weather-image
18°

Eine sichere Nummer

TAN-Liste, SMS, App: Die Banken und Sparkassen bieten verschiedene Systeme an, um ihr Onlinebanking gegen Betrüger zu schützen.  Doch welches ist das beste für die Verbraucher? Ein Überblick.

Onlinebanking_chipTA_44156189

Die Überweisungsträger in Papierform waren gestern, Onlinebanking ist heute: Laut dem Branchenverband Bitkom erledigt die Mehrheit der Deutschen (42 Millionen) ihre Bankgeschäfte mittlerweile am Computer oder sogar am Smartphone. Und sie sind damit offenbar sehr zufrieden: 89 Prozent finden demnach das Onlinebanking leicht zu handhaben. Aber ist es auch sicher?

Das Bundeskriminalamt (BKA) veröffentlicht Jahr für Jahr Zahlen zum Betrug beim Onlinebanking. Aus ihnen geht hervor, dass es im Jahr 2016 insgesamt 2175 Fälle von Phishing gab – dabei entlocken Hacker den Bankkunden mit gefälschten Mails die Zugangsdaten zum Konto. Noch 2015 zählte das BKA aber 4500 Fälle. Der Schaden lag 2015 bei rund 18 Millionen Euro, im vergangenen Jahr war er noch halb so hoch. Pro Fall erbeuteten die kriminellen Hacker im Schnitt 4000 Euro.

Die Menschen sind aufmerksamer geworden, auf Phishing-Mails fällt man nicht mehr so leicht herein. Aber auch die Sicherungssysteme der Banken sind deutlich besser geworden. Diente früher hauptsächlich die TAN-Liste zur Bestätigung einer Überweisung, wird heutzutage meist der TAN-Versand per SMS genutzt. Die Hacker müssen sich also zu gleich zwei Geräten Zugang verschaffen: zu den Log-in-Daten auf dem Computer und zur TAN auf dem Smartphone. Auch das können Hacker schaffen. Es wird ihnen aber wesentlich schwerer gemacht. Die Banken nutzen verschiedene Verfahren – aber welches ist das beste für die Verbraucher? Ein Überblick:

 

TAN-Liste: Die Abkürzung TAN steht für Transaktionsnummer. Als es mit dem Onlinebanking in den Neunzigerjahren losging, verschickten Banken an ihre Kunden Papierlisten mit TAN, die der Kunde bei einer Überweisung eingeben musste. „Dieses Verfahren wird kaum noch genutzt und ist sehr unsicher“, sagt Ronald Eikenberg vom Computermagazin „c’t“. Denn schon wenn der Bankkunde eine einzige TAN auf einem betrügerischen Portal eingibt, kann der Hacker damit eine Überweisung tätigen.

 

iTan: Die iTAN (indizierte Transaktionsnummer) ist die Weiterentwicklung der TAN. Die Zahlen werden immer noch auf Papier aufgelistet, vor jeder steht aber eine Nummer. Bei einer Transaktion wird der Benutzer aufgefordert, eine bestimmte TAN auf der Liste einzugeben. Das erhöht die Sicherheit etwas. Dennoch ist Eikenberg nicht überzeugt: „Das Verfahren ist veraltet. Es wird auch kaum noch angewendet.“

 

mTan: Hier schickt die Bank die Transaktionsnummer per SMS auf das Handy, nachdem man Überweisungsdaten eingegeben hat. Die Nummer gilt nur für wenige Minuten und nur für eine Transaktion. Dieses Verfahren ist im Moment am weitesten verbreitet, wurde deshalb aber auch schon von Hackern angegriffen. Es gilt trotzdem als relativ sicher, solange nie ein und dasselbe Gerät für Onlinebanking und SMS-TAN benutzt wird und „man sich keinen Trojaner aufs Smartphone holt“, wie Eikenberg sagt. Denn eine solche Schadsoftware kann die mTAN abfangen. Um sich vor Trojanern auf dem Handy zu schützen, sollten Android-Nutzer Apps nur vom offiziellen Appstore Google Play herunterladen, rät der IT-Sicherheitsexperte. Bei iPhone-Nutzern ist das sowieso nicht anders möglich. Außerdem sollte man keine unbekannten Anhänge aus E-Mails öffnen – und auch auf dem Smartphone einen Virenscanner installieren.

TAN-Generator: Es gibt verschiedene Versionen von TAN-Generatoren. Bei den meisten muss der Bankkunde seine EC-Karte in ein batteriebetriebenes Lesegerät stecken. Bei einer Überweisung erzeugt das Gerät eine Nummer, die der Kunde dann am Computer eingeben muss. Dieses Verfahren ist sehr sicher, „aber auch umständlich“, sagt Eikenberg.

 

Photo-TAN: Näher an der Zukunft ist die Photo- oder QR-TAN. Dafür muss sich der Bankkunde eine bestimmte App auf sein Smartphone installieren. Wird am Computer eine Überweisung getätigt, erscheint auf dem Bildschirm ein Bild aus bunten Punkten, das der Nutzer mit seinem Smartphone abfotografieren muss. Daraufhin wird eine TAN erzeugt. Diese gibt der Bankkunde dann am Computer ein und bestätigt damit die Transaktion. Auch bei diesem Verfahren können allerdings Trojaner zum Problem werden, warnt Eikenberg. Ihm sind Fälle bekannt, bei denen ein Trojaner auf dem Computer das Überweisungsziel und die Summe geändert hat: „Nutzer dieses Systems sollten vor dem Bestätigen unbedingt genau die Daten kontrollieren.“

 

Push-TAN: Dieses System hält Sicherheitsexperte Eikenberg für das Modernste – auch weil es Onlinebanking mit einem einzigen Gerät möglich macht. Mit dem Push-TAN-Verfahren können Bankkunden unterwegs mit dem Smartphone eine Überweisung in Auftrag geben und sie auch per Smartphone bestätigen. Möglich wird das durch zwei verschiedene Apps: eine für das Onlinebanking und eine für die Push-TAN. Hat der Nutzer im Onlinebanking-Bereich einen Auftrag veranlasst, wechselt er zur Push-TAN-App. Dort wird eine Nummer generiert, die er dann im Onlinebanking-Bereich eingibt. „Die Push-TAN-App ist über ein langes Passwort geschützt, falls das Handy geklaut wird“, erklärt Eikenberg. Außerdem erkennt sie Trojaner und warnt den Nutzer. „Das System ist technisch komplizierter, aber bisher sicher.“ Das Verfahren verursacht den Banken außerdem keine Kosten – im Gegensatz zur mTAN, bei der die Banken für die SMS zahlen müssen, wenn sie die Kosten nicht an den Kunden weitergeben.

"Die Push-TAN-App ist derzeit  wohl das modernste Sicherungsverfahren."

4000 Euro erbeuten Betrüger durchschnittlich  bei einem Angriff aufs Onlinebanking.


Von Anne Grüneberg
Weiterführende Artikel
    Kommentare