Konten.de - Wir legen alle Konten offen

Was Sie über Mobile Banking wissen sollten

Juni 24, 2019
Was Sie über Mobile Banking wissen sollten

Mobile Banking (auch: M-Banking oder mBanking) beschreibt das Online Banking auf mobilen Endgeräten mit Applikationen/Widgets oder einer Banking-Anwendung im Browser. Entweder über mobilfähige Online-Angebote der Banken oder bankenunabhängige Lösungen von Third-Party-Providern (TPP).

TPPs bieten ihren Kunden meistens mehr Funktionen als die Hausbanken und passen sich schneller an neue Kundenbedürfnisse an. Zum Beispiel durch Services wie der Fotoüberweisung oder dem Login via Fingerabdruck. Durch die vielen Zusatzfunktionen ist das Mobile Banking dem herkömmlichen Online Banking bereits überlegen.

Es besteht ein Unterschied zum Mobile Payment. Bei diesem Verfahren emuliert ein mobiles Endgerät (eventuell auf einer Applikation) eine Kredit- oder Debitkarte und verbindet sie kontaktlos mit einem Bezahl-Terminal.

Mögliche Funktionen

Kernfunktion: Kontoumsätze abfragen

Weitere (mögliche) Funktionen

  • Geld überweisen (Überweisungen und Daueraufträge)
  • Rechnungen einscannen und bezahlen
  • Sperrung von EC- und Kreditkarte
  • Verwaltung von Kontaktdaten
  • Aktien- und Investmenthandel
  • Über Börsenkurse und Zinssätze informieren
  • Geldautomatensuche
  • Haushaltsbuch
  • Informationen über aktuelle Kontobewegungen

Vorteile

  • Transaktionen unabhängig von Zeit und Ort
  • Konten und Depots bei unterschiedlichen Instituten in einer App verwalten
  • Sofort-Benachrichtigungen über ein- und ausgehende Beträge

Auch Drittanbieter bieten Banking-Apps

PIN-TAN- oder Signaturverfahren

Bisher konnten sich Kontobesitzer per PIN-TAN-Verfahren einloggen. Sicherheitsfachleute raten jedoch davon ab, das Mobile Banking in öffentlichen WLANs (z. B. Internetcafés) zu nutzen. Außerdem sollte man sich nur am eigenen (proprietären) Gerät anmelden. Das PIN-TAN-Verfahren gilt allerdings schon bald als veraltet, weil es nicht dem Standard entspricht, den die Payments Services Direktive 2 PSD2 bzw. die Regulatory Technical Standards (RTS) und die Common and Secure Communication (CSC) vorgeben.

Die neuen Sicherheitsanforderungen

Die neuen Sicherheitsanforderungen sollen Mobile Banking möglichst sicher machen. Alte Verfahren sind hier nicht mehr ausreichend, schließlich weisen mobile Endgeräte neue und vielfältigere Sicherheitsrisiken auf.

Zwei voneinander unabhängige Sicherheitsfaktoren

Mobile Banking bietet zwar mehr Funktionen als das herkömmliche Online Banking, erfüllt aber noch nicht dieselben Sicherheitsstandards. Die PSD2 fördert daher nicht nur die Weiterentwicklung der Mobile-Banking-Angebote durch offene Schnittstellen, sondern möchte gleichzeitig dafür sorgen, dass die Kundendaten bestmöglich geschützt sind.

Überall dort, wo Angriffsszenarien herrschen, muss der Anbieter eine starke Kundenauthentifizierung (SCA) anbieten. Immer dann, wenn ein Zahler auf sein Zahlungskonto zugreifen oder einen Zahlungsvorgang auslösen möchte.

Die SCA erfordert zwei voneinander unabhängige Elemente der Kategorien Wissen (z. B. ein Passwort), Besitz (z. B. ein Handy) oder Inhärenz (ein biometrisches Merkmal des Nutzers).

Die Banken haben bereits Mobile-Banking-Anwendungen entwickelt, die Authorisierungsverfahren mit zwei voneinander unabhängigen Sicherheitsmerkmalen unterstützen. Dazu gehören Verfahren mit Chip-TAN, SMS-TAN und App-TAN. Sie erfüllen aber noch nicht die PSD2-Bestimmungen, wonach die Generierung einer TAN in die Überweisungsdaten eingehen muss.

Das ist beim Online Banking bereits Gang und Gebe, da es bisher MSI-konform sein musste, Mobile-Banking-Angebote jedoch nicht. Die generierte TAN darf künftig nur für den aktuellen Zahlungsauftrag gültig sein – Dritte können sie dann nicht für andere Aufträge missbrauchen.

Separate, gesicherte Laufzeitumgebung

Diese Anforderung bedeutet, dass Verarbeitung, Speicherung und Aufbewahrung von Daten in einem sicheren System des Gerätes erfolgen müssen. Diese Vorgänge müssen unter Zuhilfenahme spezieller Hardwarearchitekturen bzw. Spezifikationen unabhängig von der standardisierten Verarbeitungsumgebung ablaufen. Es besteht aber auch die Möglichkeit, sie mittels reinen Software-Sicherheitsmechanismen zu implementieren.

Weitere Sicherheitsmechanismen

Auch die Nutzer selbst müssen Mechanismen nutzen können, die Veränderungen des Gerätes erkennen und abwehren: Meldungen des Betriebssystems, der Sicherheits- und Anwendungssoftware sowie der Apps können Auskunft über mögliche Angriffe geben. Auch regelmäßige Softwareaktualisierungen tragen zu einem hohen Sicherheitsstandard bei.

Leave a comment

Deine E-Mail-Adresse wird nicht veröffentlicht.