Online Banking – Welche Verfahren sind sicher?

20.02.2019 | 02:10 Uhr

smsTAN 1 min
Bildrechte: IMAGO

MDR JUMP Mi 20.02.2019 02:10Uhr 01:03 min

Audio herunterladen [MP3 | 993,8 KB | 128 kbit/s] Audio herunterladen [MP4 | 1,9 MB | AAC | 256 kbit/s] https://www.jumpradio.de/podcasts/quicktipp/online-banking-106.html

Rechte: MITTELDEUTSCHER RUNDFUNK

Audio

Beim Online-Banking müssen sich Kunden einloggen und ein Passwort eingeben. Jede Überweisung wird dann mit einer zusätzlichen Bestätigung versehen, um einen Missbrauch zu verhindern. An diesem Verfahren ändert sich grundsätzlich nichts.

Bald Geschichte: Gedruckte TAN-Listen

gedruckte TAN-Liste
Bildrechte: IMAGO

Die EU möchte nur die TAN-Listen oder auch iTAN-Listen (durchnummerierte TANs) auf Papier nicht mehr, weil diese aus ihrer Sicht zu unsicher sind. Vereinfacht gesagt können Kriminelle diese TANs mit manipulierten Webseiten oder Phishing-Mails abfangen und dann zu jedem späteren Zeitpunkt einsetzen – gemeinsam mit Login und Passwort des Kunden. Die EU möchte daher, dass für jeden Bezahlvorgang eine eigene Bestätigung bei der Bank erzeugt und vom Kunden zeitnah eingesetzt wird. Damit sollen das Abfangen von Überweisungsdaten und der Einsatz der Bezahlbestätigung zumindest schwerer gemacht werden.

Die Banken stampfen zurzeit die Papier-Tan-Listen ein und bis Ende September 2019 ist damit dann auch Schluss.

Josefine Lietzau, unabhängiges Verbrauchermagazin Finanztip

Was ändert sich für Kunden?

Vom 14. September 2019 an dürfen die TANs auf Papier von Bankkunden und den Finanzinstituten nicht mehr benutzt werden. Die Listen mit den Transaktionsnummern sind spätestens ab dem genannten Datum ungültig und können vernichtet werden. Bis zum Stichtag müssen Banken ihren Kunden ein neues Überweisungsverfahren anbieten. Diese neuen Verfahren unterscheiden sich voneinander und werden von Experten als unterschiedlich sicher eingeordnet. Das Technikmagazin CHIP weist zudem darauf hin, dass die Sicherheitsrichtlinie der EU eine 30 Euro-Grenze vorsieht. Bei kleineren Beträgen dürfen die Banken auf strenge Sicherheitsstandards mit TAN oder einer ähnlichen Bestätigung verzichten.

Das sind die gängigsten Verfahren

smsTAN
Bildrechte: IMAGO

mTAN/SMSTAN: Sehr viele Banken bieten schon seit einiger Zeit an, ihren Kunden für die Überweisung eine TAN per SMS aufs Smartphone zu schicken. Dafür verlangen viele Anbieter eine Gebühr, meist 9 Cent pro TAN. Finanztip weist darauf hin, dass dieses Verfahren in der Vergangenheit schon von Kriminellen geknackt wurde. Sie hatten Kontonummer und Passwort per Phishing-Mail erbeutet und dann eine Schwachstelle im Handynetzwerk ausgenutzt. Auch mit dem Anfordern einer zweiten SIM-Karte kann das Verfahren ausgehebelt werden.

App-TAN/PushTan/TAN2go: Für diesen Weg muss eine App der Bank installiert werden. Wer für die Bankgeschäfte auf dem Smartphone schon eine Banking-App seines Finanzinstitutes nutzt, muss also dann zwei Apps installiert haben. Alternativ können die Bankgeschäfte auf dem Computer erledigt werden, die TAN kommt dann in der Push-App oder TAN2go-App auf dem Smartphone an. Egal welchen Weg man nutzt: Die Daten werden übers Onlinebanking eingegeben. Dann öffnet man die passwortgeschützte App für die TAN und kann die abrufen. Auch dieses Verfahren wird von Experten als sehr sicher eingeschätzt.

photoTAN: Das Verfahren funktioniert ähnlich wie das vorher beschriebene mit zwei Apps auf dem Smartphone. Alternativ können Kunden ihre Bankgeschäfte am Computer erledigen und die TAN auf dem Handy empfangen. Zudem gibt es spezielle Lesegeräte, die dann die Rolle des Smartphones übernehmen. Mit der Kamera von Smartphone oder Lesegerät wird eine Grafik gescannt, die nach der Eingabe der Überweisungsdaten erscheint. Eine Software entschlüsselt die Grafik und zeigt eine TAN an. Das Verfahren gilt als sehr sicher, wenn ein Lesegerät genutzt wird. Die Methode konnte aber schon geknackt werden, als ein Smartphone für Überweisung und TAN parallel genutzt wurde.

Das passiert aber nur unter Laborbedingungen. Da wurde ein Virus auf dem Handy vorinstalliert.

Josefine Lietzau
QR-Code
Bildrechte: MITTELDEUTSCHER RUNDFUNK

QR-TAN: Viele Handynutzer kennen die schwarzweißen Muster, die sie mit der Handykamera etwa in Zeitschriften oder von Werbepostern einscannen können. Das Handy ruft dann die im QR-Code versteckte Webseite auf. Ähnlich funktioniert das Ganze auch beim Onlinebanking: Der Kunde gibt seine Daten für die Bank und die Überweisung ein. Dann erscheint ein QR-Code, der mit Hilfe der Handykamera die passende TAN für die Überweisung generiert. Das Verfahren gilt unter Experten als sehr sicher, ist aber noch nicht sehr verbreitet.

chipTAN: Das Verfahren gibt es schon viele Jahre. Die TANs werden hier von kleinen Extrageräten erzeugt, in die die Girocard (früher EC-Karte) gesteckt wird. Das Gerät gibt es von den Banken oder kann im Handel für knapp über zehn Euro gekauft werden. Die Überweisung können Nutzer am Computer oder am Smartphone erledigen. Dabei wird eine Grafik angezeigt, die vom Extragerät eingescannt wird. Das zeigt dann die TAN. Laut Finanztip kann auch dieses Verfahren geknackt werden, wenn Hacker Schadsoftware auf den Computer schleusen.

HBCI-Methode: Dieses Verfahren gilt derzeit als das sicherste und verzichtet komplett auf TANs. Allerdings funktioniert es nur für Bankgeschäfte am Computer und mit einem 50 Euro teuren Lesegerät.

Da arbeitet man dann mit einer Chip-Karte und einem Lesegerät und das ist natürlich nicht sehr komfortabel und das ist auch nicht sehr flexibel.

Josefine Lietzau

Die Chip-Karte ist personalisiert und mit einer elektronischen Signatur versehen. Außerdem müssen Nutzer einen PIN-Code eingeben.

Computer und Smartphones müssen abgesichert sein

Die beschriebenen Onlinebanking-Verfahren bieten nur dann größtmögliche Sicherheit, wenn die für Bankgeschäfte genutzten Geräte auch so gut wie derzeit möglich gegen Dritte abgesichert sind.

Sie sollten das Smartphone sperren, so dass man nur mit Passwort und Fingerabdruck drauf zugreifen kann, das Betriebssystem sollte aktuell sein und die Apps auf dem Gerät sollten aus aktuellen Quellen kommen.

Josefine Lietzau

Verbraucher sollten ihre Bankgeschäfte zudem nicht in einem öffentlichen WLAN erledigen. Dort könnten Kriminelle sich ebenfalls einloggen und auf Daten oder Smartphone zugreifen.

Der Computer fürs Onlinebanking sollte ein aktuelles Betriebssystem und einen guten Virenscanner haben.

Josefine Lietzau
Symbolbild Online-Banking am Computer
Bildrechte: IMAGO

Sonst könnten sich Banken querstellen, wenn Kriminelle mit einem Trojaner oder eine Phishing-Mail Daten ausspähen und das Konto leerräumen.

Dieses Thema im Programm MDR JUMP bei der Arbeit | 20. Februar 2019 | 10:45 Uhr

Zuletzt aktualisiert: 20. Februar 2019, 02:10 Uhr