Mittlerweile habe ich auf meine Anfrage bei der Bank eine telefonische Antwort erhalten. Das Resultat ist nicht wirklich überraschend: Ja, wenn die mobileTAN auf diesem Endgerät empfangen wird, darf darauf kein Onlinebanking betrieben werden – sonst zählt es im Falle eines Falles lt. AGB als grob fahrlässig. Interessant war allerdings die Aussage, dass derzeit kein mobile Banking angeboten wird. Vielleicht nicht aktiv, wohl aber indirekt:

Die Bank unterstützt HBCI, was sich hervorragend zusammen mit einer mobilen App zu diesem Zweck nutzen lässt. Natürlich werden auch die meisten mobilen Browser das Online Banking halbwegs abbilden können.

Schadenspotential bei Tagesgeld-Bank mit Referenzkonto

Wir haben zudem über das Schadenspotential gesprochen. Bei einer Bank mit Tagesgeld, welche Onlineüberweisungen ausschließlich auf das Referenzkonto zulässt, besteht kein Risiko, dass Geld auf ein absolut fremdes Konto übertragen wird. Die Bank war sich aber absolut bewusst, dass das Thema kritisch wird sobald sie in Zukunft auch Girokonten anbieten werden. Bis dahin wurde die Entscheidung darüber, wie mit der mobileTAN für mobile Banking umgegangen werden soll, vertagt.

Fazit in diesem Fall: Es wäre zwar grob fahrlässiges Handeln, Mobile Banking mit mobileTAN auf dem SmartPhone zu nutzen, aber der potentielle Schaden ist in dem Fall minimal.

Situation bei Banking mit Girokonto und mobileTAN

Bei dieser Kombination schaut es anders aus. Habe einmal bei verschiedenen Banken mit Girokonto – welche die mobileTAN verwenden – in die AGB gesehen:

“Beim mobileTAN-Verfahren darf das Gerät, mit dem die TAN empfangen werden (z. B. Mobiltelefon), nicht gleichzeitig für das Online-Banking genutzt werden.”

In dem Fall haftet der Nutzer vor der Sperranzeige (Mitteilung an die Bank). Das Schadenspotential ist hierbei viel höher – beim Girokonto mindestens in Höhe des vereinbarten Online-Verfügungsrahmens.

Risikopotential

Neben dem Schadenspotential eine kurze Beleuchtung zum Risikopotential: kann denn wirklich auf meinem SmartPhone Missbrauch stattfinden, wenn ich mobileTAN einsetze? Schwierig zu sagen, Wikipedia dazu:

“Im deutschsprachigen Raum sind keine erfolgreichen Angriffe gegen mTAN bekannt (Stand: Januar 2010). Es gibt einen Bericht über einen Fall in Südafrika, in dem Betrüger vermutlich eine neue SIM-Karte im Namen des Opfers erhielten und damit eine mTAN anforderten. In einem weiteren Fall aus Australien wurde die Rufnummer durch einen Betrüger zu einem anderen Anbieter portiert.”

Das Bundesamt für Sicherheit in der Informationstechnik schreibt in einem Artikel vom 04.03.2011:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist darauf hin, dass eine neue Schadsoftware-Variante zurzeit Smartphones angreift, um mTAN-Nummern für das Online-Banking mitzulesen.

Das darin beschriebene Verfahren welches die Schadsoftware einsetzt sollte aber jeden halbwegs mitdenkenden Mitbürger skeptisch machen.

Ein Bankterminal?

Fazit

Das Schadenspotential ist bei einem Tagesgeldkonto mit Referenzkonto minimal, bei einem Girokonto durch den Online Verfügungsrahmen begrenzt. Das Risiko eines Mißbrauchs ist bislang ebenfalls noch überschaubar.
Allerdings lässt sich die weitere Entwicklung als mobiler Bankkunde nicht vorhersehen. Das Risiko der mobileTAN liegt bei den zitierten AGB allein beim Bankkunden. Wenn Banken den Erfolg von Mobile Banking wollen, müssen sie an der Stelle nachbessern. Denkbar wären:

• Alternative TAN Verfahren: zum Beispiel Einsatz eines TAN Generators. Dieser wird bei verschiedenen Banken eingesetzt. Nachteil: wieder ein extra Gerät – nicht gerade ideal für Mobile Banking.
• Entwicklung sicherer mobiler Bankingverfahren: Banken könnten eigene Mobile Banking Software entwickeln. Das ist sicher nicht ganz trivial.
• Begrenzung der Haftung für den Bankkunden im  Schadensfall. Wenn eine Bank allein mobileTAN anbietet, sollte sie ggf. auch das Risiko tragen oder klar das Mobile Banking auf dem SmartPhone untersagen.

Ich hab in diesem Artikel nichts dazu geschrieben, ob es überhaupt einen großen Bedarf für Mobile Banking im klassischen Sinne gibt. Welche Rechnung oder Überweisung muss ich tatsächlich dringend unterwegs vom SmartPhone begleichen? Die meisten Sachen kann ich aufschieben, bis ich wieder an einem Rechner oder Tablett sitze, die es mir einfacher machen Zahlenkolonnen einzutippen.

Ich spreche dabei ausdrücklich nur von Regionen, in denen das Telefon/SmartPhone nicht das einzige primäre Gerät ist. Mobile Banking z.B. in Afrika ist ein ganz anderes Thema. Auch das mobile Trading ist sicher noch eine ganz andere Thematik die noch weniger Leute betrifft und vermutlich noch weniger mobile Einsatzszenarien beinhaltet.

Bleibt eigentlich nur der Anwendungsfall des Mobile Payment. Dabei geht es um im Großen und Ganzen um überschaubare Beträge. Aber das ist ein anderes Thema. Diskutieren wir vielleicht auch auf dem MobileCamp in Dresden. Als Sessionvorschlag gibt es “Mobile Online Banking” bereits, vorgeschlagen von Sebastian Wallroth. Sehen wir uns da?

MobileCamp Dresden 2011