Wie sicher ist Online-Banking? – Aktuelle Verfahren unter der Lupe

Die Anzahl derjenigen die Ihre Bankgeschäfte via Online-Banking erledigen, wächst stetig. Die Vorteile liegen dabei klar auf der Hand: So sind Sie beim Online-Banking als nicht an die Öffnungszeiten Ihrer Bankfiliale gebunden, finanzielle Angelegenheiten können Sie bequem von zu Hause aus erledigen und innerhalb kurzer Zeit lassen sich schnell mehrere Überweisungen tätigen. Auch das Angebot an Möglichkeiten zur Tätigung von Bankgeschäften via Internet vergrößert sich zunehmend. Gleichzeitig lassen sich aber auch Betrüger immer wieder etwas Neues einfallen, wie sie durch Manipulationen und an das Geld Ahnungsloser kommen. Aus diesem Grund stellen wir Ihnen die aktuellen Verfahren beim Online-Banking vor und zeigen Ihnen wie Sie sich vor Angreifern aus dem Netz schützen können.


Keine vage Vorhersage mehr: Online-Banking ist die Zukunft

Das Statistische Bundesamt stellte in einer Studie fest, dass bereits 75 Prozent aller Unternehmen Online-Banking nutzen.

Online-Banking ist die Zukunft / Foto: Rawpixel.com / fotolia.com

Auch die Zahl der Privatnutzer steigt stetig. Dabei nutzt der Großteil unter ihnen derzeit das PIN/TAN-Verfahren. Dieses bietet zahlreiche Erweiterungen, wie das PIN/iTan-Verfahren, das PIN/mTan-Verfahren, das Sm@artTAN plus- und Sm@artTAN optic- Verfahren sowie das HBCI-Verfahren. Doch was verbirgt sich dahinter?


Überblick: Online-Banking-Verfahren

PIN/TAN-Verfahren

Beim PIN/TAN-Verfahren gibt der Nutzer seine persönliche Identifikationsnummer (kurz: PIN) auf der Website seiner Bank ein. Um Transaktionen wie zum Beispiel Überweisungen durchführen zu können, ist außerdem die Eingabe einer Transaktionsnummer (kurz:TAN) notwendig. Dieses Nummer wird einmalig vergeben und ersetzt in diesem Fall die Unterschrift des Nutzers.


Erweiterungen beim PIN/TAN-Verfahren

Mittlerweile gibt es zu diesem Verfahren zahlreiche Erweiterungen um die Sicherheit vor Betrügern zu erhöhen.


Das TAN-Prinzip im Detail:

PIN/TAN-Verfahren: Freie Auswahl

Freie Auswahl / Foto: Stockfotos-MG / fotolia.com

Die Bank schickt dem Kunden per Post eine zeitlich unbegrenzt gültige TAN-Liste in Papierform zu. Für jede Transaktion wird dabei eine der TAN-Nummern verwendet . Die Nummern können dabei frei gewählt werden.


PIN/iTAN-Verfahren: Spezifische Abfrage

Auch bei diesem Verfahren bekommt der Kunde per Post eine Liste mit TAN-Nummern zugesendet. Der Unterschied zum klassischen PIN/TAN-Verfahren besteht darin, dass die TANs durchnummeriert sind und bei jedem Auftrag spezifisch abgefragt werden.

Der Kunde kann die Zahlencodes also nicht mehr frei wählen und muss die jeweilige, durch eine Positionsnummer gekennzeichnete, TAN eingeben. Diese ist außerdem nur eine bestimmte Zeit gültig, wobei die Eingabe innerhalb weniger Minuten erfolgen muss.


PIN/mTAN-Verfahren: Immer mobil

Bei diesem Verfahren wird keine TAN-Liste in Papierform benötigt, denn nach dem der Zahlungsauftrag an die Bank übermittelt wurde, erhält der Kunde die benötigte TAN-Nummer via SMS auf sein Handy. Um die Zahlung abzuschließen, muss er diese nur noch in das dafür vorgesehene Eingabefeld eintippen.


Sm@rtTAN plus: Nur mit Kartenlesegerät

Online-Banking mit Kartenlesegerät / Foto: Ingo Bartussek / fotolia.com

Für dieses Verfahren ist ein Kartenleser mit Tastatur notwendig. Diesen erhalten Sie für einen Aufpreis bei Ihrer Bank. Auch dabei müssen Sie zunächst ein Formular ausfüllen, welches dann an Ihre Bank gesendet wird. Daraufhin erhalten Sie einen Überweisungscode, sowie die letzten sechs Ziffern der Zielkontonummer.

Nachdem Sie Ihre Karte in das Lesegerät eingesteckt haben und den Überweisungscode sowie die letzten sechs Ziffern der Zielkontonummer eingeben haben, vergibt der Kartenleser eine an diesen Auftrag gebundene TAN-Nummer. Diese tragen Sie dann in das Online-Banking-Formular ein, damit die Überweisung erfolgen kann.


Sm@rtTan optic: Flicker- statt Überweisungscode

Auch hier werden zunächst die Auftragsdaten an die Bank übermittelt. Über die Website der Bank erhalten Sie nun aber, statt einem Überweisungscode wie beim Sm@artTAN optic-Verfahren, einen sogenannten Flickercode.

Dieser wird über einen PC-Monitor mittels sechs kleiner Felder, die abwechselnd schwarz und weiß blinken, übertragen. Ein spezieller Generator mit einer eingebauten optischen Schnittstelle entschlüsselt diesen Code.

Dieser enthält die benötigten Überweisungsdaten und Informationen, mit denen im Anschluss die TAN berechnet wird. Da Sie die Daten zuvor am Bildschirm des Generators empfangen und prüfen können, ist eine Manipulation dieser Daten nicht möglich.


HBCI-Verfahren: Endlich TAN-frei

Für dieses Verfahren sind keine TANs nötig, denn Sie erhalten eine entsprechende Bankensoftware für Ihren PC, sowie eine Chipkarte und ein Chipkartenlesegerät.

Der Zahlungsverkehr erfolgt dabei wie an einem Bankautomaten: Um zum Beispiel eine Überweisung freizugeben, müssen Sie Ihre Karte mit dem Lesegerät verwenden und die jeweilige PIN zur Karte eingeben.

Die Chipkarte enthält Ihre digitale Signatur und „unterschreibt“ die Überweisung mit dem auf der Karte gespeicherten Signierschlüssel.

Danach wird der Auftrag, wie bei den PIN/TAN-Verfahren, über eine verschlüsselte Verbindung an den Server der Bank übertragen. Stimmt die Signatur nach Prüfung, wird der Auftrag ausgeführt.


Welche Online-Banking-Verfahren gelten als besonders sicher?

Welche Verfahren sind besonders sicher? / Foto: vege / fotolia.com

Überholt und unsicher: Das klassische PIN/TAN-Verfahren

Um gleich eines vorweg zu nehmen: Leider, gilt das klassische PIN/TAN-Verfahren heutzutage als überholt und unsicher. So reichen bereits eine ungenutzte TAN -Nummer und die PIN, dass Gauner an Ihr Geld kommen.

Auch gegen Phishing-Angriffe, bei denen Betrüger sich mit einer gefälschten E-Mail als Kreditinstitut ausgeben und versuchen die TAN-Nummern unter einem Vorwand zu ergattern, ist dieses Verfahren nicht gefeit.


Eingeschränkte Sicherheit: Das iTAN-Verfahren

Auch wenn beim iTAN-Verfahren nur eine bestimmte TAN zur Legitimation bei Bankgeschäften verwendet werden kann können Betrüger, wenn sie im Besitz von mehreren TANs sind, natürlich auch die Gefragte besitzen.

Dieses Verfahren verringert zwar im Allgemeinen das Risiko, dass Sie Opfer eines Phishing-Angriffs werden, kann es jedoch nicht vollends ausschließen.


Nicht sicher vor „man-in-the-middle“-Angriffen: Das eTAN-Verfahren

es gibt verschiedene Tan-Verfahren / Foto: undrey / fotolia.com

Vor sogenannten „man-in-the-middle“-Angriffen ist das eTAN-Verfahren sowie auch das klassische PIN/TAN-Verfahren als auch das iTAN-Verfahren nicht sicher. In diesem Fall handelt es sich um den Einsatz manipulierter Aufträge durch den Angreifer via eines Trojaners.

Dieses schadhafte Programm nistet sich auf dem PC des Bankkunden ein. So kommuniziert dieser nicht wie angenommen direkt mit der Bank, sondern über den Angreifer, einen sogenannten „man-in-the-middle“ (zu deutsch: Mann in der Mitte=Mittelsmann).

Nach Eingabe der vom Generator erzeugten TAN, bestätigt der Anwender nun nicht wie angenommen seinen Auftrag, sondern den manipulierten Auftrag des Angreifers. Dieser kann nun in der Regel alle getätigten Aufträge abfangen und manipulieren.

Um diese Sicherheitslücke zu umgehen, sollten Sie daher auf ein zweistufige Verfahren beim Online-Banking zurückgreifen. Bei diesem wird die TAN immer, spezifisch für den jeweiligen Auftrag, von der Bank generiert.

Diese sendet dem Kunden daraufhin über einen zweiten Kommunikationsweg (zum Beispiel via Telefon oder SMS wie beim mTAN-Verfahren)
die TAN mit den Auftragsdaten oder versendet einen Zahlencode mit dessen sich die Auftragsdaten über einen Generator anzeigen lassen (z.B. Sm@rtTANplus oder Sm@rtTANoptic).


Gilt heutzutage als technisch sicher: Das mTAN-Verfahren

Bei diesem Verfahren wird die TAN erst im Fall eines Auftrages erzeugt und kann somit nicht vorher entwendet werden. Außerdem erhält der Kunde die TAN sowie auftragsrelevanten Daten nicht über einen eventuell mit Schadprogrammen verseuchten PC, sondern via SMS auf sei Handy.

Erst wenn die Auftragsdaten (zum Beispiel Empfängername, BLZ und Kontonummer) mit der gewünschten Überweisung übereinstimmen, kann die TAN benutzt werden. Diese ist außerdem nur für die angezeigten Auftragsdaten gültig.

So ist es für den Empfänger über die ihm zugestellte SMS ersichtlich, wenn die Auftragsdaten während der Übertragung manipuliert worden sind, wenn diese falsche Empfängerdaten enthält.


Heutzutage auch sicher: Das Sm@rtTAN plus-Verfahren und Sm@rtTAN optic-Verfahren

Auch bei diesen beiden Verfahren werden die Zielkontodaten in Verbindung mit der erzeugten TAN vor Abschluss des Auftrages nochmal angezeigt. So kann der Kunde den Vorgang einfach abbrechen wenn die Daten, zum Beispiel im Falle einer Manipulation, nicht mit der Zielkontonummer übereinstimmen.

Im Gegensatz zum mTAN-Verfahren müssen bei diesen beiden Verfahren die Zielkontodaten erst über das Kartenlesegerät bestätigt werden, bevor die für den Auftrag spezifische TAN erzeugt wird. Dies gewährt wiederum zusätzliche Sicherheit für den Nutzer.


Hohe Sicherheit: Das HBCI-Verfahren

Im Gegensatz zum PIN/TAN-Verfahren wird beim HCBI-Verfahren keine TAN benötigt. Der Kunde gibt seine PIN auf dem Kartenlesegerät ein und signiert dadurch seine Transaktionsdaten mit einem auf der Chipkarte befindlichen geheimen Schlüssel. Das Verfahren bietet somit einen hohen Sicherheitsstandart, da ein Angreifer in der Regel den geheimen Schlüssel aus der Chipkarte auslesen kann.
Doch Vorsicht: Befindet ich ein Trojaner auf dem PC, besteht die Möglichkeit, dass dieser manipulierte Transaktionsdaten an das Chipkartenlesegerät sendet und der Kunde daraufhin im guten Glauben signiert.
Sollten Sie dieses Verfahren nutzen, ist es daher empfehlenswert ein Kartenlesegerät zu nutzen, in welches Sie Ihre PIN direkt und unabhängig von Ihrem PC eingeben können. Damit Sie Ihre Daten vor Abschluss prüfen können, sollte das Geräte außerdem über einen Display verfügen. So kann ausgeschlossen werden, dass Sie falsche Transaktionsdaten signieren.


Online-Banking: Wie Sie sich vor Betrügern schützen können

Schützen Sie sich vor Betrügern beim Online-Banking / Foto: Tomasz Zajda / fotolia.com

In diesem Abschnitt zeigen wir Ihnen, wie Sie sich am besten vor Betrug und Manipulation beim Online-Banking schützen können.

  • Bewahren Sie Ihre Zugangsdaten, wie PIN und TANs an einem sicheren Ort und getrennt voneinander auf.
  • Wenn Sie das HBCI-Verfahren nutzen, sollten Sie Ihre Signaturkarte vor Dritten an einem sicheren Platz verwahren.
  • Wenn sensible Daten auf der Festplatte gespeichert sind, sollte Sie diese mit Hilfe eines starken Passwortes schützen.
  • Vereinbaren Sie mit Ihrer Bank ein Tageslimit für Online-Überweisungen und prüfen Sie Ihre Kontoumsätze regelmäßig auf verdächtige Transaktionen. Hier gilt: Innerhalb von 48 Stunden kann Ihre Bank in der Regel verdächtige Falschüberweisungen zurück buchen.
  • Führen Sie das Online-Banking nur an einem vertrauenswürdigen PC oder Mac aus. Andernfalls besteht die Gefahr, dass Ihre eingegebenen Daten mitprotokolliert und nicht an die Bank, sondern an einen Angreifer, gelangen.
  • Außerdem ist Vorsicht vor Phishing-Betrügern geboten. Diese schicken häufig im Namen der Bank E-Mails an ihre Opfer. Ein darin enthaltener Link führt auf eine gefälschte Seite, die dem Online-Auftritt des Kreditinstituts zum Verwechseln ähnlich sieht. Hier werden sie unter einem Vorwand (zum Beispiel: Sicherheitsgründe) dazu verleitet sensible Zugangsdaten, wie PIN und TAN, preis zugeben. Geschieht dies, kann das Konto geplündert werden.
  • Ignorieren Sie dubiose Aufrufe bei denen zur Preisgabe von sensiblen Daten aufgefordert werden.
  • Geben Sie die Internetadresse Ihrer Bank immer manuell ein und lassen Sie sich nicht über Links auf den Online-Auftritt weiterleiten.
  • Vermeiden Sie das Öffnen von Anhängen nicht vertrauenswürdiger E-Mails, da sich dahinter sogenannte Phishing-Mails verbergen könnten. Beim Klick auf den Anhang installieren sich Trojaner, welche unbemerkt Ihre Bankdaten ausspionieren und diese dann an betrügerische Absender übermitteln.
  • Nutzen Sie für Ihren Online-Banking-Account ein geheimes E-Mail-Konto, das nur Sie kennen. Idealerweise auch keines eines Freemail-Anbieters wie GMX oder Web.de. So reduzieren Sie die Gefahr, Opfer von Phishing-Mails zu werden.
  • Installieren Sie in jedem Fall ein Virenschutzprogramm sowie eine Personal Firewall. Letztere fungiert als eine Art Türsteher für die eingehende und ausgehende Kommunikation und verhindert zum Beispiel, dass heimlich installierte Schadprogramme (Trojaner) sensible Informationen, wie Bankzugangsdaten, an einen Angreifer übermitteln. Viele Antivirenhersteller bieten auch komplette Pakete (so genannte Suites) zum wirkungsvollen Schutz des PCs an.
  • Aktualisieren Sie regelmäßig Ihr Betriebssystem sowie alle Anwendungsprogramme. Dies trifft besonders nach einer längerfristigen Abwesenheit am PC und vor der Nutzung von Diensten wie Online-Banking zu.

Bankgeschäfte am PC: Woran erkenne ich eine verschlüsselte Verbindung?

Gerade im Internet sollten Sie darauf achten, dass Sie Bankgeschäfte nur über eine verschlüsselte Verbindung tätigen. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Homepage-Adresse nicht mit „http“ sondern mit „https“ beginnt und sich außerdem ein kleines Schlosssymbol in der Statusleiste am unteren Rand des Web-Browsers befindet.

Die Stärke der Verschlüsselung können Sie durch einen Doppelklick auf das Schlosssymbol erfahren. Bei Bankgeschäften wird meistens eine AES 256-Bit Verschlüsselung verwendet, die heutzutage als sehr sicher gilt. Außerdem sollten Sie noch die Echtzeit des Zertifikates überprüfen.

Öffnen Sie dieses indem Sie doppelt auf das Schlosssymbol und anschließend auf „Zertifikat anzeigen“ klicken. Die Homepage ist nur dann vertrauenswürdig, wenn der Name im Zertifikat und der Firmenname genau übereinstimmen und das Zertifikat noch gültig und nicht abgelaufen ist.

Moderne Browser warnen den Nutzer bei ungültigen Zertifikaten zusätzlich. Nutzen Sie also immer einen aktuellen Browser!

Beitrag kommentieren

Alle Beiträge zum Thema: Büroalltag

Navigate