Das Online-Banking nutzt ein hoher Prozentsatz der Bankkunden heute genauso selbstverständlich wie das Girokonto. Und beide haben eine große Gemeinsamkeit – sie sind nicht mehr aus dem Kundenverkehr der Banken wegzudenken.

Speziell mit dem Online-Banking erreichen Kreditinstitute inzwischen knapp 50 Prozent der Bankkunden. Trotz dieser hohen Akzeptanz schwingt eine Frage bei vielen Bankkunden im Hintergrund immer mit:

Ist mein Online-Banking wirklich sicher?

Eine Frage, die sich durchaus stellt. Einige Zeitungsberichte haben für Aufsehen gesorgt, in der es um eine systematische Betrugsmasche mit der als zuverlässig und sicher geltenden mTAN ging. Dass Kriminelle die eingebauten Sicherheitseinrichtungen überwinden ist nicht neu. Dass allerdings eine Hürde wie die Kanaltrennung fällt, stimmt nachdenklich. Zumal die Schadenssummen durchweg im höheren fünfstelligen Bereich zu liegen scheinen. Wie sicher ist das Online-Banking?

Was ist das Online-Banking

Wer die Frage nach der Sicherheit stellt, muss sich zuerst vergegenwärtigen, was Online-Banking eigentlich ist. Es handelt sich hierbei um eine Variante des elektronischen Bankgeschäfts. Die Bankgeschäfte werden elektronisch abgewickelt und die Kommunikation erfolgt via Datenfernübertragung. Entsprechend dieser Definition steht das Online-Banking auf einer Stufe mit dem Tele- oder Telefonbanking.

Wesentliches Unterscheidungsmerkmal ist, dass die Kommunikation zwischen Bank und Kunde beim Online-Banking über das Internet abgewickelt wird. Dank Verschlüsselung der Kommunikation soll es Dritten unmöglich gemacht werden, die Informationen mitzulesen.

Bankgeschäfte von Zuhause aus:

Der Vorteil: Online-Banking funktioniert von jedem Rechner aus – sofern dieser mit einem Webbrowser ausgestattet ist. Bereits aus dieser Tatsache lassen sich mehrere Vorteile des Online-Banking ableiten. Die Erledigung der Bankgeschäfte ist von Ort und Zeit unabhängig. Bankkunden können – rein theoretisch – von überall aus und zu jeder Tageszeit auf das Online-Banking-Portal der Bank zugreifen.

Speziell dieser „Bequemlichkeitsfaktor“ macht das Online-Banking so angenehm. Zusätzlich bietet es weitere Vorteile. Das Online-Banking ist übersichtlich und erlaubt eine Abfrage des Finanzstatus quasi in Echtzeit. Bankkunden wissen immer, wann Überweisungen auf das eigene Konto eingehen oder Lastschriften eingelöst werden. Darüber hinaus bringt es einen finanziellen Vorteil mit.

Viele Banken verlangen inzwischen für die beleghaften Geschäftsvorfälle hohe Entgelte. In der Praxis kann eine Überweisung in Papierform 1,50 Euro (oder mehr) kosten. Besonders teuer werden Bareinzahlungen zugunsten Dritter, hier fallen mitunter zweistellige Eurobeträge als Entgelt an. Der beleglose Geschäftsverkehr im Online-Banking ist dagegen in der Regel kostenlos.

Wichtig: Diverse Banken erheben mitunter sogar Gebühren für jede einzelne Buchung – selbst wenn diese beleglos ausgeführt wird. Es rechnet sich unterm Strich immer, einem Blick auf den Preisaushang etwas mehr Zeit zu widmen.

Zeitlich flexibel Bankgeschäfte von der Couch aus erledigen – wer als Bankkunde so bequem seine Finanzen verwalten will, ist beim Online-Banking an der richtigen Adresse. Aus Sicht der Geschäftskunden kommt an dieser Stelle als zusätzliche Stärke hinzu, dass moderne Buchführungssoftware die Einbindung des Online-Bankings erlaubt – und so eine automatisierte Zuweisung der Buchungssätze zu einzelnen Buchhaltungskonten möglich ist. Trotzdem – das Banking am Schalter hat nicht ganz ausgedient. Immer dann, wenn eine Beratungs- oder Serviceleistung nötig ist, wird die nächste Bankfiliale zum Ansprechpartner. Und nicht jeder Bankkunde vertraut dem Online-Banking 100-prozentig.

Phishing, Trojaner und Co. – Sicherheit beim Online-Banking

Laut einer Umfrage des Branchenverbands BITKOM fühlen sich 38 Prozent der Internetnutzer unwohl beim Erledigen der Bankgeschäfte via Internet. Besonders groß ist die Angst bei älteren Bankkunden. Es stellt sich die Frage, wie begründet diese Sorge ist? Grundsätzlich ruht die Sicherheit beim Online-Banking auf drei wesentlichen Elementen: einer sicheren Datenverbindung, der Sicherheit aufseiten der Bank und einem hohen Sicherheitsstandard beim Bankkunden.

Erfahrungen der Vergangenheit haben wiederholt gezeigt, dass genau der letztgenannte Punkt zu einer Schwachstelle werden kann.

Viele Angriffe auf das Online-Banking setzen genau hier an – bevor Informationen verschlüsselt an die Bank übermittelt werden. Beispielsweise können über Viren und Trojaner auf dem Rechner gespeicherte Informationen abgegriffen werden. Eingaben, wie die PIN, können das Angriffsziel sogenannter Keylogger sein. Teilweise geben Bankkunden ihre Konto- und Zugangsdaten aber auch freiwillig an Online-Betrüger weiter. Über sogenannte Phishing-Mails suggerieren diese dem Empfänger eine Bank als Absender und fordern zur Preisgabe der sensiblen Kontoinformationen auf.

Hinweis:

Inzwischen sind auch E-Mails im Umlauf, die Bankkunden auf entsprechend präparierte Internetseiten locken, wo beispielsweise für den Zweck des Datenabgleichs zu entsprechenden Eingaben aufgefordert wird.

Allerdings ist das Ausspähen der Transaktionsnummern (TAN) in der Vergangenheit für Kriminelle zunehmend schwieriger geworden. Warum ist die TAN für das Online-Banking aber überhaupt so wichtig?

Transaktionsnummern – die Unterschrift im Online-Banking

Bankgeschäfte am Schalter werden durch die Unterschrift des Bankkunden ausgelöst. Beim Online-Banking ist das Einreichen unterzeichneter Überweisungsformulare allerdings nicht möglich. Deren Aufgabe übernimmt die Transaktionsnummer. Nur wenn die TAN der Bank vorliegt, kann diese eine Geschäftsanweisung ausführen.
Die Transaktionsnummern der 1. Generation bestanden aus einer einfachen Liste. Zur Bestätigung einer Buchung konnte jede TAN benutzt werden. Entsprechend hoch waren die Risiken.

Bereites eine Handvoll Nummern reichte aus, um das Konto zu plündern. Mit dem iTAN-Verfahren hat die Branche ein zusätzliches Sicherheitselement eingeführt. Zu jeder TAN gehört eine Indexnummer. Reichen Bankkunden Überweisungen ein, gibt die Bank ihnen die Indexnummer vor und verlangt die Eingabe der entsprechenden Transaktionsnummer.

Phishing-Attaken sind hierdurch zwar nicht unmöglich aber schwieriger geworden. Wesentlich mehr Erfolg beim Umgehen des iTAN-Verfahrens hat der Man-in-the-middle-Angriff (hierbei schalten sich Kriminelle in die Kommunikation zwischen Bank und Kunde so ein, dass die Daten unbemerkt für beide Seiten manipuliert werden können). Noch sicherer ist das mTAN-Verfahren. Statt Kunden einen festen Satz TANs zur Verfügung zu stellen, wird eine Transaktionsnummer erst erzeugt, wenn es zur Einreichung einer Lastschrift kommt.

Das Versenden der TAN erfolgt per SMS auf das Handy der Bankkunden (daher wird das Ganze auch als smsTAN bezeichnet). Eine andere Variante der Kanaltrennung kommt bei der Generator-TAN zum Einsatz. Hier wird die Transaktionsnummer nicht durch die Bank, sondern den Bankkunden erzeugt – mithilfe eines TAN-Generators und der Bankkarte. Einige Banken unterstützen in diesem Zusammenhang mittlerweile sogar Hardware, die mit optischen Sensoren für eine noch höhere Sicherheit ausgestattet ist. Die photo- bzw. QR-TAN sind dagegen noch recht neue Verfahren.

Nonplusultra an Sicherheit – HBCI mit Chipkarte

Ein Unsicherheitsfaktor im Online-Banking ist die Eingabe von PIN und TAN am Rechner. Mittlerweile können sicherheitsbewusste Bankkunden selbst diesen Aspekt umgehen – über die Variante HBCI mit Chipkarte. Beim HBCI (Homebanking Computer Interface, seit der Version 3.0 als FinTS bezeichnet) handelt es sich um einen Standard, der zwei Hauptbereiche abdeckt – einerseits Festlegungen zu Geschäftsvorfällen und andererseits Sicherheitsstandards.

Letzteres ist hier besonders interessant. Beim HBCI mit Chipkarte wird mit einem Schlüssel gearbeitet, der als digitale Signatur dient und die Verwendung einer Transaktionsnummer überflüssig macht.

Wie funktioniert das HBCI-Banking mit Chipkarte?

Zuerst werden die Überweisungsdaten am Rechner über eine Finanzsoftware vorbereitet, durch die Chipkarte (in Kombination mit einem speziellen Kartenleser) signiert und die Signatur verschlüsselt. Anschließend erfolgt der Versand zur Bank, welche die Daten dechiffriert und die Signatur vergleicht. Nur wenn die Daten übereinstimmen, wird der Auftrag ausgeführt.

Was das HBCI-Banking mit Chipkarte so sicher macht, ist die Tatsache, dass der Schlüssel auf der Karte und nicht auf dem Rechner gespeichert wird (Angriffe durch Viren laufen ins Leere). Auf der anderen Seite ist in der Regel eine Anmeldung des Bankkunden beim Kartenleser via PIN nötig. Angreifer müssen deshalb zwei Hürden überwinden, bevor sie Geschäftsvorfälle manipulieren können.

Allerdings werden sowohl die HBCI-Karte als auch der Kartenleser Bankkunden nicht kostenlos zur Verfügung gestellt. Trotzdem ist es das Banking-Verfahren, welches Kunden mit hohen Sicherheitsansprüchen in Betracht ziehen sollten.

Schutz und Sicherheit im Online-Banking

Bankgeschäfte online abwickeln funktioniert heute dank Online-Banking schnell und einfach. Und inzwischen wird auch das Smartphone dank Mobile-Banking – abseits von Browser und Banking-Software – per App zur Finanzzentrale. Das Thema Sicherheit wird also noch wichtiger. Wer als Bankkunde zum Online-Banking greift, sollte:

• ein aktuelles Anti-Virenprogramm besitzen
• Dritten keinen Zugriff auf den Banking-Rechner erlauben
• Software nur aus sicheren Quellen installieren
• PIN und TANs niemals auf dem Rechner speichern
• aktuell als sicher geltende TAN-Verfahren nutzen
• niemals PIN oder TANs auf Webseiten bzw. in E-Mail-Formulare eingeben
• den gesamten Zahlungsverkehr regelmäßig prüfen und
• nur gesicherte Datennetze fürs Banking nutzen.

Dank dieser Sicherheitstipps sind die Hürden für Kriminelle hoch. Steht der Missbrauchsverdacht dennoch im Raum, muss das Online-Banking umgehend gesperrt werden. Nur so lassen sich weitreichende Folgen fürs Konto und die Finanzen abwenden.