Online Banking – Welches ist das sicherste Verfahren
Inhaltsverzeichnis
Viele Deutsche haben beim Online-Banking Sicherheitsbedenken. Die zahlreichen Verfahren helfen nicht dabei, diese Bedenken zu nehmen, zumal sie zur Verwirrung noch beitragen. Wir stellen die wichtigsten Verfahren mit Schwächen und Stärken vor.
Das PIN/TAN-Verfahren ist überraschend alt. Schon zu Btx-Zeiten wurde es genutzt, sodass es 2016 seinen 40. Geburtstag feiert. Als Erfinder gilt Alfred Richter. Bei den TANs kann man inzwischen verschieden Funktionsweisen unterscheiden:
- Papiergebundene TAN-Listen
- TAN-Generatoren
- TAN über das Mobiltelefon
- Bildgebundene TAN
Welche Kriterien muss eine sichere Banking-Methode erfüllen?
Wer sicher Online-Banking ausüben möchte, sollte bei der TAN-Methode auf bestimmte Eigenschaften achten:
-
Zwei-Faktor-Authentifizierung
Bei der Zwei-Faktor-Authentifizierung (2FA) kann die Identität des Nutzers mithilfe der Kombination von zwei unterschiedlichen und unabhängigen Komponenten (Faktoren) sicher bestimmt werden. Dies kennen Bankkunden bereits vom Geldautomaten: Nur mit Geldkarte und PIN könne sie dort Geld abheben.
Die Zwei-Faktor-Authentifizierung arbeitet mit zwei Merkmalen: Besitz (in diesem Falle die Geldkarte) und Wissen (die PIN). Auch die Kombination Besitz-Besitz- und Wissen-Wissen ist möglich, jedoch deutlich seltener.
-
Dynamisch generierte Transaktionsnummern
Im Vergleich zu einfachen TANS, die beispielsweise per Post verschickt werden, sind dynamisch generierte TANS im Vorteil. Sie sind nur für einen begrenzten Zeitraum oder nur für eine spezifische Transaktion gültig. Auf diese Weise können sie deutlich schlechter von Betrügern missbraucht werden, selbst wenn sie in deren Hände geraten sollten.
-
Transaktion auf zweitem Gerät sichtbar
Ein weiterer Sicherheitsfaktor ist die Möglichkeit, wichtige Merkmale der Transaktion auf einem anderen Bildschirm als dem anzuzeigen, der fürs Online-Banking genutzt wird. Dies wird beispielsweise bei vielen TAN-Generatoren, aber auch bei mTAN beim Smartphone erfüllt. Auf diese Weise können die Vorgänge noch einmal auf ihrer Richtigkeit überprüft werden und Manipulationen von Betrügern, die die Daten ändern, fallen an dieser Stelle auf.
Die Bestenliste
Platz 7: das TAN-Verfahren
Das TAN-Verfahren war das erste Verfahren, das genutzt wurde, um Online-Banking sicherer zu machen und auch heute ist es noch nicht aus der Mode gekommen. Manche Banken nutzen es immer noch, um den Kunden den ersten Zugang zu ihrem Banking-Account zu erleichtern. Es sollte jedoch schnellst möglich durch ein anderes System ersetzt werden.
Die TANs werden dabei per Liste verschickt, auf der sich zahlreiche Nummern befinden. Der Kunde bestätigt seine Transaktion mit einer beliebigen Nummer auf der Liste.
An sich ist das TAN-Verfahren allerdings gar nicht so unsicher. Es ist hingegen eine gute Möglichkeit, sein Konto zu schützen, weil die Transaktionen über zwei Wege verifiziert werden. Das entscheidende Problem ist hierbei allerdings Phishing, das in der Vergangenheit oft dazu führte, dass Banking-Kunden Opfer von Betrügern wurden.
Platz 6: das iTAN-Verfahren
Das TAN-Verfahren wurde schnell durch die iTAN abgelöst, die als sicherer galt. Hier reicht einem Betrüger nicht aus, nur eine Transaktionsnummer zu kennen. Möchte er eine Transaktion durchführen, muss er hingegen die TAN kennen, die von der Bank gerade gefordert wird. Welche dies ist, ist zufällig.
Auch hier ist allerdings das Problem, dass es keine transaktionsgebundene TANS gibt und der Kunde die Transaktion nicht auf einem anderen Gerät überprüfen kann. Das erleichtert es Betrügern deutlich, eine TAN zu missbrauchen. Malware könnte im Computer beispielsweise Kontonummer und Überweisungsbetrag ändern, ohne dass der Kunde oder die Bank dies direkt bemerken würde. Zudem ist für die Bank auch im Nachhinein oft nicht eindeutig nachvollziehbar, dass nicht der Kunde den Auftrag in dieser Form aufgegeben hat.
Platz 5: PhotoTAN
Auch wenn das PhotoTAN-Verfahren entwickelt wurde, um deutlich sicherer zu sein als herkömmliche Verfahren, sind die Noten für das Verfahren letztlich durchwachsen. Wie sicher das Verfahren ist, hängt dabei auch vom Anbieter ab, da es teilweise unterschiedlich genutzt wird.
Allen gemeinsam ist allerdings das Grundprinzip: Der Online Banker gibt die Daten für die Überweisung an und bestätigt sie. Nun wird eine Grafik angezeigt, die entweder mit einem Smartphone mit entsprechender App oder einem Lesegerät ausgelesen wird. Im Anschluss daran wird die PIN erzeugt.
Grundsätzlich gilt es als deutlich empfehlenswerter, ein Lesegerät zu nutzen. Dann ist die PhotoTAN auch sicherer als nur Platz 5 unter den Online Banking-Methoden. Durch das Smartphone wächst das Sicherheitsrisiko und manche Anbieter geben im Code nur wenige Daten an, sodass der Aufwand für Betrüger sich nur minimal vergrößert. Ein Pluspunkt ist allerdings, dass fast alle Anbieter des Verfahrens mit transaktionsgebundenen TANs arbeiten.
Platz 4: eTAN
Die eTAN gilt als eine der sichersten Arten des Online-Bankings. Dabei erhält der Kunde einen eTAN-Generator, der nur für ein Konto registriert ist und nicht für andere Konten genutzt werden kann. Das Gerät hat eine Anzeige, Nummernblock und mindestens eine Taste, die es ermöglicht, eine TAN erzeugen zu lassen.
Eine Besonderheit hierbei ist der Gebrauch ohne eine Bankkarte. Der Generator erzeugt per Knopfdruck eine TAN. Dieser wird im Geräte mit Logarithmen, Datum und Uhrzeit berechnet. Die Bank kennt den Logarithmus und kann davon ausgehende berechnen, ob die TAN korrekt ist oder nicht. Die TAN ist dabei nur zeitlich begrenzt gültig. Das hat den Vorteil, dass ein Betrüger die Nummer nicht abfangen könnte, um sie später zu benutzen.
Platz 3: mTAN
Die mTAN galt lange Zeit als außerordentlich sicheres Verfahren. Allerdings wurde hierbei ein Faktor nicht ausreichend bedacht: Das Smartphone kann eine Fehlerquelle sein. Das Verfahren an sich wurde noch nicht geknackt, allerdings gab es die Möglichkeit, SIM-Karten so zu manipulieren, dass auch das Online-Banking missbraucht werden konnte.
Grundsätzlich gilt das mTAN-Verfahren allerdings auch heute noch als sehr sicher. Der Bankkunde gibt dabei in seinem Online Banking wie gewohnt die Transaktionsdaten an und bestätigt diese. Nun erhält er die PIN von seiner Bank auf sein Handy. Diese gibt er ein, bestätigt die Transaktion und führt die Überweisung durch. Inzwischen nutzen viele Banken als Alternative eine Depot App, in denen die PIN zusammen mit den wichtigsten Daten angezeigt wird.
Als besonders sicher gilt dieses Verfahren vor allem aus zwei Gründen: Zum einen werden unterschiedliche und unabhängige Kommunikationskanäle genutzt. Zum anderen ist die TAN zeitlich begrenzt gültig. Bei vielen Anbietern werden zudem die Transaktionsdaten auf dem Smartphone angezeigt, sodass dort alle wichtigen Sicherheitsmerkmale erfüllt sind.
Platz 2: ChipTAN
Das ChipTAN-Verfahren funktioniert so ähnlich wie das eTAN-Verfahren. Allerdings liest der TAN-Generator gleich zwei Informationen aus. Zum einen liest es vom Bildschirm mit einem optischen Signal, das auch als Flickergrafik bezeichnet wird, die Überweisungsdaten aus dem PC-Bildschirm aus. Zum anderen enthält die Bankkarte wichtige weitere Informationen wie den Logarithmus, der dann zur TAN-Generierung genutzt wird. Bevor der Kunde die PIN erhält, muss er die wichtigsten Daten der Transaktion auf dem Bildschirm des Kartenlesers bestätigen.
Platz 1: HBCI
HBCI gilt derzeit als das sicherste Verfahren, vorausgesetzt es wird ein Chipkartenleser nach Secoder-Standard dafür genutzt. Es gibt hierfür derzeit keine bekannten erfolgreichen Angriffe.
Es handelt sich hierbei um eine standardisierte Schnittstelle für das Online-Banking. Es wird überwiegend von Firmen genutzt. Dabei ist es sowohl von Banken als auch von Providern unabhängig. Einer der größten Nachteile ist für viele Privatkunden allerdings die Tatsache, dass die Methode nicht ohne zusätzliche Finanzsoftware genutzt werden kann.
Eine Transaktion könnte folgendermaßen ablaufen:
- In der Finanzsoftware werden alle Überweisungsdaten eingetragen.
- Nun wird der Kartenleser an den PC angeschlossen und die Chipkarte eingeführt.
- Auf dem Chipkartenleser wird die PIN eingegeben. Auf diese Weise können Keylogger oder andere Malware auf den PC keinen Schaden anrichten.
- Der Signierschlüssel auf der Chipkarte „unterschreibt“ die Überweisung digital.
- Die Überweisung wird durchgeführt.
Die Methode hat also verschiedene Merkmale, die die Sicherheit garantieren. Zum einen die 2-Wege-Authentifizierung, bei der Lesegerät und Online-Banking voneinander unabhängig sind. Und die PIN das Wissen, dass nur der Bankkunde hat, repräsentiert. Die Chipkarte mit seiner Signatur ist hingegen der Besitz. Darüber hinaus kann Malware auf dem PC die Transaktion nicht negativ beeinflussen, zumindest ist derzeit noch kein Fall bekannt, wo dies gelungen wäre. Außerdem erlauben es moderne Kartenleser, die Transaktionsdaten vor der endgültigen Bestätigung noch einmal zu überprüfen.
Das Verfahren ist dabei unkomplizierter, als es auf den ersten Blick scheint. Größte Herausforderung ist in der Regel die Finanzsoftware.
Ein weiterer Nachtteil dieser Technologie ist sicherlich der Preis. Für ein Lesegerät nach aktuellen Sicherheitsstandards werden in der Regel zwischen 90 und 160 Euro fällig. Zudem müssen Chipkarte und Lese-Gerät in den Urlaub oder auf Reisen mitgenommen werden, wenn auch Transaktionen unterwegs durchgeführt werden sollen.
Ist das sicherste Verfahren auch das Beste?
Grundsätzlich gilt, das zumindest unabhängig von der TAN in Papierform alle TAN-Verfahren sehr viel Sicherheit bieten und somit grundsätzlich empfohlen werden können. Bankkunden sollten dabei allerdings nicht vergessen, dass sie selbst in der Pflicht sind, die Sicherheit ihres Online-Banking zu unterstützen.
Deswegen sollten Bankkunden die Sicherheitshinweise ihrer Bank möglichst gründlich lesen und sich an die Ratschläge halten. Dies ist bei den meisten Banken auch die Grundvoraussetzung, um von Sicherheitsgarantien zu profitieren. Gerade Direktbanken sind nämlich häufig so überzeugt von ihren TAN-Methoden, dass sie ihren Kunden versprechen, Schäden, die durch Dritte entstanden sind, zu ersetzen.
Welche Methode dann die richtige ist, ist vor allem eine Frage der Bequemlichkeit und der Vorlieben. Viele der Methoden stellen einen Kompromiss zwischen Komfort und Sicherheit dar. Gerade bei der Nutzung von Smartphones ist natürlich hinsichtlich Virenscanner und Diebstahlschutz noch mehr Vorsicht geboten, als dies bei Methoden mit Lesegerät der Fall ist.
Fazit:
Das beste TAN-Verfahren ist auch eine Frage der Vorlieben. Es gibt viele sicherer TAN-Methoden. Entscheidend ist jedoch auch die Mitarbeit der Bankkunden, die selbst bestimmte Verhaltensweisen lernen sollten, um ihr Konto nicht zu gefährden.