bei der Nutzung des heimischen Computers auftreten.

Die typischen Angriffe beim Online- und Mobile-Banking

1.  Schadsoftware/Malware

Eine Angriffsvariante beim Online-Banking ist die Verwendung von Schadsoftware, welche die Tastatureingaben des Nutzers protokolliert und an Dritte weiterleitet. Diese Software, auch Malware genannt, wird häufig als nützliches Computerprogramm getarnt, welches jedoch letztlich als trojanisches Pferd dem Ausspionieren von Bank- und Zugangsdaten dient. Ein Malware-Angriff ist mitunter schwer zu erkennen. So kann es sein, dass ein Verbindungsabbruch simuliert wird, währenddessen die Eingaben des Nutzers abgefangen werden. Malware kann auf unterschiedliche Weise auf den Computer gelangen. Dafür kann das versehentliche Besuchen einer korrumpierten Website oder auch eine Sicherheitslücke im Betriebssystem des Geräts ursächlich sein.

2.      Pharming

Eine weitere Variante eines typischen Angriffs ist das sogenannte Pharming. Angriffsobjekt sind dabei DNS-Server. Solche fungieren als Übersetzer für den URL-Link einer Website in die dazugehörige IP-Adresse. Pharming bezeichnet die Manipulation eines DNS-Servers, sodass die Webseiten-Adresse nicht auf die eigentliche Seite, sondern auf eine Seite des Angreifers weiterleitet. Diese gefälschte Seite ist der eigentlichen Seite in täuschend echter Weise nachgebaut und wird meist dazu genutzt, über die entsprechende Eingabemaske die Zugangsdaten des Nutzers abzugreifen.

3.      Man-in-the-Middle-Angriff

Bei einem Man-in-the-Middle Angriff wird die Kommunikation zwischen Zahlungsdienstleister und Zahlungsdienstnutzer abgefangen und vor der Autorisierung durch den Nutzer manipuliert. Eine daraufhin erteilte Autorisierung bezieht sich sodann auf den manipulierten Zahlungsauftrag.

4.      Phishing

Eine inzwischen sehr bekannte Angriffsvariante ist die des Phishings. Dabei wird dem Zahlungsdienstnutzer eine E-Mail oder SMS mit einem Link zugesandt, welcher wiederum auf eine gefälschte Website führt, mit deren Hilfe die Zugangsdaten des Nutzers erbeutet werden. Die E-Mails bzw. SMS erwecken den Eindruck, sie würden von der Bank des Nutzers stammen und führen nicht den tatsächlichen Namen der Bank in der Absenderadresse. Eine Unterform des Phishing ist das sogenannte Voice-Phishing, wobei es sich um automatisierte Telefonanrufe handelt, welche dem Nutzer Bankdaten oder TAN-Nummern entlocken sollen.

5.      Social Engineering

Social-Engineering-Angriffe zielen auf menschliche Eigenschaften als Schwachstelle ab. Der Angreifer nutzt das Vertrauen, die Hilfsbereitschaft oder den Respekt vor Autorität aus, um so an wertvolle Daten zu gelangen. Unter der Vorgabe, es handele sich bei dem Anrufer um einen Bankmitarbeiter, wird beispielsweise von dem betroffenen Zahlungsdienstnutzer die Herausgabe von TAN-Nummern gebeten, damit das eigene Konto weiterhin genutzt werden könne. Ein Social-Engineering-Angriff ist in der Regel gut vorbereitet, d.h. der Angreifer ist bereits durch Pharming oder Phishing an Daten gelangt, mit deren Hilfe er sein Opfer in Sicherheit wiegen kann. So geben sich Angreifer teilweise mit dem korrekten Namen des tatsächlich zuständigen Kundenbetreuers aus oder wissen bereits über bestimmte Kontovorgänge Bescheid.

Welche Sicherheitsvorkehrungen sollten beim Online- bzw. Mobile-Banking beachtet werden?

Aktuelles Betriebssystem und Antivirenprogramm

Den Zahlungsdienstnutzer trifft nach § 675l BGB eine allgemeine Pflicht zur Sicherung der IT-Infrastruktur. Das bedeutet, dass er den Computer oder das Smartphone mit der entsprechenden Software zur Abwehr der typischen Angriffsarten auszurüsten hat. Je nach Gerät sind die Erfordernisse unterschiedlich. Beim Online-Banking an einem Computer sollte dieser über ein aktuelles Antiviren-Programm verfügen. Zudem sollte das Betriebssystem sowie die Antiviren-Software mittels Sicherheitsupdates regelmäßig aktualisiert werden.

FinTS- und EBICS-Standard

Es besteht die Möglichkeit, beim Online-Banking den FinTS- bzw. EBICS-Standard zu nutzen. Dies sind Online-Banking-Software-Produkte, bei denen der Nutzer über genormte Legitimations- und Übertragungsverfahren mit dem Zahlungsdienstleistern kommuniziert. Dies empfiehlt sich besonders für Unternehmen und Nutzer mit großvolumigen Aufträgen.

Gesunde Skepsis walten lassen

Ergeben sich Verdachtsmomente, die auf einen Online-Banking-Angriff schließen lassen, sollte im Zweifel die Nutzung des Online bzw. Mobile Banking eingestellt und eine sofortige Sperrung des Kontos bei der Bank angefordert werden. In dem Zusammenhang gilt der bekannte Spruch: Vorsicht ist besser als Nachsicht. Sollten Sie beim mTAN-Verfahren Abweichungen feststellen zwischen dem gewünschten Zahlungsauftrag und dem in der SMS angegebenen Zahlungsauftrag, sollten Sie den Vorgang unbedingt abbrechen. Gleiches gilt, wenn Sie auf einer Website, per Mail oder telefonisch zur Eingabe mehrfacher TANs für einen Zahlungsauftrag aufgefordert werden.

Geräte im Serienzustand belassen

Insbesondere im Rahmen des Mobile-Banking, also der Nutzung des Smartphones zum Online-Banking, sollte man keine Geräte nutzen, deren Hard- oder Software modifiziert wurde. Apple-Geräte sind durch die Geschlossenheit ihres Systems, bei dem jede Anwendung bereits vor der Veröffentlichung auf schädliche Software überprüft wird, aufgrund ihrer Bauweise schon hinreichend vor Malware geschützt, sodass ein Antivirenprogramm nicht zwingend notwendig ist. Diesen Schutz verliert das Gerät jedoch, wenn ein sogenannter Jail-Break, also eine Software-Modifikation, durchgeführt wird. Ähnlich verhält es sich bei Geräten, die mit dem Betriebssystem Android betrieben werden. Auch dort ist Software, die über den systemimmanenten App-Store bezogen werden, abgesichert. Allerdings lässt sich auch mittels Side-Loading ungeprüfte Software aus unbekannten Quellen installieren, welches ein Sicherheitsrisiko darstellt. Grundsätzlich sollte daher Smartphone-Software nur aus den offiziellen Quellen heruntergeladen werden.

Allgemeine Hinweise

Das Gerät, welches zum Online-Banking genutzt wird, sollte vor dem Zugriff Dritter geschützt werden. Am Computer kann dies durch die Eingabe eines Kennworts vorgenommen werden. Am Smartphone sollte das Entsperren der Displaysperre per Kennwort gesichert werden. Zudem gilt für alle empfindlichen Daten und die zur Autorisierung genutzten Geräte, dass diese sichere verwahrt werden müssen.

Opfer eines Online-Banking-Betrugs – Was kann man tun?

Grundsätzlich haftet die Bank dem Zahlungsdienstnutzer nach § 675u Satz 2 BGB, wenn sie unautorisierte Zahlungsaufträge ausführt. Kann der Zahler nachweisen, dass er einen entsprechenden Auftrag nicht autorisiert hat, steht ihm somit ein Erstattungsanspruch zu. Wenn ein Nutzer allerdings grob fahrlässig gegen die Pflicht aus § 675l BGB verstößt, wonach er zumutbare Vorkehrungen zum Schutz vor unbefugtem Zugriff treffen muss und im Falle einer missbräuchlichen Verwendung diese umgehend der Bank anzuzeigen hat, darf die Bank eine Erstattung rechtmäßig verweigern.

Benötigen Sie Hilfe beim Thema Mobile Banking Sicherheit?

Setzen Sie sich in Verbindung mit der Kanzlei Hermann Kaufmann und vereinbaren Sie einen persönlichen Termin. Durch die Expertise als Fachanwalt für Bank- und Kapitalmarktrecht erwartet Sie eine professionelle und individuell auf Ihre rechtliche Angelegenheit zugeschnittene Beratung.

Kontaktieren Sie gerne unsere Kanzlei unter 04202 / 638370 oder schreiben Sie uns per E-Mail eine Nachricht an: info@rechtsanwaltkaufmann.de 

Die enthaltenen Informationen in diesen Artikel dienen allgemeinen Informationszwecken und beziehen sich nicht auf die spezielle Situation einer Person. Sie stellen keine rechtliche Beratung dar. Im konkreten Einzelfall kann der vorliegende Inhalt keine individuelle Beratung durch fachkundige Personen ersetzen.


Fragen und Antworten zum Thema „Mobile Banking Sicherheit“:

Besteht ein Erstattungsanspruch gegen die Bank bei unautorisierten Zahlungsaufträgen?

Ja, im Falle eines unautorisierten Zahlungsauftrags hat der Zahler nach § 675u Satz 2 BGB gegen seine Bank einen Erstattungsanspruch. Die Norm verpflichtet die Bank, den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Kann der Erstattungsanspruch im Falle einer Phishing-Attacke ausgeschlossen sein?

Nach § 675l BGB treffen den Zahlungsdienstnutzer bestimmte Sorgfaltspflichten, die insbesondere im Zusammenhang mit Online- bzw. Mobile-Banking von hoher Relevanz sind. So hat dieser z.B. den missbräuchlichen oder nicht autorisierten Gebrauch eines Zahlungsinstruments zu melden und Vorkehrungen zu treffen, die einen solchen verhindern. Verstößt ein Nutzer grob fahrlässig gegen diese Pflicht, etwa weil er eine offensichtliche Phishing-Attacke nicht erkennt, darf die Bank eine Erstattung rechtmäßig verweigern.

Ist Online-Banking mit dem Smartphone gefährlich?

Grundsätzlich muss davon ausgegangen werden, dass kein Online-Banking-Verfahren hundertprozentige Sicherheit garantieren kann. Wenngleich die Sicherheitsmechanismen immer weiter entwickelt werden, so z.B. im Rahmen der Autorisierung mittels TAN-Nummmer die Ablösung des einfachen TAN-Verfahrens durch Push- und SMS-TAN, sind die typischen Angriffe und Betrugsmaschen weiterhin trickreich. Ein Zahlungsdienstnutzer sollte sich den grundsätzlichen Gefahren von Angriffen wie Phishing, Pharming und Malware bewusst sein und ihre typischen Erscheinungsformen kennen, um davor gewappnet zu sein…


Quellen zum Thema „Mobile Banking Sicherheit“:

  1. BSI – Mobile Banking (bund.de)
  2. BSI – Gefahren und Sicherheitsrisiken (bund.de)
  3. BaFin – Fachartikel – Fachartikel: Online-Banking – Sicherheitsaspekte aus …
  4. Betrug: Naive Bankkunden bekommen keinen Schadensersatz (lto.de)
  5. Fake-SMS zu Online-Banking, Steuerbescheid und Gerichtsvollziehern | Verbraucherzentrale.de
  6. Online-Banking | Wer haftet, wenn das Konto leer geräumt wurde? (iww.de)
  7. Girokonto-Vergleich: So geht sicheres Online-Banking | Stiftung Warentest
  8. FinTS – Deutsche Kreditwirtschaft (die-dk.de)
  9. Neuer Online-Banking-Betrug | Update 2021 | Jetzt Hilfe holen! (rechtsanwaltkaufmann.de)

Related Posts