Gewiss haben Sie in jüngster Zeit schon mehr als eine E-Mail bekommen, in der Sie ein Unternehmen über die EU-Datenschutz-Grundverordnung (DSGVO) informiert, die am 25. Mai in Kraft tritt. Oft geht es in diesen Mails einfach nur darum, ob man einen früher mal bestellten Newsletter weiterhin beziehen möchte. Teilweise wird man darum gebeten, in die Nutzung der eigenen Daten einzuwilligen. Da ist Vorsicht angesagt: "Auf diesen Zug springen aktuell auch Betrüger auf - der Datenklau per E-Mail oder SMS unter dem Stichwort DSGVO hat Hochkonjunktur", warnt der Bundesverband deutscher Banken. "Ein falscher Klick, und eine Schadsoftware installiert sich auf Ihrem PC oder Smartphone, um nach sensiblen Daten fischen zu können."

Phishing nennt sich dieser seit Langem bekannte Abzockertrick, der in immer wieder neuen Gewändern daherkommt - und derzeit auf der DSGVO-Welle schwimmt. Das Abfischen von Passwörtern durch Schadsoftware gilt als die Hauptursache, wenn Kontozugangsdaten von Onlinebanking-Kunden in falsche Hände geraten und es infolgedessen zu Schäden kommt. Angesichts von inzwischen gut 62 Millionen online geführten Girokonten in Deutschland hoffen die Abzocker auf ein lohnendes Geschäft. Von den Internetnutzern erledigen inzwischen sogar mehr als drei Viertel ihre Bankgeschäfte online, wie aktuelle Zahlen des IT-Industrieverbands Bitkom zeigen.

Doch es gibt immer noch genügend Deutsche, die dem Ganzen nicht trauen. Die Skepsis hat ihre Berechtigung, hat doch nach Untersuchungen von Bitkom zuletzt jeder zweite deutsche Internetnutzer (49 Prozent) 2016/17 schon negative Erfahrungen mit Cyberkriminalität gemacht. Mit Abstand das häufigste Delikt ist die Infizierung des Computers mit Schadprogrammen wie Viren. 43 Prozent der Internetnutzer wurden laut der Studie Opfer eines solchen Angriffs.

Auf Seite 2: Mit Schadsoftware spionieren





Mit Schadsoftware spionieren



In den bisher bekannten Fällen kamen die Onlinebanking-Abzocker stets nur dann zu Erfolgen, wenn sie sich zunächst Zugriff zum Computer des späteren Opfers verschafft hatten und auf diese Weise die Zugangsdaten fürs Onlinebanking ausspionieren konnten. Seien Sie also derzeit besonders misstrauisch, wenn Sie eine Mail vermeintlich von Ihrer Bank bekommen, in der Sie aufgefordert werden, viele Ihrer Daten preiszugeben oder auf einen merkwürdigen DSGVO-Einwilligungslink zu klicken, warnt der Bankenverband.

Gut möglich, dass Sie auch per Telefon kontaktiert werden und manipuliert werden sollen zu dem Zweck, dass Sie Ihre Daten offenbaren. Die Verbraucherzentrale Hessen warnt vor vermeintlich von Ebay, Amazon oder Paypal stammenden Phishing-Mails, die das gleiche böse Ziel verfolgen. "In einigen Fällen werden die Empfänger der Mails sogar dazu aufgefordert, ihre Ausweise einzuscannen und dem Absender zu schicken." Früher konnte man solche Mails noch an schlechtem Deutsch erkennen, aber die Abzocker haben auch in dieser Hinsicht dazugelernt.

Auf Seite 3: Keine Abzocke ohne gültige TAN





Keine Abzocke ohne gültige TAN



Doch ohne eine gültige TAN in die Finger zu bekommen, können die Onlinekriminellen noch kein Geld in dunkle Kanäle überweisen. Daher kommt der Sicherheit der verwendeten TAN-Verfahren zur Freigabe von Überweisungen eine besondere Bedeutung zu. Die durchnummerierten iTAN-Listen auf Papier gelten zwar als bequem, aber schon lange nicht mehr als sicher. Interessanterweise ist die iTAN aber immer noch bei vielen Direktbanken und Onlinebrokern im Einsatz; Sparkassen und Genossenschaftsbanken dagegen setzen schon seit Längerem nur noch auf elektronische Verfahren. Das zeigt eine große aktuelle BÖRSE-ONLINE-Erhebung (siehe Übersichtstabelle).



Doch auch die TAN per SMS aufs Handy, die sogenannte mTAN, sollte nach Meinung von Sicherheitsexperten nicht mehr unbedingt verwendet werden. Als vertrauensbildende Maßnahme bieten einige Banken bei Verwendung dieser Verfahren aber auch noch eine Online--Sicherheitsgarantie an, die den Kunden im Fall des Falles schützt. Bei reinen Onlinebrokern, die keine vollwertigen Zahlungsverkehrskonten anbieten, sind überdies Überweisungen aus Sicherheitsgründen häufig nur auf ein festgelegtes Referenzkonto möglich.

"Wenn es ein sicheres Verfahren gibt, das nicht zu umständlich ist, dann sollte man es nutzen", rät allerdings Josef Reitberger, Chefredakteur des IT-Magazins "Chip". Sein persönliches Sicherheitsranking bei den gegenwärtigen TAN-Verfahren (siehe Kasten auf dieser Seite) lautet daher wie folgt: Am sichersten sind das Chip-TAN-Verfahren mit EC-Karte sowie das stationäre HBCI mit Kartenleser. "Bei diesen Geräten gibt es keine Schnittstelle, über die Malware aufgespielt werden kann, anders als beim Smartphone", erklärt Reitberger. Die Verschlüsselung über die EC-Karte gilt als besonders sicher. Dann folgt das Photo-TAN-Verfahren - und erst danach das gängige mTAN-Verfahren.

Die Banken setzen gerade beim Smartphone-Banking auch auf das Push-TAN-Verfahren. Experten bewerten zwar kritisch, dass Banking und TAN-Erzeugung dabei auf demselben Gerät erfolgen, auch wenn es eine künstliche Kanaltrennung gibt, da üblicherweise verschiedene Apps zum Einsatz kommen. Allerdings ist laut Experten davon auszugehen, dass die Banken bei eigenen Apps eine Vielzahl von Informationen erheben können, etwa das Tippverhalten oder den Haltewinkel des Handys, sodass sie rasch auswerten könnten, ob jetzt gerade der typische Nutzer eine Überweisung tätigt oder nicht. Bei Nutzung des Push-TAN-Verfahrens mit separatem PC sollte es sehr sicher sein.

Spätestens 2019 wird es bei den TAN-Verfahren eine Zäsur geben. Auslöser dafür ist die Zweite EU-Zahlungsdiensterichtlinie PSD II (siehe BÖRSE ONLINE 20/2018). "PSD II bedeutet das Ende der iTAN im Zahlungsverkehr", sagt Marten Ahrens, Senior Produktmanager Banking der Comdirect. Künftig muss für mehr Sicherheit bei Überweisungen der konkrete Vorgang inklusive Überweisungsbetrag in die TAN eincodiert werden - diese sogenannte dynamische Verlinkung wird zur Pflicht. Eine iTAN kann das nicht leisten. Mehr dazu lesen Sie nächstes Wochenende.

Auf Seite 4: So funktionieren die gängigsten TAN-Verfahren





So funktionieren die gängigsten TAN-Verfahren



mTAN-Verfahren: Der Bankkunde erhält die für die Freigabe einer Transaktion erforderliche TAN (Transaktionsnummer) als SMS aufs Handy geschickt, das dafür vorher bei der Bank registriert wurde. Zumeist ist es nicht zulässig, dass die SMS auf demselben Gerät eingeht, das fürs Banking genutzt wird. Wichtige Merkmale der Überweisung werden in die nur kurze Zeit gültige TAN eincodiert. Trotzdem sollte der Kunde die Daten genau prüfen, bevor er die mTAN am Rechner zur Auftragsbestätigung eintippt. Per SMS verschickte mTAN dürfen dann etwas kosten, wenn der Kunde die TAN auch genutzt hat, so der Bundesgerichthof (Az.: XI ZR 260/15 vom 25. Juli 2017). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät allerdings, "auf den Einsatz von mTAN-Verfahren zu verzichten".

Photo-TAN-Verfahren: Es gibt das System in zwei Varianten - mit separatem Lesegerät (meist kostenpflichtig) oder appbasiert auf dem Handy. Zum Überweisen loggt man sich ins Onlinebanking auf dem Rechner ein und startet die App. Dann wird für die Freigabe eine Grafik am Computer angezeigt. Diese wird mit dem Mobiltelefon gescannt, der Nutzer erhält dort eine TAN angezeigt. Diese wiederum tippt man dann in den Rechner ein. Sicherheitsforschern der Uni Erlangen-Nürnberg gelang es zwar mit viel Aufwand, das Verfahren zu knacken, allerdings hatten sie zuvor Schadsoftware auf das Handy aufgespielt.

Push-TAN-Verfahren: Entwickelt wurde es fürs Banking mit dem Smartphone. Bei diesem Verfahren wird die Transaktion technisch in zwei Kanäle getrennt: einen für die Auftragseingabe über die Banking-App und einen zweiten für den Empfang der TAN in der PushTAN-App. Vorkehrungen wie Passwortschutz und kryptografische Schlüssel sollen das Verfahren sicher machen. Nach Login und Auftragseingabe, egal, ob mobil oder am PC, wechselt der Kunde zur Push-TAN-App, gibt sein Passwort ein und checkt die Auftragsdaten. Anschließend erhält er die TAN, die sich per Klick in die Banking-App oder manuell in das Onlinebanking-Formular auf dem Rechner eingeben lässt.

Chip-TAN-Verfahren: Ebenfalls fürs Onlinebanking am stationären Rechner wie mobil einsetzbar. Der Kunde erzeugt mithilfe seiner Girocard und mit einem TAN-Generator eine TAN. Nach Auftragseingabe am Monitor öffnet sich ein Fenster mit einer Grafik. Der Kunde steckt nun seine Girocard in den Chip-TAN-Generator und hält das Gerät vor die Grafik. Der TAN-Generator zeigt ihm noch einmal die wichtigsten Daten aus dem Auftrag an. Passt alles, bestätigt der Kunde das und erhält die frisch erzeugte TAN, mit der er den Auftrag freigibt. Diese Hardwareverschlüsselung mithilfe der Karte gilt als nicht knackbar und sehr sicher.

HBCI-Verfahren mit Chipkarte: Eine Methode für Onlinebanking-Nutzer, die grundsätzlich vom heimischen PC aus überweisen und gerne auch auf die Dienste spezieller Bankingsoftware zurückgreifen. Man benötigt dafür eine personalisierte Chipkarte und einen Kartenleser. Dieses Verfahren gilt als besonders sicher, aber wenig verbreitet.