Homebanking: Wie es funktioniert und ob es wirklich sicher ist

von Brigitte Watermann, €uro am Sonntag

Den Start der EU-Datenschutz- Grundverordnung (DSGVO) zum 25. Mai sollen die Bürger der EU eigentlich als etwas Gutes in Erinnerung behalten. Immerhin werden ihre Daten nun besser geschützt. Doch zwischen die vielen Mails von Firmen, welche die Bürger auffordern, die weitere Verwendung ihrer ­Daten ausdrücklich zu erlauben, schleichen sich auch welche von Onlinekriminellen ein. Diese haben es insbesondere auf die Bankkonten der Adressaten abgesehen. Also stellt sich einmal mehr die Frage, wie sicher Onlinebanking überhaupt ist.

Das Abfischen von Passwörtern durch Schadsoftware gilt als Hauptursache, wenn Kontozugangsdaten von Onlinebankingkunden in falsche Hände geraten und es infolgedessen zu Schäden kommt. Angesichts von inzwischen gut 62 Millionen online geführten Girokonten in Deutschland hoffen die Abzocker auf ein lohnendes Geschäft.

Von den Internetnutzern erledigen inzwischen sogar mehr als drei Viertel ihre Bankgeschäfte online, wie Zahlen des IT-Industrieverbands Bitkom zeigen. Andererseits sind viele Bürger auch skeptisch, was die Sicherheit des Onlinebanking anbetrifft. Laut Bitkom hat jeder zweite deutsche Internetnutzer (49 Prozent) 2016/17 schon negative ­Erfahrungen mit Cyberkriminalität ­gemacht.

Sicherheitsrisiko TAN per SMS?

Mit Blick auf die vielen Benachrichtigungen zur DSGVO warnt die Verbraucherzentrale Hessen nun vor vermeintlich von Ebay, Amazon oder Paypal stammenden Phishing-Mails: "In einigen Fällen werden die Empfänger der Mails sogar dazu aufgefordert, ihre Ausweise einzuscannen und dem Absender zu schicken."

Doch ohne gültige Transaktionsnummer (TAN) in den Händen können die Onlinekriminellen noch kein Geld in dunkle Kanäle überweisen. Daher kommt der Sicherheit der verwendeten TAN-Verfahren zur Freigabe von Überweisungen große Bedeutung zu.

Die durchnummerierten iTAN-Listen auf Papier, die mittlerweile etwas antiquiert daherkommen, gelten zwar als bequem, aber schon lange nicht mehr als sicher. Bei vielen Direktbanken und Onlinebrokern, die gemeinhin kein Interesse daran haben, als antiquiert zu gelten, ist die iTAN dennoch unver­ändert im Einsatz. Sparkassen und Genossenschaftsbanken dagegen setzen schon seit Längerem nur noch auf elektronische Verfahren. Das zeigt die große Erhebung von €uro am Sonntag (siehe Übersichtstabelle unten).

Doch auch die TAN per SMS aufs Handy, die sogenannte mTAN, sollte nach Meinung von Sicherheitsexperten nicht mehr unbedingt verwendet werden. Einige Banken bieten ihren Kunden bei Verwendung dieses Verfahrens eigens eine Onlinesicherheitsgarantie an, damit die mTAN akzeptiert wird.

"Wenn es ein sicheres Verfahren gibt, das nicht zu umständlich ist, dann sollte man es nutzen", rät allerdings Josef Reitberger, Chefredakteur des IT-Magazins "Chip". Sein persönliches Sicherheitsranking bei den gegenwärtigen TAN-­Verfahren (siehe Kasten unten) lautet daher folgendermaßen: Am sichersten sind das Chip-TAN-Verfahren mit EC-Karte sowie das stationäre HBCI mit Kartenleser. "Bei diesen Geräten gibt es keine Schnittstelle, über die Malware aufgespielt werden kann, anders als beim Smartphone", erklärt Reitberger. Die Verschlüsselung über die EC-Karte gilt als besonders sicher. Dann folgt das Photo-TAN-Verfahren - und erst danach das mTAN-Verfahren.

Die Banken setzen gerade beim Smartphonebanking auch auf das ­pushTAN-Verfahren. Experten bewerten zwar kritisch, dass Banking und TAN-Erzeugung dabei auf demselben Gerät erfolgen. Allerdings sei davon auszugehen, dass die Banken bei eigenen Apps eine Vielzahl von Informationen erheben können, etwa das Tippverhalten oder den Haltewinkel des Handys, sodass sie rasch auswerten könnten, ob gerade der typische Nutzer eine Überweisung tätigt oder nicht. Bei Nutzung mit separatem PC sollte das Push-TAN- Verfahren sehr sicher sein.

Spätestens 2019 wird es bei den TAN-Verfahren eine Zäsur geben. Auslöser dafür ist die Zweite EU-Zahlungsdiensterichtlinie PSD II. "Sie bedeutet das Ende der iTAN im Zahlungsverkehr", sagt Marten Ahrens, Senior-Produktmanager Banking der Comdirect. In Zukunft muss - für mehr Sicherheit bei Überweisungen - der konkrete Vorgang inklusive Überweisungsbetrag in die TAN eincodiert werden. Diese sogenannte dynamische Verlinkung wird zur Pflicht.

"Künftig fließt in die Berechnung von TANs nicht nur die Zielkontonummer mit ein, sondern auch der konkrete Betrag", erläutert Terry Johnson, IT-­Sicherheitsexperte der Consorsbank. "Bei den Sicherheitsverfahren dürfte es branchenweit Richtung Photo-TAN, ­Security App und eTAN gehen", ist ­Johnson überzeugt. "Auch die SMS-TAN könnte mittelfristig aussterben, zumal sie für die Banken zu teuer ist."

Dass reine Onlinebroker am iTAN-­Verfahren festhalten dürfen, hat einen simplen Grund: "Konten, die keine vollwertigen Zahlungskonten sind, etwa ­Depotkonten, sind von der PSD II nicht berührt", heißt es bei S Broker, wo das iTAN-Verfahren genutzt wird. Auch Broker Flatex hält an der iTAN-Card fest.

Übrigens müssen TANs künftig nicht nur bei der Transaktionsfreigabe, sondern in regelmäßigen Abständen auch beim Login ins Banking eingegeben werden - mindestens alle 90 Tage schreibt der Gesetzgeber vor.

500 Euro gehen auch ohne TAN

Bei Überweisungen innerhalb bestimmter Grenzen können Verbraucher dagegen künftig ganz ohne Eingabe einer TAN auskommen. "Die TAN-Freiheit bei Überweisungen wird durch PSD II deutlich ausgeweitet - erlaubt sind dann TAN-freie Überweisungen bis 500 Euro", sagt Ahrens. Doch das ist an Voraussetzungen geknüpft: Die Banken müssen in der Lage sein, ihre Risiken in Echtzeit zu bewerten. Außerdem müssen sie eine Schadensquote unterhalb eines gewissen Referenzwerts vorweisen. Auch Überweisungen an vertrauenswürdige Empfänger aus einer Kontaktliste werden TAN-frei möglich sein.

All diese Maßnahmen sollen für mehr Sicherheit sorgen, aber auch die Bequemlichkeit erhöhen. "Die deutschen Banken erwarten, dass die Zahl der Schadensfälle durch die neuen Vorschriften weiter sinken wird", sagt Consorsbank-Experte Johnson. Dennoch sollten Verbraucher auch weiterhin auf der Hut sein. Denn: Abzocker kommen auf immer neue Ideen.

So funktionieren die gängigsten TAN-Verfahren

mTAN-Verfahren: Der Bankkunde erhält die für die Freigabe einer Transaktion erforderliche TAN (Transaktionsnummer) als SMS aufs Handy geschickt, das dafür vorher bei der Bank registriert wurde. Zumeist ist es nicht zulässig, dass die SMS auf demselben Gerät eingeht, das fürs Banking genutzt wird. Wichtige Merkmale der Überweisung werden in die nur kurze Zeit gültige TAN eincodiert. Trotzdem sollte der Kunde die Daten genau prüfen, bevor er die mTAN am Rechner zur Auftragsbestätigung eintippt. Per SMS verschickte mTAN dürfen dann etwas kosten, wenn der Kunde die TAN auch genutzt hat, so der Bundesgerichtshof (Az. XI ZR 260/15 vom 25. Juli 2017). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät ­allerdings, "auf den Einsatz von mTAN-Verfahren zu verzichten".

Photo-TAN-Verfahren: Es gibt das System in zwei Varianten: mit separatem ­Lesegerät (in der Regel kostenpflichtig) oder appbasiert auf dem Mobiltelefon. Zum Überweisen loggt man sich ins Onlinebanking auf dem Rechner ein und startet die App. Dann wird für die Freigabe eine Grafik am Computer angezeigt. Diese wird mit dem Mobiltelefon ­gescannt, der Nutzer erhält dort eine TAN an­gezeigt. Diese wiederum tippt man dann in den Rechner ein. Sicher­heitsforschern der Universität Erlangen-Nürnberg gelang es zwar mit viel Aufwand, das Verfahren zu knacken, allerdings hatten die Franken zuvor Schadsoftware auf das Handy aufgespielt.

Push-TAN-Verfahren: Entwickelt wurde das Push-TAN-Verfahren fürs Banking mit dem Smartphone. Bei diesem Verfahren wird die Transaktion technisch in zwei Kanäle getrennt: einen für die Auftragseingabe über die Banking-App und einen zweiten für den Empfang der TAN in der PushTAN-App. Vorkehrungen wie Passwortschutz und kryptografische Schlüssel ­sollen das Verfahren ­sicher machen. Nach Login und Auftragseingabe, egal ob mobil oder am PC, wechselt der Kunde zur Push-TAN-App, gibt sein Passwort ein und checkt die Auftrags­daten. Anschließend erhält er die TAN, die sich per Klick in die Banking-App oder manuell in das ­Onlinebankingformular auf dem Rechner eingeben lässt.

Chip-TAN-Verfahren: Ebenfalls fürs ­Onlinebanking am stationären Rechner wie mobil einsetzbar. Der Kunde ­erzeugt mithilfe seiner Girocard und mit einem TAN-­Generator eine TAN. Nach Auftragseingabe am Monitor öffnet sich ein Fenster mit einer Grafik. Der Kunde steckt nun seine Girocard in den Chip-TAN-Generator und hält das Gerät vor die Grafik. Der TAN-Generator zeigt ihm noch einmal die wichtigsten Daten aus dem Auftrag an. Passt alles, bestätigt der Kunde das und erhält die frisch erzeugte TAN, mit der er den Auftrag freigibt. Diese Hardwareverschlüsselung mithilfe der Karte gilt als nicht knackbar und sehr sicher.

HBCI-Verfahren mit Chipkarte: Eine Methode für ­Onlinebankingnutzer, die grundsätzlich vom heimischen PC aus überweisen und gern auch auf die Dienste spezieller Banking­software zurückgreifen. Man benötigt dafür eine personalisierte Chipkarte und einen Kartenleser. Dieses Verfahren gilt als besonders sicher, aber wenig verbreitet.

Im Überblick: Diese Freigabe-Sicherheitsverfahren bieten Banken und Brker (pdf)

Anmerkungen aus der Tabelle
1) nur fürs Login auf die Plattform; keine gesonderte TAN erforderlich; 2) kostenlose Online-Sicherheitsgarantie: Die Bank ersetzt unter bestimmten Voraussetzungen Beträge, die durch Missbrauch der Zugangsdaten verfügt wurden (Targobank seit 2007); 3) auch als Session-Passwort verwendbar; 4) mit zusätzlichen Schutzmechanismen BEN und Wasserzeichen; 5) nur noch für einige nicht umgestellte Bestandskunden; 6) Sicherheitsgarantie: Für Nutzer von photoTAN und mobile TAN erstattet die Commerzbank im Schadensfall die komplette Schadenssumme. 7) photoTAN: Wird kostenlos angeboten als photoTAN App mit Scanfunktion, photoTAN App2App und optional per photoTAN-Lesegerät: einmalig 29,90 €; 8) weitere Sicherheitsverfahren: Commerzbank: HBCI/FinTS; HVB und DKB: HBCI mit Chipkarte; Deutsche Bank/Maxblue: HBCI mit Chipkarte, HBCI Plus (mit photoTAN, mobileTAN und iTAN); Postbank für Onlinebanking: Postbank BestSign mit SealOne-USB-Gerät oder Bluetooth und Postbank BestSign mobil mit Fingerprint oder Passwort, HBCI mit mobileTAN, chipTAN comfort und Postbank BestSign; 1822direkt: HBCI-Banking PIN/TAN, HBCI mit Chipkarte; 9) Kunde gibt beim Login Benutzerdaten ein, dann wird zusätzlicher Code abgefragt. Diesen erhält der Kunde über eine sogenannte Authenticator App (etwa Google ­Authenticator) auf dem Smartphone. Passwortcode wird etwa alle 30 Sekunden in der App aktualisiert; 10) photoTAN: Smartphonevariante ist kostenlos, per Lesegerät: einmalig 14,90 €; 11) 9 Cent für Versand einer für einen Auftrag erfolgreich verwendeten mobileTAN per SMS; 12) für iPad-App auch mTAN; 13) ehemals pushTAN; 14) iTANCard im Scheckkartenformat; mittels verschiedener Zeichenkombinationen wird auftragsbezogen die TAN zusammengesetzt; 15) auch als Session-Passwort verwendbar; 16) nur bei Kanaltrennung mittels separatem mobilen Gerät; SMS kostenfrei; 17) Login über PIN plus DiBa-Key; 18) Banking to go App: https://www.ing-diba.de/kundenservice/mobile-apps/banking-to-go/; 19) iTAN bei Banking & Brokerage App/­mobilePIN oder per Fingerabdruck in Banking to go App; 20) zusätzlich Passworteingabe mit Krypto-Keypad und optionale Absicherung des Login mittels SMS-Code; keine Drittpartei-Überweisung möglich; Änderung Referenzkonto nur im Original mit Unterschrift per Post; kostenlose Zusatzsoftware Trusteer Rapport zur Abwehr von Trojanern; SMS-Schutz zu Absicherung des Logins; 21) für Online-Brokerage: iTAN, mobileTAN, chipTAN comfort; ab 2019 nur noch ein Frontend, Abschaltung iTAN im Brokerage zu 2019; 22) Angabe gilt für Mobile-Brokerage; Mobile-Banking mit Postbank BestSign mobil mit Fingerabdruck oder Passwort; 23) Brokerage: Login Handelsplattform MX-Pro via Username plus Passwort, keine TAN für Transaktionen benötigt; Onlinebanking (kontoführende Bank: HSBC Trinkaus): Login via Username plus PIN plus Chip-TAN, Freigaben via Chip-TAN; 24) Brokerage: Login mobile App X2GO via Username plus Passwort, keine TAN für Transaktionen benötigt; 25) Gelder können nur auf ein einziges hinterlegtes Referenzkonto transferiert werden; bei in Kooperation mit Sparkassen angebotenen Depots nutzen Kunden die Sicherungsmittel ihrer jeweiligen Sparkasse; 26) seit 2006: kostenloser Konto-SMS-Service: Auf Wunsch werden die Kunden per E-Mail und/oder SMS über Änderungen auf dem Giro- und Kreditkartenkonto informiert; 27) eTAN+ mit TAN-Generator, Brokerage über Partner DAB BNP Paribas: Traderpasswort/Zugang über Zugangsnummer plus PIN plus Identifier; 28) Kosten für TAN-Generator von 10 bis 15 €; 29) Kosten für Sicherungsverfahren institutsspezifisch; 30) Gelder können nur auf ein einziges hinterlegtes Referenzkonto transferiert werden, Onlinebanking per PC: Eingabe Passwort über Virtual PIN-Pad (verhindert Ausspähen von Zugangsdaten mittels Key-Logger), Onlinebanking mobil via App: frei wählbares Passwort zum Öffnen der Banking-App, weitere Sicherheitsfeatures; 31) mobile TAN-App mit Push-Message-basierten Sicherungsverfahren; 32) Das Verfahren iTAN++ kombiniert das Verfahren iTAN+ mit einer BEN (Bestätigungsnummer), die als Wasserzeichen auf der TAN-Eingabeseite als Sicherheitsmerkmal ­angezeigt wird; 33) zweites mobiles Gerät für QRTAN+ erforderlich; 34) Smartphone-Girokonto Mobile Only mit integriertem mobilen TAN-Verfahren;Quelle: Bankenangaben/eigene Recherchen; Stand: Mai 2018




______________________