Online Banking – Wie sicher ist es?

,

Kaum eine Firma verzichtet heute noch auf die Vorteile des elektronischen Zahlungsverkehrs. Das Online-Banking bietet viele Vorteile! Aber wie steht es um die Risiken? Eine generelle Aussage ist hierbei nicht möglich, denn es kommt ganz auf die angewendete Methode an.

Im Folgenden werden die gängigsten Methoden kurz vorgestellt und bewertet.

Die Verfahren im Überblick

Dieses Verfahren war eines der ersten Verfahren zur Legitimierung von Transaktionen. Die Banken schickten dem Kunden über den Postweg eine zeitlich unbegrenzt gültige TAN-Liste in Papierform zu. Bei jeder Transaktion kann eine der zur Verfügung stehenden TANs frei gewählt werden

    • Vorteile:
      • sehr Flexible Nutzung
      • zügige TAN-Ermittlung
      • wenig Aufwand
    • Nachteile:
      • unsicherstes Verfahren am Markt
      • universelle nicht an Aufträge oder zeitlich gebundene Gültigkeit der TANs

Das indizierte TAN-Verfahren ist der TAN-Liste sehr ähnlich. Die TANs sind jedoch durchnummeriert. Der Kunde kann also nicht mehr beliebig aus der Liste wählen, sondern wird von der Bank aufgefordert, eine bestimmte, durch eine Positionsnummer gekennzeichnete TAN einzugeben.

    • Vorteile:
      • sehr Flexible Nutzung
      • zügige TAN-Ermittlung
      • wenig Aufwand für den Benutzer
    • Nachteile:
      • unsicheres Verfahren, da TANs meist nicht zeitlich gebunden
      • Angreifer könnten TANs sammeln und entsprechend nutzen
      • TANs universell einsetzbar

Die erste Version der TAN-Generatoren wurde mittlerweile durch die Verfahren „Sm@artTAN plus“ und „S@artTAN optic“ abgelöst. Die TAN wurde mit Hilfe eines Generators und der EC-Karte generiert. Die generierte TAN ist abhängig von Werten wie: EC-Kartennummer, laufende TAN-Nummer, Datum, Uhrzeit usw. Wichtig hierbei ist, dass die Überweisungsdaten selbst nicht in die Berechnung einfließen. Die generierte TAN wird bei der Bank auf Gültigkeit anhand der Werte gegengerechnet.

    • Vorteile:
      • sehr Flexible Nutzung
      • zügige TAN-Ermittlung
      • wenig Aufwand für den Benutzer
      • TAN-Ermittlung benötigt EC-Karte
      • TANs zeitlich begrenzt nutzbar
      • separates, nicht mit dem Rechner verbundenes Gerät ohne Anbindung an das Internet
    • Nachteile:
      • TANs werden unabhängig von den Auftragsdaten generiert
      • TAN kann in dem zeitlichen Fenster auch für einen anderen Auftrag genutzt werden
      • keine Kontrollinstanz

Dieses Verfahren benötigt einen Kartenleser mit Tastatur. Aus den Auftragsdaten wird von der Bank ein entsprechender Code generiert. Dieser muss bei eingesteckter EC-Karte in das Gerät eingetippt werden. Der Code besteht in der Regel aus einem Überweisungscode sowie der Ziel-Kontonummer. Dieses Verfahren führt eine Kontrollinstanz in Form der Ziel-Kontonummer ein. Diese sollte vom Benutzer mit dem Original abgeglichen werden und erst nach positiver Prüfung verwendet werden. Je nach Generator werden neben Bankleitzahl auch Kontonummer und Betrag am Generator angezeigt.

    • Vorteile:
      • Die generierte TAN ist nur für diese eine Aktion gültig und kann nicht zweckentfremdet werden.
      • Kontrollinstanz anhand der Ziel-Daten möglich
      • wirksamer Schutz gegen Manipulation der Empfängerdaten
      • separates, nicht mit dem Rechner verbundenes Gerät ohne Anbindung an das Internet (nicht infizierbar)
    • Nachteile:
      • aufwändige TAN Generierung
      • Fehleranfällig durch Tippfehler am Gerät
      • die Eingabe benötigt etwas Zeit und Geduld

Dieses Verfahren funktioniert analog zum „Sm@artTAN plus“-Verfahren. Jedoch wird hierbei die Eingabe des Codes durch einen Flicker-Code am Bildschirm ersetzt. Das Gerät bekommt die Daten über eine optische Schnittstelle übermittelt. Optional verfügt das Gerät auch weiterhin über eine Tastatur, so dass die Eingabe auch manuell erfolgen kann.

    • Vorteile:
      • Die generierte TAN ist nur für diese eine Aktion gültig und kann nicht zweckentfremdet werden.
      • Kontrollinstanz anhand der Ziel-Daten möglich
      • Separates, nicht mit dem Rechner verbundenes Gerät ohne Anbindung an das Internet (nicht infizierbar)
    • Nachteile:
      • Optische Übermittlung ist etwas fummelig und gelingt nicht immer

Anders als bei den bisherigen Verfahren, wird die TAN bei der Bank generiert. Die Übermittlung erfolgt per SMS an eine Mobilrufnummer. Neben der TAN stehen die Auftragsdaten wie z.B. IBAN, Betrag usw. in der Nachricht. Die TAN ist an diese Auftragsdaten gebunden, zeitlich begrenzt und kann nicht zweckentfremdet werden. Dieses Verfahren minimiert zum einen Eingabefehler und steigert den Komfort, da kein TAN-Generator mehr benötigt wird (auch mobil problemlos einsetzbar). Hinzu kommen aber zwingend zu beachtende Verhaltensvorschriften. Es sollte z.B. unter allen Umständen vermieden werden, das Telefon mit dem Rechner zu verbinden oder gar über dieses die Überweisung (z.B. via APP) auszuführen.

    • Vorteile:
      • Die generierte TAN ist nur für diese eine Aktion gültig und kann nicht zweckentfremdet werden.
      • Kontrollinstanz anhand der Ziel-Daten möglich
      • Zweiter Kommunikationskanal unabhängig vom PC
      • Schnelle, unkomplizierte TAN-Generierung
    • Nachteile:
      • Die Sicherheit wird durch Smartphones untergraben (SMS könnte am infizierten Endgerät manipuliert werden).
      • Sicherheit abhängig vom Mobilfunkanbieter (Versand von Ersatzkarten / Twin-Karten an beliebige Lieferadresse)
      • Ggf. Kosten für den SMS-TAN-Versand

Die HBCI-Verfahren funktionieren prinzipiell ohne TANs. Zur Verwendung wird neben eines von der Bank ausgestellten Zertifikat eine Software benötigt. Die Verbindung zur Bank wird über das Zertifikat legitimiert. Meist wird das Zertifikat auf einem USB-Stick gespeichert und muss bei Bedarf mit dem Rechner verbunden werden.

    • Vorteile:
      • Relativ einfache Nutzung
      • Eine Legitimierung für viele Aufträge auf einmal möglich
    • Nachteile:
      • Universell einsetzbares Zertifikat im Dateiformat
      • Angreifer brauchen nur den Rechner infizieren und bekommen ALLE benötigten Daten (Backups der Bankingsoftware, Logindaten, Zertifikat, …), um von einem anderen Ort und PC Überweisungen auszuführen.
      • USB-Stick vermittelt dem Kunden eine falsche Sicherheit. Dieser kann ganz einfach bei Verbindung mit dem Rechner ausgelesen werden!
      • Keine Kontrollinstanz

Sehr analog zum „HBCI mit Zertifikat-Datei“-Verfahren. Jedoch wird die Zertifikat-Datei durch einen Kartenlesen mit Tastatur ersetzt. Dieser ist mit dem PC verbunden und wird von der Software angesprochen. Zur Legitimierung wird die EC-Karte sowie die Eingabe der PIN am Lesegerät benötigt.

    • Vorteile:
      • Relativ einfache Nutzung
      • Eine Legitimierung für viele Aufträge auf einmal möglich
    • Nachteile:
      • Universell einsetzbares Zertifikat auf der Chip-Karte
      • Durch eine Infizierung des PCs erlangen Angreifer Zugang zur Bankingsoftware, sowie den Logindaten.
      • Kartenleser bildet zwar eine Hürde, diese kann jedoch von Angreifern überwunden werden (höherer Aufwand als bei der Zertifikat-Datei)
      • Keine Kontrollinstanz

 

Bewertung der Verfahren

Unsichere Verfahren:

  • TAN-Liste
  • iTAN-Liste
  • TAN-Generator (erste Generationen)
  • HBCI mit Zertifikat-Datei

Relativ sichere Verfahren:

  • mTAN / Mobile TAN
  • HBCI mit Lesegerät

Sehr sichere Verfahren:

  • Sm@rtTAN optic
  • Sm@rtTAN Plus
  • mTAN / Mobile TAN (bei Verwendung eines separaten Handys)

 

Die Sm@rtTAN-Verfahren sind als besonders sicher zu bewerten, da sie ein externes, nicht verbundenes Gerät verwenden. Ebenso ermöglichen sie eine zügige Kontrolle der Auftragsdaten! Gleiches gilt für das mTAN Verfahren. Hier gilt jedoch die Empfehlung, ein eigenes Handy ohne Internetzugang oder Verbindung zum PC zu nutzen. Hierfür eigenen sich besonders einfache nicht-Smartphone-Geräte in Kombination mit einer Pre-Paid-Karte.

Fazit

Leider preisen die Banken nach wie vor die HBCI-Verfahren an. Diese wecken beim Kunden eine falsche Sicherheit und können fatale Schäden zur Folge haben. Meine klare Empfehlung geht definitiv in Richtung der Sm@rt-TAN sowie dem mobile-TAN-Verfahren. Im Ernstfall kann der Benutzer durch die ihm gebotene Kontrollmöglichkeiten Schäden abwenden.

Was ist zu tun?

Zunächst sollte man das aktuell eingesetzte Verfahren identifizieren. Anhand der hier vermittelten Informationen kann das Verfahren nun kritisch hinterfragt werden. Sollte man eine Änderung des Verfahrens wünschen, reicht in der Regel ein Anruf bei der jeweiligen Bank.

Hinweis: Es gibt tatsächlich Banken die nach wie vor mit TAN-Listen arbeiten bzw. als Alternative(n) nur unsichere Verfahren anbieten. Eine solche Tatsache sollte die Frage aufwerfen, ob man dieser Bank auch weiterhin sein Vertrauen schenken möchte oder, ob man sich nicht mal nach einer kompetenten, zukunftssicheren Alternative umsehen sollte!