30. November 2005 Banken, Sparkassen und Volksbanken stehen derzeit unter Druck. Die kritischen Stimmen zur Sicherheit des herkömmlichen Verfahrens beim Online-Banking am Computer mit Persönlicher Identifikationsnummer (Pin) und Transaktionsnummer (Tan) werden immer lauter. Nach mehreren Wellen sogenannter Phishing-E-Mails, deren Ziel das Ausspähen der Geheimzahlen ist, planen viele Institute offenbar einen Ersatz oder eine Verbesserung des Verfahrens.
Am Dienstag abend demonstrierte ein Team von Computerspezialisten in der ARD-Sendung „Plusminus“, wie es für unbefugte Dritte möglich ist, sich bei der Postbank in laufende Überweisungsvorgänge auf elektronischem Weg einzuschalten und eine Überweisung über 51 Euro auf einen Betrag von 3000 Euro zu erhöhen und auf ein anderes Konto umzuleiten. Sie wählten dazu den Weg, die Festplatte des Bankkunden trotz Firewall und Virenschutz mit einem Schadprogramm (Trojaner oder Virus) zu infizieren. Mit dessen Hilfe schalteten sich die Computerspezialisten zwischen Bankkunde und Bank. Vom Bankkunden empfingen sie alle geheimen Daten. An die Bank gaben sie nahezu gleichzeitig die geänderten Überweisungsaufträge weiter - mit Erfolg.
Auf fragwürdige Mails nicht reagieren
Die Banken versichern, wenn der Kunde mit modernen Virenschutzprogrammen seine Festplatte sauber halte und auf E-Mails fragwürdigen Inhalts nicht reagiere, sei das Verfahren mit Pin und Tan in der Praxis relativ sicher. Die Taunus-Sparkasse etwa hatte vor kurzem den ersten Schadensfall in 15 Jahren. Gleichwohl denken viele Institute an Verbesserungen oder Änderungen des Verfahrens.
Die Postbank kündigte an, ihr Online-Banking mittelfristig auf die sogenannte digitale Signatur umstellen zu wollen. Wenn die Bundesregierung eine Chipkarte unterstütze, mit der man elektronisch unterschreiben könne, sei das der sicherste Weg. Die Karte solle zunächst als Gesundheitskarte getestet werden, danach könne man sie auch für das Online-Banking verwenden. Hoffnung der Postbank ist, daß diese Karte sich wegen der unterschiedlichen Nutzungsmöglichkeiten stärker durchsetzt als die vor einigen Jahren von mehreren Instituten eingeführte Chipkarte HBCI (“Home Banking Computer Interface“). Für beide Sorten Karten braucht man ein Lesegerät, das an den Computer angeschlossen wird.
Die Banken vermuten, daß sich die bisher angebotene Karte aus zwei Gründen nicht durchgesetzt habe: Zum einen bedeute es Kosten und Mühe, einen Kartenleser zu erwerben. Er kostet je nach Sicherheitsstufe 25 bis 90 Euro. Zum anderen erledigten viele Kunden ihr Online-Banking im Büro. Viele Firmennetzwerke erlaubten es jedoch nicht, daß man beliebige Zusatzgeräte mit Software an Firmenrechnern installiere. Auch in Internetcafes könne man sie nicht einsetzen. Bei der Deutschen Bank etwa nutzen nach Unternehmensangaben nur 70.000 von 2,5 Millionen Online-Banking-Kunden dieses Verfahren.
Umstellung des Tan-Verfahrens auf sogenannte iTan
Die Volks- und Raiffeisenbanken, die oft in Phishing-Mails vorkommen, wollen nach Angaben ihres Bundesverbands dieses Verfahren künftig stärker fördern. Bei der Frankfurter Volksbank hieß es, man gebe die Lesegeräte zum Selbstkostenpreis weiter. Die SEB AG verschenkt die Lesegeräte sogar an ihre Kunden. Sie war 1998 die erste, die mit dieser Art Online-Banking anfing. Zwei Drittel der vergleichsweise technikaffinen SEB-Kunden nutzten diese Möglichkeit mittlerweile.
Mehrere Banken und Sparkassen erwägen zumindest eine Umstellung des traditionellen Tan-Verfahrens auf sogenannte iTan: Hinter dieser Abkürzung verbirgt sich der Ausdruck „indizierte Transaktionsnummer“. Gemeint ist eine zusätzliche Sicherheitsvorkehrung, die es nicht mehr möglich macht, eine ausgespähte Tan für eine beliebige Transaktion einzusetzen; sie ist vielmehr auf eine bestimmte Buchung beschränkt. Phishing-Mails, bei denen man eine Tan auf einer gefälschten Internetseite angeben muß, sind bei diesem Verfahren keine Gefahr mehr.
Die Frankfurter Sparkasse und die 1822direkt setzen es bereits ein. Die Deutsche Bank will es Anfang nächsten Jahres einführen. Bei der Dresdner Bank denkt man darüber nach. 100 Prozent Sicherheit bietet es allerdings offenbar nicht: Auch die Postbank, deren Verfahren bei „Plusminus“ geknackt wurde, setzt iTan ein.
Bildmaterial: F.A.Z.
Preisabsprachen: Kaffeeröster müssen Kartellstrafe 
Ein fester Halt für alle Menschen: Johann Sebastian Bach zu Weihnachten
F.A.Z. Electronic Media GmbH 2001 - 2009 Medienpartner: NZZ Online
