Man spricht ja gerne von "Cyberkriminellen", sind das gut organisierte Banden oder oftmals Einzeltäter?
Wojzechowski: Da muss man differenzieren. Zum einem gibt es die sogenannten "Scriptkiddies", also junge Erwachsene die mit rudimentären Programmierkenntnissen versuchen, Grenzen auszutesten. Die treiben allerdings lieber beim Online-Gaming und nicht beim Onlinebanking ihr Unwesen. Hacker, die gezielt das Onlinebanking ins Visier nehmen, brauchen schon erhebliches Know-how, um etwa einen entsprechenden Banken-Trojaner zu programmieren. In diesen Fällen handelt es sich meist um organisierte Kriminalität. Denn so ein Vorhaben benötigt ein erhebliches Maß an Manpower und Ressourcen, das können Einzeltäter in der Regel kaum stemmen.
Haben Sie hierfür ein konkretes Beispiel?
Wojzechowski: Ich kenne einen Fall, bei dem wurde das Kartenlesegerät eines Händlers manipuliert. Dadurch wurden die Kartendaten inklusive PIN gestohlen. Das Geld wurde dann auch direkt in Australien abgehoben. Alle betroffenen Kunden wurden selbstverständlich entschädigt, bei einigen griffen vorab Sicherheitsmechanismen, die einen Schaden verhindert haben. Da steckt schon System dahinter.
Viele Verbraucher scheuen das Mobile-Banking. Doch ist der Desktop wirklich besser vor Cyberangriffen geschützt als das Smartphone?
Wojzechowski: Grundsätzlich ist gegen das Mobile-Banking nichts einzuwenden. Wovon wir allerdings stark abraten, ist, die Überweisung und die TAN-Generierung über dasselbe Gerät abzuwickeln. Diese Sicherheitslücke ist bereits in der Vergangenheit ausgenutzt worden. Wir empfehlen: Wer Mobile-Banking nutzen möchte, sollte das stets mit einem Smartphone und Tablet durchführen.
Gibt es einen Unterschied in Sachen Sicherheit zwischen Android und iOS beim Mobile-Banking?
Wojzechowski: Die meiste Malware gibt es für Android, das steht außer Frage. Das liegt vor allem daran, dass die Plattform offener ist, was Cyberkriminellen in die Karten spielt. Bei iOS sieht die Sache anders aus. Hier handelt es sich um ein vergleichsweise abgeschottetes System, auf dem Drittanbieter von Apps nicht ohne weiteres ihr Produkt im App-Store anbieten können. Diese Einschränkung kommt der Sicherheit zugute. Ein weiterer Vorteil ist, dass auch ältere Smartphone-Modelle nach wie vor mit aktuellen Systemupdates beliefert werden. Das sorgt natürlich für zusätzliche Sicherheit.
Lesen Sie auch: Die besten Banking-Apps
Welche TAN-Verfahren sind riskant?
Wojzechowski: Wer noch immer die SMS-TAN benutzt, sollte schleunigst das Verfahren wechseln. Vor allem die Schwachstellen im SS7-Protokoll machen dieses Verfahren äußerst anfällig für Betrugsmaschen. Deshalb warnt auch das Bundesamt für Sicherheit in der Informationstechnik seit Jahren vor der Nutzung der SMS-TAN. Kein Wunder also, dass immer mehr Banken und Sparkassen sich von diesem vergleichsweise unsicheren Verfahren nach und nach trennen.
Mit welchem TAN-Verfahren sind Verbraucher auf der sicheren Seite?
Wojzechowski: Aus unserer Sicht ist das Chip-TAN-Verfahren sehr sicher. Gleiches gilt im Übrigen auch für das Photo-TAN- und HBCI-Verfahren. Letzteres wird allerdings bis jetzt kaum eingesetzt. Auch die Push-TAN-Technik ist sicher, sofern Bankkunden, wie bereits erwähnt, zwei verschiedene Geräte für die Überweisung nutzen.
War die herkömmliche iTAN-Liste wirklich so unsicher?
Wojzechowski: Das Problem ist, dass bei der TAN-Liste auf einmal rund 100 Transaktionsnummern im Voraus generiert werden, ohne dass dabei eine konkrete Überweisung angefordert wurde. Das heißt: Kommt jemand in den Besitz dieser TAN-Liste, kann er auf einen Schlag das Konto leer räumen.
Aber meistens liegt ja die TAN-Liste an einem sicheren Ort wie beispielsweise im heimischen Safe. Sicherer geht es doch eigentlich nicht.
Wojzechowski: Die alte TAN-Liste ist sicher, wenn Verbraucher sie ordnungsgemäß verwahren und sich aufmerksam verhalten. Das war allerdings nicht immer der Fall. Eine Masche ist beispielsweise bei Betrügern besonders beliebt: Sie versenden sogenannte Phishing-Mails, das sind gefälschte E-Mails, die so aussehen, als würden sie von der eigenen Bank kommen. Darin werden Bankkunden aufgefordert, dutzende TAN-Nummern offenzulegen beziehungsweise die komplette Liste abzufotografieren. Das ist mit den neueren Verfahren nicht mehr so einfach, denn eine TAN-Nummer wird nur erstellt, wenn eine konkrete Überweisung ausgeführt werden soll.
Am 14. September treten weitere Regelungen der Zweiten Europäischen Zahlungsdiensterichtlinie (PSD2) in Kraft. Verbraucher müssen sich dann mit mindestens zwei verschiedenen "Faktoren" authentifizieren. Was ist damit gemeint?
Wojzechowski: Ein Authentifizierungsmerkmal kann auf Wissen, Besitz oder einem biometrischen Merkmal basieren. So kann das Merkmal Wissen etwa das Passwort sein und der zweite Faktor etwa das biometrische Merkmal per Fingerabdruck. Diese Zwei-Faktoren-Regel gilt ab September nicht nur bei Überweisungen, sondern wird auch in regelmäßigen Abständen angefordert, wenn sich Verbraucher ganz normal ins Onlinebanking einloggen möchten, um etwa ihren Kontostand zu prüfen.
Lesen Sie auch: Abschied von der iTAN-Liste – Was sind die Alternativen?
Das klingt aufwändig, aber nicht unbedingt wesentlich sicherer.
Wojzechowski: Die PSD2-Richlinie ist ein wichtiger und richtiger Schritt. Die Regelung betrifft ja nicht nur den Authentifizierungs-Prozess. Es treten noch weitere Änderungen in Kraft, etwa dass Bankkunden nach fünf Minuten Inaktivität automatisch aus dem Onlinebanking ausgeloggt werden, bislang waren es bei den meisten Banken rund zehn Minuten. Damit bleibt Kriminellen deutlich weniger Zeit, um sensible Daten abzugreifen.
Grundsätzlich möchte ich an dieser Stelle erwähnen, dass die PSD2-Richtlinie eine notwendige Modernisierung des Sicherheitsstandards darstellt. Endlich herrscht dann für die gesamte Europäische Union ein einheitliches Sicherheitsniveau für den elektronischen Zahlungsverkehr. Es ist einfach notwendig, solche alten Zöpfe wie die TAN-Listen abzuschneiden. Zudem gibt es zahlreiche Alternativen. Ob Chip-, Photo, oder Push-TAN-Verfahren - da sollte für jeden Nutzertyp etwas dabei sein.
Worauf sollten Verbraucher beim Onlinebanking unbedingt achten?
Wojzechowski: Vor allem sollte man beim Onlinebanking immer wachsam sein. Nutzer sollten bei jedem Schritt schauen, ob wichtige Daten wie IBAN, Überweisungsbetrag, Empfänger schlüssig sind. Sie sollten darauf achten, ob das Sicherheitszertifikat in der Adressleiste vollständig ist, also, ob links vor der https-URL das entsprechende Banner mit dem Sicherheitsschloss erscheint. Grundsätzlich empfiehlt es sich, die Adresse für das Onlinebanking als Bookmark abzuspeichern und nur über diese Bookmark die Banking-Seite aufzurufen. Ganz wichtig auch: Die Antiviren-Software, das Betriebssystem und der Browser sollten immer auf dem neuesten Stand sein. Dann kann eigentlich nichts schiefgehen.
Herr Wojzechowski, vielen Dank für das Gespräch.