Ratgeber
Video

Bezahlverfahren im Sicherheitscheck: Tipps für sicheres Online-Banking

Jeder zweite Deutsche erledigt seine Bankgeschäfte online. Das heißt aber auch: die Hälfte lässt die Finger davon. Und spätestens seit der NSA-Spähaffäre fühlen sich bestimmt viele von Ihnen in Ihrem Verhalten bestätigt. Denn das bisher als sicher gepriesene "mTan"-Verfahren wurde auch schon geknackt. Welches Verfahren ist also wirklich sicher?

200.000 Euro in Hessen, 182.000 Euro in Hamburg, 125.000 Euro in Emden - das alles haben Bankräuber jüngst erbeutet. Von den Tätern fehlt jede Spur, denn: die Verbrecher haben nicht mit einer Pistole bewaffnet Filialen gestürmt, sondern die Konten online geknackt. Es wurden die Zugangsdaten ausgespäht und die Konten leer geräumt - das Geld der Online-Banker ist jetzt weg.

Tipps gegen Online-Kriminelle

Wir treffen uns mit einem professionellen Hacker, Götz Schartner. Er hilft Banken, ihre Sicherheitslücken zu schließen. Das große Abräumen ist für ihn keine Überraschung: "Die meisten Angriffe gibt es natürlich auf die Verfahren, die auch am häufigsten verwendet werden und die tatsächlich auch Sicherheitslücken haben, also potentielle Angriffspunkte. Und in dem Fall ist es zur Zeit das SMS Tan Verfahren, es gibt hier Angriffspunkte, es wird am häufigsten verwendet und damit ist es ganz klar im Visier der Kriminellen."

Die Masche: Die Betrüger spionieren den Computer der Bankkunden aus und kommen so an das Passwort fürs Online Banking. Über eine zweite SIM-Karte fischen die Hacker dann zusätzlich die per SMS verschickten TAN Nummern ab. Der Weg zum Geld ist damit frei. Sind wir bei den Banken überhaupt noch sicher?

"Natürlich sagen die Banken, dass ein Kunde bei Ihnen sicher ist und das stimmt natürlich auch. Das Online-Banking Verfahren einer Bank wurde ja nicht geknackt, es wurde immer der Computer der Online-Banking Kunden geknackt oder das Verhalten der Nutzer, weil die nicht aufgepasst haben.", erläutert Götz Schartner.

Wichtig es ist, den eigenen Rechner zu schützen. Daher Götz Schartners Tipp: "...bitte eine gute professionelle Anti-Viren Software verwenden. Die kostenfreien Versionen, die zwar immer hoch gelobt werden, bieten in der Regel keinen ausreichenden Schutz. Das sieht man auch an den Statistiken, wer von Online-Banking-Betrügereien betroffen ist. In der Regel sind das die Nutzer kostenfreier Programme."

Wenn kein aktuelles Anti-Viren Programm auf dem gehackten PC installiert ist, hat der geschädigte Bankkunde keinen Anspruch auf den geklauten Betrag. Der beste Schutz vor Angriffen ist also ein sicherer PC und eine sichere Überweisungmethode. Denn das Experiment mit Götz Schartner hat gezeigt, wie leicht man Handy und PC manipulieren kann.

Online-Zahlungsmethoden im Sicherheitscheck

Welche Methode ist aber überhaupt noch sicher? Jörg Geiger von der Computerzeitschrift chip hat's ausprobiert: "Die TAN-Listen waren vor Jahren ein recht praktisches Mittel für Online-Banking, mittlerweile hat man festgestellt, dass er verschiedene Sicherheitsprobleme gibt und auch viele Angriffe, wie man diese TANS klauen kann." TAN-Listen sind also nicht mehr zeitgemäß. Das Sicherheits-Urteil daher: sehr unsicher.

Die beliebste Online-Banking Methode der Deutschen sind - wie schon gezeigt - Überweisungen mittels mobiler TAN (MTAN). Aber genau deshalb wird das Verfahren auch so häufig angegriffen. Sind die Sicherheitslücken hier also zu groß? "Grundsätzlich ist M-Tan ein sicheres Verfahren, die Angriffe sind immer noch relativ aufwendig um es zu knacken. Also so eine SIM-Karten Kopie kriegt man nicht an jeder Ecke. Also Grundsätzlich muss man die m-Tan nicht sofort wegschmeißen, aber man sollte wissen, dass es nicht alles zu 100 Porzent wasserdicht.", erklärt Jörg Geiger. Sicherheits-Urteil für das mTAN-Verfahren: Praktisch aber unsicher. Deshalb der Experten-Tipp: Ist das Handy weg, sofort die Sim-Karte sperren und unbedingt mit einem Code sichern.

Das Sicherheitsrisiko Handy umgeht man mit TAN-Generatoren. Aber Vorsicht: die älteren Geräte, die per Knopfdruck eine TAN erzeugen, sind nicht mehr sicher. Es gibt mittlerweile bessere Alternativen. Tan Generatoren mit Tastatur, Display und Einschub für die Bankkarte. Mit dem Gerät fotografiert man einen sogenannten Flickercode vom Bildschirm ab. Der Generator wandelt das Bild in Überweisungsdaten um. Nachteil: Die Geräte kosten zwischen 10 und 15 Euro. "Das Plus an Sicherheit erreicht man bei diesen Chip-Kartenlesern dadurch, dass sie wirklich nur fürs Online-Banking da sind, sprich man installiert da keine APPS drauf, da ist kein Browser drauf, die Dinger erzeugen nur TANS.", so Jörg Geiger. Das Sicherheits-Urteil daher: sicher.

Noch sicherer fürs Online Banking ist das Homebanking Computer Interface. Bei diesem Verfahren wird keine TAN erzeugt - sondern auf einer Chip-Karte liegt eine digitale Signatur. Dieser geheime Schlüssel ist wie eine Unterschrift auf einem Überweisungsformular.

"Die Nachteile sind, dass es aufwendig zu installieren ist, man braucht auch eine Software dafür, man kann nicht einfach Browser-Banking machen, Website von der Bank aufrufen und loslegen, sondern man braucht eine Software, die kostet Geld, auch die Kartenleser sind relativ teuer, man muss da etwa 50 Euro einplanen. Es deutlich aufwendiger, aber man kriegt halt wieder einen Tick mehr Sicherheit.", erklärt  Jörg Geiger. Das Sicherheits-Urteil hier folgerichtig: Ssehr sicher, aber kompliziert.

Fazit: Hombanking Computer Interface gilt momentan als das sicherste Verfahren beim Onlinebanking. Den besten Kompromiss aus Sicherheit und Komfort bietet das Flickercode-Verfahren. Das mTAN-Verfahren nutzen zwar viele, aber genau deshalb ist es ein beliebtes Ziel der Angreifer. Wer noch die ausgedruckte TAN-Listen verwendet, sollte also wechseln.

Quelle: n-tv.de