https://www.faz.net/-gzg-rqgb

Kreditwirtschaft : Banken wollen Online-Kunden besser schützen

Bild: F.A.Z.

Banken, Sparkassen und Volksbanken stehen unter Druck. Die kritischen Stimmen zur Sicherheit beim Online-Banking am Computer mit Persönlicher Identifikationsnummer (Pin) und Transaktionsnummer (Tan) werden immer lauter. Die Institute geloben aber Besserung.

          Banken, Sparkassen und Volksbanken stehen derzeit unter Druck. Die kritischen Stimmen zur Sicherheit des herkömmlichen Verfahrens beim Online-Banking am Computer mit Persönlicher Identifikationsnummer (Pin) und Transaktionsnummer (Tan) werden immer lauter. Nach mehreren Wellen sogenannter Phishing-E-Mails, deren Ziel das Ausspähen der Geheimzahlen ist, planen viele Institute offenbar einen Ersatz oder eine Verbesserung des Verfahrens.

          Christian Siedenbiedel

          Redakteur in der Wirtschaft.

          Am Dienstag abend demonstrierte ein Team von Computerspezialisten in der ARD-Sendung „Plusminus“, wie es für unbefugte Dritte möglich ist, sich bei der Postbank in laufende Überweisungsvorgänge auf elektronischem Weg einzuschalten und eine Überweisung über 51 Euro auf einen Betrag von 3000 Euro zu erhöhen und auf ein anderes Konto umzuleiten. Sie wählten dazu den Weg, die Festplatte des Bankkunden trotz Firewall und Virenschutz mit einem Schadprogramm (Trojaner oder Virus) zu infizieren. Mit dessen Hilfe schalteten sich die Computerspezialisten zwischen Bankkunde und Bank. Vom Bankkunden empfingen sie alle geheimen Daten. An die Bank gaben sie nahezu gleichzeitig die geänderten Überweisungsaufträge weiter - mit Erfolg.

          Auf fragwürdige Mails nicht reagieren

          Die Banken versichern, wenn der Kunde mit modernen Virenschutzprogrammen seine Festplatte sauber halte und auf E-Mails fragwürdigen Inhalts nicht reagiere, sei das Verfahren mit Pin und Tan in der Praxis relativ sicher. Die Taunus-Sparkasse etwa hatte vor kurzem den ersten Schadensfall in 15 Jahren. Gleichwohl denken viele Institute an Verbesserungen oder Änderungen des Verfahrens.

          Die Postbank kündigte an, ihr Online-Banking mittelfristig auf die sogenannte digitale Signatur umstellen zu wollen. Wenn die Bundesregierung eine Chipkarte unterstütze, mit der man elektronisch unterschreiben könne, sei das der sicherste Weg. Die Karte solle zunächst als Gesundheitskarte getestet werden, danach könne man sie auch für das Online-Banking verwenden. Hoffnung der Postbank ist, daß diese Karte sich wegen der unterschiedlichen Nutzungsmöglichkeiten stärker durchsetzt als die vor einigen Jahren von mehreren Instituten eingeführte Chipkarte HBCI (“Home Banking Computer Interface“). Für beide Sorten Karten braucht man ein Lesegerät, das an den Computer angeschlossen wird.

          Die Banken vermuten, daß sich die bisher angebotene Karte aus zwei Gründen nicht durchgesetzt habe: Zum einen bedeute es Kosten und Mühe, einen Kartenleser zu erwerben. Er kostet je nach Sicherheitsstufe 25 bis 90 Euro. Zum anderen erledigten viele Kunden ihr Online-Banking im Büro. Viele Firmennetzwerke erlaubten es jedoch nicht, daß man beliebige Zusatzgeräte mit Software an Firmenrechnern installiere. Auch in Internetcafes könne man sie nicht einsetzen. Bei der Deutschen Bank etwa nutzen nach Unternehmensangaben nur 70.000 von 2,5 Millionen Online-Banking-Kunden dieses Verfahren.

          Umstellung des Tan-Verfahrens auf sogenannte iTan

          Die Volks- und Raiffeisenbanken, die oft in Phishing-Mails vorkommen, wollen nach Angaben ihres Bundesverbands dieses Verfahren künftig stärker fördern. Bei der Frankfurter Volksbank hieß es, man gebe die Lesegeräte zum Selbstkostenpreis weiter. Die SEB AG verschenkt die Lesegeräte sogar an ihre Kunden. Sie war 1998 die erste, die mit dieser Art Online-Banking anfing. Zwei Drittel der vergleichsweise technikaffinen SEB-Kunden nutzten diese Möglichkeit mittlerweile.

          Mehrere Banken und Sparkassen erwägen zumindest eine Umstellung des traditionellen Tan-Verfahrens auf sogenannte iTan: Hinter dieser Abkürzung verbirgt sich der Ausdruck „indizierte Transaktionsnummer“. Gemeint ist eine zusätzliche Sicherheitsvorkehrung, die es nicht mehr möglich macht, eine ausgespähte Tan für eine beliebige Transaktion einzusetzen; sie ist vielmehr auf eine bestimmte Buchung beschränkt. Phishing-Mails, bei denen man eine Tan auf einer gefälschten Internetseite angeben muß, sind bei diesem Verfahren keine Gefahr mehr.

          Die Frankfurter Sparkasse und die 1822direkt setzen es bereits ein. Die Deutsche Bank will es Anfang nächsten Jahres einführen. Bei der Dresdner Bank denkt man darüber nach. 100 Prozent Sicherheit bietet es allerdings offenbar nicht: Auch die Postbank, deren Verfahren bei „Plusminus“ geknackt wurde, setzt iTan ein.

          Weitere Themen

          Topmeldungen

          Jeder hat sein Kreuz zu tragen: Matteo Salvini am Strand auf Sizilien.

          Italienische Regierung : Ohne den Segen des Papstes

          Italiens Innenminister Salvini gibt sich gerne als gläubiger Christ. Damit hat er den Zorn Franziskus’ auf sich gezogen – und am Ende auch den des scheidenden Ministerpräsidenten Conte.

          An Scholz’ Seite : Manchmal liegt das Glück ganz nah

          Das Rennen um den SPD-Vorsitz geht weiter: Wofür die Kandidatin an Scholz’ Seite steht – und wieso der erfolgsverwöhnte Niedersachse Stephan Weil plötzlich beschädigt ist.
          Der Charging Bull, eine Bronzestatue im Financial District in Manhattan, New York.

          Amerikas Wirtschaft : Das Ende des Kapitalismus, wie wir ihn kennen?

          Amerikas Manager-Elite gibt sich neue Prinzipien: Sie will Aktionäre nicht mehr über alles andere stellen. Ihre eigene Vergütung dagegen ist bisher kein Thema.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.