24. April 2012

Sicheres Online-Banking: PIN, mTAN, HBCI und Co.

Berlin (dpa) - Die alte TAN hat ausgedient - zu leicht zu knacken. Weil Betrüger immer neue Wege finden, Kontodaten im Internet abzugreifen, verschärfen auch Banken ihre Sicherheitsstandards beim Online-Banking.

Online-Banking
Wie schütze ich mein Konto beim Online-Banking? Verschiedene technische Lösungen bieten unterschiedliche Sicherheitsniveaus. Aber neuere Technik bedeutet nicht automatisch höheren Schutz. Foto: Andrea Warnecke/Symbolbild
dpa

Den klassischen Weg mit geheimem PIN-Code und einer Sammlung von Transaktionsnummern (TAN) nach dem Zufallsprinzip gibt es fast gar nicht mehr. Auch das sogenannte indizierte TAN-Verfahren (iTAN) mit durchnummerierten Codes läuft aus, weil es zu viele Schwachstellen hat. Mehr Sicherheit versprechen Namen wie HBCI, mTAN oder TAN-Generatoren - allerdings zum Teil mit deutlich höherem Aufwand.

Wer das Handy immer in Reichweite hat, der kann sich seine TAN per SMS schicken lassen. Dazu hinterlegt man einmalig seine Nummer bei der Bank - und bekommt automatisch eine mobile TAN (mTAN) geschickt, um eine Transaktion zu bestätigen. Die haben meist nur eine begrenzte Gültigkeit, um in falschen Händen nicht missbraucht werden zu können.

Risiken lauern trotzdem - gerade bei Smartphones. Denn es gibt schon Programme, die TAN-SMS abgefangen oder auf Handys von Betrügern umleitet sollen. «Die Einführung der Smartphones ist eine Gefahr für das Online-Banking», warnt Georg Borges, Jura-Professor an der Ruhr-Universität Bochum. «Es gibt ernsthafte Versuche, in mTANs einzugreifen.»

Bestätigungen für einen erfolgreichen Angriff gebe es allerdings noch nicht. Außerdem seien ältere Handys ohne Internetnutzung sicherer - wenn auch nicht unangreifbar. Laut Verbraucherzentrale Nordrhein-Westfalen verbieten Banken in ihren Geschäftsbedingungen deswegen, dass mTANs an Handys geschickt werden, mit denen Bankgeschäfte erledigt werden.

Wem die Handy-Variante zu viel Angriffsfläche bietet, der kann bei vielen Banken auf sogenannte TAN-Generatoren zurückgreifen. Die sehen aus wie kleine Taschenrechner mit einem Leseschlitz, in den der Kunde seine EC-Karte schiebt. Je nach Anbieter braucht die Maschine dann mehr oder weniger Informationen, um schließlich auf Knopfdruck eine TAN auszuspucken - das Sicherheitsniveau ist entsprechend unterschiedlich.

Einigen Modellen reicht schon eine Kontrollnummer auf der Webseite der Bank. Andere lesen beim sogenannten optischen Verfahren einen flackernden Strichcode auf der Webseite der Bank aus. Dazu haben die Geräte Sensoren, die der Kunde an den Bildschirm halten muss. Erst wenn der richtige Strichcode erkannt ist, zeigt das Gerät die TAN an.

Die sicherste Variante ist laut Professor Borges aber die, bei der Daten aus der Überweisung in die Berechnung der TAN einbezogen werden - etwa eine Zahlenfolge aus der Kontonummer des Empfängers. «Mit der jeweiligen TAN kann dann nur diese spezielle Überweisung getätigt werden», sagt Borges.

Allerdings kosten die Generatoren zwischen 10 und 15 Euro und müssen zur Überweisung immer zur Hand sein. «Das ist eine Abwägung zwischen Komfort und Sicherheit», sagt der Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI), Matthias Gärtner. «Das Mobiltelefon habe ich immer dabei.»

Neben einem sicheren TAN-Verfahren empfiehlt er, auch den eigenen Computer samt Virenschutz immer auf dem aktuellen Stand zu halten, um Betrügern den Zugriff möglichst schwer zu machen. «Wir raten auch von Online-Banking in unbekannten oder ungesicherten Drahtlosnetzwerken ab.» Außerdem sollten Kunden ihre Kontobewegungen regelmäßig prüfen, um einen Betrug schnell zu entdecken und die Bank zu informieren.

Allerhöchste technische Sicherheit liefert das HBCI-Verfahren, das einige Banken anbieten. Das Homebanking Computer Interface hat aber seinen Preis: Neben einem speziellen Lesegerät braucht der Kunde ein Computerprogramm und eine Chipkarte mit einem digitalen Schlüssel. Erst diese Dreierkombination verpasst der Transaktion eine kaum zu fälschende Signatur. Selbst geklaute Passwörter sind ohne Zugriff auf die Chipkarte dann nutzlos. Allerdings laufen Überweisungen auch nur mit den Rechnern, auf denen die Software installiert ist.

BSI-Tipps zu Online-Banking

Bankenverband zu Online-Banking

Weitere Artikel aus diesem Ressort
Anzeige