Vongiebel / BlogNewsletter / 0 Kommentare

Online Banking – wie funktioniert es und welche Systeme sind sicher?

Der Zahlungsverkehr über das Internet birgt Risiken, immer wieder kam es in der Vergangenheit zu Betrugsversuchen durch Kriminelle. Das reine Internetbanking war allerdings schon immer ein recht sicheres Verfahren, die meisten gelungenen Betrugsmanöver beziehen sich auf Kreditkarten und so genanntes Phishing – also der Versuch, per Mail an Zugangscodes und PINs heranzukommen. Der PCDOKTOR.de rät dringend davon ab, Bankgeschäfte über das Handy zu tätigen, die dort verwendeten Betriebssysteme sind einfach zu unsicher.

Die momentan meist genutzte Methode ist das klassische und erweiterte PIN/TAN-Verfahren. Dabei loggt sich der Anwender über die verschlüsselte Website seiner Bank durch die Eingabe seiner persönlichen Identifikationsnummer (kurz: PIN) ein. Um anschließend eine Transaktion, wie zum Beispiel eine Überweisung, durchführen zu können, ist eine so genannte TAN (Transaktionsnummer) notwendig. Dieses Einmalpasswort in Form eines Zahlencodes ersetzt in der virtuellen Welt die Unterschrift und macht das Geschäft rechtskräftig.

Beim klassischen PIN/TAN-Verfahren schickt die Bank dem Kunden über den Postweg eine zeitlich unbegrenzt gültige TAN-Liste in Papierform. Bei jeder Transaktion wählt der Nutzer eine der zur Verfügung stehenden TANs frei aus. Diese Methode gilt heutzutage als überholt und unsicher. Bereits eine ungenutzte TAN-Nummer und die PIN reichen Betrügern, um an Ihr Geld zu gelangen. Einen Schritt weiter geht das indizierte TAN-Verfahren, oder kurz: iTAN. Auch hier bekommt der Kunde eine Liste mit TAN-Nummern im Papierformat zugesandt, diese sind aber durchnummeriert. Zum Abschluss fordert die Bank den Nutzer auf, eine bestimmte TAN einzugeben, die auch nur für ein kurzes Zeitfenster gültig ist. Auch das iTAN-Verfahren gilt heute als überholt. Das iTAN-Verfahren verringert zwar das Risiko Opfer eines Phishing-Angriffs zu werden, kann es jedoch nicht komplett ausschließen. Außerdem sind „man-in-the-middle“-Attacke (bei denen sich der Betrüger zum Beispiel mittels eines Trojaners zwischen Bank und Kunde schaltet) nicht auszuschließen.

Sicherer hingegen sind Verfahren, bei denen die Bank die TAN sofort generiert. Beim mobilen TAN-Verfahren (mTAN) wird zunächst der Zahlungsauftrag via Internet an das Kreditinstitut übermittelt, danach erhält der Kunde die TAN per SMS auf sein Handy. Der PCDOKTOR empfiehlt dieses Verfahren, weil es einfach ist und zudem auf zwei unabhängig voneinander laufenden Geräten basiert (siehe unterstehenden Artikel). Das SmartTAN plus-Verfahren hingegen erfordert einen Kartenleser. Nach dem Ausfüllen der Überweisung übermittelt die Bank dem Kunden einen Überweisungscode, den der Nutzer nach dem Einstecken der Bankkarte eingibt. Danach vergibt der Kartenleser eine eindeutig an diesen Auftrag gebundene TAN. Das SmartTAN optic-Technik funktioniert ähnlich, allerdings erfolgt die Vergabe der TAN über einen sogenannten Flickercode auf dem Bildschirm. Ein spezieller Generator mit einer eingebauten optischen Schnittstelle, in den die Bankkarte eingesteckt werden muss, entschlüsselt den Code und erarbeitet die TAN.

Für das HBCI-Verfahren (Homebanking Computer Interface) sind keine TANs nötig. Stattdessen erhält der Bankkunde eine entsprechende Bankensoftware für seinen PC, sowie eine Chipkarte und ein Chipkartenlesegerät. Die Chipkarte enthält eine digitale Signatur des Anwenders und „unterschreibt“ die Überweisung mit dem auf der Karte gespeicherten Signierschlüssel. Auch das HBCI-Verfahren bietet einen hohen Sicherheitsstandard.

Zugangsdaten wie PIN und TANs sollten an einem sicheren Ort und unbedingt getrennt voneinander aufbewahrt werden. Besonders wichtig ist, dass Bankgeschäfte ausschließlich über eine verschlüsselte Verbindung stattfinden. Ob die Webseite verschlüsselt ist, erkennen Sie daran, dass die Web-Adresse oben im Browserfenster nicht mit „http“ sondern mit „https“ beginnt und ein kleines Schlosssymbol in der Statusleiste am unteren Rand des Web-Browsers erscheint.

Keine Bank wird Sie jemals zur Preisgabe von sensiblen Daten auffordern, deshalb sollten Sie solche Aufrufe einfach ignorieren. Geben Sie die Internetadresse Ihrer Bank immer manuell ein und lassen Sie sich nicht über Links auf den Online-Auftritt weiterleiten, um das Risiko von Phishing-Angriffen zu minimieren. Und: Nach jedem Online Banking den Verlauf Ihres Browsers löschen.

Einen Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.