Anzeige

Sicheres Online-Banking – so geht‘s

Modernes Online-Banking funktioniert nicht mehr mit einfachen TAN-Listen, sondern setzt geeignete Hardware voraus. ©Postbank

Online-Banking ist an sich für alle Beteiligten eine praktische Sache. Um jedoch Kriminelle daran zu hindern die Konten zu plündern, gilt es einige Dinge zu beachten. Neuere Verfahren sollen Online-Transaktionen besser vor kriminellen Machenschaften schützen. Bankkunden können aber auch selbst etwas zu ihrem Schutz tun. Wir geben einen Überblick.
Banken wiederholen gebetsmühlenartig, das Online-Banking sei sicher. Das wäre es auch, gäbe es nicht Phishing-Angriffe und spezialisierte trojanische Pferde. Das vor mehr als zehn Jahren eingeführte PIN-/TAN-/iTAN-Verfahren gilt inzwischen als so unsicher, dass die meisten Banken es durch neuere Verfahren ersetzt haben oder dies in den nächsten Monaten tun werden. Gedruckte TAN-Listen (Transaktionsnummern) haben also ausgedient.
Die neueren Verfahren nutzen entweder Zusatzgeräte wie Chip-Kartenleser oder TAN-Generatoren oder setzen darauf, dass fast jeder ein Mobiltelefon besitzt. Letzteres dient als zweiter, unabhängiger Kanal zur Übermittlung einer TAN, der so genannten mTAN oder smsTAN. Sie wird per SMS zugestellt, gilt nur wenige Minuten lang und nur für eine bestimmte Transaktion. Dabei werden zur Kontrolle auch Empfängerkonto und Betrag übermittelt.
Für das Online-Banking mit dem Smartphone (Mobile-Banking) ist das mTAN-Verfahren meist nicht verfügbar, da hier der zweite, unabhängige Kanal fehlt. Es sind bereits auf das mTAN-Verfahren spezialisierte Schädlinge gesichtet worden. Sie infizieren zunächst den PC und verleiten den Benutzer dann unter einem Vorwand dazu sich einen Mobilschädling auf das Smartphone zu laden. Damit sind beide Kanäle verseucht und die Täter können die Überweisungen manipulieren.

Flicker-Codes

Modernere TAN-Verfahren nutzen einen TAN-Generator, der eine numerische Tastatur enthält. Der Kunde steckt seine Bankkarte in das Gerät und gibt über die integrierte Tastatur einen von der Bank erzeugten Code und die Überweisungsdaten ein, die im Browser-Fenster angezeigt werden. Dann generiert der Chip auf der Bankkarte eine sechsstellige TAN, die auf dem Display erscheint. Sie ist nur kurze Zeit und nur für diese eine Transaktion gültig.
Um Fehleingaben zu vermeiden, kann der Bank-Server im Browser-Fenster auch eine schwarz-weiße Animation anzeigen, in der die Überweisungsdaten kodiert sind. Bessere Chip-Geräte verfügen über Fotozellen, die diesen Flicker-Code erfassen, wenn man das Gerät vor den Monitor hält. Manche Geräte können das sogar bei Smartphone-Displays.
HBCI und HBCI+
Das bereits länger einsetzte HBCI-Verfahren (Home Banking Computer Interface) mit Chip-Kartenleser gilt hingegen noch immer als sicher, sofern das Gerät eine Tastatur zur PIN-Eingabe enthält. Zusammen mit einer Homebanking-Software vermeidet das Verfahren auch die Angriffspunkte Web-Browser und Router, da Software und Bank-Server über ein spezielles Protokoll kommunizieren.
Der Bankkunde signiert jede Überweisung mit seinem auf der Chip-Karte gespeicherten geheimen Schlüssel. Der Vorgang erfolgt im Chip auf der Karte und ist daher nicht manipulierbar. Eine TAN wird dabei nicht benötigt, der Kunde muss sich jedoch durch Eingabe seiner PIN in das Gerät autorisieren. Das Verfahren ist auch unter dem Namen FinTS HBCI (Financial Transaction Services) bekannt.
Die als HBCI+ oder "FinTS PIN/TAN" bezeichnete Variante kommt hingegen ohne Chip-Karte aus und nutzt die herkömmlichen TAN-Listen. Es ist daher trotz "+" im Namen eher ein Rückschritt, um die Kosten für das Lesegerät zu sparen.
Perspektive: Secoder
Auf breiterer Basis soll in naher Zukunft ein verbessertes HBCI-Verfahren eingeführt werden, das mit einer neuen Generation von Chip-Kartenlesern arbeitet, die als Secoder bezeichnet werden. Die Geräte verfügen über ein Display und ein Tastatur. Die Benutzer-PIN muss über diese Tastatur eingegeben werden und das Display zeigt die Transaktionsdaten an. Die neueste Secoder-Generation soll auch den neuen Personalausweis (nPA) unterstützen.

BestSign mit Seal ONE USB

Die Postbank hat ein Verfahren namens BestSign eingeführt, bei dem digitale Signaturen über einen speziellen USB-Stick erzeugt werden. Dieser Sicherheits-Token der Seal One AG verfügt über ein Display sowie eine Bestätigungstaste und enthält einen Krypto-Chip, die nötige Software sowie das Schlüsselpaar für die verschlüsselte Kommunikation mit dem Bank-Server.
Der Kunde ruft zunächst wie gewohnt die Website der Bank im Browser auf und gibt seinen Überweisungsauftrag ein. Dann schließt er den Token an. Der USB-Stick zeigt die Transaktionsdaten an, die der Bank-Server verschlüsselt sendet. Wenn der Benutzer nach der Überprüfung der Daten die Bestätigungstaste drückt, schickt das Gerät den signierten Auftrag an die Bank.
Lesen Sie auf der nächsten Seite:
Vorherige Seite
Seite 1 von 2
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

- Anzeige -
PC-WELT Specials
Angebote für PC-WELT-Leser
PC-WELT Onlinevideothek

PC-WELT Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Tarifrechner
Der PC-WELT Preisvergleich für DSL, Strom und Gas. Hier können Sie Tarife vergleichen und bequem viel Geld sparen.

PC-WELT Sparberater
Das Addon unterstützt Sie beim Geld sparen, indem es die besten Angebote automatisch während des Surfens sucht.

Telekom Browser 7.0

Telekom Browser 7.0
Jetzt die aktuelle Version 7 mit neuem Design und optimierter Benutzerführung herunterladen!

- Anzeige -
Marktplatz
Amazon

Amazon Preishits
jetzt die Schnäpchen bei den Elektronikartikel ansehen! > mehr

UseNext

10 Jahre UseNeXT
Jetzt zur Geburtstagsaktion anmelden und 100 GB abstauben! > mehr

1119704
Content Management by InterRed