Die Schweizer Melde- und Analysestelle für Informationssicherung (Melani) warnt vor Sicherheitslücken beim Mobile Banking. Auch visuelle Authentifizierungsmethoden wie QR-Codes und Mosaik-Anzeigen sind nicht in jedem Fall sicher.

Schon länger ist bekannt, dass sich Hacker bei der Authentifizierung via Code (etwa mobileTAN) dazwischenschalten und als Bank ausgeben. Die Schwachstelle ist laut Melani der Anwender. Damit Hacker einen Zugriff erhalten, muss nämlich zuerst ein Virus, eine sogenannte Malware, den Weg auf das Handy finden. Das geschieht, indem man etwa den Anhang einer unbekannten E-Mail öffnet oder sich beim Surfen auf unbekannten Seiten etwas «einfängt».

«Die Malware kann sich schon wochenlang auf dem Handy befinden und wird erst dann aktiv, wenn man ein Mosaik oder einen QR-Code scannen will», erklärt Max Klaus, stellvertretender Leiter von Melani. Wenn man für eine Zahlung den von der Bank zugeschickten Code scannt, werden die daraus entwendeten Informationen benutzt, um eine neue Zahlung zu veranlassen. Diese wird dem Benutzer auch angezeigt, doch in der Eile übersehen viele, dass der Zahlungsempfänger sich geändert hat.

«Man sollte deshalb solche Meldungen auf dem Bildschirm immer aufmerksam lesen und Betrag sowie Empfänger noch einmal überprüfen», rät Klaus. Typisch für solchen Virenbefall seien lange Ladezeiten, welche die Vorgänge im Hintergrund verursachen.

«Natürlich haben die Banken kein grosses Interesse daran, dass solche Fälle publik werden» sagt Martin Steiger von der Digitalen Gesellschaft Schweiz, die sich für mehr Transparenz in der digitalen Welt einsetzt. Deswegen würden solche Sicherheitslücken vielleicht öfter auftreten, als man denke, so Steiger. In der Schweiz sind offenbar fast alle Banken davon betroffen – darunter die UBS, die Credit Suisse, alle Kantonalbanken sowie Raiffeisen und PostFinance.

In der Bevölkerung herrsche eine falsche Meinung über die Kulanz der Banken in solchen Fällen vor. «Bei Kreditkartenmissbrauch zeigen sich die Banken gemeinhin kulanter als bei durch Hacking-Angriffe erlittene Schäden im E-Banking.» Die Bedeutung der Institution Kreditkarte sei viel höher, entsprechend werde deren Reputation besser gepflegt.

Steiger ist Rechtsanwalt und spezialisiert auf Recht im digitalen Raum. Im Kampf gegen Finanz-Hacker findet er, dass man die Verantwortung zu sehr dem Nutzer zuschiebt. «Sicherheit funktioniert nicht so. Vielmehr muss das System so tolerant gegenüber Fehlern gemacht werden, wie nur irgendwie möglich. Die Banken haben da eine grosse Mitverantwortung.»

Mehr zum Thema

Smartphone-Apps: Nehmt ruhig meine Daten!

Kaum jemand bezahlt heutzutage noch mit Geld für Smartphone-Apps – sondern mit seinen persönlichen Daten. Das ist problematisch, weil viele Nutzer sorglos damit umgehen

zum Artikel

Quelle: Getty Images