Sicheres Online Banking

Wie sicher ist Online Banking?

Das Online-Banking ist außerordentlich beliebt; rund 75% aller deutschen Verbraucher besitzen lauf einer Umfrage des Hightech-Verbands Bitkom ein Onlinekonto. Insgesamt werden rund 45 Millionen Girokonten online geführt, und die so beliebten Tagesgeldkonten sind in der Regel nur in Verbindung mit Online-Banking erhältlich.

Doch das etwa 35% der Verbraucher beim Online-Banking Angst vor Betrügern haben und sich wegen dieser Angst rund ein Viertel aller Verbraucher gänzlich auf das Online-Banking verzichtet, ist durchaus begründet. Denn die Betrugsfälle stiegen bis zum Jahr 2011 (neuere Daten liegen noch nicht vor) stetig an, wenn auch in 2011 mit einem Zuwachs von „nur“ 20% nicht mehr so rasant wie in 2010.

Seinerzeit waren die gemeldeten Betrugsfälle gegenüber dem Vorjahr um 80% auf insgesamt 5.300 Fälle gestiegen. In 2011 waren laut BKA-Studie 6.420 Fälle gemeldet worden. Bei einer durchschnittlichen Schadenshöhe von rund 4.000 Euro belief sich der offizielle Gesamtschaden (Dunkelziffer unbekannt) auf 25,7 Millionen Euro.

An dieser Stelle müssten wir eigentlich abbrechen und eine allgemeine Warnung aussprechen. Doch das wäre definitiv falsch. Denn unabhängig davon, dass es inzwischen relativ sichere Systeme gibt, kann sich jeder Anwender durch einen vorsichtigen Umgang mit den Zugangsdaten und durch Beachtung einiger wichtiger Grundregeln vor Online-Betrügern schützen.

Verbesserte Verfahren zum Schutz der Kontodaten

Seit Einführung des Online-Bankings gilt das Sicherheitsverfahren durch PIN und TAN. Als PIN wird die persönliche Identifikationsnummer bezeichnet, die auch von girocards, Kreditkarten und Telefonbanking bekannt ist und den grundsätzlichen Zugang zum jeweiligen System ermöglicht.

Hinter der TAN verbirgt sich eine Transaktionsnummer, die jeweils nur für einen Vorgang gültig ist. Die Übermittlung der TAN ist im Laufe der Jahre immer sicherer geworden.

Die mit den ersten Online-Konten erhältlichen Listen mit zahlreichen TANs, von denen jede jeweils einmal verwendet werden konnte, hatte sich bald als nicht sicher herausgestellt. Zu groß war die Gefahr des Abgreifens von Nutzerdaten (Phishing).

  • Die Weiterentwicklung ist unter dem Namen iTAN bekannt und beschreibt ein indiziertes TAN-Verfahren, bei dem es zwar auch eine TAN-Liste gibt, aber jeweils eine bestimmte TAN aus dieser Liste erforderlich ist.
     
    Weitere Sicherheit wird dadurch erreicht, dass diese iTAN nur in einem zeitlich eng befristeten Zeitfenster verwendet werden kann. Doch Betrüger haben auch bei diesem System eine Chance, wenn sie in den Besitz mehrerer TANs aus der Liste gelangen.
  •  

  • Als sicher gilt heute das mTAN-Verfahren (mobiles TAN-Verfahren), das auf einen zweiten Kommunikationskanal zur Übermittlung der TAN basiert. Die zum Abschluss des Zahlungsauftrages erforderliche TAN wird dem Nutzer dabei per SMS auf sein Handy geschickt.
  •  

  • Die aktuellste Neuerung ist ein TAN aufs Smartphone, die TAN plus oder die TAN optic. Bei beiden Systemen ist ein Kartenleser erforderlich, über den nach Eingabe der Überweisungsdaten die Bank einen Überweisungscode zusammen mit den letzen sechs Ziffern des Empfängerkontos übermittelt.
     
    Bei der TAN optic erhält der Nutzer anstelle des Überweisungscodes einen Flickercode auf sein Smartphone. Darunter ist ein Code zu verstehen, der über sechs kleine Felder als Lichtsignal übertragen wird. Die Entschlüsselung des Flickercodes ist nur durch den Generator möglich. Da die TAN nach Überprüfung der Daten am Bildschirm des Generators berechnet werden kann, werden Betrugsversuche erkennbar.

Einen hohen Sicherheitsstandard verspricht auch das HBCI-Banking (Homebanking Computer Interface), das ohne TAN auskommt. Erforderlich für dieses System ist die Installation einer Bankensoftware auf dem eigenen PC. Darüber hinaus werden eine Chipkarte und ein Chipkartenleser benötigt. Die Chipkarte enthält eine digitale Signatur; der Anwender kann den Zahlungsauftrag durch den gespeicherten Signierschlüssel (elektronische Unterschrift) freigeben.

Sorgfältiger Umgang mit Zugangsdaten

Dennoch kann auch das modernste Verfahren keine Sicherheit garantieren, wenn der Anwender nicht bestimmte Grundregel beachtet:

Dazu gehört an erster Stelle die sorgfältige Aufbewahrung aller Zugangsdaten. Wer TAN-Listen verwendet, muss dafür Sorge tragen, dass diese Listen niemals in die Hände Dritter gelangen können.

  • Grundsätzlich dürfen Zugangs- und Transaktionsdaten nicht auf dem PC oder dem Smartphone gespeichert werden, soll möglichen Betrügern nicht Tür und Tor geöffnet werden.
  • Zusätzlicher Schutz kann durch immer wieder wechselnde Passwörter erreicht werden.
  • Zudem sollten die Bewegungen auf Online-Konten grundsätzlich regelmäßig überprüft werden; bei zweifelhaften Transaktionen ist sofort der Berater einzuschalten.
  • In Verbindung mit der Vereinbarung eines Tages-Limits kann der Schaden im Betrugsfall eingegrenzt werden.
  • Nach jeder Online-Sitzung ist eine Abmeldung über Log-out erforderlich, im Verdachtsfall sollte der Online-Zugang sofort gesperrt werden.
  • Zusätzlichen Schutz bietet die häufige Löschung des Zwischenspeichers des PCs (Cache).

Die größte Gefahr geht von Phishings-Mails oder den Man-in-the Middle aus. In Phishing-Mails fragen potenzielle Betrüger über Websites, die denen der Banken oft täuschend ähnlich sehen, nach der PIN, der TAN oder der Konto-Nummer.

Doch keine Bank würde ihre Kunden auffordern, diese sensiblen Daten per Mail zu versenden. Entsprechende Anfragen dürfen deshalb keinesfalls beantwortet werden.

Nur verschlüsselte Online-Seiten benutzen

Ein großes Risiko geht von dem „Man-in-the-Middle“ aus. Damit wird eine Methode beschrieben, bei dem sich der Angreifer unbemerkt in die Kommunikationsverbindung einklinkt. Durch die Umleitung der Datenpakete auf seinen Rechner ist der Betrüger von dem berechtigten Nutzer nicht zu unterscheiden und kann damit großen Schaden anrichten.

Bedingten Schutz vor einem solchen MITM-Angriff bieten SSL-verschlüsselte Websites. Ein Höchstmaß an Sicherheit kann durch validierte Zertifikate erreicht werden, die durch eine grüne Adressleiste gekennzeichnet sind.

  • Verschlüsselte Online-Seiten sind daran zu erkennen, dass die Adressen nicht mit „http://“ sondern mit „https://“ beginnen.
     
    Ein kleines Schloss weist auf die Zertifizierung der Seite hin. Sobald dieses Symbol angeklickt wird, erhält der Nutzer weitere Informationen zu dem Zertifikat und insbesondere die Information darüber, ob die Website echt ist.

Die Echtheit der Bankwebsite kann durch weitere Maßnahmen gewährleistet werden: So sollte bei jedem Web-Aufruf die komplette Bankadresse jeweils über die Tastatur eingegeben werden. Sobald beim Einloggen nach der TAN gefragt wird, ist der Prozess abzubrechen. Auch alle Seiten, die nicht mit einem Domain-Namen, sondern einer Nummer beginnen, sollten dringend gemieden werden.

Den eigenen Computer sichern

Viele Risiken können dadurch vermieden werden, dass sowohl der Internetzugang als auch der eigene Computer ausreichend abgesichert werden. Bei der WLAN-Verbindung ist darauf zu achten, dass der Standard WPA (Wired-Protected-Access 2) verwendet wird. Das System WEP (Wi-Fi Equivalut Privacy) gilt als veraltert. Zusätzlichen Schutz gewährt das Passwort, das aus mindestens 20 Zeichen bestehen sollte.

Auf jeden Rechner sollte zum Schutz vor Viren, Würmern und trojanischen Pferden ein Virenschutzprogramm installiert werden. Wie die Stiftung Warentest (Ausgabe April 2012) herausgefunden hat, muss es sich nicht in jedem Fall um ein kostenpflichtiges Programm handeln. Doch da die kostenlosen Virenschutzprogramme nur auf bekannte Angriffe reagieren, sollten Online-Bankkunden sie nur in Verbindung mit einer Verhaltenserkennungs-Software verwenden.

Wichtig ist, ein Virenschutzprogramm immer nur von einem bekannten Anbieter und direkt über dessen Website zu beziehen. Auch die Einrichtung einer Personal Firewall, die vor unerlaubten Zugriffen schützt, ist unverzichtbar. Darüber hinaus sollten die Sicherheitsupdates jeweils zeitnah installiert werden.

Aus den notwendigen Sicherungsvorkehrungen ergibt sich zwangsläufig, dass für Online-Transaktionen nur der heimische Computer verwendet werden soll. Internetcafés bieten sich zu diesem Zweck nicht an.

Fazit

Sofern beim Online-Banking die aktuell als sicher eingestuften Verfahren (HBCI, mTAN, SmartTAN) verwendet werden, kann es als technisch weitgehend sicher bezeichnet werden.

Das verbleibende Restrisiko kann durch einen verantwortlichen Umgang mit den Daten, aufmerksames Verhalten und den Schutz des eigenen PCs auf ein Minimum reduziert werden.

 
Erklärungen relevanter Begriffe & eine Übersicht häufig gestellter Fragen zum Tagesgeld finden Sie hier:

»» Tagesgeldkonten Lexikon
»» Tagesgeldkonten FAQ

« Zurück zur Tagesgeldkonten Übersicht