Logo der BundesregierungMagazin für Verbraucher
Die Bundesregierung informiert
Nr. 009    11/2009
9 | 13

Multimedia

Online-Banking

 
Ein Bild zum Onlinebanking Foto: picture-alliance Vergrößerung Sicherheit ist wichtig beim Online-BankingEtwa 1.800 Personen, die Online-Banking machen, wurden letztes Jahr Opfer krimineller Ausspähung. Der Schaden beläuft sich auf insgesamt sieben Millionen Euro. Die Tendenz ist steigend: Branchenverbände rechnen für 2009 mit rund 3.000 Fällen digitalen Geldraubs. Für Bankkunden und Banken wird der Schaden bei voraussichtlich elf Millionen Euro liegen.
 
Mittlerweile werden schon 42 Prozent aller Girokonten in Deutschland online geführt. Leider tummeln sich aber auch immer mehr Kriminelle im weltweiten Netz. Jeder Nutzer von Online-Banking sollte deshalb Sicherheitsmaßnahmen ergreifen und sich vor digitalen "Kontoräubern" schützen.
 

Hauptwaffe "Phishing"

 
Meist kommen die Bankräuber per "Phishing" an ihre Beute. Der Begriff ist eine Verbindung der englischen Wörter "password" und "fishing". Gemeint ist der Zugriff auf Passwörter und die für das Kontogeschäft wichtigen Identifikationsnummern.
 
Phishing-Attacken erfolgen meist per E-Mail. In den letzten Jahren war es zumeist so: Der Empfänger wurde darin aufgefordert, auf einer präparierten Webseite oder am Telefon Kundennummer und PIN – die Persönliche Identifikationsnummer – seines Online-Kontos preiszugeben. Oft enthielten die Mails einen Link auf die gefälschten Webseiten mit dem nachgeahmten Logo einer Bank.
 
Heute wird Phishing zumeist über "Trojaner" eingefädelt. Bei solch einer "Man-in-the-middle-Attacke" schaltet sich ein eingeschlepptes Schadprogramm automatisch ein, sobald der Kunde zum Beispiel eine Überweisung am PC vornehmen will. Das Schadprogramm tauscht im Hintergrund die Überweisungsdaten aus. Der Online-Banking-Kunde bestätigt also nicht seine eigene Überweisung, sondern die des Hackers. Der Schaden ist für den Betroffenen zumeist erst anhand des Kontoauszugs bemerkbar.
 

Verfahren des Online-Banking

 
Welche Verfahren des Online-Banking werden heute angeboten? Weit verbreitet ist die digitale Kontoführung mit Hilfe von iTANs, "indizierten Transaktionsnummern": Der Kunde wird bei der Finanzaktion von seiner Bank aufgefordert, eine bestimmte, durch eine Positionsnummer gekennzeichnete TAN aus einer Liste einzugeben. Diese Technik haben Cyber-Kriminelle mithilfe von Trojanern jedoch schon geknackt.
 
Ein anderes Verfahren bezieht das Handy mit ein. Über SMS erhält der Kunde eine "Smart-TAN", manchmal auch mTAN abgekürzt. Damit muss er eine digitale Transaktion bestätigten. Allerdings ist eine solche TAN nur mit dem GSM-Verschlüsselungsstandard des Mobilfunks geschützt.
 

TAN-Generatoren

 
Weitere Online-Banking-Verfahren neueren Typs bauen auf elektronischen Transaktionsnummern – eTANs – auf. Bei der eTan-Methode nutzt der Kunde einen zusätzlichen Minicomputer, den TAN-Generator. Dieser produziert unter Einbeziehung der Kontonummer des Empfängers eine für eine bestimmte Zeit gültige TAN. Der Bankkunde gibt zur Bestätigung des gewünschten Kontovorgangs die vom Generator erzeugte TAN ein.
 
Dieses System ist weitgehend sicher. Allerdings haben auch schon bei eTAN-Verfahren digitale Geldräuber erfolgreich zugeschlagen. Um das Risiko bei dieser Methode so gering wie möglich zu halten, empfehlen Experten: ein zeitliches Fenster von nur fünf bis zehn Sekunden für die Bestätigung einer Transaktion zu nutzen.
 

TAN-Generatoren mit Ziffernfeld und Karteneinschub

 
Bei anderen Verfahren kommen TAN-Generatoren mit Ziffernfeld und Karteneinschub zum Einsatz. Nachdem eine Überweisung im Online-Banking erfasst wurde, wird ein (Start-)Code am Bildschirm angezeigt. Nun muss man die persönliche Maestro-Karte in den Generator einstecken und den Code über das Ziffernfeld des Generators eintippen. Danach werden die Empfängerkontonummer sowie der Betrag der Überweisung eingegeben. Aus diesen Daten erstellt der TAN-Generator eine auftragsbezogene TAN, die wiederum im Online-Banking zu verwenden ist.
 

Optische Verfahren mit TANs

 
Sparkassen, Volks- und Raiffeisenbanken setzen optische TAN-Verfahren unter dem Namen "chipTAN comfort" beziehungsweise "Sm@rt-TAN optic" ein. Der TAN-Generator verfügt auch dabei über ein Ziffernfeld und einen Karteneinschub. Auf der Rückseite des Geräts sind optische Sensoren. Wenn der Kunde die Daten zum Beispiel für eine Überweisung eingegeben hat, erscheint am Bildschirm eine Grafik, die fünf flackernde Schwarz-Weiß-Flächen enthält.
 
Jetzt muss man die persönliche Maestro-Karte in den Generator einschieben. Sobald das Gerät an die Grafik im Bildschirm gehalten wird, werden die Daten durch Lichtsignale übertragen. Hierbei werden ein Code, die Empfängerkontonummer sowie der Überweisungsbetrag an den TAN-Generator übermittelt. Auf dem Display des Generators erscheinen sodann die Empfängerkontonummer sowie der Überweisungsbetrag. Beides ist zu bestätigen. Der Generator errechnet nun eine auftragsbezogene TAN, die im eigentlichen Online-Banking-Verfahren eingegeben wird.
 

HBCI

 
Eine der sichersten Methoden für die Erledigung von Bankangelegenheiten von zu Hause aus ist zurzeit das so genannte "Homebanking Computer Interface" (HBCI). Hier bekommt der Kunde für seinen Computer einen Kartenleser inklusive Karte. Bei einer Überweisung zum Beispiel erzeugt man einen neuen Code, der direkt der Bank übermittelt wird. Es entsteht eine direkte Kommunikation zwischen Bank und Kunde, bisher bekannte Formen des Phishing laufen damit ins Leere. HBCI funktioniert allerdings nur von einem Computer aus.
 

Worauf sollte der Verbraucher achten?

  • Bei der Weitergabe persönlicher Daten in Netzwerken wie "Facebook" oder "StudiVZ" sollte man äußerst vorsichtig sein. Denn diese Informationen könnten Cyber-Kriminelle für ihre Zwecke nutzen.
  • Das regelmäßige Aktualisieren der PC-Virensuchprogramme und das Vorhandensein einer "Firewall" – also eines digitalen Schutzwalls gegen Viren – sind Grundvoraussetzung. Auch Passwörter sollten von Zeit zu Zeit geändert werden. Nehmen Sie nie bekannte Daten, etwa das Geburtsdatum, oder Namen aus Ihrer Familie als Passwort.
  • Nutzen Sie stets die neuesten Versionen Ihres Browsers. Die stark verbreiteten Browser "Internet-Explorer" und "Firefox" verfügen über einen eingebauten Phishing-Schutz, der auf gefälschte Webseiten hinweist.
  • Seien Sie misstrauisch, wenn Sie unverlangte E-Mails erhalten, die scheinbar von Kreditinstituten stammen und in denen von Sicherheitsaktualisierungen oder einer Überprüfung Ihrer persönlichen Konten die Rede ist. Kreditinstitute und Zahlungsunternehmen fordern auf diesem Weg keine Daten an.
  • Reagieren Sie keinesfalls auf den in einer Mail angebotenen Link zur Bank. Nutzen Sie immer den Ihnen vertrauten Online-Zugang zur Kontoführung.
  • Achten Sie immer auf die Browser-Zeile. Wenn diese nach Aufruf der Internetseite von der gewohnten und Ihnen bekannten abweicht, ist erhöhte Vorsicht geboten.
  • Vergewissern Sie sich schon bei dem geringstem Zweifel, ob Veränderungen im Ablauf des Online-Banking oder in der Eingabe-Maske wirklich von der Bank ausgehen.
  • Geben Sie niemals eine TAN an, wenn Sie diese nicht konkret für die Bestätigung eines Auftrages innerhalb des Online-Banking brauchen. Aufträge können zum Beispiel Zahlungs- oder Überweisungsaufträge beziehungsweise die Einrichtung oder Änderung von Daueraufträgen sein. 
  • Machen Sie keine telefonischen Angaben über Ihre geheim zu haltenden Zugangsdaten im Online- und Telefonbanking. Auch wenn die Begründung, warum Sie diese abgeben sollen, noch so logisch klingt.
  • Sollten Ihnen Zweifel kommen, nachdem Sie persönliche Daten eingegeben haben, setzen Sie sich umgehend mit Ihrer Bank in Verbindung. Sie können PINs und TANs sperren lassen.
  • Es empfiehlt sich, mit der Bank zu klären, ob diese im Falle eines Diebstahls den Schadensfall ersetzt.
Logo Regierung Online

Kontext

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Sicherheitsportal "Bürger-CERT" des BSI
Der Beauftragte der Bundesregierung für Informationstechnik

9 | 13