Onlinebanking-Verfahren

Wie eine Überweisung digital unterschrieben wird

auf einen Laptop liegen ein Smartphone, Geldschein, Münzen, Geldkarten und eine Tanliste

Nach Informationen des Branchenverbandes Bitkom nutzen über 28 Millionen Deutsche Onlinebanking. Bequem und schnell von Zuhause aus eine Überweisung tätigen, einen Dauerauftrag einrichten oder den Kontostand prüfen – dank modernster Technik kein Problem. Aber bei Bankgeschäften über das Internet gibt es ein paar Dinge, die man wissen sollte, um Risiken zu vermeiden.

Beim Onlinebanking greift man über eine Internetverbindung direkt auf den Bankrechner zu und kann seine Bankgeschäfte tätigen. Das funktioniert entweder über die Internetseite seiner Bank (sog. browserbasiertes Onlinebanking) oder über spezielle Onlinebanking-Programme (z. B. Wiso Mein Geld 2014, Lexware Quicken 2014, Star Finanz StarMoney 9.0). Bevor man loslegen kann, muss man sich bei der eigenen Bank jedoch zunächst für das Onlinebanking anmelden und das eigene Konto freischalten lassen. Nach der Anmeldung bekommt man innerhalb der nächsten Wochen postalisch den Zugang und ein Passwort zum Onlinebanking zugesendet.

Damit Bankgeschäfte über das Internet sicher sind und nicht manipuliert werden können, treffen Banken verschiedene technische und organisatorische Maßnahmen. Dazu gehört neben der persönlichen Anmeldung bei seiner Bank und dem Freischalten des Onlinebankings auch, eine Form der Autorisierung für Internet-Transaktionen zu wählen. Dies soll sicherstellen, dass zum Beispiel Überweisungen oder Daueraufträge nur vom tatsächlichen Eigentümer des Kontos vorgenommen werden können. Für diese Autorisierung gibt es verschiedene Verfahren (Hierbei ist zu beachten, dass nicht jede Bank alle Onlinebanking-Verfahren anbietet):

Einfaches PIN/TAN-Verfahren

Bei der Durchführung von Transaktionen wird lediglich eine beliebige Transaktionsnummer (TAN) aus einer TAN-Liste benötigt, die der Nutzerin bzw. dem Nutzer regelmäßig von der eigenen Bank zugeschickt wird. Hier ist die Gefahr von Missbrauch hoch, beispielsweise durch Phishing.

iTan (indiziertes TAN-Verfahren)

Bei diesem Verfahren ist die TAN-Liste durchnummeriert. Um eine Transaktion durchführen zu können, wird eine bestimmte TAN aus der Liste benötigt. Ein Phishing-Erfolg wird damit unwahrscheinlicher, aber nicht unmöglich gemacht.

eTAN (elektronisches TAN-Verfahren)

Die Bankkundin oder der Bankkunde erhält von ihrer bzw. seiner Bank einen TAN-Generator. Möchte die Kundin oder der Kunde eine Transaktion vornehmen, wird seitens der Bank eine Kontrollnummer erzeugt. Diese Kontrollnummer gibt die Kundin oder der Kunde in seinen TAN-Generator ein. Dieser erzeugt für jede Transaktion eine neue TAN. Phishing-Angriffe werden dadurch nahezu unmöglich. Angriffe direkt auf den PC, wie über Trojaner und beim Pharming, sind aber weiterhin möglich.

eTAN plus

Hierbei bekommt die Kundin oder der Kunde einen TAN-Generator, der gleichzeitig ein Kartenlesegerät ist. Die Kundin oder der Kunde führt seine Bankkarte in das Lesegerät ein. Der auf der Karte gespeicherte geheime Schlüssel erzeugt in Verbindung mit der von der Bank generierten Kontrollnummer eine gültige Transaktionsnummer. Dieses Verfahren bietet auch Schutz vor Trojaner- und Pharming-Angriffen.

mTAN (mobiles TAN-Verfahren) oder smsTAN

Bei diesem Verfahren erhält die Bankkundin bzw. der -kunde die zu verwendende TAN per SMS direkt auf ihr bzw. sein Handy geschickt und kann sie dann eingeben. Diese TAN ist nur für die angeforderte Überweisung und nur für kurze Zeit gültig. Weil dieses Verfahren auf unterschiedlichen Übertragungswegen beruht, ist es relativ sicher. Eine Manipulation kann aber nie völlig ausgeschlossen werden. So ist ein Betrug möglich, wenn Computer und Smartphone infiziert sind. Bei diesem Verfahren sollte man auch auf keinen Fall die Onlinebanking-Seite mit demselben Gerät aufrufen, das auch die TAN empfängt. Denn sollte das Gerät, beispielsweise ein Smartphone, von einem Trojaner infiziert sein, könnten sowohl PIN als auch die TAN abgegriffen und für kriminelle Zwecke genutzt werden.

chipTAN

Für das chipTAN-Verfahren ist die Anschaffung eines zusätzlichen Geräts zum Preis von etwa 15 Euro erforderlich. Die Kundin oder der Kunde führt ihre oder seine Bankkarte in das Gerät ein und hält es anschließend vor den Computerbildschirm. Dort liest es von einem Muster blinkender Schwarzweißfelder die Auftragsdetails ab. Nach kurzer Zeit erzeugt das Gerät eine TAN zur einmaligen Verwendung für den entsprechenden Auftrag. Der TAN-Generator zeigt zudem auf seinem Display die wesentlichen Auftragsdaten an, wie sie bei der Bank vorliegen, sodass die Verbraucherin oder der Verbraucher hier eine weitere Kontrollmöglichkeit hat. Eine Manipulation durch Kriminelle ist sehr unwahrscheinlich. Bei Volksbanken heißt dieses Verfahren smartTAN.

HBCI-Verfahren

Beim HBCI-Verfahren (Home Banking Computer Interface) authentifiziert sich die Kundin oder der Kunde gegenüber der Bank mittels einer elektronischen Signatur. Hier wird mithilfe eines Kartenlesegeräts und einer Chipkarte (die zusätzlich anfallenden Kosten für die Anschaffung sollten beachtet werden), ähnlich wie beim Bezahlen mit Karte, eine Transaktion durchgeführt. Angriffe durch Phishing, Pharming und Trojaner sind nicht mehr möglich.

 

  • Beim einfachen PIN/TAN-Verfahren wird neben der Geheimzahl (PIN) irgendeine Transaktionsnummer (TAN) aus einer TAN-Liste benötigt. Die Methode ist sehr unsicher.

Dieser Artikel gibt den Sachstand zum Zeitpunkt der Veröffentlichung wieder. Datum: 1. Oktober 2014

Kommentare sind geschlossen.