Banken haben die Techniken weiterentwickelt, um Online-Transaktionen sicherer zu machen. Die Lösungen sind vielfältig und funktionieren nur bei einem verantwortungsvollen Verhalten der Kunden. Lesen Sie, welche Schutzsysteme geeignet sind, um immer raffinierteren Betrugsversuchen zu begegnen.
Alle Kreditinstitute warnen ihre Kunden und geben Tipps, wie man Phishing-Mails oder -Seiten erkennt. Phishing bedeutet, dass jemand versucht, sich Zugangsdaten zum Online-Banking zu angeln. Dies geschieht beispielsweise durch E-Mails, die vorgeben, von einem seriösen Bankinstitut zu kommen. Der Kunde wird auf eine gefälschte Website gelockt und dort aufgefordert, seine Bankdaten einzugeben. Sobald der Phisher diese Daten hat, kann er auf das Konto zugreifen und es plündern. Die Banken arbeiten mit unterschiedlichen Schutzsystemen. Nahezu alle Geldinstitute haben das gewöhnliche PIN/TAN-System zumindest durch indizierte TANs (iTAN) ersetzt, was die primitiven Formen des Phishings fast verdrängt hat. Der Kunde autorisiert sich dabei nicht mehr mit einer frei wählbaren Nummer aus seiner TAN-Liste. Nach dem Zufallsprinzip wird der Einsatz einer bestimmten TAN vorgegeben. Doch auch die kriminelle Seite hat aufgerüstet. Die kennt mittlerweile verschiedene Wege, den iTAN-Schutz zu überwinden. So wird derzeit u. a. versucht, über gefälschte Einblendungen auf echten Bankportalen an Daten von Kunden zu gelangen. Ungeschützte Computer werden mit Trojanern angegriffen, also mit Schadsoftware, die man sich beim ganz normalen Internet-Surfen einfangen kann. Wenn ein PC mit einem solchen Trojaner infiziert ist und der Nutzer die Anmeldeseite zum Online-Banking seiner Bank oder seines Kreditkartenanbieters aufruft, sorgt der Trojaner dafür, dass manipulierte Inhalte angezeigt werden. Unter einem Vorwand wird beispielsweise nach mehreren iTANs oder der Kreditkartennummer gefragt.
mTAN bei der Deutschen Postbank AG
eTAN bei Volkswagen Bank direct
eTAN plus bei Wüstenrot Bank AG Pfandbriefbank
chipTAN comfort bei den Sparkassen
Sicherer ist mTAN. Eine mTAN ist auftragsbezogen und nur kurze Zeit gültig. Die Bank schickt die mTAN auf Abruf per SMS an die zuvor festgelegte Mobiltelefonnummer des Kunden. In der SMS werden Details zur Transaktion wie Betrag und Empfängerkonto genannt, die der Kunde auf Übereinstimmung prüfen sollte. Zum Banking darf nicht das mobile Gerät benutzt werden, das die mTANs empfängt, denn dann würde die für die Sicherheit wichtige Trennung der verwendeten Kanäle umgangen. Eine Alternative sind TAN-Generatoren - Geräte in Scheckkarten-Größe, die auf Knopfdruck eine Transaktionsnummer (eTAN) ausgeben, die nur zeitlich begrenzt gültig ist. Einen simplen Generator stellt die Volkswagen Bank direct ihren Kunden zur Verfügung. Er ist praktisch eine elektronische TAN-Liste mit entsprechend niedrigem Sicherheitsniveau. eTAN plus besitzt da schon mehr Sicherheitsfunktionen: Der Kunde nutzt einen mobilen Kartenleser mit eigener Tastatur. Für eine Überweisung wird die Bankkarte in den Kartenleser gesteckt und über dessen Tastatur eine Kontrollnummer der Bank eingegeben. Aus der Kontrollnummer und einem Schlüssel auf der Kundenkarte wird die benötigte eTAN berechnet. Die Postbank sowie mehrere Sparkassen und Volksbanken setzen chipTAN comfort ein, die Volksbanken bezeichnen dieses jedoch als "Sm@rt-TAN optic". Statt der Kontrollnummer werden die vollständigen Auftragsdaten zur Berechnung der eTAN verwendet. Die Auftragsdaten müssen jedoch nicht nochmals eingegeben werden, sondern werden über optische Sensoren eingelesen. Hierzu hält man das Gerät in geringem Abstand auf eine Grafik, die flackernde Schwarz-Weiß-Flächen enthält und innerhalb der Online-Banking-Anwendung angezeigt wird. Anschließend zeigt das Gerät die übertragenen Daten auf seinem Display an, die man dann prüfen und explizit bestätigen soll. Bei den neueren Sicherheitsverfahren werden die Kosten nicht selten auf den Kunden abgewälzt. So kostet der Versand einer mTAN bei einigen Instituten um die 9 Cent und die Anschaffung der mobilen Kartenleser einmalig ca. EUR 10,00 bis EUR 15,00. Meistens ist eine der Optionen aber kostenfrei, zu den wenigen Anbietern, die ausschließlich kostenpflichtige Verfahren anbieten, zählt die Deutsche Skatbank.
Beim Geldabheben am Geldautomaten werden zwei Faktoren benötigt - etwas, was man weiß (PIN) und etwas, was man besitzt (Karte). Bei iTAN ist das Konto dagegen nur einfach geschützt (etwas, was man weiß - PIN und iTAN). Die Entwicklung geht jedoch eindeutig in Richtung Authentisierung durch zwei Faktoren unter Einsatz voneinander unabhängiger Übermittlungswege. Auch HBCI bietet dies in der Hardware-Variante. Der Kunde nutzt bei HBCI eine Software, um seine Finanzen zu verwalten. Er meldet sich per Chipkarte über ein externes Lesegerät an. Dabei bieten Kartenleser mit integriertem Prozessor, separater Tastatur und eigenem Display den besten Schutz. Zur Datenübertragung wird eine sichere Online-Verbindung genutzt. HBCI bietet maximale Sicherheit, ist aber teuer in der Anschaffung und schränkt die Mobilität ein.
Unabhängig von diesen Schutzsystemen gibt es weitere Abwehrstrategien: Einige Institute führten individuell festzulegende Limits für Überweisungen im Online-Banking ein. Andere nutzen für den Login eine virtuelle Tastatur, die mit der Computermaus bedient wird. Dies kann den Angriff von sogenannten Keyloggern verhindern, die sich unbemerkt auf dem Rechner einnisten und Daten ausspionieren, indem sie sämtliche Tastatureingaben aufzeichnen. Das Sicherheitspaket der 1822direkt beinhaltet ein Zeitschloss: Der Kunde kann selbst individuelle Öffnungszeiten für seinen Online-Banking-Zugang einstellen. Außerhalb dieser ganz persönlichen Öffnungszeiten sind damit auch in der virtuellen Filiale die "Gitter" heruntergelassen. Der LoginWatcher der 1822direkt beobachtet jeglichen Anmeldevorgang zum eigenen Online-Banking-Zugang und verschickt eine SMS an die vorher festgelegte Mobilfunk-Rufnummer des Kunden. Einen "Einbruchversuch" kann der Kunde sofort über das rund um die Uhr erreichbare Call-Center melden. Die Postbank verschickt E-Mails generell mit digitaler Signatur. Anhand der Signatur kann man erkennen, ob die E-Mail echt oder gefälscht ist, und kann so Phishing aus dem Weg gehen. Auch die "Elektronische UmsatzMELdung" (EUMEL) erhöht die Sicherheit. Bei diesem Dienst verschickt 1822direkt eine verschlüsselte E-Mail, sobald Kontobewegungen stattfinden. So ist man im Fall einer Falschbuchung sofort informiert. Die netbank ist stolz auf ihre "No-Risk-Garantie", sie kehrt damit die Beweislast um. Im Falle einer Schädigung muss die Bank beweisen, dass der Kunde einen Fehler gemacht hat. Hat er die vorgesehenen Regeln eingehalten, haftet die Bank. Außerdem prüft die netbank ständig ihre Dienstleister wie Serverparks und die Lieferer von Sicherheitssoftware mit unangekündigten Penetrationstests.
Wer seine Bankgeschäfte vom Computer aus erledigt, sollte sich der Gefahren bewusst sein:
Über den Link "INFORMATION" gelangen Sie wieder zur Einstiegsseite im Bereich Girokonto.
iTAN Der Kunde erhält eine Liste mit Codes, die aber durchnummeriert sind. Der Anwender wählt die TAN nicht selbst. Die Bank gibt vor, welche er eingeben muss.
iTAN+ Wie iTAN-Verfahren, nur wird bei der zu verwendenden iTAN zusätzlich noch ein persönliches Merkmal wie das Geburtsdatum am Bildschirm angezeigt. Die individuellen Daten erschweren Phishing-Versuche, die Nutzern vortäuschen, sie seien auf der Internetseite der Bank.
mTAN Die Bank schickt die TAN auf Abruf per SMS an die zuvor festgelegte Handynummer des Kunden. In der SMS werden Transaktionsdetails genannt.
eTAN Ein Generator in Scheckkarten-Größe erzeugt die TAN-Nummer. Vor jedem Vorgang wird eine Kontrollnummer vonseiten der Bank benötigt.
eTAN plus Ein mobiler Kartenleser mit eigener Tastatur, der aus der Kontrollnummer und einem Schlüssel auf der Bankkarte TANs berechnet.
chipTAN comfort/Sm@rt-TAN optic Ein mobiler Kartenleser, der die Transaktionsdaten über Sensoren einliest und daraus sowie mittels einem Schlüssel auf der Bankkarte TANs berechnet.
weitere Varianten von Phishing-Versuchen
