Hinweis: Dieser Beitrag wurde zuletzt aktualisiert im Mai 2020
Waren es 2008 in Deutschland nur etwa 24 Millionen Menschen, die Onlinebanking im privaten Bereich für Ihre Finanzgeschäfte nutzen, so waren es vier Jahr später schon mehr als 27 Millionen Menschen. Mit Stand Januar 2019 sind es 61% aller Deutschen, unterteilt nach Altersgruppen mal mehr, mal weniger.
Auch die Serviceangebote der Banken steigen und das Online-Geschäft spart viel Geld für Mitarbeiter in den Filialen und die Wartung und Aufstellung von Kontoauszugsdruckern etc. Es gibt in den letzten Jahren einen wahren Boom neuer sog. FinTech-Unternehmen, die reines Banking über das Smartphone anbieten und ebenfalls zum Online-Trend beitragen.
Allerdings steigt damit auch das Risiko, dass zu viel gespart wird, und Banken in Ihrer IT die Schraube anziehen und Investitionen in Personal und KnowHow zurückfahren. Schon jetzt bestehen beim Bezahlen im Internet viele Gefahren und das Ausspähen von Zugangsdaten – auch für Onlinebanking – scheint zum Sport zu werden 🙁
So versuchen Betrüger vermehrt sich über gefälschte E-Mails mit Verlinkung auf Phishing-Seiten die Transaktionsnummern (TANs) von Bankkunden zu ergaunern oder sich Kreditkartennummern inkl. CVV-Code zu sichern. Ebenfalls kann über unverschlüsselte Verbindungen, der Datentransfer zwischen den Geräten (Smartphone, PC, Browser, Bank-Server) mitgelesen werden.
Welche Verfahren existieren?
Die bekanntesten Verfahren für Privatanwender für den Zugriff auf das Banking per Internet sind derzeit:
- PIN und TAN per SMS (smsTAN / mobileTAN / pushTAN)
Eine TAN wird generiert und dem Benutzer an sein Mobiltelefon bzw. Smartphone gesendet (smsTAN / mobileTAN). Diese ist im Regelfall nur für einen sehr begrenzten Zeitraum gültig. In der SMS können in Stichpunkten die wichtigsten Dinge zur Transaktion enthalten sein wie etwa die Zielkontonummer und der Betrag. Diese besteht immer aus Ziffern und ist im Regelfall mind. 8 Zeichen lang. Diese Option ist sehr komfortabel, aber nicht alle Anbieter bieten den Versand der SMS-TAN kostenlos an.Beim Verfahren pushTAN erhält man keine SMS, sondern die TAN wird innerhalb einer App auf dem Smartphone der Bank generiert. Der „Befehl“ zur Generierung kommt von der Bank -> Push.
- PIN und TAN-Generator (chipTAN)
Bei diesem Verfahren wird ein speziellen TAN-Generator genutzt. Diesen erhält der Kunde von seiner Bank (gegen Gebühr), die Geräte sind aber nicht Bankenspezifisch und ein Generator kann für verschiedene Dienstleister genutzt werden. Auch im Internet können die Geräte bestellt werden. Die TAN wird auf dem Gerät erstellt und ist ebenfalls nur für einen bestimmten Zeitraum gültig. Für die Erstellung ist die EC-Karte der Bank erforderlich, die in das Gerät eingeschoben wird.Dieses Verfahren entspricht dem aktuellen Stand der Technik. Der Generator ist kostenpflichtig und liegt je nach Bank und Hardware bei ca. 10-15 EUR.
- PIN und TAN per App (smartTAN / App-TAN)
Die Generierung einer TAN zur Bestätigung der Überweisung (oder Anmeldung) erfolgt analog dem chipTAN-Verfahren allerdings in der Smartphone-App der Bank. Die TAN wird auf dem Gerät erstellt und ist ebenfalls nur für einen bestimmten Zeitraum gültig.
- Früher: PIN und Papier-TAN-Liste (iTAN)
Die Liste in Papierform mit den Transaktionsnummern hat seit Ende 2019 ausgedient und galt schon viele Jahre als unsicher und veraltet. Kaum eine Bank hatte nicht bereits alternative Verfahren im Angebot und stellte den Versand neuer Listen per Post glücklicherweise bereits ein. Das Ziel sind individuell und zufällig für den Einzelfall generierte TANs, die nur für eine bestimmte Transaktion Gültigkeit besitzen. Dafür wurden meist Angaben wie die Kontonummer des Empfängers, das aktuelle Datum, die Höhe des zu überweisenden Betrags etc. mit einbezogen. Im Rahmen der sog. PSD2-Richtlinie zum europäischen Zahlungsverkehr wurde es Banken untersagt, ab dem 14.09.2019 weitere TAN-Listen auszustellen.
- Banking mittels HbCI (Homebanking Computer Interface) mit Legitimation per Chipkarte
Wird eine Software genutzt anstelle des Zugriffs per Browser auf die Seiten der Bank, so gilt HbCI in Zusammenhang mit der Chip-/EC-Karte und einem Kartenleser als das sicherste Verfahren. Hierfür existieren Kartenlesegeräte mit eigener Tastatur (Klasse 2 und höher) die als besonders sicher gelten. Noch sicherer soll es mit Lesegeräten gehen, die einen Fingerabdruckscanner besitzen; für einen deutlich höheren Preis.
Die genannten Verfahren dienen primär der Ausführung einer Transaktion (Überweisung, Kauf-/Verkauf von Aktien, Bestätigung von Kontostands-Abfragen uvm.). Für das eigentliche Login gibt es je nach Bank unterschiedliche Optionen: Klassisch per Kontonummer und Passwort. Zusätzliche Zwei-Faktor-Authentifizierung mittels SMS, smartTAN oder ähnlicher Bestätigung per Banking-App.
Zusatzdienste einiger Banken verbessern ebenfalls die Sicherheit oder erleichtern die frühe Feststellung eines Missbrauchs:
- frei wählbaren Anmeldenamen anstelle der Kontonummer
- Benachrichtigungsmöglichkeit (z.B. bei Kontostandsänderung durch SMS und/oder E-Mail)
Für den sicheren Umgang mit dem Onlinebanking sollte natürlich auch das Betriebssystem mit den aktuellen Sicherheitspatchen der Hersteller ausgestattet sein und ein aktiver Virenschutz sowie eine Firewall eingesetzt werden. Auch der Browser für den Zugriff auf das Onlinebanking inkl. dessen Plugins sollten aktuell sein. Selbiges gilt für das mobile Gerät wie z.B. Smartphone oder Tablet.
Achten Sie darauf, dass die Verbindung bereits ab der Loginseite per https erfolgt und schließen Sie nach Möglichkeit nebenbei laufende andere Programme. Sind Sie unterwegs und nutzen öffentliche HotSpots, sollte nach Möglichkeit auf Online-Banking verzichtet werden.
Schreibe einen Kommentar