Sicherheitstechniken beim Online-Banking

Aktuell existieren drei verbreitete Sicherheitstechniken beim Online-Banking:

PIN/TAN-System
Die meisten Anwender führen Ihre Online-Bankgeschäfte über die verschlüsselte Web-Seite Ihrer Bank durch. Gesichert werden die Transaktionen zudem über das PIN/TAN-System. Die PIN (Persönliche Identifikationsnummer) ist für den Login nötig. Eine TAN (Transaktionsnummer) muss der Anwender für jeden Online-Auftrag eingeben. Sie ist nur einmal gültig. Das System ist im Prinzip sicher, es sei denn, die Daten fallen in falsche Hände.

Das kann über die oben beschriebenen Angriffe geschehen – also durch Datenklau mit gefährlichem Code oder mittels Phishing.

Natürlich können die TANs auch in Papierform einem Dieb in die Hände fallen. Sollte ein Anwender etwa den Zettel mit seinen TANs in die Brieftasche stecken, um von unterwegs aus seine Bankgeschäfte zu erledigen, kann das gefährlich sein. Gelangt die Brieftasche in die falschen Hände, fehlen einem Angreifer nur noch die Bankverbindung und die PIN. Entsprechend sollte man die PIN niemals aufschreiben, sondern im Kopf behalten.

Einige Banken versuchen übrigens die Sicherheit des PIN/TAN-Systems zu erhöhen: Bei einer Transaktion schickt man zunächst eine TAN übers Internet an die Bank. Daraufhin sendet die Bank eine neue TAN per SMS auf das Handy des Kunden. Diese neue TAN ist dann nur für diese eine Transaktion gültig und das auch nur zeitlich begrenzt. Ein Dieb benötigt bei diesem System also zusätzlich noch das Handy des Opfers.

Chipkarte: HBCI
Die Alternative zum PIN/TAN-System ist HBCI (Homebanking Computer Interface). Es arbeitet mit einer passwortgeschützten Chipkarte. Der Vorteil: TANs sind hier nicht mehr nötig und können somit auch nicht gestohlen werden. Vorraussetzung für HBCI: Ihre Bank muss dieses System unterstützen und Sie brauchen einen Kartenleser. Wer auf HBCI setzt, sollte unbedingt eine Kartenleser der Klasse 2 nutzen. Diese Geräte verfügen über ein eigenes Nummernfeld für die Eingabe des Karten-Passworts. So verhindern Sie, dass ein Keylogger das Passwort ausspioniert, wie es bei Geräten der Klasse 1 möglich ist. Denn bei diesen muss das Passwort zur Karte über die Tastatur des PCs eingegeben werden.

Obwohl Online-Banking per HBCI tatsächlich mehr Sicherheit bringt, konnte sich das System in der Vergangenheit nicht durchsetzten. Denn nicht alle Banken boten HBCI an, die Kartenleser waren teilweise sehr teuer und es gab Treiberprobleme.

Ein neuer Standard könnte das aber ändern. Er heißt Fin-TS.

Weiterentwicklung: Fin-TS
Fin-TS steht für Financial Transaction Services. Dabei handelt es sich um eine Weiterentwicklung des in die Jahre gekommenen HBCI. Fin-TS ist ein Sicherheitsstandard, der wesentlich flexibler ist als sein Vorgänger. Viele Banken stellen demnächst ihr System auf Fin-TS um. Der Anwender merkt davon in vielen Fällen nichts, denn Fin-TS unterstützt auch Transaktionen über das PIN/TAN-System. Zusätzlich lassen sich über diesen Standard aber auch Transaktionen mit Chipkarten wie bei HBCI durchführen.

Fin-TS bringt zunächst mal einen Vorteil für die Banken. Sie müssen nun nicht mehr zwei getrennte Systeme - für PIN/TAN beziehungsweise HBCI – unterstützen, sondern nur noch Fin-TS implementieren. Das spart den Banken Kosten und steigert somit die Bereitschaft auch das Chipkatensystem anzubieten. Zudem besteht die Chance, das Fin-TS nicht nur in Deutschland eingesetzt wird, sondern auch in anderen Ländern Europas. Würde sich auf diese Weise der Markt vergrößern, würden auch die Preise für Chipkarten-Lesegeräte fallen. Und das ist dann ein Vorteil für den Anwender.

Wer sich für die technischen Details von Fin-TS interessiert, findet umfangreich Infos auf dieser Seite.