http://www.faz.net/-gv6-9448j

Onlinebanking : So bleibt Online-Banking sicher

Onlinebanking funktionierte früher per Tan-Liste, heute eher mit Tan-Generator oder mTan übers Handy. Bild: dpa

Die Meldungen über Sicherheitslücken im Onlinebanking häufen sich. Statt in Panik zu geraten, sollten sich die Kunden an einfache Regeln halten. Dann bleiben Bankgeschäfte im Internet sicher.

          In Deutschland werden am Tag rund 17 Millionen Überweisungen ausgeführt. Darunter findet sich alles mögliche: die Miete, die Begleichung eines Kredites oder das Bezahlen der Rechnung für das Auffüllen des Öltanks. Da immer mehr Bankfilialen schließen und die Wege für die Menschen selbst für einfachste Bankgeschäfte länger werden, nutzen viele mittlerweile das Internet, um ihre Bankgeschäfte zu erledigen – etwa jeder Zweite. Das geschieht vom heimischen Rechner aus, aber auch immer häufiger vom Smartphone oder einem Tablet-Computer.

          Franz Nestler

          Redakteur in der Wirtschaft.

          Markus Frühauf

          Redakteur in der Wirtschaft.

          Und genauso, wie die Nutzung zugenommen hat, genauso gibt es immer wieder Meldungen, dass „Tausende“ Bankkunden Opfer von Hacker-Attacken wurden – also sich ein unbefugter Dritter Zugang zum eigenen Konto verschafft hat. Im aktuellen Fall haben zwei Forscher aus Erlangen es geschafft, Sicherheitssperren zu überwinden und sich so Zugriff auf fremde Konten zu verschaffen – Testkonten, wohlgemerkt. Ein Dritter wurde nicht geschädigt.

          Und hier fängt die Debatte an, kompliziert zu werden, weil ebenso viel durcheinandergeworfen wird. So ist der aktuelle Fall kein Hacking-Angriff, sondern ein Forschungsprojekt. Eines, für das geübte Hacker trotz Anleitung mehrere Monate brauchen würden, wie sie selbst gegenüber der „Süddeutschen Zeitung“ sagen.

          Hacking ist nicht gleich Phishing

          Die meisten sonstigen Hacking-Attacken sind außerdem gar keine: Der Fachbegriff lautet „Phishing“. Dieses „Phishing“ ist die beliebteste Methode unter Kriminellen und steht für ein Kunstwort aus den englischen Wörtern für Passwort und fischen und kann mit Passwortfischen übersetzt werden. Und genau das ist es auch: Die Kriminellen schicken eine fingierte E-Mail und geben sich als Bank aus. Als Kunde soll man dann seine Daten auf einer ebenfalls gefälschten Internetseite eingeben. Nur: Die Hausbank würde niemals nach den Zugangsdaten oder anderen sensiblen Daten fragen, weswegen diese Mails bei klarem Menschenverstand auch sehr schnell als Fälschungen entlarvt werden könnten.

          Grundsätzlich hat man bei fast allen Banken Zugangsdaten für das Konto. Außerdem muss der Nutzer jede Überweisung autorisieren. Dies geschieht mit Hilfe einer Transaktionsnummer (Tan). Das Ganze nennt man Zwei-Wege-Authentifizierung. Daher müssen auch die Hacker auf beide Verfahren Zugriff haben. Die Daten auf dem Computer werden mit Hilfe eines bösartigen Schadprogramms abgefangen, eines sogenannten Trojaners. Doch schon davor kann man sich mit einfachen Mitteln schützen. Das eine ist, immer einen aktuellen Virenscanner auf dem Rechner zu haben. Außerdem sollte man bei Mails von unbekannten Absendern vorsichtig sein und nicht die Anhänge sofort öffnen. Ähnliches gilt für unbekannte Internetseiten.

          Bild: F.A.Z.

          Wesentlich technischer und auch komplizierter gestaltet sich für die Kriminellen der Zugriff auf die Tans. Früher gab es lediglich Tan-Listen. Diese wurden per Post versandt, und der Kunde musste einfach nur eine beliebige Nummer bei jeder Überweisung von der Liste eingeben. Selbst die Nachfolgelisten, bei denen nicht mehr eine beliebige Nummer, sondern eine bestimmte angegeben werden musste, sind kaum noch zu finden.

          Tan nicht auf demselben Gerät erzeugen wie die Überweisung

          Abgelöst wurde dieses Verfahren durch die mTan. Das m steht für mobil. Zur Bestätigung der Online-Überweisungen werden SMS ans Handy gesandt. Und in der Tat, nach der Einführung gingen die erfolgreichen Phishing-Versuche stark zurück. Doch mittlerweile haben sich die Kriminellen auf das neue Verfahren eingestellt, wie das Bundeskriminalamt kürzlich mitteilte. Der Zugriff auf die Telefone kann über mehrere Wege erfolgen. Zum einen können Kriminelle einen Trojaner einschleusen und so die Kontrolle über das System übernehmen.

          Was im aktuellen Fall geschehen ist, ist noch nicht nachvollziehbar. Betroffen sein sollen 31 Finanz-Apps, unter anderem auch der Commerzbank und der Stadtsparkassen. Alle Programme dieser Banken greifen auf denselben Dienstleister zurück, Promon. Und irgendwie ist es den Forschern gelungen, diesen im Hintergrund zu überlisten. Wie genau, das wollen die Forscher erst zum Jahresende auf einem Kongress bekanntgeben, nachdem die vermeintlichen Sicherheitslücken geschlossen wurden. Die Sicherheitslücke kann übrigens nur ausgenutzt werden, wenn Tan-Programm und Banking-App auf demselben Telefon installiert sind.

          Weitere Themen

          Das bringt der Freitag

          Die Agenda : Das bringt der Freitag

          Der EU-Gipfel berät über die Brexit-Verhandlungen und eine Stärkung der Eurozone. Die SPD entscheidet über eine Regierungs-Sondierung mit der Union. In Nürnberg findet der CSU-Parteitag statt. Der Aufsichtsrat entscheidet über einen Eröffnungstermin für den BER.

          Topmeldungen

          Überbewertete Aktie : Was ist Tesla wirklich wert?

          Der Hype um den Autobauer Tesla ist riesig. Kleinste Nachrichten bewegen die Öffentlichkeit wie sonst bei kaum einem Unternehmen. Doch was ist Tesla eigentlich wirklich wert? Nichts, sagt jetzt ein bekannter Leerverkäufer.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.