Online-Banking ist nach wie vor ein Sicherheitsrisiko. Vor allem dann, wenn der Zugang nur mit Geheimzahl und einer Liste von Transaktionsnummern gesichert ist.
"Mit dem herkömmlichen PIN- und TAN-Verfahren ist Online-Banking heutzutage nicht mehr als ausreichend sicher zu betrachten. Das Risiko ist recht hoch, dass man einem Angriff zum Opfer fällt, einmal durch Phishing, aber auch durch trojanische Pferde, die den PC befallen und dort Daten ausspähen."
Davor warnt Sven Türpe vom Sicherheitslabor des Fraunhofer-Instituts für sichere Informationstechnik in Darmstadt. Beim Phishing werden Daten, die man auf einer Homepage eingibt, von Dritten abgefangen. Trojanische Pferde sind Schadsoftwarepakete. Die kann von Kriminellen so programmiert werden, dass sie Tastaturanschläge aufzeichnet. Vor Phishing und Schadsoftware beim Online-Banking warnt auch die Zeitschrift Finanztest. Die Berliner Finanz-Experten der Stiftung Warentest haben unlängst zehn Angebote unter die Lupe genommen. Nur sechs haben die Tester als sicher eingestuft. Zwei bekamen die Wertung bedingt sicher, zwei bezeichneten die Tester als unsicher, weil sie nur mit PIN und TAN arbeiten. Auch der Bundesverband der Verbraucherschutzzentralen sieht schon lange großen Handlungsbedarf und klagt, dass die Banken so langsam reagieren würden. Sie seien in der Pflicht, ihre Systeme anzupassen, fordert Frank-Christian Pauli, Referent für Finanzdienstleistungen gegenüber dem Deutschlandfunk. Die Verbraucher müssten zwar Vorsicht walten lassen, aber ein PC sei schließlich kein Hochsicherheitstrakt. Er ist auch sauer, dass immer noch keine konkreten Zahlen zu Betrugsfällen vorliegen.
Denn die Kriminalstatistiken weisen diese nicht aus, die Banken geben keine Zahlen heraus. So sei es schwer, das reale Bedrohungspotential abschätzen. Nur für Großbritannien lägen Zahlen vor, und die belegten hohe Schadenssummen, so Pauli. Die EU-Kommission sieht hier ebenfalls Handlungsbedarf. Auch sie wolle durch eine Berichtspflicht mehr Transparenz schaffen, berichtet Pauli. Banken und Bankenverbünde reagieren auf die zunehmende Kritik und arbeiten bereits an einer Verbesserung. So bieten Wüstenrot und die BW-Bank einen TAN-Generator an. Das ist ein zusätzliches Gerät, das an einen Rechner mit Internet-Zugang angeschlossen wird. Das Ziel: es gibt dem Bankkunden eine bessere Kontrolle darüber, wofür seine TAN eingesetzt wird, so Türpe:
"Das funktioniert bei einem TAN-Generator so, dass ich eine TAN dann erzeuge, wenn ich so brauche. Dazu muss ich die Zielkontonummer einer Überweisung in den TAN-Generator eingeben. Der berechnet dann aus der aktuellen Zeit und anderen Parametern einen geheimen Schlüssel und eine aktuelle TAN, die nur für diese Zielkontonummer und nur zum aktuellen Zeitpunkt gültig ist."
Ein solcher Ansatz hat einige Vorteile. Zunächst erfolgt die Eingabe von Geheimzahl und Transaktionsnummer über zwei unterschiedliche Geräte. Auch wenn sich auf den Computer des Bankkunden Software eingeschlichen hat, die Tastatureingaben ausspioniert, ist er geschützt. Zum zweiten ist die Transaktionsnummer zeitabhängig, also nur für einen kurzen Zeitraum gültig. Kriminelle müssten also sehr schnell reagieren, um Erfolg zu haben. Und drittens ist die Transaktionsnummer an einen bestimmten Bezahlvorgang gebunden, da die Kontonummer des Empfängers mit eingegeben wird. Auch das sorgt für mehr Sicherheit, ohne dass es allzu umständlich wird. Das nämlich war der Grund, warum sich das von den Banken entwickelte HBCI-Verfahren nicht durchgesetzt hat – es war zu kompliziert. Denn dafür erhalten die Benutzer einen Datenträger von ihrer Bank, der Daten bei der Eingabe verschlüsselt. Hier kann weder Schlüssel der Karte ausgelesen werden, noch ist das Abhören der PIN-Eingabe möglich. Zum Ausführen der Transaktion benötigt man die Chipkarte. Außerdem können die Bankunden diese Lösung nicht am Arbeitsplatz benutzen. Dort erledigen aber viele ihre Bankgeschäfte. Für zukunftsträchtiger halten Experten neben den TAN-Generatoren deshalb Verfahren, die Handys einbeziehen:
"Eine Lösung ist die MTAN wie sie zum Beispiel die Postbank bietet oder neuerdings auch die Volks- und Raiffeisenbanken. Die ist sehr sicher, weil sie dem Bankkunden eine gute Kontrolle darüber bietet, wofür die TAN benutzt wird. Ich bekomme zusammen mit der TAN die Details der Überweisung, für die sie gültig ist, auf dem Handy angezeigt, kann das dort noch einmal prüfen und autorisiere die Transaktion, indem ich den Code eingebe."
Doch auch bei den Handy-Lösungen müsse man genau hinschauen, warnt Türpe.
"Es gibt aber auch Lösungen, die technisch einfach der TAN-Liste entsprechen. Wo man sich also auf Vorrat TANs aufs Handy schicken lassen kann - die sind dann genau so unsicher wie das herkömmliche TAN-Verfahren."
Doch das Ganze hat aus Sicht von Verbraucherschützer Pauli auch noch einen anderen Haken: Die TANs werden per SMS an die Kunden verschickt. Das verursacht Kosten, die auf die Konsumenten umgelegt werden.
"Mit dem herkömmlichen PIN- und TAN-Verfahren ist Online-Banking heutzutage nicht mehr als ausreichend sicher zu betrachten. Das Risiko ist recht hoch, dass man einem Angriff zum Opfer fällt, einmal durch Phishing, aber auch durch trojanische Pferde, die den PC befallen und dort Daten ausspähen."
Davor warnt Sven Türpe vom Sicherheitslabor des Fraunhofer-Instituts für sichere Informationstechnik in Darmstadt. Beim Phishing werden Daten, die man auf einer Homepage eingibt, von Dritten abgefangen. Trojanische Pferde sind Schadsoftwarepakete. Die kann von Kriminellen so programmiert werden, dass sie Tastaturanschläge aufzeichnet. Vor Phishing und Schadsoftware beim Online-Banking warnt auch die Zeitschrift Finanztest. Die Berliner Finanz-Experten der Stiftung Warentest haben unlängst zehn Angebote unter die Lupe genommen. Nur sechs haben die Tester als sicher eingestuft. Zwei bekamen die Wertung bedingt sicher, zwei bezeichneten die Tester als unsicher, weil sie nur mit PIN und TAN arbeiten. Auch der Bundesverband der Verbraucherschutzzentralen sieht schon lange großen Handlungsbedarf und klagt, dass die Banken so langsam reagieren würden. Sie seien in der Pflicht, ihre Systeme anzupassen, fordert Frank-Christian Pauli, Referent für Finanzdienstleistungen gegenüber dem Deutschlandfunk. Die Verbraucher müssten zwar Vorsicht walten lassen, aber ein PC sei schließlich kein Hochsicherheitstrakt. Er ist auch sauer, dass immer noch keine konkreten Zahlen zu Betrugsfällen vorliegen.
Denn die Kriminalstatistiken weisen diese nicht aus, die Banken geben keine Zahlen heraus. So sei es schwer, das reale Bedrohungspotential abschätzen. Nur für Großbritannien lägen Zahlen vor, und die belegten hohe Schadenssummen, so Pauli. Die EU-Kommission sieht hier ebenfalls Handlungsbedarf. Auch sie wolle durch eine Berichtspflicht mehr Transparenz schaffen, berichtet Pauli. Banken und Bankenverbünde reagieren auf die zunehmende Kritik und arbeiten bereits an einer Verbesserung. So bieten Wüstenrot und die BW-Bank einen TAN-Generator an. Das ist ein zusätzliches Gerät, das an einen Rechner mit Internet-Zugang angeschlossen wird. Das Ziel: es gibt dem Bankkunden eine bessere Kontrolle darüber, wofür seine TAN eingesetzt wird, so Türpe:
"Das funktioniert bei einem TAN-Generator so, dass ich eine TAN dann erzeuge, wenn ich so brauche. Dazu muss ich die Zielkontonummer einer Überweisung in den TAN-Generator eingeben. Der berechnet dann aus der aktuellen Zeit und anderen Parametern einen geheimen Schlüssel und eine aktuelle TAN, die nur für diese Zielkontonummer und nur zum aktuellen Zeitpunkt gültig ist."
Ein solcher Ansatz hat einige Vorteile. Zunächst erfolgt die Eingabe von Geheimzahl und Transaktionsnummer über zwei unterschiedliche Geräte. Auch wenn sich auf den Computer des Bankkunden Software eingeschlichen hat, die Tastatureingaben ausspioniert, ist er geschützt. Zum zweiten ist die Transaktionsnummer zeitabhängig, also nur für einen kurzen Zeitraum gültig. Kriminelle müssten also sehr schnell reagieren, um Erfolg zu haben. Und drittens ist die Transaktionsnummer an einen bestimmten Bezahlvorgang gebunden, da die Kontonummer des Empfängers mit eingegeben wird. Auch das sorgt für mehr Sicherheit, ohne dass es allzu umständlich wird. Das nämlich war der Grund, warum sich das von den Banken entwickelte HBCI-Verfahren nicht durchgesetzt hat – es war zu kompliziert. Denn dafür erhalten die Benutzer einen Datenträger von ihrer Bank, der Daten bei der Eingabe verschlüsselt. Hier kann weder Schlüssel der Karte ausgelesen werden, noch ist das Abhören der PIN-Eingabe möglich. Zum Ausführen der Transaktion benötigt man die Chipkarte. Außerdem können die Bankunden diese Lösung nicht am Arbeitsplatz benutzen. Dort erledigen aber viele ihre Bankgeschäfte. Für zukunftsträchtiger halten Experten neben den TAN-Generatoren deshalb Verfahren, die Handys einbeziehen:
"Eine Lösung ist die MTAN wie sie zum Beispiel die Postbank bietet oder neuerdings auch die Volks- und Raiffeisenbanken. Die ist sehr sicher, weil sie dem Bankkunden eine gute Kontrolle darüber bietet, wofür die TAN benutzt wird. Ich bekomme zusammen mit der TAN die Details der Überweisung, für die sie gültig ist, auf dem Handy angezeigt, kann das dort noch einmal prüfen und autorisiere die Transaktion, indem ich den Code eingebe."
Doch auch bei den Handy-Lösungen müsse man genau hinschauen, warnt Türpe.
"Es gibt aber auch Lösungen, die technisch einfach der TAN-Liste entsprechen. Wo man sich also auf Vorrat TANs aufs Handy schicken lassen kann - die sind dann genau so unsicher wie das herkömmliche TAN-Verfahren."
Doch das Ganze hat aus Sicht von Verbraucherschützer Pauli auch noch einen anderen Haken: Die TANs werden per SMS an die Kunden verschickt. Das verursacht Kosten, die auf die Konsumenten umgelegt werden.