https://www.faz.net/-gv6-tlbk

Onlinebanking : Höchste Sicherheit noch immer nicht Standard

  • Aktualisiert am

Sicherer, aber nicht optimal: Beim M-Tan-Verfahren wird die Tan auf das Handy des Kunden gesendet Bild: picture-alliance/ dpa

Onlinebanking ist heute bei den meisten Banken selbstverständlich. Ebenso selbstverständlich sollte es sein, dass die Kreditinstitute dafür die sichersten Verfahren zur Verfügung stellen - aber die Realität sieht anders aus.

          Onlinebanking ist heute bei den meisten Banken selbstverständlich. Ebenso selbstverständlich sollte es sein, dass die Banken ihren Kunden dafür sichere Verfahren zur Verfügung stellen. Leider sieht das in der Realität noch anders aus: Im aktuellen Test von Finanz-Test (www.test.de) bieten nur 14 von insgesamt 20 überprüften Banken ausreichend sichere Verfahren für das Onlinebanking an.

          Bei den anderen sind die Bankgeschäfte per Internet nur eingeschränkt beziehungsweise nach dem heutigen Stand der Technik gar nicht sicher. Grund dafür: Sie bieten meist nur einfache Pin-Tan-Verfahren an, die nicht mehr dem derzeitigen Sicherheitsstandard entsprechen. Finanz-Test sagt, welche Verfahren heute als besonders sicher gelten, welche Banken ihren Kunden sicheres Onlinebanking ermöglichen und was Kunden dabei generell beachten sollten.

          Einfache Pin-Tan-Verfahren reichen nicht

          Die schlechte Nachricht zuerst: Noch immer gibt es Banken, die nur das einfache Pin-Tan-Verfahren anbieten. Dafür müssen sich Kunden mit einer persönlichen Identifikationsnummer (Pin) legitimieren und jeden einzelnen Auftrag mit einer Transaktionsnummer (Tan) bestätigen. Die Tan entnehmen Kunden einer Liste, die sie von ihrer Bank bekommen. Jede Tan kann nur einmal benutzt werden.

          Sie ist aber nicht an einen bestimmten Auftrag gebunden. Betrüger können daher mit einer gestohlenen Transaktionsnummer Geld auf ein fremdes Konto überweisen. Für Onlinekunden von Citibank und Readybank ist dies besonders fatal: Beide Banken bieten nur dieses unsichere Verfahren für Onlinebanking an. Transaktionen per Internet sind bei beiden Banken also alles andere als sicher.

          Ein wenig besser, aber aus heutiger Sicht nur eingeschränkt sicher ist das I-Tan-Verfahren. Hier gibt die Bank vor, mit welcher Tan von der Liste eine Überweisung freigegeben wird. Betrüger müssten mehrere Tan erbeuten, damit die Richtige dabei ist.

          Höchstmöglicher Sicherheitsstandard

          Derzeit ist das Home Banking Computer Interface (HBCI) das sicherste Verfahren für Onlinebanking. Es stellt sicher, dass die Daten unverändert dort ankommen, wo sie hinsollen und dass kein Fremder die Daten anzapfen kann. Im Test bieten zehn von 20 Banken dieses Verfahren an.

          Obwohl es derzeit das sicherste Verfahren ist, greift ein Großteil der Kunden lieber auf andere Methoden zurück. Grund: Es ist recht umständlich. Um HBCI nutzen zu können, benötigen Kunden eine Diskette oder Chipkarte sowie ein Lesegerät. Sie können Bankgeschäfte mittels HBCI dann nur von dem Rechner aus durchführen, an den das entsprechende Lesegerät angeschlossen ist.

          Verbesserter Schutz

          Mittlerweile gibt es aber auch verbesserte Pin-Tan-Verfahren, mit denen Onlinebanking sicher ist. Dazu gehören E-Tan, E-Tan Plus und M-Tan. Bei letzterem Verfahren sendet die Bank die Transaktionsnummern auf das Handy des Kunden. Beim E-Tan-Verfahren erhält der Kunde dagegen von der Bank eine Pin und ein elektronisches Gerät. Dieser Tan-Generator ist nicht viel größer als ein kleiner Taschenrechner. Er generiert für jeden Auftrag eine Tan. Da diese speziell für einen bestimmten Auftrag erzeugt wird, können Betrüger sie nicht einfach stehlen.

          Bankkunden sind also auch mit den erweiterten Pin-Tan-Verfahren vor Datenklau sicher. Zumindest eine Weile. Denn auch Internetbetrüger entwickeln immer ausgeklügeltere Trickmethoden. Wer online seine Bankgeschäfte abwickeln möchte, sollte sich daher immer über neue sichere Verfahren informieren.

          Sorgfältig handeln

          Trotz aller Vorsichtsmaßnahmen kann es Bankkunden passieren, dass es Betrügern gelingt, ihr Onlinekonto leerzuräumen. Nicht immer haftet dann die Bank. Sie verlangt, dass ihre Kunden die Sorgfaltspflichten einhalten, um Schäden möglichst zu vermeiden. Was Banken darunter verstehen, steht in ihren Allgemeinen Geschäfts- und Sonderbedingungen.

          Solange sich Kunden daran halten, müssen sie bei einem Schaden nicht haften. Viele Banken verlangen zum Beispiel, dass Kunden Pin und Tan nicht elektronisch speichern oder in anderer Form notieren. Ebenso sollen Kunde ihre Tan-Liste sicher verwahren und bei der Eingabe sicherstellen, dass Dritte sie nicht ausspähen können. Diese Forderungen von Banken sind akzeptabel.

          Im Test gab es aber auch Sorgfaltspflichten, die für Kunden kaum zumutbar sind - etwa wenn sie Aufgaben übernehmen sollen, die für technische Laien kaum verständlich oder ausführbar sind. Negatives Beispiel ist hier wieder die Citibank: Kunden müssen beim Erscheinen des Begrüßungsbildschirms prüfen, ob die Onlineadresse auch stimmt. Doch Betrüger können in der kurzen Zeit die Webadresse schon so gestalten, dass Laien Original und Fälschung nicht unterscheiden können.

          Tipps

          Altkunden . Sie sind bei Ihrer Bank gut aufgehoben, wenn diese für das Onlinebanking eines der folgenden Verfahren anbietet: eTan, eTan plus, mTan oder HBCI. Benutzen Sie das eingeschränkt sichere iTan-Verfahren, müssen Sie Ihre Tan-Liste sorgfältig verwahren und dürfen die Nummern niemandem preisgeben. Bietet Ihre Bank nur das einfache Pin-Tan-Verfahren, sollten Sie dort zur eigenen Sicherheit kein Onlinebanking machen.

          Neukunden . Wenn Sie sich neu fürs Onlinebanking anmelden möchten, sollten sie sich eine Bank suchen, die entweder HBCI, mTan oder das eTan plus anbietet. Das sind die nach dem heutigen Stand der Technik sichersten Verfahren.

          Sorgfaltspflichten . Gehen Sie zu keiner Bank, die Ihnen übertriebene Sorgfaltspflichten auferlegt. Im Test taten das zehn Banken. Die Forderungen dieser Banken können oft nur technisch sehr versierte Kunden erfüllen. Passiert trotzdem etwas, wälzt die Bank die Haftung möglicherweise auf Sie ab, mit der Begründung, Sie hätten den Schaden durch eine Verletzung der Sorgfaltspflichten selbst verschuldet.

          Verhalten . Sie können durch umsichtiges Handeln Betrügereien verhindern. Verraten Sie niemandem Ihre Pin oder Tan, folgen Sie nicht Aufforderungen in E-Mails, diese Nummern anzugeben. Befolgen Sie die aktuellen Sicherheitshinweise Ihrer Bank, speichern Sie Ihre Zugangsdaten nicht auf dem Rechner, nutzen Sie keine öffentlichen Rechner für Bankgeschäfte und installieren Sie Firewalls, Virenschutz sowie die aktuelle Versionen Ihres Browsers.

          Hilfe . Bei der Sicherung Ihres PC unterstützt Sie das Buerger Cert. Experten analysieren die Sicherheitslage im Internet und informieren Sie kostenlos per E-Mail. Ein Beratungstelefon für Betroffene von Datenklau betreibt die Arbeitsgruppe Identitätsschutz der Uni Bochum (a-i3). Telefon: 02 34/3 22 80 58 (Di, Do 15-18 Uhr).

          HCBI (Home Banking Computer Interface)

          Dieses Verfahren ist mit Chipkarte oder mit Diskette möglich. Nach derzeitigem Stand der Technik ist HCBI mit Chipkarte das sicherste Onlinebanking-Verfahren. Der Bankkunde benötigt die HBCI-Software, eine Chipkarte und einen Kartenleser. Zur Autorisierung einer Überweisung steckt er die Karte in das Lesegerät und gibt die Karten-Pin ein. Die Karte versieht die Transaktion mit einer elektronischen Signatur. Ein Lesegerät kostet zwischen 20 und 120 Euro und muss von Nutzern meist selbst bezahlt werden. Hat das Lesegerät eine eigene Tastatur, kann der Betrüger die Eingaben nicht mit einem Programm mitlesen.

          Vorteil : Phising, Virenangriffe und Pharming sind nicht möglich. Nachteil : Onlinebanking ist nur von einem PC möglich, an den der Kartenleser angeschlossen ist.

          Weitere Themen

          Topmeldungen

          Immer mehr, immer größer, immer schneller: Autos auf den Straßen von Berlin.

          Wandel der Mobilität : Augen auf vorm Autokauf!

          Ob Auto, Bahn oder Fahrrad – Mobilität ist individuell und abhängig von Bedürfnissen und Lebensumständen. Doch jeder sollte bereit sein, sich zu hinterfragen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.