Startseite | RSS | Mobil | Sitemap |
Montag, 26.09.2016 15:54 Uhr
Newsletter:
Suche:
Startseite
Startseite > Konten & Karten > Online-Banking
Artikel bewerten:
AAA
13.07.2011 16:53

Online-Banking Sicherungsverfahren im Überblick

von Brigitte Watermann Autor
Die verschiedenen Systeme zur Sicherung des Online-Bankings verwirren Bankkunden oder Verbraucher, die einen Wechsel zu einer Direktbank planen. Biallo.de erklärt die wichtigsten Sicherungsverfahren im Kurzüberblick.
Sicherheitsexperten zufolge schützen M-Tan, Chip-Tan und E-Tan derzeit am wirkungsvollsten vor sogenannten Man-in-the-Middle-Angriffen im Onlinebanking. „Ein hohes Sicherheitsniveau haben alle Verfahren in denen die Transaktionsdaten (z.B. Überweisungsdaten wie Kontonummer, Überweisungsbetrag) über einen zweiten Kanal angezeigt, eingeben und bestätigt werden können. Dafür kann entweder ein Chipkartenleser oder auch das Mobiltelefon zum Einsatz kommen“, sagt Bitkom-Sprecher Ralf Beunink. Die meisten Banken bieten heute modernere Transaktions-Verfahren zum Verschlüsseln von Überweisungen. „iTan ist schon Standard, besser sind M-Tan, E-Tan oder HBCI. Nutzer sollten ihre Bank fragen und die aktuellsten verfügbaren Überweisungsverfahren unbedingt nutzen. Sie bieten deutlich mehr Sicherheit als frühere Methoden“, rät Bitkom-Sprecher Beunink.
„Seit wir vor knapp zwei Jahren auf M-Tan und E-Tan-Plus umgestellt haben, gibt es bei uns keine Angriffe mehr“, bestätigt Cortal-Consors-Sprecher Dirk Althoff. Vor allem aus zwei Gründen gelten die drei genannten Verfahren als besonders sicher: Sie gewährleisten eine Kanaltrennung zwischen Computer und einem zweiten Gerät; dass beide Geräte gleichzeitig von einem Angreifer manipuliert werden, gilt nämlich als äußerst unwahrscheinlich. Außerdem werden bei den genannten Verfahren Transaktionsdaten in die jeweils erzeugte Tan mit eincodiert – der Kunde kann dann nochmals kontrollieren, ob auch wirklich alle Angaben stimmen. Allerdings warnt das Bundeskriminalamt in seinem Ende Juni erschienen „Cybercrime - Bundeslagebild 2010“ davor, dass inzwischen auch mobile Endgeräte ins Zielspektrum der Täter geraten. Dabei versuchen sie, parallel zum Computer auch Mobiltelefone (Smartphones) zu infizieren, um an die Daten möglicher SMS-basierter Authentifizierungsverfahren zu gelangen. „Im September 2010 wurden erste Versuche des Infizierens mobiler Endgeräte mit Schadsoftware registriert“, schreibt das BKA.

Im Folgenden erklären wir die wichtigsten Sicherungsverfahren im Kurzüberblick.

Vom klassischen Tan-Verfahren bis zur M-Tan

Pin-/Tan-Verfahren:

Nach Einloggen mit einer persönlichen Identifikationsnummer (Pin) kann der Bankkunde mit einer Transaktionsnummer (Tan), die er selbst aus einer in der Regel in Papierform vorliegenden Liste auswählen kann, eine Transaktion freigeben. Die Papierliste hat ihm die Bank zur Verfügung gestellt. Die Tan verbraucht sich dann mit der Transaktion. Das Verfahren gilt sicherheitstechnisch als anfällig für Phishing- und Trojanerangriffe und als nicht mehr zeitgemäß, da eine Kanaltrennung nicht stattfinde. Ihren Kunden offeriert die Bank aber eine Online-Sicherheits-Garantie und verspricht ihren Kunden, Geldbeträge zu ersetzen, die durch Missbrauch der Zugangsdaten durch Dritte verfügt wurden. Um die Garantie zu bekommen, muss man sich lediglich bei der Bank registrieren und im Fall des Falles Strafanzeige umgehend erstatten. Das Pin-/Tan-Verfahren ist längst ein Auslaufmodell; auch die Targobank, die es noch im Einsatz hatte, löst es aber inzwischen ab.

Pin-/iTan-Verfahren:

Der Kunde erhält eine Tan-Liste, in der die Tans durchnummeriert sind. Die Bank fordert bei einer Transaktion dann online eine bestimmte Tan zur Freigabe der Transaktion an. Nach Analysen von Verbraucherschützern erschwert das Verfahren Abzockern zwar die Arbeit, schließt sie aber nicht aus. „Das iTan-Verfahren ist allenfalls ein Notpflaster, es bietet keinen ausreichenden Schutz mehr“, warnt etwa Frank-Christian Pauli, Bankenexperte des Verbraucherzentrale Bundesverbands (VZBV). Sicherheitsexperten warnen davor, dass sogenannte 20-Tan-Trojaner im Umlauf sind, die Opfer zur Eingabe von 20 iTans auffordern. Das iTan-Verfahren ist derzeit allerdings immer noch weit verbreitet. Zum Beispiel kommt es derzeit bei Comdirect, der Commerzbank, der DAB Bank, der Deutschen Bank, Flatex, der Hypovereinsbank, ING-Diba, Netbank, Maxblue, dem Sparkassenbroker und Vitrade zum Einsatz. Manche der genannten Häuser bieten aber auch Verfahren mit höheren Sicherheitsstandards an. Bei der Commerzbank gibt es zusätzlich eine sogenannte Bestätigungsnummer (BEN) auf der iTan-Liste. Nach Durchführung einer Transaktion wird die BEN dem Kunden auf einer Bestätigungsseite im Onlinebanking angezeigt. Die BEN sollte dann mit dem Code auf der iTan-Liste verglichen werden. Außerdem ist die Auftragsmaske der Commerzbank mit einem sogenannten Wasserzeichen im Hintergrund versehen. Die Commerzbank hält das Verfahren für sicher, andere Stimmen meinen jedoch, dass das Verfahren zwar Fälschern zusätzliche Hürden aufbaue, aber Fälschungen nicht ausschließe, da die Bildschirmanzeige manipuliert werden könne. Denn der Nutzer kommuniziert mit seiner Bank stets nur über den Computer, eine Kanaltrennung finde nicht statt. Ähnliches gelte für das Sicherungsverfahren der ING-Diba, die noch die zusätzliche Eingabe eines Diba-Keys verlange.

M-Tan / SMS-Tan:
Um mehr Sicherheit zu bieten, haben einige Banken aber weiter verbesserte Verfahren im Einsatz, wie etwa die Mobile-Tan (M-Tan). Der erste große Vorteil dieses Verfahrens: die Kanaltrennung. Denn der Bankkunde erhält die nötige Tan für die Transaktionsfreigabe als SMS auf sein Handy geschickt, das natürlich empfangsbereit sein muss. Im Funkloch hat man also ein Problem. Wichtig: Der Handyvertrag muss bei einem inländischen Provider abgeschlossen sein. Aber auch wenn man zum Beispiel beruflich im Ausland unterwegs ist, kann man das M-Tan-Verfahren bequem nutzen, sofern es Roaming-Möglichkeiten gibt. Auch eine SMS aufs Festnetztelefon ist natürlich möglich.

Der Kundenauftrag und der Tan-Versand laufen daher über zwei von einander unabhängige Kommunikationskanäle, außerdem ist der Kunde mit dem Verfahren mobil und muss keine Tan-Liste mit sich herumtragen. Der zweite Sicherheitsclou am M-Tan-Verfahren liegt darin, dass wichtige Merkmale der Transaktion in die Tan mit eincodiert werden, der Kunde kann daher in aller Regel nochmals überprüfen, ob die Bank wirklich die von ihm gewünschte Transaktion auslösen wird. Und es gilt derzeit als sehr sicher. Einen Aspekt sollten M-Tan-Nutzer aber unbedingt beachten: „Keinesfalls sollte man gerade in dem Moment, in dem man sein Handy mit dem Rechner synchronisiert, Online-Banking mit dem M-Tan-Verfahren machen“, warnt Pauli, „dann ist die Kanaltrennung nämlich nicht mehr gegeben.“ Noch etwas gilt es zu berücksichtigen: Wer Online-Banking über eine Smartphone-App betreibt, ist gut beraten, sich nicht auf das gleiche Endgerät auch eine SMS zur Transaktionsfreigabe schicken zu lassen. Denn gelangt das Gerät in falsche Hände oder wurde manipuliert, ist die Gefahr für Online-Bankraub groß.

Außerdem warnt das BKA davor, dass es erste Versuche gibt, das Verfahren zu unterlaufen. Täter könnten infizierte Mobiltelefone dazu nutzen, SMS-basierte Transaktionssicherungssysteme zu manipulieren. Dabei könnten sie versuchen, SMS mit mobilen TAN-Nummern an ein eigenes Mobiltelefon umzuleiten. Dadurch könnten betrügerische Transkationen ausgelöst und über eine zuvor an das infizierte mobile Endgerät übermittelte SMS freigegeben werden.

Aufgepasst: Bei manchen Banken, so etwa der Deutschen Bank und Maxblue sind die SMS für den Kunden kostenpflichtig (neun Cent pro SMS). Bei der Netbank kommt es darauf an, ob das Konto als Gehaltskonto geführt wird, dann sind die SMS umsonst, andernfalls kosten sie 50 Cent pro Monat pauschal. Kostenlos ist das Verfahren dagegen etwa bei Cortal Consors, der DAB Bank, bei der Hypovereinsbank und bei der Postbank.

Von E-Tan plus bis HBCI

E-Tan plus: Beim Verfahren, wie es etwa Cortal Consors im Angebot hat, erhält der Kunde von seiner Bank einen scheckkartengroßen Tan-Generator, der auf den Kunden personalisiert und mit einer Tastatur ausgestattet ist; dieses Gerät produziert dann die Tan, in die die Transaktionsmerkmale eincodiert worden sind und vom Kunden kontrolliert werden können. Auch hier ist also die Kanaltrennung gewährleistet. Die erzeugte Tan muss dann nur noch in die Online-Banking-Maske am Rechner eingetippt werden – fertig. Wenn man von unterwegs aus Geldgeschäfte tätigen will, muss man zwar den Tan-Generator dabei haben, aber dafür ist das Gerät auch praktikabel und sicher, wenn man es zum Beispiel für Banking via iPhone-App nutzen möchte. Cortal Consors gibt den TAN-Generator kostenlos ab. „Uns war es wichtig, unseren Kunden den größtmöglichen Sicherheitstandard zu gewähren“, so Sprecher Dirk Althoff.

Chip-Tan comfort / Smart-Tan plus: Auch bei diesem Verfahren, wie es viele Sparkassen und die Postbank offerieren, liegt der Sicherheitsclou darin, dass eine Kanaltrennung erfolgt und die Transaktionsdaten in die Tan eincodiert werden und somit kontrollierbar sind. Im deutschen Sparkassensektor waren bereits Ende 2010 rund eine Millionen Chip-Tan-Geräte im Markt. Das Chip-TAN-Verfahren ist damit auch problemlos fürs App-Banking einsetzbar. Das dafür nötige Gerät kostet derzeit aber bei der Postbank zwischen 11,90 und 14,90 Euro einmalig. Dafür kann es auch die Chipkarten andere Banken und Sparkassen lesen. Man steckt seine Bankkarte in das Gerät, anschließend hält man es vor den Computerbildschirm. Dort liest es in einem blinkenden Codefenster (so genannter Flickr-Code) die Auftragsdaten ab. Das geht rasch, anschließend erzeugt das Gerät die Tan und zeigt die Auftragsdetails, wie sie der Bank vorliegen, zur Kontrolle nochmals an. Stellt der Kunde Abweichungen fest, liegt der Verdacht auf einen infizierten Computer durch eine Schadsoftware (Trojaner) nahe. Die erzeugte Tan ist nur für kurze Zeit und ausschließlich für den jeweils aktuellen Vorgang gültig. Anschließend muss man noch die Tan in die Online-Banking-Maske des Computers eingeben – und fertig. Betrüger haben somit nach derzeitigem Kenntnisstand keine Chance, gleichzeitig beide Geräte für ihre Zwecke zu manipulieren.

HBCI:
HBCI ist ein Protokoll für den Datenaustausch, das als Schnittstelle in Banking-Software wie Quicken, Wiso Mein Geld oder Starmoney eingebettet werden kann. Mit diesen Programmen kann man zum Beispiel Überweisungen offline bearbeiten und erst für den eigentlichen Überweisungsvorgang online gehen. Vor allem für Nutzer dieser Programme ist HBCI überhaupt relevant. Beim herkömmlichen HBCI-Verfahren erfolgt die Freigabe einer Transaktion durch hardwaregestützte Verschlüsselungstechnik. Dazu erhält der Kunde von der Bank eine personalisierte Chipkarte und muss sich einen Chipkartenleser besorgen, den er an seinen Rechner anschließt. Hohen Schutz bieten Chipkartenleser der Klasse 3 mit einer Anzeige, in der die Transaktionsdaten bestätigt werden müssen. Außerdem braucht der Nutzer eine Software, die HBCI unterstützt. Tan-Listen sind in dem Verfahren überflüssig. Es gilt als besonders sicher, aber vergleichsweise umständlich, da es nur an einem Rechner möglich ist, an dem der Kartenleser angeschlossen ist. Daher ist es bei Endkunden nicht sonderlich weit verbreitet, wird aber dennoch von einigen Banken angeboten.

Daneben gibt es das Verfahren mit dem Namen „HBCI plus“. Doch anders als es der Name suggeriert, handelt es sich sicherheitstechnisch nicht um eine Verbesserung: „Eigentlich sollte das Verfahren „HBCI minus“ heißen“, meint denn auch Frank-Christian Pauli, Bankenreferent beim Verbraucherzentrale Bundesverband (VZBV). Der Grund für diese Einschätzung: Das Verfahren kommt ohne Kartenleser aus, Aufträge werden über Pin-/Tan-Verfahren oder Pin-/iTan-Verfahren ausgelöst. „Damit bietet es keinen Deut mehr Schutz , da kann man gleich alle Geschäfte online mit denselben Sicherungsverfahren erledigen.“

HBCI haben viele Banken im Angebot, es lohnt sich aber genau hinzuschauen, um welche Variante es sich handelt.

Tipp:
Bankkunden sollten nicht nur ihren Rechner sicherheitstechnisch möglichst auf dem neuesten Stand halten. Empfehlenswert ist es auch, auf das Sicherheitsverfahren mit dem derzeit höchsten Sicherheitsstandard zu wechseln, das Ihre Bank bietet. Aber auch bei vergleichsweise sicheren Online-Banking-Verfahren gilt: Nichts ist unmöglich. Auch die Online-Bankräuber werden in Zukunft versuchen, neue Tricks zu ersinnen.
Gesamten Vergleich anzeigenTagesgeld Betrag: 10.000 €, Laufzeit: 3 Monate
  Anbieter Details Zinssatz
Zinsertrag
 
1.
1,10%
27,53
2.
1,00%
25,00
3.
0,80%
20,01
Sämtliche Angaben ohne Gewähr
NKNK nur für Neukunden
TT tel. Kontoführung möglich
OO Online-Konditionen

Noch mehr Verbrauchertipps?

Dann abonnieren Sie unseren kostenlosen Biallo-Newsletter!

Leserkommentare
Kommentare können sich auf eine ältere Version des Artikels beziehen.
28.05.2011 - von pattayafreak
MTAN ist Mist
Das MTan verfahren ist absoluter Mist für Leute , welche sich öfter oder längere Zeit im Ausland befinden. das empfohlene Roaming mit einer deutschen Sim (einer deutschen Handynummer) ist viel zu kostspielig , als das dies ein vernünftiger Mensch nutzen würde. Dabei geht es nicht um Lapalien sondern um Preisunterschiede in der Höhe von ca. 1000%. Wenn es möglich wird diese SMS auf eine internationale Handynummer zu schicken ist dieses Verfahren O.K.
28.05.2011 - von Horatio
Santander
Santander macht zwar viel Werbung, aber auf die Kontoeröffnung muss man wochenlang warten! Ich warte noch immer! Aber nicht mehr lange!
23.05.2011 - von Borris
konto überwachen
seit ich online Banking nutze, überwachw ich mein Konto alle paar Tage. ich betreibe das auch mal meinem Girokonto, und dort habe ich immer nur einen relativ geringen Betrag liegen. Größere Beträge liegen so, dass kein online Zugriff darauf möglich ist.
Kommentar schreiben
Name:
E-Mail:

Ziffern hier eingeben: (neu laden)
Überschrift:
Kommentar:
Abschicken
ID:4965
Nach oben
Top 5 Tagesgeld
Anbieter Zins  
Audi Bank direct
1,10 %
Audi Bank direct
ING-DiBa
1,00 %
ING-DiBa
Renault Bank direkt
0,80 %
Renault Bank direkt
Ferratum Bank
0,75 %
Ferratum Bank
Consorsbank
0,60 %
Consorsbank
Betrag: 10.000 €, Laufzeit: 3 Monate
Übersicht der aktuellen Geldautomaten-Gebühren, Foto: colourbox.com
Anzeige
.
© 2016 Biallo & Team GmbH