Girokonto: Sicherheit beim Online-Banking

Banken haben die Techniken weiterentwickelt, um Online-Transaktionen sicherer zu machen. Die Lösungen sind vielfältig und funktionieren nur bei einem verantwortungsvollen Verhalten der Kunden. Lesen Sie, welche Schutzsysteme geeignet sind, um sich gegen Betrugsversuche zu wappnen.

Die kriminelle Seite rüstet fortlaufend auf. Phishing bedeutet, dass jemand versucht, sich Zugangsdaten zum Online-Banking oder persönliche Daten zu angeln, um die Sicherheitsverfahren auszuhebeln und Bankkonten des Opfers leerzuräumen. Die Angriffe werden beispielsweise durch E-Mails, SMS-Nachrichten oder gefälschte Websites gestartet, die vorgeben, vom eigenen Bankinstitut zu kommen. Dabei ist die Vorgehensweise viel ausgeklügelter und komplexer als noch vor einigen Jahren. Auch können ungeschützte Computer oder Smartphones mit Trojanern, Schadsoftware, infiziert werden. Wenn das Gerät mit einem solchen Trojaner infiziert ist und der Nutzer den Login zum Online-Banking seiner Bank oder seines Kreditkartenanbieters aufruft, sorgt der Trojaner dafür, dass manipulierte Inhalte angezeigt werden. Um sich zu schützen, ist es wichtig, sich an die Handlungsempfehlungen der Banken zu halten und zu wissen, wie Angriffsversuche zu erkennen sind. Die Banken arbeiten mit unterschiedlichen Sicherheitsverfahren. Für Zahlungsverkehrskonten haben iTANs und einfache eTAN-Generatoren ausgedient, aufgrund der EU-Richtlinie PSD2 ist dort seit September 2019 eine Zwei-Faktor-Authentifizierung vorgeschrieben. Bei Tagesgeldkonten und anderen Konten ohne Zahlungsverkehr zu Dritten dürfen die Banken sie weiterhin verwenden.

mTANs entsprechen der PSD2 und sind bei vielen Kunden beliebt, da nichts installiert oder angeschafft werden muss. mTANs sind auftragsbezogen und nur kurze Zeit gültig. Die Bank schickt eine mTAN auf Abruf per SMS an die zuvor festgelegte Mobiltelefonnummer des Kunden. In der SMS werden Details zur Transaktion wie Betrag und Empfängerkonto genannt, die der Kunde auf Übereinstimmung prüfen sollte. Zum Banking darf nicht das mobile Gerät benutzt werden, das die mTANs empfängt, denn dann würde die wichtige Trennung der verwendeten Kanäle umgangen. Einzelne Betrugsfälle sind vorgekommen, weil es für Betrüger einfach war, zunächst die Telefonnummer ihrer Opfer zu übernehmen oder an eine Zweit-SIM-Karte zu kommen, indem sie die Sicherheitsvorkehrungen von Mobilfunkgesellschaften Vodafone, O₂ oder Telekom online oder an der Hotline überlisteten. Auch gelang es Betrügern schon, mTANs bei sogenannten Man-in-the-Middle-Attacken mitzulesen, weil SMS-Nachrichten unverschlüsselt gesendet werden. Die Angreifer schalten sich zwischen Absender und Empfänger.

Als neuer Standard hat sich die appTAN durchgesetzt. Manchmal ist dies auch als pushTAN bezeichnet. Viele Banken bieten so etwas an, zumal es die Kosten für den Versand der mTANs einspart. Bei einigen ist die Funktion zur Auftragsfreigabe in der Banking-App integriert, bei anderen gibt es sie separat, da nicht jeder Kunde eine komplette Banking-App mit dem Smartphone mit sich herumtragen möchte, da immer die Gefahr besteht, das Smartphone zu verlieren oder geklaut zu bekommen. Die starke Authentifizierung wird durch ein mehrstufiges Sicherheitssystem erreicht: Zur Registrierung muss die App zunächst einmalig mit dem verwendeten Smartphone gekoppelt werden, meist geschieht diese so bezeichnete Gerätebindung mit einem Code, den man per Post bekommt. Ist der Zahlungsauftrag eingegeben, schiebt sich die App für die Freigabe in den Vordergrund. Der Aufruf der App ist durch Passwort, Fingerabdruck oder Gesichtserkennung geschützt. Die wesentlichen Daten werden nochmals für Abgleich und Bestätigung angezeigt. Das Bestätigen geht so einfach wie der Aufruf - Fingerabdruck oder Gesichtserkennung genügen meist. Auch über den PC erteilte Aufträge lassen sich mit appTAN freigeben. Bei appTAN erlauben die Banken aufgrund der Vorkehrungen, Banking und Freigabe auf ein und demselben Gerät zu betreiben. Das macht Mobile Banking möglich, ohne ein Zusatzgerät. Ebenso eignet sich appTAN im Auslandseinsatz, sofern Internetverbindung vorhanden ist, während mTANs im Ausland problematisch sind, da sie dort teilweise verspätet - abgelaufen - ankommen. Durch den Verzicht auf eigenständige Hardware könnte es für gewiefte Betrüger aber schon ausreichen, wenn sie durch eine Schadsoftware ein Endgerät übernehmen. Seit der PSD2 ist das Smartphone mehr oder weniger gewollt zur alles entscheidenden Login-Zentrale geworden, denn wenn mehrere Bankverbindungen bestehen, sind sicherlich ein paar dabei, für die eine Smartphone-App nötig ist. Wenn dann ein neues Smartphone angeschafft wird, also alle zwei oder drei Jahre, muss die Gerätebindung nochmals überall durchlaufen werden.

photoTAN ist ähnlich wie appTAN, es muss die App der Bank auf dem Smartphone installiert oder alternativ ein Lesegerät erworben werden. Nachdem die Überweisungsdaten eingegeben sind, wird ein Barcode am PC-Bildschirm angezeigt. Im Barcode sind Zufallszahlen, Zeitstempel und Transaktionsdaten enthalten, die auf Kunden- und Bankseite jeweils validiert werden. Der Kunde scannt den Barcode mit der eingebauten Kamera seines Smartphones/Lesegeräts, mit einem gespeicherten Schlüssel wird der Barcode decodiert und die Auftragsdaten werden zur Kontrolle angezeigt. Der Barcode besteht bei der Commerzbank aus farbigen Punkten, die 1822direkt verwendet dagegen die allgegenwärtigen QR-Codes und nennt das Verfahren entsprechend "QR-TAN".

Sparkassen und Volksbanken setzen häufig die Variante chipTAN comfort ein, die Volksbanken bezeichnen sie als "Sm@rt-TAN optic". Die Geräte sind bankenunabhängig, ein erworbenes Gerät kann für Konten bei verschiedenen Banken verwendet werden. Mittels der vollständigen Auftragsdaten und dem auf der Bankkarte gespeicherte Schlüssel werden die TANs errechnet. Die Auftragsdaten müssen jedoch nicht nochmals eingegeben werden, sondern lassen sich über optische Sensoren einlesen. Dazu hält man das Gerät in geringem Abstand auf eine Grafik, die flackernde Schwarz-Weiß-Flächen enthält und innerhalb der Online-Banking-Anwendung angezeigt wird. Anschließend zeigt das Gerät die übertragenen Daten auf seinem Display an, die man prüfen und explizit bestätigen soll. Die voneinander unabhängigen Übermittlungswege bietet maximale Sicherheit, der Anschaffungspreis für das Gerät und die eingeschränkte Mobilität sind die Nachteile.

Bei den neueren Sicherheitsverfahren werden Kosten nicht selten auf den Kunden abgewälzt. So kostet der Versand einer mTAN bei einigen Instituten um die 9 Cent und der mobile Kartenleser einmalig ca. EUR 10,00 bis EUR 30,00. Meistens ist eine der Optionen aber kostenfrei, zu den wenigen Anbietern, die ausschließlich kostenpflichtige Verfahren anbieten, zählt die Deutsche Skatbank, selbst für appTANs sind hier Entgelte zu entrichten.

HBCI/FinTS, wo man mit einer Software seine Finanzen verwaltet, ist aufgrund der verschiedenen Sicherheitskonzepte der Banken leider umständlicher geworden. Um die Umsätze von Zahlungsverkehrskonten bei diversen Banken abzurufen, muss wegen der schon beim Login geforderten starken Authentifizierung (jeweils nach maximal 90 Tagen) statt wie früher den Aktualisieren-Button drücken und kurz warten muss mit mTAN, appTAN und so weiter hantiert werden.

Unabhängig von diesen Schutzsystemen gibt es weitere Abwehrstrategien. Einige Institute haben individuell festzulegende Limits für Überweisungen im Online-Banking. Andere nutzen für den Login eine virtuelle Tastatur, die mit der Computermaus bedient wird. Dies kann den Angriff von sogenannten Keyloggern verhindern, die sich unbemerkt auf dem Rechner einnisten und Daten ausspionieren, indem sie sämtliche Tastatureingaben aufzeichnen. Das Sicherheitspaket der 1822direkt beinhaltet ein Zeitschloss, bei dem der Kunde selbst individuelle Öffnungszeiten für seinen Online-Banking-Zugang einstellen kann. Außerhalb dieser ganz persönlichen Öffnungszeiten sind damit auch in der virtuellen Filiale die "Gitter" heruntergelassen. Der LoginWatcher der 1822direkt beobachtet jeglichen Anmeldevorgang zum eigenen Online-Banking-Zugang und verschickt eine SMS an die vorher festgelegte Mobilfunk-Rufnummer des Kunden. Einen "Einbruchversuch" kann der Kunde sofort über das rund um die Uhr erreichbare Call-Center melden. Die Postbank verschickt E-Mails generell mit digitaler Signatur. Anhand der Signatur kann man erkennen, ob die E-Mail echt oder gefälscht ist, und kann so Phishing aus dem Weg gehen. Auch der "Konto-Ticker" erhöht die Sicherheit. Bei diesem Dienst verschickt 1822direkt eine verschlüsselte E-Mail, sobald Kontobewegungen stattfinden. So ist man im Fall einer Falschbuchung sofort informiert. Die netbank ist stolz auf ihre "No-Risk-Garantie", sie kehrt damit die Beweislast um. Im Falle einer Schädigung muss die Bank beweisen, dass der Kunde einen Fehler gemacht hat. Hat er die vorgesehenen Regeln eingehalten, haftet die Bank. Außerdem prüft die netbank ständig ihre Dienstleister wie Serverparks und die Lieferer von Sicherheitssoftware mit unangekündigten Penetrationstests.

Wer seine Bankgeschäfte vom Computer oder dem Smartphone aus erledigt, sollte sich der Gefahren bewusst sein:

Schützen Sie Ihr für das Banking verwendete Gerät deshalb durch aktuelle Virensoftware, Firewall und Spamblocker.
Vorsicht vor falschen E-Mails von der Bank. Banken versenden keine E-Mails, die eine Eingabe Ihrer PIN oder TAN fordern. Ebenso fordern Banken niemals dazu auf, Zugangsdaten zum Online-Banking per Fax oder telefonisch zu bestätigen.
Nutzen Sie für alle Online-Accounts komplexe und ausreichend lange Passwörter. Am besten schützen die, die per Zufallsgenerator erstellt werden. Ändern Sie Passwörter regelmäßig, speichern Sie PIN und TANs auf keinen Fall auf dem Gerät oder in einer Cloud und verwenden Sie für jeden Account ein anderes Passwort.
Kontrollieren Sie regelmäßig Ihr Konto, so können Sie im Betrugsfall schnell reagieren und Schaden abwenden.
Aktivieren Sie die Sicherheitseinstellungen Ihres Browsers. Lassen Sie Java Applets und Skripte nur nach vorheriger Prüfung zu. Verwenden Sie im Online-Banking niemals die Autovervollständigen-Funktion des Browsers.
Damit der Browser im Hintergrund kein Script ausführt, sollten Sie nur das Banking-Fenster geöffnet haben. Achten Sie darauf, dass die URL der Banking-Seite mit "https://" beginnt und es sich um die offizielle Internet-Seite der Bank handelt. Das Bügelschloss in der Statuszeile muss geschlossen sein.
Nachdem Sie Ihre Bankgeschäfte erledigt haben, melden Sie sich unbedingt wieder ab. So gehen Sie sicher, dass die Verbindung zum Bankenserver wirklich abgebrochen wird.

iTAN Der Kunde erhält eine Liste mit Codes, die aber durchnummeriert sind. Der Anwender wählt die TAN nicht selbst. Die Bank gibt vor, welche er eingeben muss.

iTAN+ Wie iTAN-Verfahren, nur wird bei der zu verwendenden iTAN zusätzlich noch ein persönliches Merkmal wie das Geburtsdatum am Bildschirm angezeigt. Die individuellen Daten erschweren Phishing-Versuche, die Nutzern vortäuschen, sie seien auf der Internetseite der Bank.

mTAN (andere Namen: MobileTAN, SMS-TAN) Die Bank schickt die TAN auf Abruf per SMS an die zuvor festgelegte Handynummer des Kunden. In der SMS werden Transaktionsdetails genannt.

mTAN bei ING

appTAN (andere Namen: PushTAN, Secure-App) Eine spezielle App für die Auftragsfreigabe wird im Smartphone isoliert von der Banking-App betrieben. Diese zweite App muss zunächst einmalig registriert werden und ist geschützt durch Passwort oder Fingerabdruck.

appTAN bei ING

photoTAN Mit einer speziellen App oder einem Lesegerät wird eine am Bildschirm angezeigte Pixelgrafik bzw. ein angezeigter Barcode eingelesen und die darin übertragenen Auftragsdaten mit einem gespeicherten Schlüssel decodiert.

photoTAN bei der Commerzbank
Foto: Commerzbank AG

eTAN Das kleine Gerät erzeugt auf Knopfdruck die TAN. Zu jedem Vorgang wird eine Kontrollnummer vonseiten der Bank benötigt. Es ist an und für sich eine elektronische TAN-Liste mit entsprechend niedrigem Sicherheitsniveau.

eTAN bei RaboDirect

eTAN plus Ein mobiler Kartenleser mit eigener Tastatur. Für die Auftragsfreigabe wird die Bankkarte eingesteckt und die Kontrollnummer der Bank über die Tastatur des Geräts eingegeben. Aus dem Schlüssel auf der Bankkarte und der Kontrollnummer errechnet er die TAN.

chipTAN comfort (anderer Name: Smart-TAN optic) Ebenso ein mobiler Kartenleser, der aber die Transaktionsdaten über Sensoren einliest und daraus sowie mittels dem Schlüssel auf der Bankkarte TANs berechnet.

chipTAN comfort bei den Sparkassen
Foto: Sparkassenverband Westfalen-Lippe, Fotograf: Gregor Schläger, Hamburg