591439

Online-Banking: Welche Technik ist die sicherste?

23.09.2019 | 08:03 Uhr | Roland Freist

Am 14. September trat die PSD2 in Kraft, eine neue Zahlungsrichtlinie der EU. Sie soll das Online-Banking und das Online-Einkaufen im Internet sicherer machen. Doch die Änderungen müssen auch richtig umgesetzt werden, damit sie funktionieren.

Im November 2018 wurden vier Männer aus Chemnitz verhaftet und in Untersuchungshaft gesteckt. Die Zentralstelle für Cybercrime Bayern in Bamberg wirft ihnen vor, sich in den Jahren zuvor mit gestohlenen Log-in-Daten Zugang zu den Konten von Sparkassen-Kunden verschafft zu haben. Über die Online-Banking-Plattform der Banken veranlassten sie eine Änderung des TAN-Verfahrens, die es ihnen oder bisher unbekannten Mittätern erlaubte, eigene Überweisungen zu tätigen. Insgesamt konnten sie auf diese Weise rund 1,1 Millionen Euro von den Konten abziehen. Die Sparkassen holten davon über einen Recall etwa 270.000 Euro wieder zurück, der Rest des Gelds ist verschwunden.

Dieser Vorfall zeigt, wie einfach der Computerbetrug per Online-Banking bislang war. Kriminelle Gruppen lockten Bankkunden mit Phishing-Mails auf gefälschte Websites, wo sie ihre Log-in-Daten eingaben. Mit den abgefangenen Kontonummern, Benutzernamen und Passwörtern meldeten sich die Kriminellen dann bei den echten Banken an und konnten in vielen Fällen Überweisungen auf ihre eigenen Konten veranlassen, ohne dass es zu weiteren Überprüfungen durch die Banken gekommen wäre. Doch damit soll jetzt Schluss sein.

2015 verabschiedete der Rat der Europäischen Union die überarbeitete Zahlungsdiensterichtlinie, kurz PSD2 (Payment Services Directive). Sie verlangt von den Banken, eine gute Zwei-Faktor-Authenfizierung zu nutzen und eine Schnittstelle für externe Zahlungsdienste einzurichten.

Online-Banking:   Fünf Banken im Vergleich

Zwei-Faktor-Authentifizierung wird fürs Transfers zur Pflicht

Auf den Seiten der Deutschen Bundesbank sind die Regelungen noch einmal zusammengefasst.
Vergrößern Auf den Seiten der Deutschen Bundesbank sind die Regelungen noch einmal zusammengefasst.

Vorgeschrieben ist jetzt eine Zwei-Faktor-Authentifizierung, und zwar nicht nur für Bank-Transaktionen, sondern auch für sämtliche Einkäufe im Internet. Die meisten Bankkunden kennen das bereits: Sie loggen sich mit Benutzernamen und Passwort auf der Website ihrer Bank ein und füllen dort beispielsweise ein Überweisungsformular aus. Damit das Geld dann jedoch tatsächlich transferiert wird, müssen sie noch eine mobile TAN (mTAN) anfordern, die ihnen per SMS an eine hinterlegte Mobilfunknummer geschickt wird. Ganz allgemein gesprochen, müssen laut den Vorschriften der PSD2 zukünftig sowohl beim Online-Banking wie auch beim Bezahlen im Internet zwei von drei Sicherheitsmerkmalen aus den Bereichen Wissen, Biometrie und Besitz abgefragt werden. Im beschriebenen Beispiel des Online-Banking mit mTAN ist das etwa die Eingabe von Benutzernamen und Passwort (Wissen) kombiniert mit dem Empfang der SMS auf dem eigenen Handy (Besitz). TAN-Listen, bei denen der Kunde für seine Überweisungen eine beliebige TAN für die Authentifizierung auswählte, und das iTAN-Verfahren, bei dem die Bank zur Eingabe einer bestimmten TAN aufforderte, sind ab dem 14. September nicht mehr zulässig.

Während sich für die meisten Banken nicht so viel ändert, müssen die meisten Online-Händler die zweistufige Authentifizierung erst noch in ihre Websites implementieren. Denn die bloße Eingabe etwa von Kreditkartendaten inklusive Prüfnummer (Besitz) ist ab dem 14. September nicht mehr ausreichend. Beim Bezahlen muss noch eine zweite Komponente hinzukommen, etwa die Abfrage eines Passworts (Wissen) oder eines biometrischen Merkmals.

Welches TAN-Verfahren bietet welche Bank an?

Comdirect

mobileTAN (kostenpflichtig), photoTAN, HBCI

Commerzbank

mobileTAN, photoTAN/QR-TAN, HBCI

Consors

chipTAN, mobileTAN

Deutsche Bank

mobileTAN (kostenpflichtig), photoTAN/QR-TAN, HBCI

DKB

chipTAN, pushTAN, HBCI

HypoVereinsbank

mobileTAN, pushTAN

ING DiBa

mobileTAN, HBCI

Norisbank

mobileTAN, photoTAN/QR-TAN, HBCI

Postbank

chipTAN, mobileTAN, pushTAN, HBCI

Targobank

mobileTAN, pushTAN, photoTAN

Die wichtigsten Online-Sicherheitsverfahren im Überblick

Aufgrund der Regelungen der PSD2 haben die Banken in den vergangenen Monaten andere Sicherheitsverfahren eingeführt.
Vergrößern Aufgrund der Regelungen der PSD2 haben die Banken in den vergangenen Monaten andere Sicherheitsverfahren eingeführt.

Wir stellen Ihnen im Folgenden eine Übersicht der aktuellen Sicherheitsverfahren vor und erläutern jeweils die Vor-und Nachteile der Methoden.

chipTAN:  Das chipTAN-Verfahren heißt bei manchen Banken auch smartTAN. Auf jeden Fall benötigt der Kunde einen TAN-Generator, ein externes Gerät. Zunächst gibt er am PC wie gewohnt die Daten etwa für eine Überweisung ein. Danach steckt er seine Girocard in den TAN-Generator, so dass dieser auf den Chip der Karte zugreifen kann. Dort wird anschließend die TAN berechnet. Nun gibt es zwei Varianten: Beim manuellen chipTAN-Verfahren (smartTAN-plus) müssen die Daten noch ein weiteres Mal am TAN-Generator eingetippt werden. Damit wird dann die TAN erzeugt, die der Kunde in das Formular am PC eingibt. Die Alternative ist das Verfahren chipTAN komfort (smartTAN optic). Sobald die Daten am PC eingegeben wurden, beginnt ein Bereich auf dem Monitor zu flickern (es blinken schwarz-weiße Klötzchen auf). Der Kunde hält nun seinen TAN-Generator vor den Monitor. Über einen Sensor liest der Generator die über das Flickern übertragenen Daten der Transaktion ein und zeigt sie auf seinem Display an. Sind sie korrekt, bestätigt der Kunde mit „OK“, das Gerät erzeugt eine TAN und zeigt sie an. Diese TAN muss nun auf dem PC in das Feld beim Online-Banking eingetragen werden.

Das chipTAN-Verfahren gilt technisch als sehr sicher, da zwei voneinander unabhängige Geräte eingesetzt werden und die erzeugte TAN lediglich einmal verwendet werden kann. Ganz ausschließen lässt sich ein Missbrauch allerdings nicht. Dazu muss der Kunde jedoch per Phishing oder über eine Schadsoftware auf eine gefälschte Online-Banking-Site gelockt werden.

chipTAN QR:  Das chipTAN-QR-Verfahren ist eine Variante von chipTAN komfort. Anstatt über das Flickern des Bildschirms werden die Daten über einen QR-Code übertragen, der nach dem Ausfüllen des Überweisungsformulars am PC eingeblendet wird. Der Kunde steckt seine Girocard in den Generator und liest damit den Code ein. Das Gerät erzeugt nun eine TAN, die am PC eingetippt werden muss.

chipTAN USB:  Bei diesem Verfahren wird der TAN-Generator per USB-Kabel an den PC angeschlossen. Über diese Verbindung werden sowohl die Überweisungsdaten an den Generator wie auch die TAN zurück an den PC geschickt. Der Kunde muss die TAN also nicht mehr manuell eintippen. Das Verfahren funktioniert allerdings nicht im Browser, sondern erfordert eine Online-Banking-Software wie etwa StarMoney , WISO Mein Geld , Lexware Finanzmanager etc. Das Programm muss zudem das chipTAN-USB-Verfahren unterstützen.

Von der Firma Reiner SCT kommt ein TAN-Generator für das bluetoothTAN-Verfahren. Allerdings muss die Banking-Software das auch unterstützen.
Vergrößern Von der Firma Reiner SCT kommt ein TAN-Generator für das bluetoothTAN-Verfahren. Allerdings muss die Banking-Software das auch unterstützen.

bluetoothTAN:  Eine weitere Variante des chipTAN-Verfahrens. BluetoothTAN funktioniert genauso wie chipTAN USB, allerdings erfolgt die Datenübertragung per Bluetooth-Funk. Der Kunde benötigt also einen TAN-Generator mit Bluetooth-Unterstützung, einen Bluetooth-fähigen Computer wie etwa ein Notebook, Smartphone oder Tablet, sowie eine Finanzsoftware, die das Verfahren unterstützt.

eTAN:  Auch dieses Verfahren setzt auf einen TAN-Generator. Der Kunde gibt zunächst im Browser auf dem PC die Transaktionsdaten ein. Die Banken-Website blendet daraufhin eine Kontrollnummer ein, die er in den TAN-Generator eintippt. Damit errechnet das Gerät eine TAN, mit der die Transaktion bestätigt wird. Weiter verbreitet ist mittlerweile allerdings das eTAN-Plus-Verfahren. Es ersetzt den TAN-Generator durch ein Kartenlesegerät, in das der Kunde seine Girocard einsteckt. Diese Karte enthält einen geheimen Code, aus dem zusammen mit der Kontrollnummer der Bank die TAN erzeugt wird.

Da beim eTAN-Verfahren immer eine Kontrollnummer der Bank benötigt wird, haben Phishing-Angriffe, bei denen der Kunde auf eine gefälschte Website gelockt wird, keine Chance.

HBCI:  Das Homebanking Computer Interface wurde 2002 eigentlich in FinTS (Financial Transaction Services) umbenannt, dennoch ist die alte Abkürzung weiterhin gebräuchlich. Um mit HBCI eine Überweisung vorzunehmen, benötigt der Kunde eine Chipkarte seiner Bank, einen Chipkartenleser und eine Finanzsoftware. Zunächst füllt er am PC das Überweisungsformular aus. Dann steckt er seine Chipkarte in das Lesegerät und identifiziert sich dort durch Eingabe einer PIN. Mit einer digitalen Signatur auf der Karte wird die Überweisung nun unterschrieben, zudem wird ein weiterer Code für die Verschlüsselung der Daten herangezogen. Die Berechnungen erfolgen jeweils im Chipkartenleser.

Das HBCI-Verfahren gilt als das sicherste Online-Banking-Verfahren. Einige zu Anfang bemängelte Schwachstellen wurden mittlerweile abgestellt. Die Nachteile des Verfahrens sind der mangelnde Komfort und die hohen Kosten, da eine spezielle Software-und Hardware-Ausstattung benötigt werden. Das bisher von einigen Banken eingesetzte HBCI-Verfahren mit einer Schlüsseldatei anstatt einer Chipkarte ist gemäß den Regelungen der PSD2 ab dem 14. September nicht mehr erlaubt.

PSD2: Was steckt hinter der neuen EU-Zahlungsdienstrichtlinie?

mobileTAN:  Die meisten Bankkunden kennen das mobileTAN-Verfahren, das oft auch als SMS-TAN oder mTAN bezeichnet wird. Der Kunde füllt auf der Website der Bank ein Überweisungsformular aus und bekommt anschließend eine SMS mit der TAN an eine hinterlegte Handynummer geschickt. Dort sind auch die Überweisungsdaten noch einmal aufgeführt. Nach Eingabe der TAN auf der Website wird die Überweisung freigegeben. Achtung: Einige Banken verlangen für die SMS eine Gebühr von rund 10 Cent.

Das Verfahren ist bei zahlreichen Banken im Einsatz. Wohl aus diesem Grund war es in den vergangenen Jahren immer wieder Ziel von Kriminellen. Sie installierten Trojaner, welche die Zugangsdaten des Kunden abfingen und eine gefälschte Website einblendeten, lasen die TAN mit einem Virus auf dem Smartphone aus oder sie verschafften sich eine Kopie der SIM-Karte, so dass sie die übertragenen TAN abfangen und für eigene Überweisungen nutzen konnten.

Die Volksbanken verkaufen oft spezielle TAN-Generatoren für das photoTAN-Verfahren, um einen farbigen Code vom PC-Monitor einzulesen.
Vergrößern Die Volksbanken verkaufen oft spezielle TAN-Generatoren für das photoTAN-Verfahren, um einen farbigen Code vom PC-Monitor einzulesen.

photoTAN:  Beim photoTAN-Verfahren blendet die Bank zum Bestätigen einer mit dem PC durchgeführten Transaktion einen farbigen Barcode ein. Der Kunde scannt diesen Code mit einer von der Bank gelieferten App auf seinem Smartphone oder einem speziellen Lesegerät. Daraufhin zeigt das Gerät die Überweisungsdaten an und generiert eine TAN, mit welcher der Kunde seine Überweisung bestätigt. Das Verfahren ist einfach, preiswert und vergleichsweise sicher, allerdings nicht vollständig gegen kriminellen Missbrauch gefeit. Falls der Betrüger die Log-in-Daten des Kunden in Erfahrung bringt, braucht er nur noch dessen Smartphone, um selbst Überweisungen vornehmen zu können. Zudem kann eine Schadsoftware auf dem Gerät die erzeugte TAN auslesen und an den Hacker übermitteln.

pushTAN:  Für das pushTAN-Verfahren benötigt man eine kostenlose Smartphone-App der Bank. Zunächst gibt der Kunde seine Überweisungsdaten über den Browser auf der Website der Bank ein. Direkt im Anschluss werden ihm die Daten noch einmal in der App angezeigt. Wenn er sie bestätigt, blendet die Software eine TAN ein, die er in den Browser eintippen muss. Der Kunde kann dabei auch einen Browser auf seinem Smartphone verwenden, es ist also nur ein Gerät erforderlich, um eine Überweisung zu tätigen. Dennoch gilt das Verfahren als sicher.

sm@rtTAN photo:  Der Kunde gibt seine Überweisungsdaten im Browser ein und steckt seine Bankkarte in den externen smartTAN-photo-Generator. Die Website der Bank blendet nun einen farbigen QR-Code ein, den er mit dem Generator scannt. Auf dem Display des Geräts erscheinen die Details der Überweisung. Der Kunde überprüft die Daten und bestätigt sie mit „OK“, daraufhin zeigt der sm@rtTAN-photo-Generator die TAN an. Der Kunde gibt den Code in das Überweisungsformular ein und drückt auf der Website noch einmal „OK“. Die TAN ist nur einmal und auch nur wenige Minuten gültig, das Verfahren wird als sicher eingeschätzt.

Fazit: Der Kassiker HBCI bietet die größte Sicherheit

Finanzsoftware wie WISO Mein Geld führt nicht nur Überweisungen aus, sondern bietet unter anderem auch umfassende Analysen der Ein- und Ausgaben an.
Vergrößern Finanzsoftware wie WISO Mein Geld führt nicht nur Überweisungen aus, sondern bietet unter anderem auch umfassende Analysen der Ein- und Ausgaben an.

Der Klassiker HBCI ist im Vergleich mit den anderen Methoden nach wie vor das sicherste Online-Banking-Verfahren. Allerdings ist es für den Kunden auch das teuerste. Er benötigt einen TAN-Generator und eine spezielle Software wie Lexware Finanzmanager oder WISO Mein Geld. Der Generator kostet in der Regel etwa 15 Euro, die Software zwischen 35 und 40 Euro pro Jahr – die Pakete werden nur im Abo angeboten. Anders als bei Internetbrowsern ist die Gefahr einer Attacke durch einen Online-Banking-Trojaner auf die Software verhältnismäßig gering, da es weniger mögliche Opfer gibt.

Etwas günstiger sind Verfahren wie chipTAN, eTAN oder sm@rtTAN photo, bei denen die Dateneingabe im Browser erfolgt. Durch die Verwendung eines externen TAN-Generators ist das Sicherheitslevel immer noch vergleichsweise hoch.

Verzichten sollten Sie – wenn möglich – auf mobileTAN, photoTAN und pushTAN. Alle drei sind zwar auch nach den Regeln der PSD2 noch erlaubt, bieten Hackern dennoch zu viel Angriffsfläche.

Die Themen in Tech-up Weekly #164:

► Vorsicht Falle: Steam-Nutzer verlieren alle Spiele: www.pcwelt.de/news/Achtung-Falle-So-verlieren-Steam-Nutzer-alle-Spiele-10648921.html

► Günstige Xiaomi-Smartphones jetzt offiziell in Deutschland:
www.pcwelt.de/news/Xiaomi-Geraete-jetzt-offiziell-in-Deutschland-10650879.html

---- WERBUNG ----

HÖLLENDEALS

► Gaming-PC Captiva G15AG 19V2:
bit.ly/2ZaKMe6

► Gaming-Notebook ASUS TUF Gaming FX705:
bit.ly/2P9r82v

► Asus Mainboards, RTX 2070/2080-Grafikkarten und mehr bei Caseking:
bit.ly/2H9S23H

► Asus Mainboards, RTX 2070/2080-Grafikkarten und mehr bei Alternate:
bit.ly/2HdEHrl

► Asus Mainboards, RTX 2070/2080-Grafikkarten und mehr bei Notebooksbilliger.de :
bit.ly/33MVWJt

►► Diese und weitere Deals zum Nachlesen auf pcwelt.de: www.pcwelt.de/hmxdeals


AMERICAN EXPRESS

► American Express Blue Card dauerhaft ohne Jahresgebühr und mit 25 Euro Startguthaben anfordern: bit.ly/2WFa0ov

► Apple Pay einrichten und kontaktlos mit dem iPhone bezahlen - so geht's: www.youtube.com/watch?v=n2zGL_TD1XY

---- WERBUNG ENDE ----

Quick-News:

► Matrix 4 offiziell angekündigt - mit Keanu Reeves und Moss: www.pcwelt.de/news/Matrix-4-offiziell-angekuendigt-mit-Keanu-Reeves-und-Moss-10650586.html

► Mastercard-Daten von 90.000 Kunden aus Deutschland gestohlen: www.pcwelt.de/news/Mastercard-Daten-von-90.000-Kunden-aus-Deutschland-gestohlen-10649628.html

► Magenta Gaming: Telekom Streaming-Dienst startet am 24. August: www.pcwelt.de/news/Magenta-Gaming-Spiele-Streaming-Dienst-der-Telekom-startet-am-24.-August-10649602.html

► Huawei erhält weitere 90 Tage Android-Gnadenfrist: www.pcwelt.de/news/Huawei-erhaelt-weitere-90-Tage-Android-Gnadenfrist-10648844.html

► Porno-Website leakt Daten ihrer Nutzer: www.pcwelt.de/news/Luscious-Porno-Webseite-leakt-Daten-ihrer-Nutzer-10650943.html

► Aldi-Notebook mit Core i5, SSD und Alu-Gehäuse günstig: www.pcwelt.de/news/Aldi-Notebook-mit-i5-SSD-und-Alu-Gehaeuse-ab-29.8.-10649124.html

Kommentar der Woche:

► FAQ UP #5: Dennis & Takis stellen sich EUREN Fragen - TEIL 1: www.youtube.com/watch?v=hqmC9esuY5I

Fail der Woche:

► Donald Trump: “I promise not to do this to Greenland!”: twitter.com/realDonaldTrump/status/1163603361423351808

► NULL-Kennzeichen sorgt für Chaos bei Verkehrsbehörde: www.pcwelt.de/news/Null-Kennzeichen-sorgt-fuer-Chaos-bei-Verkehrsbehoerde-10647057.html

► Zum PC-WELT T-Shirt-Shop:
www.pcwelt.de/fan

PC-WELT Marktplatz

591439