So ist das Bankkonto vor Hacker-Angriffen sicher

Online-Banking So ist das Bankkonto vor Hacker-Angriffen sicher

Kevin Schwarzinger
von Kevin Schwarzinger
18.10.2017
Auf einen Blick
  • Der belgische Wissenschaftler Mathy Vanhoef hat eine Sicherheitslücke im WPA2-Protokoll öffentlich gemacht.

  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt davor, WLAN-Netzwerke für Online-Transaktionen wie Online-Banking und Online-Shopping zu nutzen. Das sehen IT-Experten allerdings als übertrieben an.

  • Entscheidend für die Sicherheit beim Online-Banking ist neben einer sicheren Internetverbindung auch die richtige Wahl des Tan-Verfahrens. IT-Experten empfehlen Verbrauchern die Chip-Tan-Methode.
Artikelbewertung
Teilen
Schrift

Der Sicherheitsforscher Mathy Vanhoef von der Katholischen Universität Löwen hat eine Sicherheitslücke im Verschlüsselungsprotokoll WPA2 entdeckt, mit dem üblicherweise WLAN-Verbindungen verschlüsselt werden. Laut dem IT-Experten können Hacker mit der "KRACK" getauften Attacke die Verschlüsselung aufbrechen und dadurch die Datenpakete mitlesen und manipulieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Verbrauchern dazu, erstmal auf Online-Banking über WLAN-Verbindungen zu verzichten bis entsprechende Sicherheitsupdates verfügbar sind.

Eine Warnung, die viele Experten für übertrieben halten. "Mir erscheint die generelle Warnung vor Online-Banking und Shopping im eigenen WLAN als überzogen, wenn die Kanäle jeweils selbst (mit HTTPS oder VPN) verschlüsselt sind", sagte der Sprecher des Chaos Computer Clubs, Linus Neumann, der Deutschen Presse-Agentur.

Auch vom Einkaufen im Netz via WLAN-Verbindung warnte das BSI, obwohl die meisten Online-Händler einen verschlüsselten Übertragungsweg anbieten, der nicht vom WPA2-Standard abhängt.

"In der Tat kann man bei korrekt verifizierten SSL- oder VPN-Verbindungen die Schwachstelle gelassen sehen. Allerdings wissen Laien nicht immer, was alles zu beachten ist, um eine SSL-Verbindung korrekt zu überprüfen. Vermutlich rät das BSI daher an dieser Stelle zu einer erhöhten Vorsichtsmaßnahme", so Neumann weiter.

Auch seitens des Bundesverband deutscher Banken (BdB) gibt es Entwarnung. Online-Banking sei selbst in WLAN-Netzwerken sicher, die von der Sicherheitslücke betroffen sind.

"Das Online-Banking wird immer über eine gesicherte HTTPS-Datenverbindung im Browser beziehungsweise der Banking-App abgewickelt. Diese Verschlüsselungen finden immer zusätzlich zur vorhandenen Verschlüsselung eines WLAN-Routers statt", erklärt der BdB.

So sicher ist Online-Banking

Angesichts dieser Ereignisse sind viele Verbraucher verunsichert. Doch es gibt Möglichkeiten, das Online-Banking gegen Hacker-Angriffe zu schützen - wie etwa die Wahl des richtigen Tan-Verfahrens. Doch welche Verfahren sind sicher? 

Wie sicher ist das M-Tan-Verfahren?

Beim sogenannten M-Tan-Verfahren müssen sich Bankkunden mit ihrer Mobilfunknummer bei ihrer Bank oder Sparkasse anmelden. Das Geldhaus verschickt bei jeder Überweisung die entsprechende Tan-Nummer per SMS auf das Handy des Kunden. Nach den vergangenen Hacker-Angriffen Anfang Mai steht diese Methode allerdings auf dem Prüfstand. Die deutsche Kreditwirtschaft (DK) spricht von einem "Einzelfall" und weist darauf hin, "dass die M-Tan ein technisch sicheres Legitimationsverfahren beim Online-Banking ist."

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht das anders. "Auf die Schwachstelle im SS7-Protokoll weisen wir schon seit einigen Jahren hin", kritisiert BSI-Präsident Arne Schönbohm. Die Bundesbehörde empfiehlt Verbrauchern auf das M-Tan Verfahren zu verzichten.

Für mehr Beiträge rund um die Themen Online-Banking und Internet-Sicherheit, abonnieren Sie unseren kostenlosen Newsletter!

Bitte geben Sie eine korrekte E-Mail Adresse ein

Welche anderen Tan-Verfahren sind sicher?

Bankkunden haben in Sachen Online-Banking eine breite Auswahl. Ob M-Tan, Push-Tan oder Photo-Tan, bei der Fülle von Legitimationsverfahren können Verbraucher schnell den Überblick verlieren. Chris Wojzechowski, Projektleiter am Institut für Internet Sicherheit, empfiehlt Verbrauchern das sogenannte Chip-Tan-Verfahren. Bei dieser Methode wird die Tan-Nummer mit einem speziellen Lesegerät erstellt.

"Wer hauptsächlich Online-Banking von zu Hause betreibt, ist mit dem Chip-Tan-Verfahren auf der sicheren Seite", so Wojzechowski. Für noch sicherer stuft der IT-Experte das sogenannte HBCI-Verfahren, das auch mit einem Chipkartenleser funktioniert, ein: "Da diese Methode von Verbrauchern kaum genutzt wird, ist das Interesse von Internetkriminellen hier aktiv zu werden eher gering." Das Verfahren HBCI (Homebanking Computer Interface) basiert auf einer verschlüsselten Kommunikation zwischen Bank und Kunde über eine spezielle Chipkarte.

Vom sogenannten Push-Tan-Verfahren sollten Bankkunden lieber die Finger lassen: "Da wird die Zwei-Faktoren-Sicherheit aufgebrochen. Überweisungen laufen bei diesem Verfahren nur über ein Endgerät, das Smartphone. Die Praxis zeigt, dass die Apps mit Schadsoftware ausspioniert werden können", warnt Wojzechowski.

3
 
Anbieter
Monatspreis
Dispozinsen
Jahrespreis
Girocard
 
1.
0,00
6,90%
0,00
2.
0,00
6,99%
0,00
3.
0,00
7,43%
0,00
Geldeingang 1.000 €, niedrigster Kontostand 500 €

Wer haftet im Schadensfall?

"Grundsätzlich haftet die Bank für jede Überweisung, die nicht direkt vom Bankkunden autorisiert wurde. Sie kann aber Schadensersatzansprüche geltend machen. Bei grober Fahrlässigkeit kann die Bank sogar die komplette Schadenssumme verlangen", warnt der IT-Rechtsexperte Christian Solmecke. Als grobe Fahrlässig gilt bereits, wenn Bankkunden eine veraltete Virensoftware auf dem Rechner installiert haben.

Wichtige Tan-Verfahren im Überblick:

SMS-Tan, Mobile-Tan, M-Tan: Hier erhält der Kontoinhaber die Tan per SMS auf das Mobiltelefon, um den Überweisungsvorgang abzuschließen. Experten raten von diesen eher Verfahren ab.

Chip-Tan: Hier können Bankkunden mittels eines speziellen Chipgeräts in Kombination mit der Girokarte Tans erzeugen. Dieses Verfahren gilt als besonders sicher, da die eingehenden Tans lediglich auf dem Display erscheinen.

Photo-Tan: Auch dieses Verfahren funktioniert mit dem Smartphone samt spezieller App. Nach eintippen der Überweisungsdaten wird ein Code auf dem Bildschirm angezeigt. Ausschlaggebend für Datensicherheit ist hier die Pixelung des QR-Codes.

Push-Tan: Für dieses Verfahren müssen sich Verbraucher eine spezielle App auf das Smartphone laden. Nach jeder Überweisung können sie darüber eine Tan anfordern und direkt ins Online-Banking übertragen. Gilt als verhältnismäßig unsicher, da die komplette Überweisung auf einem Endgerät abgewickelt wird.

Tan-Liste: Die EU-Zahlungsdienstrichtlinie PSD2 bestimmt, dass die TAN-Listen beim Online-Banking nicht mehr sicher genug sind. Sie sollen bis 2018 aus dem Verkehr gezogen werden.

Ihre Meinung ist uns wichtig
Kevin Schwarzinger
Kevin Schwarzinger
Redakteur
Jetzt Artikel bewerten
E-Mail an den Autor
Kevin Schwarzinger
Kevin Schwarzinger

Jahrgang 1988, studierte Geschichte und Philosophie an der Ludwig-Maximilians-Universität in München und war währenddessen bereits als Werkstudent bei biallo.de angestellt. Seit Januar 2016 ist er Volontär.

E-Mail an den Autor
Artikelbewertung
Teilen
Drucken
Zur Startseite
Kevin Schwarzinger
Kevin Schwarzinger

Jahrgang 1988, studierte Geschichte und Philosophie an der Ludwig-Maximilians-Universität in München und war währenddessen bereits als Werkstudent bei biallo.de angestellt. Seit Januar 2016 ist er Volontär.

E-Mail an den Autor
Newsletter
Keine News mehr verpassen
Bitte geben Sie eine korrekte E-Mail Adresse ein:

Regeln für das Schreiben von Kommentaren:

  1. Kommentieren Sie sachlich und ohne persönliche Angriffe.
  2. Verfassen Sie keine Beiträge mit strafbarem, diskriminierendem, rassistischem, anstößigem, beleidigendem oder kommerziellem Inhalt und verweisen Sie nicht auf Seiten mit solchem Inhalt.
  3. Stellen Sie weder zu lange Texte noch Bilder ein, außer, wenn es unbedingt nötig ist.
  4. Veröffentlichen Sie keine personenbezogenen Daten Dritter, wie Namen, Adressen, Telefonnummern oder E-Mail-Adressen.
  5. Wenn Sie persönliche Mitteilungen oder Texte anderer Verfasser einstellen oder Kommentare anderweitig veröffentlichen möchten, beachten Sie die Rechte Dritter. Bei einer Verletzung dieser Rechte (z.B. Persönlichkeitsrecht, Urheberrecht, Datenschutz) haften Sie.
  6. Sie haben die Möglichkeit, Ihren Benutzernamen frei zu wählen. Sie sollten aber im eigenen Interesse markenrechtlich geschützte Namen vermeiden.

Quelle: www.datenschutzbeauftragter-info.de