Online-Banking: Welches ist das sicherste Verfahren?

Online Banking

In wenigen Minuten von zuhause oder unterwegs seinen privaten Zahlungsverkehr abwickeln – das funktioniert seit Jahren bei den meisten Banken über das Online-Banking und immer mehr Privatkunden nutzen es. Überweisungen und Kontostand-Prüfung sind zeit- und kostensparend auch am Wochenende erledigt. Doch welche Verfahren gibt es inzwischen und welches ist am sichersten? Wie kann man sich am besten vor Betrug schützen?

Sicheres Online-Banking spart Zeit und Kosten

Online-Banking ist eine komfortable Art, seine Bankgeschäfte über das Internet zu erledigen. Eine Reihe von Kunden nutzt jedoch immer noch den Papier-Überweisungsträger oder fragt seinen Kontostand am Kontoauszugsdrucker in der Bankfiliale ab. Zu gefährlich erscheint ihnen der Internet-Zugang auf das eigene Bankkonto, denn Hackern gelingt es immer wieder, auch die neueren Sicherheitsverfahren auszuhebeln und sich Zugriff auf das Konto zu verschaffen. Die meisten der Bankkunden, die bisher kein Online-Banking nutzen, stehen auch der Nutzung der Kreditkarte und Käufen über das Internet kritisch gegenüber.

Dabei können Online-Banking-Kunden mittlerweile auch auf sehr sichere elektronische Verfahren zurückgreifen, die getrennt vom Internet die Transaktionsnummern generieren, die für Zahlungen benötigt werden.

Grundsätzlich sollten Sie immer das aktuellste Verfahren, das ihre Bank den Kunden zur Verfügung stellt, nutzen. Viele Banken bieten zwar immer noch das iTAN-Verfahren mit Transaktionsnummern-Listen in Papierform zum Ausdruck auf dem eigenen PC an, haben alternativ aber auch ein neueres Sicherheitsverfahren eingeführt.

Informieren Sie sich in unserem nachfolgenden Beitrag über die unsicheren und sicheren Verfahren und wie Sie sich vor Betrügern durch den sorgfältigen Umgang mit ihren Daten schützen können.

Welche Sicherheitsverfahren für das Online-Banking gibt es und wie betrugssicher sind sie wirklich?

Das klassische TAN-Verfahren hat ausgedient

Elektronische Bankgeschäfte für Privatkunden wurden anfangs mit der TAN-Liste durch einem Transaktionsnummern-Block in Papierform möglich. Banken verschickten die Liste mit den Geheimnummern per Post an ihre Kunden. Je Buchungsauftrag wurde eine Geheimnummer aus dieser Liste zur Auftragsbestätigung eingegeben.

Besonders unsicher an dieser Methode war in erster Linie die Möglichkeit, dass Betrüger die Papierliste in die Hände bekommen konnten, sei es durch Abfangen auf dem Postweg oder durch den unbekümmerten Umgang der Bankkunden, die die Liste auch häufig in ihrer Brieftasche aufbewarten und Konto-Zugangsdaten und Passwort sinnigerweise auch noch mit auf die TAN-Liste schrieben.

Da die TAN-Nummern auch noch fortlaufend waren und keine zufällig generierten Zahlenkombinationen genutzt wurden, benötigten Betrüger praktisch nur eine Geheimnummer aus diesem Nummernblock, um Bankaufträge auszuführen, sobald sie sich online Zugang auf das Konto verschaffen konnten.

Stufe 2 – Das iTAN-Verfahren

Verbesserten Schutz als das klassische TAN-Verfahren aus den Anfängen des Online-Banking bot das nachfolgende iTAN-Verfahren. Immerhin sparten sich die Banken den Papier-Postversand und die iTAN-Liste konnte über die Service-Funktionen des Kontos online vom Kunden bei Bedarf selbst generiert werden.

Nachteilig an dieser Methode ist, dass die Liste nur einmal im Online-Banksystem aufgerufen werden kann. Entweder steht dem Kunden dann unmittelbar ein Drucker zur Verfügung oder er kopiert die Liste per Screenshot, so dass wieder eine Geheimnummern-Liste auf Papier oder eine gespeicherte Datei auf dem PC mit allen zur verfügbaren Transaktionsnummern zu dem jeweiligen Bankkonto existiert.

Die eigentliche Verbesserung liegt jedoch darin, dass zur Bestätigung des Online-Buchungsauftrags keine fortlaufenden Nummern wie beim klassischen TAN-Verfahren mehr verwendet werden und das System eine per Zufall ausgewählte, bestimmte TAN dieser Liste abfragt.

Das vergleichsweise unsichere iTAN-Verfahren wird auch heute noch von vielen Banken angeboten. Auch hier besteht die Möglichkeit des Diebstahls der ausgedruckten Liste, Datendiebstahl der gespeicherten Datei durch Trojaner oder anderweitigen unberechtigten Zugriff auf den PC.  (Schauen Sie sich auch das neue kostenlose Girokonto von Number26 an.)

ChipTAN & [email protected] – Störanfällige, separate Kartenlesegeräte

Vor allem die Sparkassen führten seinerzeit recht zügig das ChipTAN-Verfahren ein. Allerdings war es hierzu erforderlich, sich ein separates Kartenlese-Gerät zu kaufen. Der TAN-Generator mit Kartenslot in der Größe eines kleinen Taschenrechners mit Kartenslot kostet etwa 10 EUR.

Der Vorteil dieser leider jedoch recht billig verarbeiteten und deshalb häufig defekten elektronischen Lesegeräte ist, dass durch Einstecken der Bankkarte eine TAN unabhängig vom Internet generiert und kein zusammenhängender TAN-Block wie beim klassichen TAN- und iTAN-Verfahren mehr genutzt wird.

Neuere Kartenleser für das aus dem ursprünglichen ChipTAN weiterentwickelte [email protected] optic-Verfahren nutzen ein nicht unbedingt weniger störanfälliges System durch Scannen eines Strichcodes (Barcode), der über das Banksystem nach Eingabe der Überweisungsdaten erscheint. Mit dem Kartenleser wird der Strichcode gescannt und generiert unter Verwendung der Chipdaten der eingesteckten Bankkarte eine TAN, die zur Bestätigung in das Online-Überweisungsformular am PC eingegeben wird.

TAN Generator

Nachteil auch hier: Trojaner und andere Virensoftware können das System relativ problemlos knacken. Außerdem ist es recht umständlich, weil ein Extra-Kartenlesegerät nötig ist, welches der Bankkunde in den meisten Fällen selbst kaufen muss. Die Qualität der elektronischen TAN-Generatoren ist häufig nicht besonders gut, Probleme gibt es oft sowohl mit dem Chip-Leser als auch dem Scannen des Strichcodes, der nur in einer flackerfreien Auflösung von dem Gerät gelesen werden kann und dementsprechend justiert werden muss.

mTAN – Das derzeit sicherste System für privates Online-Banking

Für Privatkunden des Online-Banking gilt derzeit das mTAN-Verfahren, auch bekannt als smsTAN oder Mobil-TAN, als der sicherste Standard. Bankkunden erhalten über die Anforderung im Online-System während der Eingabe des Zahlungsauftrags eine TAN per SMS auf ihr Mobiltelefon. Die TAN-Nummer ist eine begrenzte Zeit von wenigen Minuten gültig und gilt nur für die aktuelle Transaktion. Werden die bereits eingegebenen Überweisungsdaten noch einmal nachträglich vor Eingabe der TAN geändert, muss eine neue Transaktionsnummer angefordert werden.

Smartphone

Auch der mTAN-Sicherheitsstandard funktioniert über zwei voneinander unabhängige Geräte, PC und Mobiltelefon. Zwar hat es in jüngster Zeit auch hier vereinzelte Betrugsfälle durch Trojaner und Fake-Telefonanrufe zur Datenabfrage gegeben, an das System an sich kamen Hacker aber zumindest bisher nicht.

Vorwiegend nur für Geschäftskunden erhältlich – das HBCI-Verfahren

Das aktuell sicherste Verfahren ist den Geschäftskunden der Banken vorbehalten. Für die Nutzung des HBCI-Standards (Home Banking Computer Interface) ist ein separates Verschlüsselungsgerät, welches direkt mit dem PC verbunden wird, und eine nur für dieses Sicherheitssystem ausgestellte Chipkarte sowie eine spezielle Software der Bank erforderlich. Es erweist sich deshalb für den privaten Gebrauch als sehr umständlich.

Betrugsfälle wurden bisher nicht bekannt, was allerdings auch daran liegen kann, dass Firmenkunden, die dieses Verfahren nutzen, über entsprechende Firewalls verfügen, die weitaus effektiver als die üblicherweise für private PCs genutzten Anti-Virenprogramme sind.

Theoretisch wäre es möglich, über Trojaner auf dem Rechner manipulierte Transaktionsdaten an das direkt mit dem PC verbundene Verschlüsselungsgerät zu senden und dadurch eine Freigabe zu erhalten, die jedoch durch Eingabe des geheimen Schlüssels durch den Anwender erfolgen muss.

Tipps für Online-Banking-Kunden: Wie schützt man sich vor Betrug?

Aktuelle Anti-Viren- und Schadsoftware-Programm auf dem Rechner installieren

Nicht nur für Online Banking gilt: Installieren Sie ein qualitativ gutes Anti-Viren- und Schadsoftware-Programm auf ihrem Rechner.

Die Durchführung regelmässiger Updates stellt sicher, dass auch neuere Trojaner & Spähsoftware keine Chance haben. Trotzdem besteht natürlich immer ein Restrisiko, da immer zuerst die Viren- und Schadsoftware exisiert, nicht das Anti-Virenprogramm.

Keine persönlichen Daten per E-Mail oder telefonisch herausgeben

Betrüger verstehen sich mittlerweile auf authentisch wirkende elektronische Absender und die Nachahmung von offiziell aussehenden E-Mails Ihrer Bank. Sie nutzen originale Logos aus dem Internet und kopieren den Schreibstil. Gespickt mit einem den Kunden alarmierenden Betreff wie Konto- oder Kartensperrung sehen diese Nachrichten höchst wichtig und offiziell aus.

Banken fordern keine vertraulichen Daten per E-Mail oder telefonisch an. Löschen Sie diese E-Mails am besten gleich und ohne die E-Mail selbst oder angehängte Programme oder enthaltene Links zu öffnen, in den Anlagen bzw. unter den Links befinden sich höchstwahrscheinlich Trojaner oder andere Schadsoftware, die sich automatisch im Hintergrund auf ihrem Rechner installieren.

Wichtige Informationen wird Ihnen Ihre Bank entweder auf dem Postweg oder im verschlüsselten und durch Ihre persönlichen Zugangsdaten geschützten Online-Banking System in der Nachrichten-Inbox zukommen lassen. Ausgenommen sind davon in der Regel lediglich Push-SMS auf ihr Smartphone bei Kontobewegungen oder Benachrichtigungen über neue Kreditkartenabrechnungen per E-Mail.

Nur sicher verschlüsselte Bank-Webseiten aufrufen

Der Zugang zum Online-Banking bzw. zum Bankserver ist verschlüsselt, erkennbar an den Buchstaben „https“ zu Beginn der Webadresse und dem Schloss-Symbol.

Wenn Sie sich für das Online-Banking bei Ihrer Bank einloggen wollen, geben Sie die Webadresse immer direkt in die Adresszeile in Ihrem Browser ein oder rufen Sie sie über ihre eigenen gespeicherten Favoriten (Lesezeichen) auf. Der Zugang über Links im Internet kann auf Fake-Seiten führen, die der Webseite Ihrer Bank täuschend ähnlich sehen und Sie auffordern, Ihre Zugangsdaten einzugeben.

Verlauf und Cache auf fremden Rechnern nach Nutzung sofort löschen

Generell sollten Sie für das Online-Banking nur ihren eigenen PC nutzen. Natürlich kann es aber sein, dass Sie im Urlaub oder unterwegs von einem fremden Rechner Ihren Kontostand prüfen oder eine Zahlung vornehmen wollen. Achten Sie zunächst auf die verschlüsselte Webseite und melden Sie sich vor Verlassen der Webseite ausdrücklich vom Bankserver wieder ab, d.h. schließen Sie nicht einfach nur die Webseite, sondern gehen Sie auf Log out oder Abmelden. Anschließend sollten Sie den Verlauf im Browser und im Cache löschen, denn Ihre Aktivitäten könnten sonst später durch einfaches Anklicken der Seiten im Verlauf, während Sie angemeldet waren, ausgelesen werden.

Bei Nutzung fremder Rechner sollten Sie immer beachten, dass diese möglicherweise mit einer Schadsoftware oder einem Virus infiziert sein können, so dass Ihre Daten nicht sicher sind.

Sorgfältiger Umgang mit Zugangsdaten, Passwörtern und TANs

Speichern Sie keine Zugangsdaten, Passwörter oder TAN-Listen auf Ihrem PC. Alle Daten, die sich auf Ihrem PC befinden, können von Trojanern ausgelesen werden. Vorsicht ist auch bei gespeicherten Zugangsdaten im Browser geboten, die automatisch bei Aufrufen der Webseite eingefügt werden. Zwar ist es bequem, nicht erst die Zugangsdaten heraussuchen zu müssen, dieses Vorgehen spielt Betrügern jedoch in die Hände.

Passwörter sollten den allgemeinen Sicherheitsstandards entsprechen und Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen beinhalten. Die Mindestlänge wird von der Bankensoftware zwar vorgeschrieben, je länger, desto geringer aber das Risiko. Wechseln Sie nach Möglichkeit Passwörter in regelmässigen Abständen.

Diebstahl, Kartenverlust oder unberechtigten Kontozugriff sofort der Bank melden

Unberechtigten Kontozugriff wie unbekannte Abbuchungen sollten Sie sofort Ihrer Bank melden. Tun Sie das nicht, stehen Sie selbst in der Haftung, wenn Ihnen Geld von Ihrem Konto durch kriminelles Vorgehen Dritter abhanden kommt. Das Gleiche gilt bei Kartendiebstahl und -verlust, aber auch für den Verlust der TAN-Nummernliste, welche Sie in den meisten Fällen selbst über das Online-Banking sperren können.

Bewahren Sie die Telefonnummern für das Sperren von Bank- und Kreditkarten auch bei sich zuhause auf, so dass Sie sie schnell zur Hand haben. Bei gestohlener Geldbörse oder Handtasche nützen Ihnen die Telefonnummern darin nichts.

Fazit zum sicheren Online-Banking

Online-Banking gehört für viele Bankkunden zum Alltag. Per PC, Tablet oder Smartphone können Kontostände abgefragt oder Zahlungen vorgenommen werden. Die 24 Stunden-Verfügbarkeit und Mobilität erleichtert die privaten Bankgeschäfte und ist unabhängig von Bank-Öffnungszeiten, Wochenenden und Feiertagen.

Andere Kunden wiederum machen sich Sorgen um die Sicherheit der Online-Bankgeschäfte und nutzen vorsichtshalber nach wie vor lieber Kontoauszugsdrucker und Überweisungsträger in Papierform. In der Regel stehen sie auch Kreditkartenzahlungen über das Internet kritisch gegenüber und zahlen grundsätzlich am liebsten auf Rechnung und per Überweisung nach Erhalt der Ware. Nicht ganz ohne Grund, denn es kommt auf das Sicherheits-Verfahren an, welches für das Online-Banking seitens der Bank eingesetzt wird.

Das bei Einführung des Online-Banking verwendete klassische TAN-Verfahren ist inzwischen überholt und wird nicht mehr genutzt. iTANs sind allerdings noch breit vertreten, denn jede neue Systemeinführung kommt den Banken teuer zu stehen und neue Sicherheitsstandards erfordern einen kompletten Software-Umbau im Online-Banking.

Da iTANs nur als Papierausdruck oder als gespeicherte Datei eines Screenshots der generierten iTAN-Liste funktioniert, gilt es als vergleichsweise unsicher, da Papier und Dateien durch Diebstahl bzw. Datendiebstahl durch Schadsoftware nun einmal sehr anfällig für Betrug und kriminelles Handeln ist.

Bankkunden sollten immer das neueste bei ihrer Bank verfügbare Sicherheits-Verfahren nutzen. Hierzu zählt für Privatkunden aktuell der mTAN-Standard, auch smsTAN oder Mobil-TAN genannt. Bei Eingabe des Zahlungsauftrags wird seitens des Kunden die Transaktionsnummer über das System angefordert. Der Bankserver schickt daraufhin eine SMS auf die hinterlegte Mobilfunk-Nummer des Kunden mit einer automatisch generierten Transaktionsnummer, die nur für den aktuellen Zahlungsauftrag und für wenige Minuten gültig ist.

Der Vorteil des mTAN-Verfahrens ist, dass zwei voneinander unabhängige Endgeräte des Kunden genutzt werden, der PC mit Verbindung über das Internet zum Online-Banking und das Mobiltelefon, auf welchem die erforderliche TAN eingeht. Bisher ist es Hackern nicht gelungen, das System an sich zu knacken.

Betrugsfälle hat es jedoch auch bei den mTANs trotzdem schon gegeben, die im Prinzip aber den unvorsichtigen Kunden zugeschoben werden, denn sie erfolgten durch Trojaner auf den PCs und telefonische Fake-Anrufe, um an die Daten zu kommen. Anti-Schadsoftware und die gebotene Vorsicht bei der Herausgabe persönlicher Daten hätte dies wohl verhindern können.

 
Jetzt zu Number26 und kostenloses Girokonto inkl. gebührenfreie MasterCard erhalten!
Online-Banking: Welches ist das sicherste Verfahren? was last modified: Juni 16th, 2016 by AngelaZ