IT-Experte: "Die TAN-Liste darf ruhigen Gewissens in die Rente"

Interview IT-Experte: "Die TAN-Liste darf ruhigen Gewissens in die Rente"

Kevin Schwarzinger
von Kevin Schwarzinger
09.08.2019
Auf einen Blick
  • Ab dem 14. September gehört die klassische TAN-Liste der Vergangenheit an. Zwar mangelt es nicht an Alternativen, doch nicht jedes Verfahren ist auch sicher.

  • IT-Experte Chris Wojzechowski erklärt im Biallo-Interview, worauf Verbraucher beim Onlinebanking achten sollten und welches TAN-Verfahren es zu meiden gilt.
Artikelbewertung
Teilen
Schrift

Herr Wojzechowski, wie groß ist die Gefahr, dass einem Internetkriminelle Daten stehlen und das Konto abräumen?

Chris Wojzechowski: Die Wahrscheinlichkeit, dass einem Bankkunden Daten gestohlen werden, ist vergleichsweise hoch. Dass dabei das komplette Konto abgeräumt wird, halte ich für äußerst unwahrscheinlich. Das liegt vor allem daran, dass bei jeder Überweisung die sogenannte Zwei-Faktor-Authentifizierung angewendet werden muss. Sprich: Der Angreifer muss sich Zugang zum Bankkonto verschaffen und gleichzeitig eine TAN-Nummer beschaffen, um auch nur eine einzige Transaktion durchzuführen. Diese zwei Sicherheitsfaktoren zu knacken, ist nach wie vor eine große Hürde. Ob Angreifer diese nehmen können, hängt vom Verhalten des Nutzers ab und davon, welches Onlinebanking-Verfahren er einsetzt.

Für weitere Beiträge rund um das Thema Onlinebanking abonnieren Sie unseren kostenlosen Newsletter!

Bitte geben Sie eine korrekte E-Mail Adresse ein
Unsere Datenschutzerklärung finden Sie hier.

Man spricht ja gerne von "Cyberkriminellen", sind das gut organisierte Banden oder oftmals Einzeltäter?

Wojzechowski: Da muss man differenzieren. Zum einem gibt es die sogenannten "Scriptkiddies", also junge Erwachsene die mit rudimentären Programmierkenntnissen versuchen, Grenzen auszutesten. Die treiben allerdings lieber beim Online-Gaming und nicht beim Onlinebanking ihr Unwesen. Hacker, die gezielt das Onlinebanking ins Visier nehmen, brauchen schon erhebliches Know-how, um etwa einen entsprechenden Banken-Trojaner zu programmieren. In diesen Fällen handelt es sich meist um organisierte Kriminalität. Denn so ein Vorhaben benötigt ein erhebliches Maß an Manpower und Ressourcen, das können Einzeltäter in der Regel kaum stemmen.

Lesen Sie auch: Onlinebanking – Massenweise gefälschte E-Mails im Umlauf

Haben Sie hierfür ein konkretes Beispiel?

Wojzechowski: Ich kenne einen Fall, bei dem wurde das Kartenlesegerät eines Händlers manipuliert. Dadurch wurden die Kartendaten inklusive PIN gestohlen. Das Geld wurde dann auch direkt in Australien abgehoben. Alle betroffenen Kunden wurden selbstverständlich entschädigt, bei einigen griffen vorab Sicherheitsmechanismen, die einen Schaden verhindert haben. Da steckt schon System dahinter.

Viele Verbraucher scheuen das Mobile-Banking. Doch ist der Desktop wirklich besser vor Cyberangriffen geschützt als das Smartphone?

Wojzechowski: Grundsätzlich ist gegen das Mobile-Banking nichts einzuwenden. Wovon wir allerdings stark abraten, ist, die Überweisung und die TAN-Generierung über dasselbe Gerät abzuwickeln. Diese Sicherheitslücke ist bereits in der Vergangenheit ausgenutzt worden. Wir empfehlen: Wer Mobile-Banking nutzen möchte, sollte das stets mit einem Smartphone und Tablet durchführen.

Gibt es einen Unterschied in Sachen Sicherheit zwischen Android und iOS beim Mobile-Banking?

Wojzechowski: Die meiste Malware gibt es für Android, das steht außer Frage. Das liegt vor allem daran, dass die Plattform offener ist, was Cyberkriminellen in die Karten spielt. Bei iOS sieht die Sache anders aus. Hier handelt es sich um ein vergleichsweise abgeschottetes System, auf dem Drittanbieter von Apps nicht ohne weiteres ihr Produkt im App-Store anbieten können. Diese Einschränkung kommt der Sicherheit zugute. Ein weiterer Vorteil ist, dass auch ältere Smartphone-Modelle nach wie vor mit aktuellen Systemupdates beliefert werden. Das sorgt natürlich für zusätzliche Sicherheit.

Lesen Sie auch: Die besten Banking-Apps

Welche TAN-Verfahren sind riskant?

Wojzechowski: Wer noch immer die SMS-TAN benutzt, sollte schleunigst das Verfahren wechseln. Vor allem die Schwachstellen im SS7-Protokoll machen dieses Verfahren äußerst anfällig für Betrugsmaschen. Deshalb warnt auch das Bundesamt für Sicherheit in der Informationstechnik seit Jahren vor der Nutzung der SMS-TAN. Kein Wunder also, dass immer mehr Banken und Sparkassen sich von diesem vergleichsweise unsicheren Verfahren nach und nach trennen.

Mit welchem TAN-Verfahren sind Verbraucher auf der sicheren Seite?

Wojzechowski: Aus unserer Sicht ist das Chip-TAN-Verfahren sehr sicher. Gleiches gilt im Übrigen auch für das Photo-TAN- und HBCI-Verfahren. Letzteres wird allerdings bis jetzt kaum eingesetzt. Auch die Push-TAN-Technik ist sicher, sofern Bankkunden, wie bereits erwähnt, zwei verschiedene Geräte für die Überweisung nutzen.

3
 
Anbieter
Monatspreis
Dispozinsen
Jahrespreis
Girocard
 
1.
0,00
6,74%
0,00
2.
0,00
6,99%
0,00
3.
 0,00
7,43%
0,00

War die herkömmliche iTAN-Liste wirklich so unsicher?

Wojzechowski: Das Problem ist, dass bei der TAN-Liste auf einmal rund 100 Transaktionsnummern im Voraus generiert werden, ohne dass dabei eine konkrete Überweisung angefordert wurde. Das heißt: Kommt jemand in den Besitz dieser TAN-Liste, kann er auf einen Schlag das Konto leer räumen.

Aber meistens liegt ja die TAN-Liste an einem sicheren Ort wie beispielsweise im heimischen Safe. Sicherer geht es doch eigentlich nicht.

Wojzechowski: Die alte TAN-Liste ist sicher, wenn Verbraucher sie ordnungsgemäß verwahren und sich aufmerksam verhalten. Das war allerdings nicht immer der Fall. Eine Masche ist beispielsweise bei Betrügern besonders beliebt: Sie versenden sogenannte Phishing-Mails, das sind gefälschte E-Mails, die so aussehen, als würden sie von der eigenen Bank kommen. Darin werden Bankkunden aufgefordert, dutzende TAN-Nummern offenzulegen beziehungsweise die komplette Liste abzufotografieren. Das ist mit den neueren Verfahren nicht mehr so einfach, denn eine TAN-Nummer wird nur erstellt, wenn eine konkrete Überweisung ausgeführt werden soll.

Am 14. September treten weitere Regelungen der Zweiten Europäischen Zahlungsdiensterichtlinie (PSD2) in Kraft. Verbraucher müssen sich dann mit mindestens zwei verschiedenen "Faktoren" authentifizieren. Was ist damit gemeint?

Wojzechowski: Ein Authentifizierungsmerkmal kann auf Wissen, Besitz oder einem biometrischen Merkmal basieren. So kann das Merkmal Wissen etwa das Passwort sein und der zweite Faktor etwa das biometrische Merkmal per Fingerabdruck. Diese Zwei-Faktoren-Regel gilt ab September nicht nur bei Überweisungen, sondern wird auch in regelmäßigen Abständen angefordert, wenn sich Verbraucher ganz normal ins Onlinebanking einloggen möchten, um etwa ihren Kontostand zu prüfen.

Lesen Sie auch: Abschied von der iTAN-Liste – Was sind die Alternativen?

Das klingt aufwändig, aber nicht unbedingt wesentlich sicherer.

Wojzechowski: Die PSD2-Richlinie ist ein wichtiger und richtiger Schritt. Die Regelung betrifft ja nicht nur den Authentifizierungs-Prozess. Es treten noch weitere Änderungen in Kraft, etwa dass Bankkunden nach fünf Minuten Inaktivität automatisch aus dem Onlinebanking ausgeloggt werden, bislang waren es bei den meisten Banken rund zehn Minuten. Damit bleibt Kriminellen deutlich weniger Zeit, um sensible Daten abzugreifen.

Grundsätzlich möchte ich an dieser Stelle erwähnen, dass die PSD2-Richtlinie eine notwendige Modernisierung des Sicherheitsstandards darstellt. Endlich herrscht dann für die gesamte Europäische Union ein einheitliches Sicherheitsniveau für den elektronischen Zahlungsverkehr. Es ist einfach notwendig, solche alten Zöpfe wie die TAN-Listen abzuschneiden. Zudem gibt es zahlreiche Alternativen. Ob Chip-, Photo, oder Push-TAN-Verfahren - da sollte für jeden Nutzertyp etwas dabei sein.

Worauf sollten Verbraucher beim Onlinebanking unbedingt achten?

Wojzechowski: Vor allem sollte man beim Onlinebanking immer wachsam sein. Nutzer sollten bei jedem Schritt schauen, ob wichtige Daten wie IBAN, Überweisungsbetrag, Empfänger schlüssig sind. Sie sollten darauf achten, ob das Sicherheitszertifikat in der Adressleiste vollständig ist, also, ob links vor der https-URL das entsprechende Banner mit dem Sicherheitsschloss erscheint. Grundsätzlich empfiehlt es sich, die Adresse für das Onlinebanking als Bookmark abzuspeichern und nur über diese Bookmark die Banking-Seite aufzurufen. Ganz wichtig auch: Die Antiviren-Software, das Betriebssystem und der Browser sollten immer auf dem neuesten Stand sein. Dann kann eigentlich nichts schiefgehen.

Herr Wojzechowski, vielen Dank für das Gespräch.

Zur Person

Chris Wojzechowski ist Gründer und Geschäftsführer des IT-Sicherheitsunternehmens Aware7. Der frühere Projektleiter am Institut für Internet-Sicherheit der Westfälischen Hochschule machte sich 2018 selbstständig und berät seitdem unter anderen die Münchener Rück oder die Verbraucherzentrale Bundesverband in Sachen IT-Sicherheit und Cyber Security Awareness.

Ihre Meinung ist uns wichtig
Kevin Schwarzinger
Kevin Schwarzinger
Redakteur
Jetzt Artikel bewerten
E-Mail an den Autor
Artikel kommentieren
Kevin Schwarzinger
Kevin Schwarzinger

Jahrgang 1988, studierte Geschichte und Philosophie an der Ludwig-Maximilians-Universität in München und war währenddessen bereits als Werkstudent bei biallo.de angestellt. Seit 2016 ist er Mitglied der Redaktion und verfasst dort überwiegend Artikel zu Geldanlagethemen. Daneben publiziert er regelmäßig in Tageszeitungen, wie Münchner Merkur, Rhein Main Presse, Frankfurter Neue Presse oder Donaukurier.

E-Mail an den Autor
Artikelbewertung
Teilen
Drucken
Zur Startseite
Kevin Schwarzinger
Kevin Schwarzinger

Jahrgang 1988, studierte Geschichte und Philosophie an der Ludwig-Maximilians-Universität in München und war währenddessen bereits als Werkstudent bei biallo.de angestellt. Seit 2016 ist er Mitglied der Redaktion und verfasst dort überwiegend Artikel zu Geldanlagethemen. Daneben publiziert er regelmäßig in Tageszeitungen, wie Münchner Merkur, Rhein Main Presse, Frankfurter Neue Presse oder Donaukurier.

E-Mail an den Autor
Newsletter
Keine News mehr verpassen
Bitte geben Sie eine korrekte E-Mail Adresse ein:
Unsere Datenschutzerklärung finden Sie hier.

Regeln für das Schreiben von Kommentaren:

  1. Kommentieren Sie sachlich und ohne persönliche Angriffe.
  2. Verfassen Sie keine Beiträge mit strafbarem, diskriminierendem, rassistischem, anstößigem, beleidigendem oder kommerziellem Inhalt und verweisen Sie nicht auf Seiten mit solchem Inhalt.
  3. Stellen Sie weder zu lange Texte noch Bilder ein, außer, wenn es unbedingt nötig ist.
  4. Veröffentlichen Sie keine personenbezogenen Daten Dritter, wie Namen, Adressen, Telefonnummern oder E-Mail-Adressen.
  5. Wenn Sie persönliche Mitteilungen oder Texte anderer Verfasser einstellen oder Kommentare anderweitig veröffentlichen möchten, beachten Sie die Rechte Dritter. Bei einer Verletzung dieser Rechte (z.B. Persönlichkeitsrecht, Urheberrecht, Datenschutz) haften Sie.
  6. Sie haben die Möglichkeit, Ihren Benutzernamen frei zu wählen. Sie sollten aber im eigenen Interesse markenrechtlich geschützte Namen vermeiden.

Quelle: www.datenschutzbeauftragter-info.de