Internet: So schützen Sie sich beim Online-Banking

von Brigitte Watermann, Euro am Sonntag

Zwar werden inzwischen bereits gut 60 Millionen von insgesamt knapp 100 Millionen Girokonten in Deutschland online geführt, doch noch immer hegen viele Deutsche Sicherheitsbedenken.Und das offenbar zu Recht: Kriminellen Hackern ist es gelungen, Geld von einzelnen Bankkunden, die sich ihre Transaktionsnummer (TAN) per SMS aufs Handy schicken lassen, in dunkle Kanäle umzuleiten. Im ersten Schritt spionierten die Täter offenbar Kontonummer und Zugangscodes sowie Mobilfunknummer ihrer Opfer aus. Dann verschickten sie Phishing-Mails an ihre Opfer und verleiteten sie dazu, ihre Daten auf gefälschten Webseiten preiszugeben, die den Originalseiten der Bank ähnlich sind.

"Ihre Bank oder Sparkasse wird Sie niemals nach vertraulichen Informationen wie Kontodaten oder persönlichen Daten per E-Mail oder Telefon fragen", wird die Deutsche Kreditwirtschaft auch dieses Mal nicht müde zu warnen. Leider fallen offenbar immer noch Unbedarfte darauf rein. Mit diesen Infos können die Onlinetäter zwar das Konto des potenziellen Opfers anschauen, aber noch kein Geld abzweigen. Dafür brauchen sie den Zugang zum Handy, über das mit der sogenannten mTAN eine Transaktion freigegeben wird.

Hierbei nutzten die Hacker offenbar eine Schwachstelle der Telekomanbieter aus. Kriminelle konnten sich Zugang zu deren Netzwerk verschaffen und dadurch Rufnummern­umleitungen einrichten, ohne dass Kunden etwas davon mitbekamen. Den Betrügern gelang es dadurch, sich ins Konto ihrer Opfer einzuloggen, die SMS mit der TAN für die Freigabe einer Überweisung aufs Handy unbemerkt weiterzuleiten und so Überweisungen in ihre Tasche anzustoßen. Inzwischen sollen deutsche Kunden laut "Süddeutscher Zeitung" vor solchen Angriffen geschützt sein.

Sicherheitsexperten wie Josef Reitberger, Chefredakteur des IT-Magazins "Chip", sehen das mTAN-Verfahren schon seit Längerem kritisch. "Wenn es ein sicheres Verfahren gibt, das nicht zu umständlich ist, dann sollte man es nutzen", empfiehlt er. Seine Hitliste bei den TAN-Verfahren: Am sichersten ist das Chip- TAN-Verfahren mit EC-Karte sowie HBCI mit Kartenleser. "Bei diesen Geräten gibt es keine Schnittstelle, über die Schadsoftware aufgespielt werden kann, anders als beim Smartphone", so Reitberger. Dann folgt das photo- TAN-Verfahren (siehe unten) und erst danach das mTAN-Verfahren.

Auch das Bundesamt für Sicherheit in der Informationstechnik empfiehlt, auf das mTAN-Verfahren zu verzichten und stattdessen etwa Verfahren mit Hardware-gestützten TAN-Generatoren zu nutzen. Skeptisch ist Reitberger gegenüber dem Push-TAN-Verfahren, sofern es auf demselben Gerät wie das ­Onlinebanking zum Einsatz kommt. Wird die TAN auf einem separaten Gerät angezeigt, dürfte das Verfahren dagegen sicher sein. Klar ist aber auch, dass man seinen Computer oder das Smartphone besonders gegen Angriffe von außen sichern sollte.

Geheimzahlen auf Papier sind out

In der Praxis bieten manche Banken sogar noch die iTAN mit Nummern auf Papier an - häufig allerdings verbunden mit einer Online-Sicherheitsgarantie für die Kunden, die sie von etwaigen Schäden komplett freistellt. Die iTAN wird laut einer EU-Verordnung 2018 abgeschafft. Bei Sparkassen, aber auch Volks- und Raiffeisenbanken hat man früh die Reißleine gezogen und in der Breite auf modernere Verfahren gesetzt.

Das empfohlene Chip-TAN-Verfahren haben viele Institute gar nicht im Angebot. Bedauerlich für die Kunden: "Verbraucher können nur die Sicherungsverfahren wählen, die von der eigenen Bank auch angeboten werden", sagt Frank-Christian Pauli, Finanzexperte vom Verbraucherzentrale Bundesverband. "Wenn nichts Überzeugendes dabei ist, bleibt nur die Möglichkeit, die Bank zu wechseln."

Im Überblick: Welche Sicherheitsverfahren Banken bieten (pdf)

Tipps

Gefährliche Post
Bekommen Sie eine E-Mail, in der behauptet wird, Ihre Zugangs­daten zum Onlinebanking seien abgelaufen, es gäbe ein dringend erforderliches Sicherheits-­Update oder eine verdächtige Transaktion, die Sie prüfen müssten? Dann handelt es sich höchstwahrscheinlich um den Versuch, ihre Kontozugangsdaten abzu­fischen. Löschen Sie die Mail sofort. Folgen Sie keinesfalls einem Link, der Ihnen in einer solchen Mail angeboten wird, da Sie sich damit eine Schadsoftware einfangen könnten. Denn Ihre Bank oder Sparkasse, auch nicht eine Kreditkartenfirma oder ein Zahlungs­dienste­anbieter wie Paypal fragen Sie nach Ihren vertraulichen Daten oder Log-in-Codes.

Maximal 150 Euro sind weg, wenn ein Kunde unvorsichtigerweise sein Konto ­hacken lässt, ab 2018 sollen es nur noch 50 Euro sein.

TAN-Typen

mTAN: Der Bankkunde erhält die nötige Transaktionsnummer (TAN) für die Transaktionsfreigabe als SMS auf sein Handy ­geschickt. Vorsicht: Der Versand einer TAN per SMS kann kostenpflichtig sein.

HBCI-Verfahren mit Chipkarte: Ein sicheres, aber selten verwendetes Verfahren. Der Kunde erhält eine Chipkarte und benötigt einen Chipkartenleser, den er an seinen Rechner anschließt.

photoTAN: Der Kunde gibt die Auftrags­daten ein. Dann steckt er seine Bankkarte in den TAN-Generator und hält diesen vor den Computerbildschirm. Dort liest das Gerät aus einem blinkenden Codefenster die Auftragsdaten ab.