Girokonto: Sicherheit beim Online-Banking

Banken haben die Techniken weiterentwickelt, um Online-Transaktionen sicherer zu machen. Die Lösungen sind vielfältig und funktionieren nur bei einem verantwortungsvollen Verhalten der Kunden. Lesen Sie, welche Schutzsysteme geeignet sind, um immer raffinierteren Betrugsversuchen zu wappnen.

Alle Kreditinstitute warnen ihre Kunden und geben Tipps, wie man Phishing-Mails oder -Seiten erkennt. Phishing bedeutet, dass jemand versucht, sich Zugangsdaten zum Online-Banking zu angeln. Dies geschieht beispielsweise durch E-Mails, die vorgeben, von einem seriösen Bankinstitut zu kommen. Der Kunde wird auf eine gefälschte Website gelockt und dort aufgefordert, seine Bankdaten einzugeben. Sobald der Phisher diese Daten hat, kann er auf das Konto zugreifen und es plündern. Die Banken arbeiten mit unterschiedlichen Schutzsystemen. Nahezu alle Geldinstitute haben das gewöhnliche PIN/TAN-System zumindest durch indizierte TANs (iTAN) ersetzt, was die primitiven Formen des Phishings fast verdrängt hat. Der Kunde autorisiert sich dabei nicht mehr mit einer frei wählbaren Nummer aus seiner TAN-Liste. Nach dem Zufallsprinzip wird der Einsatz einer bestimmten TAN vorgegeben. Doch auch die kriminelle Seite hat aufgerüstet. Die kennt mittlerweile verschiedene Wege, den iTAN-Schutz zu überwinden. So wird derzeit unter anderem versucht, über gefälschte Einblendungen auf echten Bankportalen an Daten von Kunden zu gelangen. Ungeschützte Computer werden mit Trojanern angegriffen, also mit Schadsoftware, die man sich beim ganz normalen Internetsurfen einfangen kann. Wenn ein PC mit einem solchen Trojaner infiziert ist und der Nutzer die Anmeldeseite zum Online-Banking seiner Bank oder seines Kreditkartenanbieters aufruft, sorgt der Trojaner dafür, dass manipulierte Inhalte angezeigt werden. Unter einem Vorwand wird beispielsweise nach mehreren iTANs oder der Kreditkartennummer gefragt.

mTAN bei der Postbank

mTAN bei der Postbank

eTAN bei der Volkswagen Bank

eTAN bei der Volkswagen Bank
Foto: Volkswagen Financial Services AG

chipTAN comfort bei den Sparkassen

chipTAN comfort bei den Sparkassen
Foto: Sparkassenverband Westfalen-Lippe, Fotograf: Gregor Schläger, Hamburg

PhotoTAN bei der Commerzbank

PhotoTAN bei der Commerzbank
Foto: Commerzbank AG

PushTAN bei ING-DiBa

PushTAN bei ING-DiBa

Sicherer sind die neuen Techniken, wobei es nie 100-prozentige Sicherheit geben kann. Eine mTAN ist auftragsbezogen und nur kurze Zeit gültig. Die Bank schickt die mTAN auf Abruf per SMS an die zuvor festgelegte Mobiltelefonnummer des Kunden. In der SMS werden Details zur Transaktion wie Betrag und Empfängerkonto genannt, die der Kunde auf Übereinstimmung prüfen sollte. Zum Banking darf nicht das mobile Gerät benutzt werden, das die mTANs empfängt, denn dann würde die für die Sicherheit wichtige Trennung der verwendeten Kanäle umgangen. Einzelne Betrugsfälle sind zuletzt vorgekommen, weil es für Betrüger einfach war, an Zweit-SIM-Karten über die Mobilfunkgesellschaften zu kommen, dadurch konnten sie die SMS-Nachrichten abfangen. Eine weitere Option sind TAN-Generatoren - Geräte in Größe einer Bankkarte, die auf Knopfdruck eine Transaktionsnummer (eTAN) ausgeben, die nur zeitlich begrenzt gültig ist. Einen simplen Generator stellt die Volkswagen Bank ihren Kunden zur Verfügung. Er ist praktisch eine elektronische TAN-Liste mit entsprechend niedrigem Sicherheitsniveau. eTAN plus hat da schon deutlich mehr Schutz eingebaut: Der Kunde nutzt einen mobilen Kartenleser mit eigener Tastatur. Für eine Überweisung wird die Bankkarte in den Kartenleser gesteckt und über dessen Tastatur eine Kontrollnummer der Bank eingegeben. Aus der Kontrollnummer und einem Schlüssel auf der Bankkarte wird die benötigte eTAN berechnet. Die Postbank sowie mehrere Sparkassen und Volksbanken setzen die Variante chipTAN comfort ein, die Volksbanken bezeichnen dies als "Sm@rt-TAN optic". Statt der Kontrollnummer werden hierbei die vollständigen Auftragsdaten zur Berechnung der eTAN verwendet. Die Auftragsdaten müssen jedoch nicht nochmals eingegeben werden, sondern werden über optische Sensoren eingelesen. Dazu hält man das Gerät in geringem Abstand auf eine Grafik, die flackernde Schwarz-Weiß-Flächen enthält und innerhalb der Online-Banking-Anwendung angezeigt wird. Anschließend zeigt das Gerät die übertragenen Daten auf seinem Display an, die man dann prüfen und explizit bestätigen soll. Für photoTAN wird eine spezielle Smartphone-App oder ein Lesegerät benötigt. Nachdem die Überweisungsdaten eingegeben sind, wird ein Barcode am PC-Bildschirm angezeigt. Im Barcode sind Zufallszahlen, Zeitstempel und Transaktionsdaten enthalten, die auf Kunden- und Bankseite jeweils validiert werden. Der Kunde scannt den Barcode mit der eingebauten Kamera seines Smartphones/Lesegeräts, die App decodiert mit einem gespeicherten Schlüssel und zeigt die Auftragsdaten zur Kontrolle. Der Barcode besteht bei der Commerzbank aus farbigen Punkten, die 1822direkt verwendet dagegen die allgegenwärtigen QR-Codes und nennt das Verfahren entsprechend "QR-TAN". Das Praktische an den neuen PushTAN-Apps ist Aufträge mit einem Fingertipp freigeben zu können. Die benötigte App muss zunächst einmalig registriert werden, ihr Aufruf ist durch Passwort oder Fingerabdruck geschützt. Ist der Auftrag in der parallel installierten Banking-App eingegeben, schiebt sich die PushTAN-App in den Vordergrund. Die wesentlichen Daten werden nochmals für Abgleich und Bestätigung angezeigt. Auch über den PC erteilte Aufträge lassen sich mit der PushTAN-App freigeben, hier muss diese manuell geöffnet werden. Bei PushTAN erlauben die Banken aufgrund der Vorkehrungen, Banking und Freigabe auf ein und demselben Gerät zu betreiben. Das macht Mobile Banking möglich, ohne ein Zusatzgerät mit sich herumzutragen. Ebenso eignet sich PushTAN im Auslandseinsatz, sofern Internetverbindung vorhanden ist, während mTANs im Ausland problematisch sind, da sie dort teilweise verspätet ankommen und dann abgelaufen sind. Durch den Verzicht auf eigenständige Hardware könnte es für gewiefte Betrüger aber schon ausreichen, wenn sie durch eine Schadsoftware ein Endgerät übernehmen können. Für eine solche konzeptionelle Schwachstelle haften jedoch die Banken.

Bei den neueren Sicherheitsverfahren werden Kosten nicht selten auf den Kunden abgewälzt. So kostet der Versand einer mTAN bei einigen Instituten um die 9 Cent und die Anschaffung der mobilen Kartenleser einmalig ca. EUR 10,00 bis EUR 15,00. Meistens ist eine der Optionen aber kostenfrei, zu den wenigen Anbietern, die ausschließlich kostenpflichtige Verfahren anbieten, zählt die Deutsche Skatbank.

Beim Geldabheben am Geldautomaten werden zwei Faktoren benötigt - etwas, was man weiß (PIN) und etwas, was man besitzt (Karte). Bei iTAN ist das Konto dagegen nur einfach geschützt (etwas, was man weiß - PIN und iTAN). Die Entwicklung geht jedoch eindeutig in Richtung Authentisierung durch zwei Faktoren unter Einsatz voneinander unabhängiger Übermittlungswege. Auch HBCI bietet dies in der Hardware-Variante. Der Kunde nutzt bei HBCI eine Software, um seine Finanzen zu verwalten. Er meldet sich per Chipkarte über ein externes Lesegerät an. Dabei bieten Kartenleser mit integriertem Prozessor, separater Tastatur und eigenem Display den besten Schutz. Zur Datenübertragung wird eine sichere Online-Verbindung genutzt. HBCI bietet maximale Sicherheit, ist aber teuer in der Anschaffung und schränkt die Mobilität ein.

Unabhängig von diesen Schutzsystemen gibt es weitere Abwehrstrategien: Einige Institute haben individuell festzulegende Limits für Überweisungen im Online-Banking. Andere nutzen für den Login eine virtuelle Tastatur, die mit der Computermaus bedient wird. Dies kann den Angriff von sogenannten Keyloggern verhindern, die sich unbemerkt auf dem Rechner einnisten und Daten ausspionieren, indem sie sämtliche Tastatureingaben aufzeichnen. Das Sicherheitspaket der 1822direkt beinhaltet ein Zeitschloss, bei dem der Kunde selbst individuelle Öffnungszeiten für seinen Online-Banking-Zugang einstellen kann. Außerhalb dieser ganz persönlichen Öffnungszeiten sind damit auch in der virtuellen Filiale die "Gitter" heruntergelassen. Der LoginWatcher der 1822direkt beobachtet jeglichen Anmeldevorgang zum eigenen Online-Banking-Zugang und verschickt eine SMS an die vorher festgelegte Mobilfunk-Rufnummer des Kunden. Einen "Einbruchversuch" kann der Kunde sofort über das rund um die Uhr erreichbare Call-Center melden. Die Postbank verschickt E-Mails generell mit digitaler Signatur. Anhand der Signatur kann man erkennen, ob die E-Mail echt oder gefälscht ist, und kann so Phishing aus dem Weg gehen. Auch der "Konto-Ticker" erhöht die Sicherheit. Bei diesem Dienst verschickt 1822direkt eine verschlüsselte E-Mail, sobald Kontobewegungen stattfinden. So ist man im Fall einer Falschbuchung sofort informiert. Die netbank ist stolz auf ihre "No-Risk-Garantie", sie kehrt damit die Beweislast um. Im Falle einer Schädigung muss die Bank beweisen, dass der Kunde einen Fehler gemacht hat. Hat er die vorgesehenen Regeln eingehalten, haftet die Bank. Außerdem prüft die netbank ständig ihre Dienstleister wie Serverparks und die Lieferer von Sicherheitssoftware mit unangekündigten Penetrationstests.


Wer seine Bankgeschäfte vom Computer aus erledigt, sollte sich der Gefahren bewusst sein:

  • Schützen Sie Ihren PC deshalb durch aktuelle Virensoftware, Firewall und Spamblocker.
  • Vorsicht vor falschen E-Mails von der Bank. Banken versenden keine E-Mails, die eine Eingabe Ihrer PIN oder TAN fordern. Ebenso fordern Banken niemals dazu auf, Zugangsdaten zum Online-Banking per Fax oder telefonisch zu bestätigen.
  • Ändern Sie Passwörter regelmäßig, speichern Sie PIN und TANs auf keinen Fall auf dem PC.
  • Kontrollieren Sie regelmäßig Ihr Konto, so können Sie im Betrugsfall schnell reagieren und Schaden abwenden.
  • Aktivieren Sie die Sicherheitseinstellungen Ihres Browsers. Lassen Sie Java Applets und Skripte nur nach vorheriger Prüfung zu. Verwenden Sie im Online-Banking niemals die Autovervollständigen-Funktion des Browsers.
  • Damit der Browser im Hintergrund kein Script ausführt, sollten Sie nur das Banking-Fenster geöffnet haben. Achten Sie darauf, dass die URL der Banking-Seite mit "https://" beginnt und es sich um die offizielle Internet-Seite der Bank handelt. Das Bügelschloss in der Statuszeile muss geschlossen sein.
  • Nachdem Sie Ihre Bankgeschäfte erledigt haben, melden Sie sich unbedingt wieder ab. So gehen Sie sicher, dass die Verbindung zum Bankenserver wirklich abgebrochen wird.

Über den Navigationspunkt "Information" gelangen Sie wieder zur Einstiegsseite im Bereich Girokonto.