Onlinebanking: Sicher im Netz

von Brigitte Watermann, Euro am Sonntag

Die Verschnaufpause war recht kurz. Spätestens seit Herbst 2013 ist klar, dass Betrüger beim Onlinebanking auch das bislang als sicher geltende mobile TAN-Verfahren - dabei wird die Transaktionsnummer TAN per SMS aufs Handy geschickt - geknackt haben. Sicherheitsexperten raten Kunden daher, auf Verfahren mit TAN-Generatoren umzusteigen, die besseren Schutz versprechen.

Knapp 4.100 Fälle von Phishing im Zusammenhang mit Onlinebanking registrierte das Bundeskriminalamt (BKA) für 2013 - gegenüber dem Vorjahr ein Anstieg um 19 Prozent. 2012 hatte die Verbreitung des mTAN-Verfahrens noch für einen deutlichen Rückgang der Schadensfälle gesorgt.

Doch die Onlinegangster haben die Hände nicht in den Schoß gelegt und nachgezogen, bestätigt das BKA: "Sie haben neue Schadsoftware und Vorgehensweisen entwickelt", um auch das mTAN-Verfahren angreifen zu können.

"Das Problem sitzt vorm Rechner"
Für Banken und Broker ist das ärgerlich. Aus Kostengründen haben sie ein großes Interesse daran, dass immer mehr Kunden Standardtransaktionen online oder per internet­fähigem Mobiltelefon zum Beispiel via Apps ausführen. Immerhin rund 37 Millionen Bundesbürger führen ihre Konten bereits online, Tendenz weiter steigend. Doch laut einer Umfrage der IT-Vereinigung Bitkom verzichtet derzeit fast ein Drittel der Bundesbürger aufgrund von Sicherheitsbedenken ganz aufs Onlinebanking. Die Bankenverbände geben regelmäßig aktualisierte Empfehlungen heraus, wie Kunden Onlinebanking sicher nutzen können.

Dazu zählt insbesondere, den eigenen Rechner mit einem aktuellen Virenscanner und einer Firewall zu schützen. Und Onlinebanking nicht auf fremden Rechnern zu betreiben. Nächster Tipp: Niemals würde eine Bank Mails verschicken und zu einer Aktualisierung des Kontos mit Eingabe von PIN und TAN auffordern. Wer solche Mails erhält, kann sicher sein, dass Abzocker ihr böses Spiel treiben. Doch immer wieder fallen Onlinebanking-Kunden darauf herein. "Das Sicherheitsproblem sitzt meist vor dem Rechner und nicht darin", mahnt ein Kenner der Szene daher Kunden zur Vorsicht.

Auch alle bislang bekannten Angriffe auf das mTAN-Verfahren waren nur möglich, weil die Täter zunächst den Rechner des späteren Opfers ausgespäht hatten. Mit den ausspionierten persönlichen Daten besorgten sie sich eine neue SIM-Karte auf den Namen des Opfers. Mobilfunkanbieter haben die Hürden, um an eine zweite SIM-Karte zu kommen, jedoch inzwischen erhöht.

Ein weiterer wichtiger Sicherheitstipp: Wer sein Handy für das mTAN-Verfahren nutzt, muss besonders aufpassen, welche Apps er auf seinem Gerät installiert, um nicht Gefahr zu laufen, sich eine Schadsoftware fürs Smartphone einzufangen. Verbraucher, die noch ein Handy ohne Internetverbindung haben, können dieses Gerät als TAN-Geber reaktivieren. Bequem ist das zwar nicht, aber recht sicher.

Ausstieg aus der mTAN
IT-Experten wie Josef Reitberger, Chefredakteur des Magazins "Chip", raten dazu, besser auf Verfahren mit elektronischen TAN-Generatoren umzusteigen (siehe Interview). Die Geräte, etwa in der Größe einer EC-Karte, eignen sich sowohl fürs Onlinebanking per PC als auch via mobiler Geräte. Verfahren wie QR-TAN oder Photo-TAN aufs Handy seien zwar sicherer als das mTAN-Verfahren, aber das Smartphone, über das die Verfahren laufen, sei manipulierbar. Daher bieten laut Reitberger externe elektronische TAN-Generatoren die höchste Sicherheit.

Aber ausgerechnet bekannte Onlinebroker und Direktbanken (siehe Tabelle) tun sich noch schwer damit. Bei vielen ist die althergebrachte papierene iTAN noch verbreitet; bei wenigen, vor allem kleineren Anbietern reichen sogar Username und Passwort. Sparkassen, Volks- und Raiffeisenbanken, Postbank und Cortal Consors haben die iTAN dagegen längst abgeschafft. Die DKB will bald modernere Verfahren einführen, die ING-DiBa steht kurz vor dem Start einer SmartSecure-App, die ohne TAN arbeiten soll. Von iTANs sollte man die Finger lassen, so Reitberger. Sein Rat: Stets das modernste Sicherungsverfahren nutzen - oder die Bank wechseln.
Sicherungsverfahren im Onlinebanking (pdf)

Josef Reitberger, stellvertretender Chefredakteur Chip

Interview:

Josef Reitberger, der Chefredakteur des Technikmagazins "Chip" rät, beim Onlinebanking moderne TAN-­Generatoren zu nutzen. Er meint: "TAN-Generatoren sind sicher".

€uro am Sonntag: Ist Online­banking über das mTAN-Verfahren unsicherer als vor einem Jahr?
Josef Reitberger: An den technischen Voraussetzungen hat sich seither nichts geändert. Nutzern muss aber klar sein: Solange ich ein altes Handy nutze, mit dem man nur telefonieren und SMS schreiben und empfangen kann, ist das Verfahren recht sicher. Mit modernen Smartphones aber, mit denen ich Mails empfange und auf das ich mir auch mal eine App nicht nur aus den offiziellen App-Stores drauflade, gehe ich ein Risiko ein.

Worin besteht die Gefahr?
Es ist vorstellbar, dass Abzocker mithilfe von Schadsoftware sowohl meinen Rechner als auch mein Smartphone unter Kontrolle bringen. So könnte mich eine manipulierte SMS dazu bringen, eine auf dem PC manipulierte Überweisung zu autorisieren. Ob das tatsächlich schon passiert ist, sei mal dahingestellt, aber so sieht ein mögliches Angriffsszenario aus. Ich persönlich nutze das mTAN-Verfahren daher nicht mehr. Besser steigt man auf Verfahren mit TAN-Generatoren um.

Was sind deren Vorteile?
Die Geräte sind kaum größer als eine Scheckkarte, daher auch für sicheres Mobile Banking geeignet. Es gibt keine Schnittstelle, über die Schadsoftware aufgespielt werden könnte. Mithilfe der Verschlüsselung über die EC-Karte, die man in die Geräte einsteckt, wird ein sicherer Kanal zum Server der Bank aufgemacht, der nicht manipuliert werden kann. Ein Verfahren ist dann besonders sicher, wenn es zwei Kanäle nutzt, von denen möglichst einer keine Verbindung zum Internet hat.

Das gilt auch für das alte iTAN-Verfahren, das ausgerechnet bei vielen Direktbanken noch verbreitet ist.
Das Verfahren ist aus dem 20. Jahrhundert und sollte nicht mehr verwendet werden. Die Manipulationsansätze sind mannigfaltig. Alles, was am Rechnerbildschirm angezeigt wird, kann manipuliert sein, dagegen bietet das Verfahren keinerlei Schutz.