https://www.faz.net/-gv6-9448j

Onlinebanking : So bleibt Online-Banking sicher

Onlinebanking funktionierte früher per Tan-Liste, heute eher mit Tan-Generator oder mTan übers Handy. Bild: dpa

Die Meldungen über Sicherheitslücken im Onlinebanking häufen sich. Statt in Panik zu geraten, sollten sich die Kunden an einfache Regeln halten. Dann bleiben Bankgeschäfte im Internet sicher.

          In Deutschland werden am Tag rund 17 Millionen Überweisungen ausgeführt. Darunter findet sich alles mögliche: die Miete, die Begleichung eines Kredites oder das Bezahlen der Rechnung für das Auffüllen des Öltanks. Da immer mehr Bankfilialen schließen und die Wege für die Menschen selbst für einfachste Bankgeschäfte länger werden, nutzen viele mittlerweile das Internet, um ihre Bankgeschäfte zu erledigen – etwa jeder Zweite. Das geschieht vom heimischen Rechner aus, aber auch immer häufiger vom Smartphone oder einem Tablet-Computer.

          Franz Nestler

          Redakteur in der Wirtschaft.

          Markus Frühauf

          Redakteur in der Wirtschaft.

          Und genauso, wie die Nutzung zugenommen hat, genauso gibt es immer wieder Meldungen, dass „Tausende“ Bankkunden Opfer von Hacker-Attacken wurden – also sich ein unbefugter Dritter Zugang zum eigenen Konto verschafft hat. Im aktuellen Fall haben zwei Forscher aus Erlangen es geschafft, Sicherheitssperren zu überwinden und sich so Zugriff auf fremde Konten zu verschaffen – Testkonten, wohlgemerkt. Ein Dritter wurde nicht geschädigt.

          Und hier fängt die Debatte an, kompliziert zu werden, weil ebenso viel durcheinandergeworfen wird. So ist der aktuelle Fall kein Hacking-Angriff, sondern ein Forschungsprojekt. Eines, für das geübte Hacker trotz Anleitung mehrere Monate brauchen würden, wie sie selbst gegenüber der „Süddeutschen Zeitung“ sagen.

          Hacking ist nicht gleich Phishing

          Die meisten sonstigen Hacking-Attacken sind außerdem gar keine: Der Fachbegriff lautet „Phishing“. Dieses „Phishing“ ist die beliebteste Methode unter Kriminellen und steht für ein Kunstwort aus den englischen Wörtern für Passwort und fischen und kann mit Passwortfischen übersetzt werden. Und genau das ist es auch: Die Kriminellen schicken eine fingierte E-Mail und geben sich als Bank aus. Als Kunde soll man dann seine Daten auf einer ebenfalls gefälschten Internetseite eingeben. Nur: Die Hausbank würde niemals nach den Zugangsdaten oder anderen sensiblen Daten fragen, weswegen diese Mails bei klarem Menschenverstand auch sehr schnell als Fälschungen entlarvt werden könnten.

          Grundsätzlich hat man bei fast allen Banken Zugangsdaten für das Konto. Außerdem muss der Nutzer jede Überweisung autorisieren. Dies geschieht mit Hilfe einer Transaktionsnummer (Tan). Das Ganze nennt man Zwei-Wege-Authentifizierung. Daher müssen auch die Hacker auf beide Verfahren Zugriff haben. Die Daten auf dem Computer werden mit Hilfe eines bösartigen Schadprogramms abgefangen, eines sogenannten Trojaners. Doch schon davor kann man sich mit einfachen Mitteln schützen. Das eine ist, immer einen aktuellen Virenscanner auf dem Rechner zu haben. Außerdem sollte man bei Mails von unbekannten Absendern vorsichtig sein und nicht die Anhänge sofort öffnen. Ähnliches gilt für unbekannte Internetseiten.

          Wesentlich technischer und auch komplizierter gestaltet sich für die Kriminellen der Zugriff auf die Tans. Früher gab es lediglich Tan-Listen. Diese wurden per Post versandt, und der Kunde musste einfach nur eine beliebige Nummer bei jeder Überweisung von der Liste eingeben. Selbst die Nachfolgelisten, bei denen nicht mehr eine beliebige Nummer, sondern eine bestimmte angegeben werden musste, sind kaum noch zu finden.

          Tan nicht auf demselben Gerät erzeugen wie die Überweisung

          Abgelöst wurde dieses Verfahren durch die mTan. Das m steht für mobil. Zur Bestätigung der Online-Überweisungen werden SMS ans Handy gesandt. Und in der Tat, nach der Einführung gingen die erfolgreichen Phishing-Versuche stark zurück. Doch mittlerweile haben sich die Kriminellen auf das neue Verfahren eingestellt, wie das Bundeskriminalamt kürzlich mitteilte. Der Zugriff auf die Telefone kann über mehrere Wege erfolgen. Zum einen können Kriminelle einen Trojaner einschleusen und so die Kontrolle über das System übernehmen.

          Was im aktuellen Fall geschehen ist, ist noch nicht nachvollziehbar. Betroffen sein sollen 31 Finanz-Apps, unter anderem auch der Commerzbank und der Stadtsparkassen. Alle Programme dieser Banken greifen auf denselben Dienstleister zurück, Promon. Und irgendwie ist es den Forschern gelungen, diesen im Hintergrund zu überlisten. Wie genau, das wollen die Forscher erst zum Jahresende auf einem Kongress bekanntgeben, nachdem die vermeintlichen Sicherheitslücken geschlossen wurden. Die Sicherheitslücke kann übrigens nur ausgenutzt werden, wenn Tan-Programm und Banking-App auf demselben Telefon installiert sind.

          Damit kommt man schnell zu dem Punkt, dass viele mögliche Sicherheitslücken durch ganz einfache Kniffe geschlossen werden können. Natürlich gibt es auch beim Handy Sicherheitsmaßnahmen, die ähnlich zu denen am Computer sind. Zusätzlich sollten besonders alle Programme aktuell gehalten werden und Apps außerhalb der offiziellen Läden nicht installiert werden. Und wie erwähnt, sollte die Tan nicht auf demselben Gerät erzeugt werden wie die Überweisung.

          Statistisch gesehen wurden nur 0,003 Prozent aller Online-Konten leergeräumt

          Sollte man trotz aller Vorsichtsmaßnahmen doch Opfer einer solchen Attacke geworden sein, gibt es trotzdem einen Trost. Die Banken ersetzen stets den entstandenen Schaden. Eine Ausnahme: Bei eigener Fahrlässigkeit sind manche Banken weniger kulant. Wird es den Kriminellen zu einfach gemacht, die eigenen Daten auszuspähen, ist es zumindest vorstellbar, dass sich die Bank das Geld vom Kunden zurückholen möchte. Doch wo genau diese Fahrlässigkeit beginnt, müssen wohl Gerichte klären. Manchmal hilft dann auch die Hausratversicherung aus. Opfer einer Phishing-Attacke sollten sich also informieren, ob ein Hackerangriff mitversichert ist.

          Wer dem Ganzen trotzdem noch nicht traut, der kann immer noch zu einer Bank wechseln, welche sicherere Verfahren einsetzt, oder bei seinem eigenen Geldinstitut anfragen, ob es bessere Verfahren anbietet. So gibt es bei „Chiptan Comfort“ einen Generator, der Zufalls-Tans produziert und nur mit der eigenen Chipkarte funktioniert. Das ist zumindest aktuell noch die sicherste Variante. Der Nachteil: Diese Generatoren kosten 10 bis 15 Euro. Kosten, die einige Menschen für die aktuell sicherste Variante scheuen. Aber man kann getrost davon ausgehen, dass auch diese über kurz oder lang geknackt wird.

          Wer bei dem Gedanken an die vielen Möglichkeiten der Kriminellen ins Zittern kommt und auf die praktischen Online-Services nicht verzichten möchte, der kann schnell beruhigt werden. Jedes Jahr gibt es nur wenige tausend Fälle, die aktuellste Zahl stammt aus dem Jahr 2016. Damals gab es 2175 solche Phishing-Fälle. Gleichzeitig gab es im Jahr 2016 knapp 62,8 Millionen Online-Konten. Das heißt: Rein statistisch gesehen wurden lediglich 0,003 Prozent aller Online-Konten angegriffen und leergeräumt. Die Chance, selbst Opfer zu werden, ist verschwindend gering. Und wenn man dann noch auf die einfachen Verhaltensweisen achtet, ist es quasi ausgeschlossen.

          Neue Zahlungsrichtlinie schützt die Verbraucher

          Doch nicht nur echte oder vermeintliche Online-Attacken verunsichern die Menschen, auch die EU-Zahlungsdienstrichtlinie PSD2 sorgt für Unklarheiten. Die „Bild“-Zeitung titelte gar, dass die Kontodaten in höchster Gefahr seien. Diese Richtlinie will zum einen den Wettbewerb im Zahlungsverkehr zugunsten der jungen Finanztechnologieunternehmen (Fintechs) beschleunigen, zum anderen sollen schärfere Regeln eingeführt werden, um den Zugriff einiger Zahlungsdienste auf Kontodaten einzuschränken. Gibt der Kunde bei einem Zahlungsdienst seine Bankverbindung als Zahlungsoption an, gibt es Anbieter wie zum Beispiel Sofortüberweisung, die das Kennwort anfordern. Dadurch erhalten sie Zugriff auf die Kontohistorie der vergangenen drei Monate. Das erfolgt ohne Registrierung der Zahlungsdienste und damit ohne Kontrolle einer Behörde. Es reicht, wenn die Verbraucher eingewilligt haben, ihre Daten zur Verfügung zu stellen. Das Bankkonto ist also schon jetzt gläsern.

          Die Kommission will diesen Zugriff einschränken. Die Zahlungsdienste erhalten über eine technische Schnittstelle nur noch die Daten, die sie für die Überweisung brauchen. Am Montag wird Brüssel die technischen Standards für die Zahlungsdienstrichtlinie vorlegen. Ursprünglich war die Veröffentlichung schon am Freitag geplant. Nach Informationen der F.A.Z. wird die Kommission an der Notlösung festhalten, bei der die Zahlungsdienste wie schon jetzt auf die Kontohistorie zugreifen können. Dieses maschinelle Auslesen von Webseiten, in diesem Fall von Online-Konten, wird „Screen Scraping“ genannt.

          Doch der Zugriff wird künftig an Auflagen gebunden. Die Fintechs müssen es der Bank und den Aufsichtsbehörden melden, warum sie darauf zurückgegriffen und welche Daten sie dabei abgerufen haben. Ein Missbrauch kann zum Lizenzentzug führen. Für Ralf Ohlhausen, Direktor der PPRO Group, eines Spezialisten für elektronisches Bezahlen, verbessert die Richtlinie den Schutz der Verbraucher und schafft mehr Transparenz. Dann müsse sich jedes Unternehmen, das auf Bankdaten von Verbrauchern zugreifen möchte, registrieren und von der Bankenaufsicht prüfen lassen.

          Weitere Themen

          Die größten Börsengänge Video-Seite öffnen

          Das sind die Top 10 : Die größten Börsengänge

          Uber wird bei seinem Börsengang etwas mehr als acht Milliarden Dollar erlösen – und kommt damit nicht unter die Top 10 der größten Börsengänge. Die ersten vier Plätze belegen Konzerne aus China; aus Deutschland ist ein Unternehmen dabei.

          Topmeldungen

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.