Sicherheit beim Online-Banking: Was tun die Banken?

By | 28. Mai 2018

Wie bereits in einem vorangegangenen Artikel beschrieben schrecken viele Bankkunden davor zurück sich auf Online-Banking einzulassen und verzichten daher auf ein kostengünstiges oder kostenloses Girokonto, das von vielen Direktbanken angeboten wird. Ohne die Gefahren des Online-Bankings kleinzureden ist diese Methode des Geldverkehrs besser und sicherer als ihr Ruf.

In diesem Artikel werden die durchaus bemerkenswerten Bemühungen der Geldinstitute beleuchtet, Online-Banking möglichst sicher zu machen. Grundlage des Online-Bankings ist das sogenannte PIN/TAN-Verfahren. Dabei gewährleistet die PIN (Personal Identification Number) den grundsätzlichen Zugriff auf das Online-Konto. Das allerdings nur lesend, d.h. wer Zugriff auf diese Nummer hat, kann über das Internet Informationen wie Umsätze, Kontostand, etc. des Kontos abfragen. Transaktionen, also Geldbewegungen bedürfen zusätzlich der TAN (Transaction Number). In den Anfangszeiten des Online-Bankings wurde diese Trennung als ausreichend sicher betrachtet. Die praktische Erfahrung hat aber gezeigt, dass es immer wieder betrügerischen Zeitgenossen gelungen ist, dieses System auszuhebeln und erheblichen wirtschaftlichen Schaden auf den Konten der Online-Kunden anzurichten.

Das ursprüngliche Verfahren mit einer klassischen TAN-Liste, bei dem der Bankkunde für eine Transaktion eine beliebige TAN aus der Liste für eine Transaktion verwenden konnte, gehört nach etlichen Angriffen durch sogenannte Phishing-Mails, die zur Eingabe einer oder mehrerer TAN-Nummern aufforderten inzwischen fast der Vergangenheit an.

Mittlerweile ist der Minimalstandard das sogenannte iTAN-Verfahren. Dabei wird bei Transaktionen eine bestimmte (indizierte, bzw. nummerierte) TAN aus der Liste vom Bankserver angefordert. Dieses Verfahren ist schon deutlich sicherer, wurde aber durch von Trojanern (einer spezielle Form von Computerviren) ausgehende sogenannte Man-in-the-middle-Attacken immer öfter ausgehebelt. Dabei wird während der Transaktion durch die Schadsoftware die Bankverbindung einer Überweisung vom Anwender unbemerkt zugunsten eines Kontos des Betrügers verändert.

Sehr sicher ist das sogenannte mTAN-Verfahren (Mobile TAN). Dabei erhält der Bankkunde für jede Transaktion eine nur zu diesem Vorgang passende Transaktionsnummer per SMS auf sein Handy gesendet. Bisher sind nur relativ wenige erfolgreiche Angriffe bei diesem Verfahren bekannt. Nachteil sind aber die Kosten des SMS-Versands. Oft musste der Kunde die Kosten dieser zusätzlichen Sicherheit bezahlen, zudem muss der Anwender natürlich im Besitz eines Mobilfunkanschlusses sein. Während sich an letzterem systembedingt nichts geändert hat, gehen aber die Kosten betreffend immer mehr Banken dazu über mTAN als gebührenfreien Standard in ihre Angebote zu integrieren.

Der neueste und aktuell sicherste Standard ist das sogenannte chipTAN-Verfahren, auch sm@rtTAN-Verfahren genannt. Dabei erhält der Kunde von der Bank ein kleines Gerät, den sogenannten TAN-Generator. Im Schnitt ist dafür eine einmalige Gebühr von um die 10 Euro zu bezahlen. Der TAN-Generator ist ein mobiles Kartenlesegerät, das nach Einführen der Kontokarte eine TAN für eine anstehende Transaktion berechnet. Dabei geht die Kontonummer des Empfängers in die Berechnung der TAN ein. Damit ist die TAN eindeutig an die Bankverbindung des Zahlungsempfängers gebunden, sodass auch Man-in-the-middle-Attacken ins Leere laufen.

Fait: Die Banken bemühen sich in zunehmendem Maß um die Verbesserung der Sicherheit beim Online-Banking. Bei der Entscheidung für ein Girokonto sollte man als Kunden also auch neben anderen Konditionen auf die angebotenen Verfahren beim Online-Banking achten.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.