Sicherheit beim Onlinebanking?

von aktualisiert am: 27.11.2016

Onlinebanking ist Standard im Jahr 2016. Es gibt nur noch wenige Verweigerer, die ihre Überweisungsbelege ausfüllen und direkt bei der Bankfiliale abgegeben. Oft haben wir heute jedoch keine Wahl. ING-DiBa, Consorsbank oder DKB sind reine Direktbanken und haben kein eigenes Filialnetz. Zudem drehen Baken wie Postbank und Sparkasse an der Gebührenschraube und erheben Gebühren für beleghafte Vorgänge.

Hier erfahren Sie, wie Sie sich beim Onlinebanking relativ einfach vor Datenmissbrauch und Internet-Banking-Phishing schützen können.

Legitimierung von Überweisungen, Lastschriften und Daueraufträgen

Sicherheit bei Überweisungen, was vor Datenmissbrauch und Phishing schütztIn einer Bankfiliale ist die Legitimation kein Problem. Die zum Girokonto zugehörige EC- oder Girokarte ist vorzulegen. Sollte der Bankmitarbeiter bei Sparkasse oder Volksbank Zweifel haben, kann er sich zur Kontrolle von Identität und zum Abgleich der Unterschrift ein Ausweisdokument z.B. den Pass oder Personalausweis vorzeigen lassen.

Beim Onlinebanking entfällt diese ohne Zweifel immer noch sicherste Lösung. Kein Internet, kein Handy – wenig Chancen der Manipulation.
Wir wollen jedoch unser Leben flexibel gestalten und Überweisungen schnell und bequem von zu Hause erledigen.

Sicherungsverfahren in der Übersicht:

TAN-Listen

Das älteste Legitimationsverfahren bei dem Bankkunden eine Liste mit Transaktionsnummer zur Bestätigung von Überweisungen und anderen Bankvorgängen erhalten, gerät etwas aus der Mode. Es gibt zwei Varianten.

Einfaches TAN-Verfahren

die klassische TAN-Liste gilt heute als unsicher und anfällig
Auf der Liste sind TAN-Nummern in Blöcken aufgedruckt. Der Kunde kann eine beliebige Nummer zum Verifizieren einer Überweisung auswählen und eingeben. Diese Tan (Transaktionsnummer) kann nur einmalig verwendet werden. Aus diesem Grund sind verbrauchte TAN’s durchzustreichen.

Dieses klassische TAN-Verfahren ist das unsicher und wurde durch das I-TAN Verfahren abgelöst.

I-TAN-Verfahren

Das I steht für indexiert. Vor jeder Transaktionsnummer auf der Liste steht eine Nummer, der Index. Bei einer Onlineüberweisung werden Sie z.B. aufgefordert, TAN Nr. 23 von ihrer Liste einzugeben. Beim DKB Cash gibt es das Verfahren nur noch für Altkunden. Viele Banken bieten es gar nicht mehr an.

I-TAN++ Verfahren

Stellt eine Erweiterung der indexierten TAN-Liste dar. Der Anzeigetext der Bank z.B. mit dem Inhalt „Bitte für die Überweisung von XX Euro die TAN Nr. 24 benutzen!“ ist grafisch durch ein Nummer als Wasserzeichen hinterlegt. Nur die Eingaben von I-TAN und dieser immer anders lautenden Nummer verifiziert eine Überweisung. Damit ist das iTAN++, wie es von der 1822 direkt angeboten wird, noch sicherer. Die Nummer als Wasserzeichen kann nicht maschinell ausgelesen werden. Ein Phishing-Versuch hat so wenig Aussichten auf Erfolg.

Fazit: Gerät die Liste in die Hände einer Person, die zudem ihre Bankverbindung für das Girokonto inkl. PIN (Personal Identification Number) kennt, droht Gefahr.

Unser Tipp: Vermeiden Sie unbedingt die TAN-Liste in einer Software zum Homebanking zu speichern. Das mag komfortabel sein, sie wissen jedoch nicht, ob die Daten verschlüsselt gespeichert werden. Zudem kann die Datenbank durch Viren oder Trojaner ausgespäht werden

M-TAN-Verfahren

Oft haben wir als Kunde heute die Wahl, welches Sicherungsverfahren wir einsetzen möchten. Einige Banken wie die Bank of Scotland setzen jedoch ganz auf Mobile Banking und bieten nur das M-TAN Verfahren an.

Das Prinzip ist einfach erklärt. Tätigen Sie eine Überweisung auf der Seite der Bank im Internet sendet ein Autorisierungsprogramm eine Transaktionsnummer als SMS an ihr Handy. Nur nach Eingabe dieser M-Tan ist der Transaktionsvorgang gültig.

Fazit: Nicht erst nach Handygate wissen wir, das Telefone nicht abhörsicher sind und auch die M-Tan Nachrichten mit gewisser krimineller Energie abgefangen und missbraucht werden könnten. Ein kurzes Zeitfenster von oft 1 Minute schafft etwas mehr Sicherheit. Nur diese 1 Minute ist die M-TAN gültig. Ein Missbrauch müsste also sehr schnell erfolgen. Aus diesem Grund ist dieses Sicherheitsverfahren I-TAN und klassischer TAN-Liste vorzuziehen.

photoTAN-Verfahren bzw. QR-TAN

Beim photoTAN-Verfahren wird im Onlinebanking z.B. bei der comdirect, wo dieses Verfahren wahlweise zum M-TAN Verfahren zur Verfügung steht, eine Grafik angezeigt. Diese ist ähnlich einem QR-Code und zeigt verschlüsselt die Daten der Transaktion. Mit einer App der jeweiligen Bank fotografieren Sie die Grafik. Im Anschluß erfolgt die Anzeige der Überweisungsdaten zur Kontrolle und einer TAN auf dem Handy. Mit dieser TAN ist die Überweisung oder sonstige Transaktion am PC freizugeben.

Fazit: Transaktionorientiert und damit als sicher einzustufen. Da jedoch Mobiltelefone gehackt und manipuliert werden können, ist der TAN-Generator wie im anschließend genannten chipTAN-Verfahren als noch sicherer einzustufen.

smartTAN plus-Verfahren nicht transaktionorientiert

Als eines der einfachsten Sicherungsverfahren erzeugt ein TAN-Generator ein Folge von Transaktionsnummern. Diese Geräte haben keinen optischen Sensor bzw. eine Tastatur, sondern nur ein Display als Anzeigebereich. Nach Einstecken der Bankcard erhalten sie die Nummern. Diese können Sie z.B. abschreiben und geben Sie bei Bedarf genau in dieser Abfolge für das Legitimieren ihrer Überweisungen ein.

Da dieses Sicherungsverfahren nicht transaktionsorientiert ist – also keine Verbindung mit einer konkreten Überweisung besteht – gilt das Verfahren heutzutage nicht als sehr sicher. SmartTAN plus findet z.B. bei der Transaktionfreigabe der NIBC Direkt Verwendung.

Auch der Bankey (in Verwendung z.B. beim VW-Bank Onlinebanking fürs Girokonto) wird mithilfe eines Generators ermittelt, der keine Verbindung zur aktuellen Überweisung herstellt. Bei diesem Verfahren entfällt auch das Einstecken der Bankcard. Zur Aktivierung des Gerätes ist ein PIN-Code einzugeben.

Hohe Sicherheit über chipTAN-Verfahren

das ChipTan-Verfahren bietet derzeit die höchste Sicherheit beim Onlinebanking
Einige Banken überlassen ihren Kunden die TAN–Generatoren kostenlos, andere verlangen ca. 10 Euro für die kleinen Geräte. Mit dem integrierten Chipkartenleser wird die Kreditkarte oder Girokarte eingelesen. Bei der sichersten Variante ist dieser Vorgang ebenfalls mit einer Pin-Nummer geschützt. Beim Digipass der Rabobank ist das z.B. der Fall.

Konkret öffnen Sie die Webseite ihrer Bank und geben die Daten der Überweisung ein. Es wird eine Bildschirmgrafik angezeigt, die verschlüsselte Transaktionsdaten – z.B. Empfängerkonto und Betrag – enthält. Der TAN-Generator ist als optisches Lesegerät vor den meist flackernden Bildschirmcode zu halten. Nach dem Einlesen des Codes sind Kontonummer und betrag der Überweisung nochmals per Tastendruck auf dem Tan-Gerät zu quittieren. Danach erfolgt die Anzeige einer TAN-Nummer, die abschließend im Bildschirmformular einzugeben ist.
Fazit: Derzeit eine der sichersten Lösungen, da die kleinen Geräte auch in den Urlaub oder auf Reisen leicht mitzunehmen sind. Haben Sie sich bei ihrer Bank für das chipTan-Verfahren entschieden, entfällt die klassische TAN-Liste auf Papier.

PushTan – Verfahren

Die technische Entwicklung geht weiter und gerade bei Jungen Leuten gehört Mobile-Banking zum Alltag. Das Push-Tan Verfahren wird z.B. von den Sparkassen angeboten und hat den Vorteil, dass nur ein Gerät z.B. ein Tablett benötigt wird, um eine Überweisung auszuführen. Bisher müssen sich Kunden, die einen Auftrag über die Banking-App auf dem iPad oder entsprechendem Gerät auslösen wollen, zur Legitimierung die TAN per SMS auf ein Smartphone schicken lassen (M-Tan Verfahren).

Für Push-Tan ist eine extra App zu starten. Bei der Sparkasse nennt sich diese S-pushTAN-App. Der aktuelle Auftrag zur Überweisung wird angezeigt und ist nach Überprüfung zu bestätigen. Dann erst lässt sich die Push-Tan generieren. Diese ist in der Banking App einzugeben. Dass die TAN nicht per SMS geschickt ist ein weiterer Vorteil und ein Sicherheitsplus. Die App für Push-Tan lässt sich nicht so einfach hacken. Nur mit Zugangsdaten und einem langen Passwort besteht Zugriff zum Service.

Ein Praxisbeispiel ist im Artikel zur DKB-Banking App mit pushTan-Verfahren zu finden.

FinTS/HBCI – Verfahren

Steht für Financial Transaction Services / Home Banking Computer Interface und stellt momentan die sicherste Verbindung zwischen Kunde und Bank dar. Voraussetzung für die Nutzung ist der Einsatz einer diesen Standard unterstützenden Homebanking-Software wie Starmoney.

Der Einsatz des Verfahrens ist separat frei zuschalten. Die Teilnehmer erhalten einen privaten und einen öffentlichen Schlüssel. Diese persönliche Signatur ersetzt die Unterschrift. Nur die Bank, die im Besitz des öffentlichen Schlüssels vom Kontoinhaber ist, kann dessen verschlüsselte Transaktionen lesen und verarbeiten.

Zum HBCI-Sicherungsverfahren kann ein Chipkartenleser verwendet werden. Der persönliche Schlüssel ist auf der Chipkarte gespeichert. Erst nach Eingabe der PIN können Transaktionen oder Kontostandsabfragen erfolgen.

Alternativ ist es auch möglich, den privaten Schlüssel auf einem externen Speichermedium wie einem USB-Stick abzulegen.

SmartSecure App – ING-DiBa

Mit dem Bestreben, gerade beim mobile Banking die Vorgänge so einfach und benutzerfreundlich wie möglich zu gestalten, gibt es für das ING-DiBa Girokonto eine SmartSecure App. Diese lässt sich nur auf einem dedizierten Smartphone installieren und läuft autark neben der Banking + Brokerage App. Bei einer Transaktion zum Beispiel einer Überweisung ist mit der SmartSecure App die Fingertipp-Legitimation ohne Eingabe einer TAN möglich.

Fingerprint – Apple IOS

Eine für den Anwender bequeme Möglichkeit, Transaktion zu legitimieren ist der eigene Fingerprint. Dieses Verfahren funktioniert z.B. mit Apple-Geräten (ab iPhone 5s und iPad Pro, iPad Air 2 sowie iPad mini ) und wird von einigen Banken, wie Postbank oder Norisbank unterstützt. Datenschützer sehen das skeptisch, da z.B. bei einer nicht datenschutzkonformen App die biometrischen Daten gespeichert werden könnten und die wiederum gehackt werden können.

Was ist Internet-Banking Phishing?

Bei dieser kriminellen Technik wird ein täuschend echt aussehendes Plagiat der echten Internetseite ihrer Bank angezeigt. Bei Eingabe der Kontodaten oder einer Überweisung werden PIN und TAN vom Betrüger ausgespäht, um ihr Girokonto unrechtmäßig zu belasten. Diese kriminellen Banden operieren aus dem nicht EU-Ausland und löschen ihre Spuren und Fake-Seiten innerhalb weniger Tage. Eine Strafverfolgung ist fast unmöglich.

Was passiert genau beim Internet-Banking-Phishing z.B. durch den Bank-Trojaner Emotet?

  • Auf den heimischen PC oder auf das Smartphone gelangt ein Trojaner am häufigsten per E-Mail Anhang in Form einer zip-Datei. Die Mails kommen scheinbar von großen Firmen wie Telekom oder DHL und sind in Layout und Schriftform fast identisch.
  • Diese zip-Datei enthält wiederum eine exe-Datei, also ausführbaren Code. Da im Dateinamen häufig Interesse erweckende Begriffe wie „Rechnung“ oder „invoice“ auftauchen, ist es bis zum Klick der Anwender nicht weit und schon ist Gefahr im Verzug.
  • Nach der Infektion des PC beginnt der Trojaner zu „arbeiten“ und lädt, teils mit aufwendigen Verschlüsselungsalgorithmen und für Virenscanner nicht auffällig, weitere Module.
  • Ruft der Nutzer die Internetseite seiner Bank auf, manipuliert der Trojaner den Aufruf und gibt dem Anwender im Browser eine veränderte jedoch der Orginalseite der bank täuschend ähnliche Seite aus.
  • Häufig werden Sie gebeten, aufgrund einer angeblichen Wartung bei der Bank oder der Inbetriebnahme eines neuen Sicherheitssystemes, eine Testüberweisung auszuführen.
  • In dieser Testüberweisung manipuliert der Virus die Empfängerdaten, sprich IBAN und Überweisungsbetrag zu seinen Gunsten.

Jetzt kommt der entscheidende Punkt.

Die Zwei-Faktoren-Authentifizierung mit Chip-TAN oder mTAN kann der Trojaner nicht aushebeln. Der Nutzer muss die gefälschte Überweisung selbst durch Eingabe einer TAN freigeben.

Daher spielt der menschliche Aspekt die entscheidende Rolle. Gleichen Sie die IBAN und den Überweisungsbetrag mit ihren angewiesenen Daten und geben Sie bitte nicht nur schnell die TAN ein.

Der beschriebene Trojaner ist sehr selektiv und greift nur spezielle Banken an. Eine betrügerische Geldüberweisung durch die häufig aus Russland stammenden Cyberkriminellen kann der informierte Bankkunde so mit ein wenig mehr Aufmerksamkeit verhindert. Virenscanner, Softwareupdates, neueste TAN-Verfahren und SSL schützen nicht vor einem Trojaner wie Emotet.

Genauere Informationen zur Funktionsweise von emotet finden Sie hier.

Sicherheitshinweise beim Onlinebanking – was Sie nie tun sollten.

  • Speichern Sie keine Daten zur Autorisierung ihres Girokonto wie PIN oder TAN in einer Software oder in Datenbaken ab!
  • Reagieren Sie niemals auf E-Mails von Banken die Sie auffordern ihre Kontodaten einzugeben.
  • Besuchen Sie die Bankenseite immer von der offiziellen Webseite aus. Legen Sie diese unter den Favoriten ab und benutzen Sie nur diesen Link.
  • Achten Sie im Internetbrowser auf Adressen beginnend mit https. Banken verwenden nur diesen Standard – bei dem der Datentransfer zwischen dem Kund und der Bank verschlüsselt ist.
  • nur sichere Internetseiten https verwenden

  • Hat sich etwas am Layout der Bankenseite geändert oder sind Schreibfehler auffällig, ist Skepsis angebracht.
  • Arbeiten Sie, sofern es die Bank vorsieht, mit Limits für Barabhebungen und Überweisungen. Im Fall eines Missbrauchs ist auch der Schaden begrenzt.
  • Kontrollieren Sie ihre Abbuchungen. Fallen Ihnen Unregelmäßigkeiten auf, lassen Sie das Konto sperren.

   

Nach oben ↑