Online Banking – Die unterschiedlichen Verfahren und ihre Sicherheit

Die TAN-Methode zur Erzeugung von einmaligen Passwörtern existiert schon seit vielen Jahren. Mittlerweile ist das Angebot an verschiedenen Verfahren allerdings nahezu unüberschaubar geworden. Welche von ihnen auf dem aktuellen Stand der Sicherheitstechnik sind, zeigt dieser Artikel.

Fast die Hälfte aller Bundesbürger nutzt Onlinebanking. Doch die verschiedenen, von den Banken angewandten Verfahren zu Absicherung der Geldgeschäfte werden immer wieder durch Kriminelle umgangen, oft zum Schaden der Bankkunden, welcher sich in Deutschland pro Jahr insgesamt auf einen zweistelligen Millionenbetrag summiert – mit steigender Tendenz.

Bei der aktuellen Vielzahl von angebotenen Authentifizierungsverfahren verliert man leicht schon den Überblick: TAN, iTAN, eTAN, eTAN-Plus, mTAN, Smart-TAN, Smart-TAN plus, Chip-TAN, Captcha-TAN, USB-Stick-TAN, Fotohandy-TAN, Scheckkarten-TAN… Nun, aktuell empfohlen wird unter anderem das Chip-TAN- beziehungsweise Smart-TAN-Verfahren, welches hier vorgestellt werden soll:

Chip-TAN- / Smart-TAN

Das Verfahren wurde 2005 entwickelt und gilt überwiegend als sicher
vor einem Zugriff durch Trojanerprogramme, welche sich in die Verbindung
zwischen Bank und Kunde einschleichen und gesendete und empfangene
Daten mitlesen und manipulieren können. Vor allem Volksbanken,
Raiffeisenbanken und Sparkassen bieten jenes System an, das zentral über
ein externes Gerät (welches der Kunde meist selbst kaufen muss)
gesteuert wird.

Die für Überweisungen nötigen TANs werden im Chip-TAN-/
Smart-TAN-Verfahren erst während der einzelnen Überweisung generiert.
Hierzu dient der spezielle TAN-Generator, der neben dem Lesegerät über
ein Display und eine Minitastatur verfügt.

Mit der eigenen in das Gerät eingesteckten Bankkarte wird das Verfahren aktiviert. Der Generator liest die Kartendaten aus und erzeugt eine individuelle TAN für jede Transaktion, die der Nutzer optisch ablesen kann. Über einen mehrstufigen Anzeige-Eingabe-Mechanismus, in Kommunikation mit dem PC, wird die Transaktion abgewickelt. Später zeigt der Generator nochmals und zur Überprüfung auf mögliche Manipulationen alle Überweisungsdaten an.

So sicher dieser Ablauf ist, es wird nur eine Frage der Zeit sein, bis auch in ihm Schlupflöcher entdeckt werden, welche es prinzipiell unsicher machen. Die Investition in ein Lesegerät erscheint dennoch sinnvoll – vergleicht man den Aufwand mit möglichen Schäden durch betrügerische Software. Denn auch hier boomt das "Geschäft". Im Phishing-Bereich (Angriffe über manipulierte Email-Anhänge, derzeit das beliebteste Instrument der Netz-Kriminellen) beläuft sich der Anteil von Banking-Angriffen auf über zwei Drittel aller Phishing-Versuche.

Man sollte sich von Negativbeispielen und Risiken zwar nicht abschrecken lassen, doch auch nicht allzu unbedacht Online-Banking betreiben. Denn juristisch liegt die Haftung seitens der Bank, so lange dem Geschädigten keine grobe Fahrlässigkeit zur Last gelegt werden kann. Bevorzugt der Kunde jedoch eine gefälschte Website seiner Bank, zumal er eigentlich gerade gar keine Transaktionen tätigen will und missachtet so offensichtliche Indizien, die auf kriminelle Hintergründe schließen lassen, dann liegt – wie der Bundesgerichtshof 2012 zugunsten einer beklagten Bank entschieden hat – eine offenbare grobe Fahrlässigkeit vor.