Immer mehr Deutsche nutzen ihr Smartphone für Bankgeschäfte, doch mindestens ebenso schnell nimmt die Gefahr durch Schadsoftware zu. Im ersten Halbjahr haben sich die Attacken mit mobilen Banking-Trojanern im Vergleich zu den ersten sechs Monaten des Vorjahres nahezu verdoppelt. Knapp 10.000 Attacken mit Schadprogrammen, im Fachjargon Finanz-Malware genannt, zählte das auf IT-Sicherheit spezialisierte Unternehmen Kaspersky von Januar bis Juni.
Ziel der Angreifer ist es, unbemerkt Zugangsdaten zum Online-Banking, Konto- und Kreditkartennummern und neuerdings auch Kryptowährungen wie Bitcoin abzugreifen. Nicht nur die Kunden, auch Banken und Finanzinstitute selbst geraten ins Visier. So waren am Montag kurzzeitig persönliche Daten von knapp 90.000 Mastercard-Kunden frei zugänglich im Internet auffindbar. Der Kreditkartenanbieter sperrte daraufhin vorsorglich sein Bonusprogramm „Priceless Specials“, wo das Datenleck aufgetreten war.
Darunter waren auch E-Mail-Adressen der Nutzer. Kriminelle nutzen solche Beute häufig, um gefälschte E-Mails zu verschicken. Das sogenannte Phishing ist eine der Hauptgefahrenquellen im Online-Banking. Jede vierte derartige Attacke wird laut Kaspersky „im Namen einer Bank ausgeführt“.
Phishing-Mails führen auf Gefälschte Bank-Websites
Nicht selten wirken die E-Mails täuschend echt. Täter nutzen sie zum Beispiel, um ihre Opfer unter einem Vorwand dazu zu bringen, Zugangsdaten samt PIN preiszugeben. Im ersten Halbjahr 2019 zählte Kaspersky „339.000 Phishing-Versuche mit Hilfe gefälschter Webseiten, die sich als Startseiten großer Finanzinstitute ausgeben“.
Schadprogramme können auch über E-Mail-Anhänge, etwa fingierte Rechnungen, auf dem Smartphone landen. Oder über Apps. Betroffen sind nach Angaben von Kaspersky hauptsächlich Nutzer des Google-Betriebssystems Android, das „mit nahezu 99 Prozent Ziel Nummer eins im Bereich mobiler Schädlinge“ sei.
Peter Neumeier, der für Deutschland zuständige Vertriebschef, führt das zum einen auf den hohen Marktanteil an Android-Geräten zurück. Aber nicht nur. Zudem sei das Android-Betriebssystem gegenüber der Konkurrenz von Apple technisch offener gestaltet. Externe Entwickler haben es leichter, eigene Apps zu programmieren. Und Android-Nutzer kommen so auch an Anwendungen, die nicht zum offiziellen App-Store gehören. Laut dem Cybersecurity-Spezialisten Trend Micro hat Google gerade mehrere Dutzend Apps mit Schadsoftware aus dem Verkehr gezogen.
Kaspersky vertreibt unter anderem Virenschutzprogramme. Daher liegt es nahe, dass Neumeier Nutzern einen entsprechenden Schutz nahelegt. Fakt ist jedenfalls, dass viele die mobile Sicherheit nach wie vor schleifen lassen. „Viele Smartphone-Nutzer haben die Bedrohung nicht erkannt“, sagt Neumeier.
Mehr als die Hälfte nutzt das Smartphone für Bankgeschäfte
Zahlen des IT-Branchenverbands Bitkom unterstreichen das. In einer Umfrage aus dem November 2018 gaben lediglich 40 Prozent der rund 1000 Befragten an, auf ihrem Smartphone ein Antivirenprogramm installiert zu haben. Dabei gehört das Smartphone immer öfter auch in sensiblen Bereichen wie Bankgeschäften zum Alltag. „Erstmals setzt mehr als die Hälfte der Online-Banking-Nutzer ihr Smartphone für Bankgeschäfte ein“, meldete Bitkom im Mai. Demnach erledigen inzwischen sieben von zehn Deutschen Bankgeschäfte im Internet – „nur noch Senioren sind zurückhaltend“, so Bitkom.
Die gute Nachricht ist: Smartphone-Banking und Sicherheit schießen einander keineswegs aus. Wer jenseits der gängigen Ratschläge – regelmäßig Sicherheitsupdates installieren, keine Software und Anhänge aus unbekannten Quellen öffnen, Virenschutz aktivieren – nur wenige Tipps beherzigt, kann auch mobil sicher Bankgeschäfte erledigen:
- Achtung, WLAN! Laut Bitkom nutzt jeder Zweite mindestens ab und an auch öffentliche WLAN-Netzwerke fürs Online Banking. Experten wie Julian Grigo, Banking-Experte von Bitkom, raten davon ab – oder andernfalls zumindest dazu, einen „VPN-Dienst zu nutzen, bei dem der Datenverkehr verschlüsselt wird“. VPN steht für Virtual Private Network. Spezialisierte Anbieter stellen entsprechende Apps bereit.
- Zwei-Faktor-Authentifizierung nutzen: Ständig ein kleines Zusatzgerät mit sich zu führen, mag lästig erscheinen. Doch ein sogenannter Tan-Generator als Ergänzung zur Banking-App ist laut Experten die sicherste Variante für die mobile Verwaltung der eigenen Finanzen. Alternativ tut es bei einigen Banken auch eine SMS aufs Mobiltelefon.
- Vorsicht vor kostenlosen, übergriffigen Apps: Nutzer achten häufig nicht darauf, welche Zugriffsrechte eine Anwendung hat. Faustregel: Erfordert eine App Zugriff auf Daten, die nichts mit der eigentlichen Funktion zu tun haben, Finger weg!
Der jüngste Vorfall bei Mastercard sollte eine Warnung sein – und wird mit Sicherheit nicht der letzte im immer eifriger genutzten Online-Banking sein. „Wir erwarten“, sagt Christian Funk, der das deutschsprachige Forschungs- und Analyseteam von Kaspersky leitet, „dass die Zahl der angegriffenen Nutzer in der zweiten Jahreshälfte weiter steigt.“
