Onlinebanking? Ja, aber mit mulmigem Gefühl. So könnte man die Einstellung der Deutschen treffend zusammenfassen: Zwar werden inzwischen gut 60 Millionen von knapp 100 Millionen Girokonten in Deutschland online geführt, Tendenz weiter steigend. Doch noch immer hegen viele Deutsche Sicherheitsbedenken: Während die Verbreitung von Smartphones, Tablets und Co hierzulande auf ähnlichem Niveau liegt wie im europäischen Durchschnitt, nutzen die Deutschen die Geräte deutlich seltener, um Bankgeschäfte zu erledigen, so eine Studie der ING-DiBa. Vielen fehlt schlicht das Vertrauen in die Sicherheit.
Kein Wunder, wird doch das Vertrauen in regelmäßigen Abständen auf die Probe gestellt. Erst kürzlich, im Mai 2017, sorgte die massenhaft verbreitete Wanna-Cry-Schadsoftware, die befallene Computer sperrte, für Angst und Schrecken.
Alte Masche, großer Schaden
Auch das mTAN-Verfahren, bei dem die Transaktionsnummer TAN per SMS aufs Handy kommt, wurde unlängst wieder einmal überlistet: Wie die "Süddeutsche Zeitung" berichtete, war es Kriminellen gelungen, eine Schwachstelle im Telekommunikationsnetz auszunutzen, um Geld von Bankkunden in dunkle Kanäle umzuleiten. Das ging so: Im ersten Schritt spionierten die Täter Kontonummer und Zugangscodes sowie Mobilfunknummer ihrer Opfer aus. Dafür schickten sie Mails an ihre Opfer und verleiteten diese dazu, ihre sensiblen Daten preiszugeben - auf gefälschten Webseiten, die ähnlich aussehen wie die original Bankwebseiten. So weit, so bekannt von früheren Angriffen.
"Ihre Bank oder Sparkasse wird Sie niemals nach vertraulichen Informationen wie Kontodaten oder persönliche Daten per E-Mail oder Telefon fragen", wird die Deutsche Kreditwirtschaft nicht müde zu warnen. Leider fallen immer noch Unbedarfte darauf rein. Mit diesen Informationen können die Onlinetäter zwar das Konto des potenziellen Opfers anschauen, aber noch kein Geld abzweigen. Dafür brauchen sie den Zugang zum Handy, über das mittels mTAN eine Transaktion freigegeben wird. Dafür nutzten die Hacker offenbar eine Schwachstelle in einem internen Netzwerk der Telekomanbieter aus, über das diese sich weltweit austauschen und etwa Roaming, also das Telefonieren im ausländischen Netz, ermöglichen. Kriminelle konnten sich offensichtlich Zugang zu diesem Netzwerk verschaffen und dadurch Rufnummernumleitungen einrichten, ohne dass Kunden etwas davon mitbekamen. Den Betrügern gelang es dadurch Anfang 2017 vereinzelt, sich ins Konto ihrer Opfer einzuloggen, die SMS mit der TAN für die Freigabe einer Überweisung aufs Handy unbemerkt weiterzuleiten und dadurch Überweisungen in dunkle Kanäle anzustoßen. Inzwischen sollen deutsche Kunden laut "Süddeutscher Zeitung" vor solchen Angriffen geschützt sein.
Auf Seite 2: Die sichersten Verfahren
Die sichersten Verfahren
Computerexperten wie Josef Reitberger, Chefredakteur des IT-Magazins "Chip", sehen indes das mTAN-Verfahren schon seit Längerem kritisch. "Wenn es ein sicheres Verfahren gibt, das nicht zu umständlich ist, dann sollte man es nutzen", empfiehlt er. Sein persönliches Sicherheitsranking bei den gegenwärtigen Onlinesicherungsverfahren (siehe Seite 3) lautet daher wie folgt: Am sichersten ist das Chip-TAN-Verfahren mit EC-Karte sowie HBCI mit Kartenleser. "Bei diesen Geräten gibt es keine Schnittstelle, über die Schadsoftware aufgespielt werden kann, anders als beim Smartphone, das mit dem Internet verbunden ist", so Reitberger. Dann folgt das photoTAN-Verfahren - und erst danach das gängige mTAN-Verfahren.
"Wir empfehlen bereits seit Längerem, auf das mTAN-Verfahren zu verzichten und stattdessen etwa Verfahren mit TAN-Generatoren zu nutzen", so Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Deutsche Kreditwirtschaft sieht das mTAN-Verfahren dagegen noch immer als "technisch sicheres Legitimationsverfahren". Skeptisch ist Reitberger auch gegenüber dem Push-TAN-Verfahren, wenn die TAN auf dasselbe Gerät, auf dem auch die Onlinebanking-Seite offen ist, geschickt wird. Kommt die Transaktionsnummer auf einen anderen, separaten Rechner, dürfte das Verfahren recht sicher sein. Klar ist aber auch, dass es wichtig ist, seinen Computer, aber auch das fürs Banking genutzte Smartphone mit Antivirenprogrammen besonders zu sichern.
Ein Blick auf die Sicherheitsverfahren, die Banken in der Praxis anbieten, zeigt Überraschendes: So nutzen einige Institute zum Teil sogar noch das sicherheits-technisch total veraltete iTAN-Verfahren mit dem TAN-Block aus Papier. Comdirect, Targobank, DKB oder ING-DiBa bieten es an - häufig allerdings verbunden mit einer Onlinesicherheitsgarantie für die Kunden, die sie von möglichen Schäden komplett freistellt (siehe Überblickstabelle unten).
Auch reine Onlinebroker, die keine Girokonten im Angebot haben, nutzen es noch - manchmal verbunden mit zusätzlichen Schutzmechanismen, etwa, dass Überweisungen nur auf ein bestimmtes Referenzkonto erfolgen dürfen. Bei Sparkassen, aber auch Volks- und Raiffeisenbanken hat man früher die Reißleine gezogen und in der Breite auf modernere Verfahren gesetzt. Das empfohlene Chip-TAN-Verfahren haben viele Institute gar nicht im Angebot. Bedauerlich für Kunden: "Verbraucher können nur die Sicherungsverfahren wählen, die von der eigenen Bank auch angeboten werden", sagt Frank-Christian Pauli, Finanzexperte vom Verbraucherzentrale Bundesverband (VZBV). "Wenn nicht Überzeugendes dabei ist, bleibt nur die Möglichkeit, die Bank zu wechseln."
Doch die Tage der iTAN sind endgültig gezählt: Spätestens im Lauf von 2018 muss das Verfahren hierzulande abgeschafft werden, da die EU-Zahlungsdiensterichtlinie höhere Sicherheitsanforderungen bei Onlinezahlungen vorsieht. Gleichzeitig sinkt auch das Haftungsrisiko von Kunden im Falle von unbefugten Verfügungen im Onlinebanking, aber auch bei Missbrauch der eigenen EC-Karten oder anderer gängiger Bezahlverfahren. "Im Normalfall bleibt man künftig maximal auf einem Schaden von 50 Euro sitzen", erläutert Pauli. Derzeit sind es noch maximal 150 Euro. Künftig muss das unbefugt abgebuchte Geld auch schon bis zum nächsten Geschäftstag wieder auf dem Konto sein - alles vertrauensbildende Maßnahmen, um Kunden die Scheu davor zu nehmen, ihre Bankgeschäfte digital zu erledigen.
Auf Seite 2: So funktionieren die wichtigsten Onlinebanking-Verfahren
So funktionieren die wichtigsten Onlinebanking-Verfahren
mTAN-Verfahren : Der Bankkunde erhält die für die Transaktionsfreigabe nötige TAN als SMS auf sein Handy geschickt; die Nutzung der SMS-TAN bei gleichzeitigem Banking mit dem Smartphone ist in aller Regel nicht möglich. Kundenauftrag und TAN-Versand laufen also über zwei voneinander unabhängige Kommunikationskanäle. Wichtige Merkmale der Transaktion werden in die nur kurze Zeit gültige TAN eincodiert. Der Kunde kann und sollte die Daten aber genau prüfen. Dann tippt er die mTAN am Rechner zur Auftragsbestätigung ein. Wer Onlinebanking über sein Smartphone betreiben möchte, egal, ob über den Browser oder eine gesonderte App, muss andere TAN-Verfahren wählen. Denn andernfalls wäre die für die Sicherheit nötige Kanaltrennung nicht mehr gegeben. Vorsicht: Je nach Bank kann der Versand einer TAN per SMS kostenpflichtig sein.
Chip-TAN-Verfahren: Bei den deutschen Sparkassen inzwischen das am meisten genutzte Verfahren, das sowohl fürs Online-banking per PC als auch mobil eingesetzt werden kann. Der Clou liegt darin, dass der Kunde mithilfe seiner Girocard und mit dem TAN-Generator eine TAN erzeugt, die aus den Daten des konkreten Onlinebanking-Auftrags errechnet wird. Die TAN ist daher auch nur für kurze Zeit und nur für diesen Auftrag gültig. Wer Überweisungen tätigen möchte, loggt sich ins Onlinebanking ein und gibt die Auftragsdaten ein. Dann steckt er seine Bankkarte in den TAN-Generator und hält diesen vor den Computerbildschirm. Dort liest das Gerät aus einem blinkenden Codefenster die Auftragsdaten ab. Das geht schnell, anschließend zeigt das Gerät die Auftragsdetails, wie sie der Bank vorliegen, zur Kontrolle nochmals an. Stimmen die Daten mit der Originalrechnung überein, kann man mit der im ChipTAN-Generator angezeigten TAN den Auftrag im Onlinebanking freigeben.
HBCI-Verfahren mit Chipkarte: Kunden, die ihre Finanzen lieber auf ihrem heimischen PC mit einer speziellen Bankingsoftware verwalten wollen, sind mit dem HBCI-Verfahren mit Chipkarte gut beraten. Etliche Institute haben es im Angebot. Allerdings ist es kaum verbreitet. Bei diesem Verfahren erhält der Kunde von seiner Bank eine personalisierte Chipkarte und benötigt einen Chipkartenleser, den er an seinen Rechner anschließt. Hohen Schutz bieten Chipkartenleser der Klasse 3 mit einer Anzeige, in der die Transaktionsdaten bestätigt werden müssen. Außerdem braucht der Nutzer eine Bankingsoftware, die HBCI unterstützt. Das Verfahren gilt als besonders sicher, ist aber nicht für unterwegs geeignet.
Push-TAN-Verfahren: Mit diesem Verfahren können Kunden, die ihre Bankgeschäfte unterwegs erledigen wollen, jederzeit mobil die für das Online- oder Mobilebanking erforderliche TAN abrufen - ganz ohne ein zusätzliches Gerät, nur mit dem eigenen Handy. Bei diesem Verfahren wird das Smartphone technisch in zwei Kanäle getrennt: einen für die Auftragseingabe über die Banking-App, und einen zweiten für den Empfang der Push-TAN. Vorkehrungen wie Passwortschutz und kryptografische Schlüssel sollen die Sicherheit des Verfahrens gewährleisten. Nach Login und Auftragseingabe - mobil oder am PC - wechselt der Nutzer zur Push-TAN-App, gibt sein Passwort ein und checkt die Auftragsdaten. Anschließend erhält er die nur für diesen Auftrag gültige TAN, die sich mit einem Klick in die Banking-App oder per Hand in das Onlinebanking-Formular übertragen lässt.