"Mobile-Payment": Wie beim schnellen Überweisen per App die Sicherheit leiden kann

Stand:

Mit Apps von immer mehr Banken, Sparkassen und andere Unternehmen können Verbraucher mobil kleine Geldbeträge überweisen. Wenn bewährte Sicherheitsmaßnahmen wegfallen, sollten Sie gut aufpassen.

Das Wichtigste in Kürze:

  • Direktbanken, Start-ups und nun auch die Sparkassen bieten das Überweisen von kleinen Beträgen per App.
  • Die Anbieter verzichten dabei teils auf Sicherheitsmaßnahmen wie Tan-Eingabe.
  • Wenn Sie mobiles Bezahlen nutzen wollen, sollten Sie Ihr Smartphone gut absichern. Wir geben Tipps.
Frau mit Handy und Laptop am Tisch
Kleine Schulden bei Freunden sofort bezahlen?
On

Banken, Sparkassen und Online-Anbieter schaffen immer mehr Möglichkeiten, Geld ohne große Hürden an Kontakte aus dem Adressbuch des Mobiltelefons zu überweisen. Nun haben die Sparkassen mit "Kwitt" eine entsprechende Funktion in ihre App gebracht, die Volksbanken wollen als weiterer Branchenriese Anfang 2017 folgen.
Die beiden Anbieter sind so groß, dass das Bundeskartellamt einer gemeinsamen Lösung kritisch gegenübersteht. Schon mit dem Alleingang der Sparkassen erreicht die Funktion laut der Behörde nun rund 4,5 Millionen App-Nutzer.
Das flotte Überweisen kann für Nutzer Risiken bergen – dann nämlich, wenn bewährte Sicherheitsmechanismen entfallen. Vor unberechtigten Abbuchungen sollen Sie sich selbst schützen. Und mögliche Gebühren für den Service sind manchmal nicht gleich zu erkennen. Bevor Sie sich für mobiles Bezahlen ("Mobile-Payment") entscheiden, sollten Sie auf einige Punkte achten.

Anbieter aus verschiedenen Branchen

Bekannte Direktbanken wie Fidor und die ING-Diba haben entsprechende Funktionen bereits, jüngere Start-ups wie N26 und der Bezahldienstleister PayPal ebenfalls. Aber auch aus anderen Geschäftsfeldern drängen Anbieter zu Überweisungen mit mobilem Bezahlen: Das Mobilfunkunternehmen Telefónica (O2) ist präsent und in manchen Ländern (bisher nicht in Deutschland) experimentiert sogar Facebook mit einem Einstieg in den Geldverkehr.

Unberechtigte Überweisungen soll der Nutzer verhindern

Eigentlich ist die Rechtslage klar: Für unbefugte Zahlungen haften nicht Sie, sondern Ihre Bank bzw. der Anbieter des Dienstes. Das Gesetz sieht erst bei grober Fahrlässigkeit den Kunden in der Verantwortung (Gerichte urteilen das zum Beispiel regelmäßig, wenn Sie jemandem Ihr Passwort fürs Online-Banking und Tan-Nummern sagen). Da das mobile Bezahlen aber noch recht jung ist, fehlen hier Erfahrungen, was am Smartphone in der Praxis noch in Ordnung oder schon grob fahrlässig ist.

Für das Sparkassen-Angebot Kwitt zum Beispiel braucht es keine Tan-Eingabe, kein zusätzliches Kennwort und auch keine Kontonummern – stattdessen genügen der Zugriff auf die Sparkassen-App und die Mobilfunknummer des Empfängers im Adressbuch.

Im Zweifel steht also nur das Passwort für die App zwischen einem Unberechtigten und Ihrem Geld. Haben Sie die App gerade geöffnet, kann bei vielen Anbietern jeder mit dem Smartphone Überweisungen auslösen (bei einigen, wie auch den Sparkassen, gelten immerhin Höchstbeträge pro Überweisung oder Tag – das hält das Risiko geringer).

Heutzutage wollen viele Apps Zugriff auf das Adressbuch in Ihrem Smartphone. Theoretisch können diese Apps dort Einträge manipulieren, sodass eine Überweisung, die Sie auslösen, an einen anderen Empfänger geht.

Sichern Sie Ihr Smartphone darum umfassend ab, wenn Sie mobiles Bezahlen verwenden wollen:

  • Ein Antivirenprogramm und eine Firewall helfen gegen Schadsoftware. Für Android-Geräte gelten sie als wichtig. Dass solche Programme installiert sind, ist oft auch den Gerichten wichtig.
  • Installieren Sie regelmäßig Updates für wichtige Apps und das Betriebssystem.
  • Greifen Sie nicht ins Betriebssystem ein (z.B. per "Jailbreak" und "Rooten").
  • Lassen Sie Ihr Smartphone unterwegs nicht unbeaufsichtigt.
  • Lassen Sie andere nicht auf Ihr Display sehen, während Sie das Smartphone entsperren oder Banking-Apps verwenden.
  • Richten Sie zum Entsperren des Smartphones ein starkes Passwort oder einen anderen Mechanismus ein und sagen Sie ihn nicht weiter.
  • Wo das nicht ohnehin Pflicht ist, richten Sie ein zusätzliches Passwort für die Banking-App ein.
  • Schließen Sie die App nach den Überweisungen vollständig (sie z.B. per Home-Taste zu minimieren, reicht nicht unbedingt).

Informieren Sie sich über Gebühren

Beim mobilen Bezahlen geht es meist um kleine Beträge. Da kann es teuer werden, wenn jede Überweisung einen pauschalen Betrag kostet. Gibt es eine monatliche Grundgebühr, überlegen Sie, ob Sie die Funktion häufig nutzen werden. Und wenn die Kosten nicht transparent sind, fragen Sie bei Ihrem Dienstleister nach, bevor Sie die Funktion aktivieren.

Bei den Sparkassen haben wir in den Nutzungsbedingungen zu Kwitt (19 Din-A4-Seiten) nur die Formulierung gefunden, der Nutzer solle die möglichen Kosten "dem zwischen dem Kunden und der Sparkasse vereinbarten 'Preis- und Leistungsverzeichnis' entnehmen". Wir haben das für eine einzelne Sparkasse ausprobiert, mussten uns dort das Verzeichnis (32 Din-A4-Seiten) online selbst suchen – und konnten "Kwitt" dann gar nicht finden.

Leicht mit Phishing zu verwechseln: Geld per E-Mail verschicken

In einer E-Mail verspricht ein vermeintlicher Bekannter Geld. Sie sollen einen mitgeschickten, unbekannten Link anklicken und dort dann Kontodaten angeben. Das Ganze möglichst schnell, in wenigen Tagen verfällt die Zahlung. Jeder Satz endet mit einem Ausrufezeichen. Klingt nach Betrug per Phishing? Solche Standardtexte schlagen die Apps nun aber vor. Bei den Sparkassen heißt er zum Start der Kwitt-Funktion im Wortlaut:

"Ich möchte dir Geld senden! - Ich möchte dir mit Kwitt x € senden! Um das Geld zu erhalten, tippe https://geld-empfangen.sparkasse.de/[hier steht eine Folge aus 54 Zahlen, Groß- und Kleinbuchstaben] Hierfür hast du drei Tage Zeit!"

Damit ihre Kunden jedem schnell Geld überweisen können, schaffen einige Anbieter solche Möglichkeiten, Geld auch aus der App heraus an Nichtnutzer zu schicken. Das geht dann zum Beispiel per E-Mail, SMS oder über Messenger.

Das Problem: Etablieren sich solche Abläufe in den Köpfen der Kunden, können Betrüger das leicht nachahmen. Schon jetzt fallen immer wieder Menschen auf vergleichbare Formulierungen herein und geben dann auf den verlinkten, gefälschten Seiten auch Passwörter und Tan-Nummern ein. Die Banken und Sparkassen warnen bisher selber, dass Sie niemals per E-Mail sensible Bankdaten abfragen werden. Wenn Zahlungsempfänger jetzt doch per E-Mail zum Besuch von Seiten der echten Banken aufgefordert werden und dort Kontodaten eingeben sollen, wird es für Verbraucher schwieriger, Betrugs- von seriösen E-Mails zu unterscheiden.

Sind die Nutzungsbedingungen kurz und verständlich?

Wie lange können Sie eine Überweisung noch problemlos zurückrufen? Was kostet der Dienst? Welche Sicherheitsmaßnahmen sind möglich, welche Pflicht? In den Nutzungsbedingungen stehen viele Informationen, die für die Entscheidung und auch die spätere Nutzung solcher Apps wichtig sind. Leider sind AGB häufig sehr lang und kompliziert ausgedrückt. Fragen Sie im Zweifel lieber nach, wenn Sie etwas nicht verstehen!

Die Teilnahme an solchen Zahlungsdiensten ist meist nicht verpflichtend. Wenn Sie versehentlich Ihr Einverständnis erteilt haben oder das Angebot nicht mehr nutzen wollen, können Sie kündigen. Einige Apps bieten an, den Zugang ohne großen Aufwand wieder zu löschen.