Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit >

Online-Banking-Sicherheit im Überblick

...
t-online.de ist ein Angebot der Ströer Content Group

Online-Banking-Sicherheit im Überblick

08.12.2010, 13:31 Uhr | Sascha Plischke

. Viele Banken ersetzen das alte iTAN-Verfahren gegen das neuere ChipTAN-Verfahren (Foto: Postbank).

Viele Banken ersetzen das alte iTAN-Verfahren gegen das neuere ChipTAN-Verfahren (Foto: Postbank).

Sicherheit im Online-Banking ist ein zentrales Thema für Bankkunden, seitdem zahlreiche Hausbanken ihre Geschäfte immer mehr ins Internet verlagert haben. Dabei befinden sich die Banken in einem Katz-und-Maus-Spiel mit weltweit vernetzten Banden Online-Krimineller, die mit immer perfideren Methoden an die Daten der Bankkunden und damit an deren Geld gelangen wollen. Die Banken lassen sich deshalb immer neue Sicherheitsschranken einfallen. So stellen derzeit die Postbank und einige Sparkassen auf das so genannte ChipTAN-Verfahren um; weitere Institute werden nachziehen. Die wenigsten Kunden blicken jedoch noch durch, was die neuen Techniken eigentlich für sie bedeuten. Wir erklären Ihnen die verschiedenen Technologien und zeigen, welche Vorteile sie bieten.

Jeder kennt die berühmte TAN-Liste. Dieses Papier mit etwa einhundert zumeist sechsstelligen Transaktionsnummern begleitet jeden Online-Banking-Kunden seit Jahren. Ursprüngliche Idee des Verfahrens war es, die Autorisierung von Bankgeschäften zweistufig zu gestalten und damit sicher zu gestalten: Der Online-Banking-Kunde muss sich zunächst mit einem Benutzernamen und einem Passwort anmelden. Jede danach vorgenommene Transaktion muss der Kunde mit einer TAN von der auf dem Postweg zugestellten Liste bestätigen. Die Liste liegt lediglich dem Kunden vor, unbefugte Dritte können also selbst dann nichts mit einem Online-Konto anfangen, wenn sie Benutzernamen und Passwort ausspioniert haben. Diese Sicherung können Phisher jedoch allzu leicht überwinden: In ihren gefälschten E-Mails fordern sie die Bankkunden einfach dazu auf, neben den Einwahldaten auch fünf TAN anzugeben. Deshalb haben die Banken dieses Verfahren in Deutschland mittlerweile komplett durch das iTAN-Verfahren ersetzt.

iTAN: Erster Schutz gegen Phishing-Angriffe

Beim iTAN-Verfahren erhält der Kunde immer noch eine gedruckte Liste mit einhundert durchnummerierten Transaktionsnummern. Die Abkürzung steht für Indizierte Transaktionsnummer. Dabei gilt jedoch nicht mehr jede TAN für jede Transaktion. Das Online-Banking-System fordert vom Anwender eine bestimmte der einhundert angegebenen Ziffern ein. Nur mit ihr kann die Transaktion autorisiert werden. Das einfache abfragen beliebiger TAN über eine Phishing-Seite genügt damit nicht mehr – theoretisch benötigen die Kriminellen die gesamte iTAN-Liste eines Opfers.

Doch auch dieses Verfahren wird von Online-Kriminellen mittlerweile erfolgreich angegriffen. So fragen Phisher mittlerweile neben den TAN-Nummern auch die Index-Ziffern der iTAN-Liste ab. Mit etwas Glück erhält der Online-Kriminelle dabei genau die, nach der er vom System gefragt wird. Besonders ausgefeilt ist hingegen die Methode des Man-in-the-middle-Angriffs. Dabei schaltet sich ein zuvor auf dem Computer des Opfers installierter Trojaner zwischen Kunde und Banking-System, sobald der Kunde eine Überweisung ausführen will. Während für den Kunden alles normal aussieht, übermittelt er mit seinen Eingaben jedoch alle benötigten Daten samt für diese Transaktion passender TAN an den kriminellen Urheber des Trojaners. Der kann dann einfach die Summe der Überweisung ändern und als Ziel eines seiner eigenen Konten wählen – fertig ist der digitale Raubzug.

ChipTAN: Schutz vor Phishing und Trojanern

Genau diese Hacker-Methode soll das ChipTAN-Verfahren nun unterbinden. Dabei kommt ein kleines Lesegerät zum Einsatz, mit dem der Kunde für jede Transaktion eine eigene Transaktionsnummer (TAN) generiert. Dazu gibt der Kunde die Überweisungsdaten auf seinem Computer ein. Danach zeigt ihm das Online-Banking-Portal einen Zifferncode. Diesen gibt er in seinen Kartenleser ein, den er zuvor durch das Einlegen seiner Bankkarte aktiviert hat. Außerdem muss er die Kontonummer des Empfängers eingeben und den korrekten Überweisungsbetrag Aus diesen Daten errechnet der Leser die benötigte Transaktionsnummer. Ein Man-in-the-middle-Angriff wird so unmöglich – würde ein Hacker Zielkonto und Betrag ändern, würde die generierte TAN nicht mehr zu der Transaktion passen, das Online-Banking-System würde sie ablehnen.

Ein Nachteil dieses Verfahrens ist der manuelle Aufwand. Der Kunde muss einen ChipTAN-Generator besitzen, den er zuvor gegen eine Schutzgebühr von seiner Bank erwerben kann. Manche Institute vergeben den Generator auch kostenlos. Auf ihm muss der Kunde für jede Überweisung nach Eingabe im Online-Banking alle benötigten Daten noch einmal eingeben. Etwas teurere so genannte Komfort-Geräte ersparen dem Kunden das Abtippen, indem sie einen durch das Online-Banking-Portal nach Eingabe der Überweisungsdaten generierten visuellen Code abscannen und so die Daten übernehmen. Vorteil ist die deutlich verbesserte Sicherheit: Bisherige Hacker-Angriffe wehrt es erfolgreich ab, auch Verlust und Diebstahl von Karte oder TAN-Generator bleiben ohne Risiko. Sobald eine Karte gesperrt ist, kann sie keine TAN mehr generieren.

mTAN: Mobiler Schutz gegen Online-Kriminelle

Analog zum ChipTAN-Verfahren bieten zahlreiche Banken auch das so genannte Mobil-TAN oder mTAN-Verfahren an. Dabei hinterlegt der Kunde seine Handy-Nummer bei seiner Bank. Will er eine Online-Überweisung starten, übermittelt die Bank ihm per SMS eine speziell für diese Transaktion gültige TAN. Die ist nur zeitlich begrenzt einsetzbar und gilt nur für die online eingegebenen Zielkonto-Daten und den angegebenen Betrag. Erst wenn der Kunde die per SMS übermittelte TAN eingibt, führt die Bank die Überweisung aus. Ähnlich wie das ChipTAN-Verfahren sind klassische Man-in-the-Middle-Angriffe auf diese Weise unmöglich. Die Hacker müssten sich nicht nur zwischen Bank und Computer des Kunden einschalten, sondern auch die SMS mit der TAN abfangen, manipulieren und an den Kunden weiterleiten.

Banking-Software: Komfortabler Schutz

Eine weitere Möglichkeit zum Schutz vor Hacker-Angriffen beim Online-Banking bietet Banking-Software wie das Banking-Paket der Telekom oder Alternativen wie das kommerzielle Programm WISO Mein Geld 2011. Diese Software arbeitet getrennt vom Browser und ist damit nicht anfällig für klassische Trojaner-Angriffe, die auf Browser-Lücken basieren. Alle Bankgeschäfte laufen über eine verschlüsselte Verbindung zwischen der Bank und der Software. Zusätzliche Sicherheitsmaßnahmen wie eine Autorisierung des Kunden über seine Bankkarte oder eine Chipkarte per HBCI werden ebenfalls unterstützt und sollen Kriminelle wirksam aussperren. Dabei meldet sich der Bankkunde nicht mehr online über seinen Browser sondern in der Banking-Software per spezieller Zugangskarte an. Phishing-Angriffe werden damit nutzlos.

Für Kunden, die auf ChipTAN oder mTAN wechseln und bei der bisherigen Liste in Papierform bleiben wollen, empfehlen Sicherheitsexperten die Verwendung einer so genannten Live-CD für alle Bankgeschäfte. Dabei startet der Kunde ein eigenes, nicht veränderbares System von einem optischen Datenträger. Möglich wären hier etwa die kostenlos verfügbaren Linux-Live-CDs eines Derivats wie Ubuntu. Weil sich hier kein Trojaner installieren kann, bleiben auch hier Man-in-the-middle-Attacken ausgeschlossen. Dafür muss der Kunde jedoch seinen Computer für jedes Bankgeschäft neu starten. Außerdem muss er an einem Computer sitzen, den er für einen Start von CD konfigurieren kann. Für klassische Phishing-Angriffe bleibt er jedoch auch mit dieser hausgemachten Sicherungsmethode verwundbar.

Liebe Leserin, lieber Leser, aktuell können zu diesem Thema keine neuen Kommentare abgegeben werden. Wir bitten um Ihr Verständnis.
Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre E-Mail-Adresse an. Vielen Dank für Ihre Mitteilung.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail
Video des Tages

Shopping
Shopping
Zwei bügelfreie Blusen im Black & White-Look für nur 59,90 €
zum Walbusch Test-Angebot
Klingelbonprix.detchibo.deCECILStreet OneLIDLBabistadouglas.deBAUR
Mehr zum Thema
Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit

shopping-portal
Das Unternehmen
  • Ströer Digital Publishing GmbH
  • Unternehmen
  • Jobs & Karriere
  • Presse
Weiteres
Netzwerk & Partner
  • Stayfriends
  • Erotik
  • Routenplaner
  • Horoskope
  • billiger.de
  • t-online.de Browser
  • Das Örtliche
  • DasTelefonbuch
  • Erotic Lounge
Telekom Tarife
  • DSL
  • Telefonieren
  • Entertain
  • Mobilfunk-Tarife
  • Datentarife
  • Prepaid-Tarife
  • Magenta EINS
Telekom Produkte
  • Kundencenter
  • Magenta SmartHome
  • Telekom Sport
  • Freemail
  • Telekom Mail
  • Sicherheitspaket
  • Vertragsverlängerung Festnetz
  • Vertragsverlängerung Mobilfunk
  • Hilfe
© Ströer Digital Publishing GmbH 2017