Diese Cookies und andere Informationen sind für die Funktion unserer Services unbedingt erforderlich. Sie garantieren, dass unser Service sicher und so wie von Ihnen gewünscht funktioniert. Daher kann man sie nicht deaktivieren.
Zur Cookierichtlinie
25.10.2017 | 14:45 | sap
TAN-Verfahren und Passwörter So schützen Sie sich beim Onlinebanking - und das tut Ihre Bank
PushTAN, photoTAN und ein starkes Passwort: Sicherheit beim Online-Banking ist jedem Kunden wichtig. Einige Tipps, wie auch Sie sicher online überweisen und was Ihre Bank für Sie tut.
Vor wenigen Tagen hat eine Sicherheitslücke im WLAN-Verschlüsselungsprotokoll WPA2 für medialen Wirbel gesorgt. Ein belgischer Wissenschaftler entschlüsselte das Protokoll und hatte dadurch Zugriff auf den Internetverkehr von Nutzern drahtloser Netzwerke. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) riet Verbrauchern deshalb, das Onlinebanking und Einkäufe im Internet über das LAN-Kabel durchzuführen.
Inwieweit Kriminelle über diese Sicherheitslücke tatsächlich beim Onlinebanking mitlesen können, darüber sind sich IT-Experten uneins. Fakt ist allerdings, dass das Bundeskriminalamt (BKA) im Jahr 2016 mehr als 2.000 Fälle von Phishing registriert hat. Zum Phishing zählt das BKA jegliche Art von Angriffen, bei denen die Täter sensible Daten wie Passwort oder Transaktionsnummer (TAN) abgreifen. Meist gelangen die Kriminellen an die Daten, indem Nutzer eine nur augenscheinlich von der Bank gesendete E-Mail öffnen, auf einen Link darin klicken und sich dadurch einen Trojaner einfangen oder ihre Daten auf der sich öffnenden, vermeintlichen Bank-Website eingeben.
Diebe erbeuteten pro Fall 4.000 Euro im Durchschnitt
Im vergangenen Jahr erbeuteten die Diebe bei jeder solchen Attacke durchschnittlich 4.000 Euro. Das BKA bemerkte, dass mobile Endgeräte häufiger von Angriffen betroffen waren, weil die Anzahl der Nutzer zunimmt und diese ihre Smartphones oder Tablets intensiv nutzen, etwa zum Onlinebanking oder Lesen von E-Mails. Das BKA merkte zudem an, dass die Update-Zyklen vergleichsweise langsam sind und deshalb Sicherheitslücken in der Gerätesoftware oftmals monatelang nicht geschlossen werden. Ein weiterer Grund, warum es für Krimineller einfacher ist, mobile Geräte anzugreifen: Antiviren-Programme sind auf mobilen Endgeräten seltener installiert als auf Laptops oder Computern.Doch wer haftet, wenn Hacker die Daten für das Onlinebanking abgegriffen haben und wie können Bankkunden verhindern, dass es überhaupt so weit kommt? Ein Überblick über wichtige Tipps und Tricks, mit denen Sie es jedem Dieb und Hacker erschweren können – und wie Banken sowie der Staat für Ihre Sicherheit beim Onlinebanking sorgen.
Passwort und Virenschutz: Das können Sie als Kunde tun
Die Grundlage für sicheres Onlinebanking ist eine sichere Umgebung. Das heißt, Sie sollten es vermeiden, sich in fremden Netzwerken anzumelden. Wenn möglich, loggen Sie sich am besten nur an Ihrem PC ein. Sie sollten ebenfalls darauf achten, dass der Computer oder der Laptop einen aktuellen Virenschutz hat und eine Firewall aktiviert ist. Das Gleiche gilt für Ihre mobilen Endgeräte wie Tablet oder Smartphone, wie die Deutsche Kreditwirtschaft betont. Sie können Ihre Geräte mithilfe von Anti-Viren-Apps vor Malware, Viren und Trojanern schützen.Für viele mag es wie eine ewige Leier klingen: „Suchen Sie sich ein sicheres Passwort“, lautet die Ansage vom BSI oder auch dem BKA. Unzählige Male gehört, aber wohl auch von einigen ignoriert. Denn: Nach einer Auswertung des Hasso-Plattner-Instituts der Universität Potsdam war 2016 das häufigste Passwort „hallo“. Die Wissenschaftler analysierten 30 Millionen Nutzerkonten, die ihnen aus 31 im Internet frei verfügbaren Datenlecks zur Verfügung standen. Auf Platz 3 folgte immerhin „hallo123“. Doch auch einfache Passwörter wie „passwort“, „arschloch“ oder „schatz“ zählten zu den Top Ten.
Ratgeber empfehlen meist, lange und schwierige Passwörter zu wählen, in denen Groß- und Kleinschreibung, Zahlen und Sonderzeichen vorkommen. Wem selbst die Idee für ein Passwort fehlt, für den wäre dieser Tipp hilfreich: Merken Sie sich einen Satz, nehmen dann nur den ersten Buchstaben und fügen Sie dieser Buchstaben-Reihe Zahlen und Sonderzeichen hinzu. Aus „Mein Beruf ist gelernter Elektromeister“ wird in Kurzform zunächst „MBigE“. Kombiniert mit Sonderzahlen und Zeichen wird daraus zum Beispiel das schwierig zu entschlüsselnde acht Zeichen lange Passwort „M=Big3E&“. Alternativ gibt es Passwort-Generatoren wie passwort-generator.eu oder das kostenlose Programm Keepass zum Herunterladen, die sichere Passwörter erstellen. Zur Erhöhung der Sicherheit ist es hilfreich, in regelmäßigen Abständen sein Passwort zu ändern.
E-Mails von Banken hinterfragen
Ebenfalls wichtig: Sie sollten Ihr Passwort nicht aufschreiben und es niemals an jemand Dritten weitergeben. Keine Bank und auch kein Bankmitarbeiter wird Sie jemals nach so privaten Daten fragen. Darauf weisen die Kreditinstitute auf ihren Webseiten hin.Deswegen sollten Sie auch jede E-Mail in Ihrem Postfach hinterfragen, die augenscheinlich von Ihrer Bank oder einer anderen Bank kommt. Sie können Betrüger erkennen, indem Sie sich den Absender oder den Link, auf den Sie zur Eingabe Ihrer Daten klicken sollen, genauer anschauen. Wenn Sie beispielsweise mit der Maus über den Link fahren, aber nicht klicken, dann sehen Sie am linken unteren Bildschirmrand die URL, auf die der Link führt. Ist hier nicht die Internetadresse Ihrer Bank zu lesen, sondern eine unbekannte, womöglich dubios klingende, sollten Sie auf keinen Fall auf den Link klicken. Ein weiterer Anhaltspunkt für eine betrügerische Nachricht ist, dass Sie als Kunde in sogenannten Phishing-Mails selten persönlich angesprochen werden.
Zumindest bei Privatpersonen. In Unternehmen versuchen Betrüger das immer häufiger, stellt das BKA fest. CEO-Fraud (Chefbetrug) heißt die Masche. Sie wendet sich beispielsweise an Arbeitnehmer, die mit Finanzen ihres Unternehmens betraut sind. Ein krasser Fall, über den die Süddeutsche Zeitung berichtete, ereignete sich im November 2015: Eine Buchhalterin einer Großbäckerei überwies 1,9 Millionen Euro nach Asien. Der Auftrag kam augenscheinlich von der Geschäftsführung, allerdings steckten Kriminelle dahinter, die über längere Zeit das Unternehmen ausspionierten, um die internen Abläufe nachzubilden. Der Bankenverband rät Mitarbeitern, die mit Finanzen zu tun haben, Überweisungen – vor allem ins Ausland – gründlich zu prüfen.
Software und Betriebssystem auf sicheren Stand bringen
Zu einer sicheren Umgebung zählt auch, die Software und das Betriebssystem auf dem aktuellsten Stand zu halten. Wenn Sie mit Ihrer Überweisung fertig sind, sollte es zudem selbstverständlich sein, dass Sie sich beim Onlinebanking immer abmelden. Wenn Sie Ihren Kontostand regelmäßig kontrollieren, fallen merkwürdige Kontobewegungen und Abbuchungen, die Sie nicht getätigt haben, früher auf. Sollte dies der Fall sein, gibt es zwei Möglichkeiten. Erstens: Haben Sie eine nicht von Ihnen getätigte Überweisung bemerkt, sollten Sie sich umgehend an Ihre Bank wenden. Stellt sich heraus, dass Sie die Zahlung tatsächlich nicht autorisiert haben, erstattet die Bank Ihnen den Betrag. Die Frist beträgt 13 Monate, allerdings sollten Sie sich trotzdem unverzüglich melden, um keine Nachteile zu haben. Zweitens: Betrüger haben sich Passwort und TAN abgegriffen und es sieht so aus, als ob Sie die Zahlung autorisiert haben. Sollten Sie eine solche Aktivität bemerken, sollten Sie umgehend Ihrer Bank und der Polizei Bescheid geben, damit Sie nicht für den gesamten Schaden haften. Die genauen Fristen und Vorschriften finden Sie in den Bedingungen zum Onlinebanking Ihrer Bank.Für den Fall, dass es Hackern doch einmal gelingen sollte, in das Online-Konto einzudringen, können Sie mit Ihrer Bank prophylaktisch eine Höchstsumme für Überweisungen fixieren. Damit können Diebe nur einen begrenzten Betrag überweisen und der Schaden bleibt überschaubar. Wenn Ihnen auffällt, dass etwas mit Ihrem Online-Account nicht stimmt, dann rät das BSI, unverzüglich das Bankkonto und den Zugang zum Onlinebanking zu sperren. Wenn Sie dreimal die PIN falsch eingeben, sperrt sich das Konto automatisch. Alternativ rufen Sie den Sperrnotruf 116 116 an und lassen den Zugang telefonisch sperren.
Wer haftet, falls doch was passiert?
Sollte trotz aller Vorsichtsmaßnahmen etwas schiefgehen und ein Schaden entstehen, dann entscheiden meist Gerichte, wer für welche Summen haftet. Bankkunden müssen meist dann für den gesamten Schaden zahlen, wenn sie fahrlässig gehandelt haben. Das entschied der Bundesgerichtshof (BGH) im April 2012. Fahrlässig handelte der Bankkunde in diesem Fall, da er Zugangsdaten einem Dritten freiwillig mitgeteilt hatte. Er hatte zehn TANs per E-Mail weitergeleitet, obwohl die Bank vor dieser Betrugsmasche gewarnt hatte. In einem Urteil von 2016 entschied der BGH außerdem, dass der Kunde beweisen muss, dass er eine Zahlungsanweisung nicht selbst autorisiert hat oder dass er beim Umgang mit TAN oder PIN nicht grob fahrlässig gehandelt hat.Die Bank müsse allerdings beweisen, dass ihr Sicherheitssystem unüberwindbar gewesen sei und im Einzelfall fehlerfrei funktioniert habe, heißt es in dem Urteil weiter. Wann dies der Fall gewesen ist und wie fahrlässig sich der Bankkunde verhalten hat, liegt in jedem Einzelfall im Ermessen der Richter. Fest steht: Bei leichter Fahrlässigkeit haftet der Kunde aufgrund einer EU-Richtlinie von 2009 mit maximal 150 Euro. Ab dem Jahr 2018 kommen Kunden für den Schaden mit höchstens 50 Euro auf.
Verschiedene TAN-Verfahren: Das tun Banken für die Sicherheit
Die Verantwortung, sicher zu überweisen oder sein Aktiendepot zu verwalten, liegt nicht ausschließlich beim Kunden. Banken versuchen durch viele verschiedene Verfahren, das Onlinebanking zu schützen. Jede Bank hat ihre Webseite mit der sogenannten SSL-Verschlüsselung ausgestattet. SSL heißt Secure Socket Layer und sorgt dafür, dass Kunden mit ihrer Bank auf gesichertem Wege online kommunizieren können. Ob die Verbindung gesichert ist, erkennen die Nutzer in der Adresszeile ihres Browsers an einem kleinen grünen Schloss-Symbol vor der URL.Virtuelle Tastatur und Ampel-Tool
Schon beim Einloggen zu seinem Online-Account haben einige Banken für den Kunden verschiedene Methoden eingebaut, um das Surfen noch sicherer zu machen. Die DKB beispielsweise bietet zum Anmelden in ihrem Onlinebanking wahlweise eine virtuelle Tastatur an, die gegen Keylogger hilft. Statt über das Keyboard kann der Kunde seine Zugangsdaten hier mit der Maus per Klick auf dem Bildschirm eingeben. Als Keylogger bezeichnen IT-Experten des BKA eine Hard- oder Software zum Mitschneiden von Tastatureingaben. Sie hält alle Tastatureingaben fest, um sie möglichst unbemerkt an einen Angreifer zu übermitteln. Dieser kann dann aus diesen Informationen Daten wie Anmeldeinformationen oder Kreditkartennummern filtern. Durch das Klicken per Maus auf der virtuellen Tastatur erschweren Bankkunden den Ganoven, solche Informationen nachzuvollziehen.Die Berliner Sparkasse bietet ihren Kunden auf ihrer Webseite an, zu prüfen, ob sie in einer gesicherten Umgebung agieren. Eine Ampel zeigt dem Kunden an, ob alle Browsereinstellungen auf dem aktuellsten Stand sind oder eine Firewall aktiv ist. Generell warnen einige Banken auf der Login-Webseite vor aktuellen Gefahren wie betrügerischen E-Mails oder Telefonanrufen.
TAN und iTAN: die älteren Methoden
Um sicher zu überweisen, bieten Banken verschiedene Verfahren an, aber nicht jede Bank hat für ihre Kunden jedes Verfahren im Repertoire. Zu den älteren Möglichkeiten zählen Transaktionsnummern (TAN) und indizierte TAN (iTAN), die von der Bank per Post verschickt werden. Der Vorteil dieser Verfahren ist: Ohne die Liste kann keine Überweisung getätigt werden. Die Gefahr ist allerdings, dass Bankkunden auf Betrüger-E-Mails hereinfallen und ihre TANs unwissentlich weitergeben. Das wird bei den iTANs schon schwieriger, da jede Nummer einer bestimmten Überweisung zugeordnet wird.Deshalb ist eine andere Methode von Kriminellen, einen Trojaner auf dem Computer zu verstecken. Die Spähsoftware schaltet sich bei einer Transaktion dazwischen und überspielt die Daten. Die Betrüger ändern die Summe und überweisen das Geld auf das eigene Konto. Aus diesem Grund stufte ein Sprecher des BSI im Gespräch mit CHECK24 das TAN- und iTAN-Verfahren als nicht mehr als sicher ein. Ab Januar 2018 tritt ein Gesetz in Kraft, mit dem die beiden Verfahren nicht vereinbar sind. Die Banken müssen deshalb Schritt für Schritt auf neue Verfahren umstellen. Sie haben laut eines Sprechers der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) noch bis mindestens April 2019 Zeit, einen reibungslosen Übergang zu gewährleisten. "Gleichwohl spricht nichts dagegen, wenn Kreditinstitute bereits jetzt proaktiv ihre Authentifizierungsverfahren auf die zukünftigen Anforderungen anpassen oder dies bereits getan haben", sagte der Sprecher.
Doch wie sehen aktuellere, sichere TAN-Verfahren aus? Grundsätzlich gilt laut BSI: „Sichere TAN-Verfahren nutzen einen zweiten Faktor und eine zusätzliche Hardware, die nicht das Smartphone ist, wie etwa den TAN-Generator beim chipTAN-Verfahren.“ Doch nicht jede Bank bietet das chipTAN-Verfahren an, daneben gibt es einige Alternativen. Wir stellen die gängigsten vor und erklären, welche Verfahren die Standards des BSI erfüllen.
mTAN- und pushTAN-Verfahren: Banking mit dem Handy
Statt TAN-Listen auf Papier zu verschicken, bieten viele Banken eine mobile TAN (mTAN) an. Bei diesem Verfahren trägt der Kunde die Überweisungsdaten am PC ein und fordert per Mausklick eine TAN an, die ihm die Bank per SMS auf das Smartphone schickt. Manche Banken verlangen für den SMS-Versand eine Gebühr. Die Sparkassen warnen auf ihrer Homepage, dass das Verfahren nur geeignet ist, wenn der Kunde mit einem anderen Gerät, also Computer oder Tablet, auf seinen Online-Account zugreift. Nutzen Kunden das Smartphone, also das sogenannte Mobile Banking, rät die Bank stattdessen zum pushTAN-Verfahren (siehe unten).Doch das mTAN-Verfahren hat auch eine grundsätzliche Sicherheitslücke. „mTAN ist ein besseres Verfahren als beispielsweise die iTAN, allerdings können auch SMS heutzutage auf verschiedenen Wegen abgefangen werden“, sagte ein BSI-Sprecher zu CHECK24. Wie das genau aussieht, wurde im Mai 2017 bekannt. Betrüger beantragten eine zweite SIM-Karte und leiteten alle SMS und damit auch TANs um, wie die Süddeutsche Zeitung berichtete.
Eine weitere Möglichkeit, bei der das Smartphone zum Einsatz kommt, ist das sogenannte pushTAN-Verfahren, wo sich die Nutzer eine eigens dafür vorgesehene App der Bank herunterladen. Sowohl die Onlinebanking-App als auch die App zum Generieren der pushTAN ist mit einem Passwort geschützt. Die beiden Apps liegen auf zwei verschiedenen Servern und kommunizieren verschlüsselt miteinander, was die Sicherheit erhöhen soll. Vincent Haupert und Thilo Müller, zwei IT-Wissenschaftler von der Universität Erlangen-Nürnberg, prüften speziell die App der Sparkassen, deren Hersteller auch die Sicherheits-App für die DKB konzipierte, weshalb das Ergebnis laut Haupert und Müller wahrscheinlich übertragen werden kann. Ihr Resultat: Sie fanden Schwachstellen beim App-basierten TAN-Verfahren, wenn die Nutzer auf ein und demselben Gerät eine TAN generierten und die Überweisung ausführten. Das BSI empfiehlt deshalb, ein zweites Gerät zu nutzen, um die Sicherheit zu gewährleisten.
Darauf sollten Bankkunden beim Einsatz einer photoTAN achten
Dasselbe sollten Bankkunden beim photoTAN-Verfahren tun. Wenn Banking-App und photoTAN-App auf dem gleichen Gerät installiert sind, könnten Hacker das System überwinden, sagte Haupert der Süddeutschen Zeitung. Generell funktioniert das photoTAN-Verfahren so: Bankkunden scannen mit einer speziellen App auf dem Smartphone eine meist farbige Grafik ein, die auf dem Computerbildschirm angezeigt wird, wenn der Kunde eine Überweisung ausgefüllt hat. Die App erzeugt daraufhin eine TAN, die Kunden im Online-Banking eingeben, um den Auftrag abzuschließen. Dieses Verfahren nutzt unter anderem die Commerzbank.Ähnlich läuft das weniger verbreitete QR-TAN-Verfahren ab. Nötig ist dafür eine kostenlose App zum Einlesen von QR-Codes auf dem Smartphone. Die Bank 1822direkt beispielsweise nutzt die QR-TAN-Funktion. Kunden füllen ihren Auftrag im Onlinebanking online aus und schicken ihn ab, dann erscheint ein QR-Code auf dem Computerbildschirm. Diesen scannt der Kunde mit der QR-Code-App ein, woraufhin diese eine TAN generiert, die der Bankkunde im Browserfenster eingeben muss.
Das BSI rät allerdings, auf das Smartphone zu verzichten und ein von den Banken bereitgestelltes Lesegerät zu nutzen. „In der Regel reicht eine Schadsoftware auf dem dafür genutzten Smartphone, um die photoTAN zu missbrauchen“, sagte ein Sprecher zu CHECK24. Generell sollten sich die Bankkunden bewusst sein, dass Kriminelle auf einem mobilen Endgerät einen Trojaner unterbringen und damit private Daten ausspähen können.
Das steckt hinter chipTAN manuell und chipTAN comfort
Als sicher stuft das BSI deshalb das sogenannte chipTAN-manuell-Verfahren (auch sm@rtTAN plus) ein, weil in der Regel zwei getrennte Geräte plus die Girocard eingesetzt werden müssen. Will der Bankkunde am PC oder Smartphone eine Überweisung in Auftrag geben, schiebt er parallel die Bankkarte in einen TAN-Generator, den er von der Bank erhalten hat. Über eine Tastatur muss er in den Generator eine Nummer eingeben, die ihm im Onlinebanking am Bildschirm anzeigt wird. Außerdem muss er Transaktionsdaten wie die Kontonummer des Empfängers teilweise oder vollständig am Generator eintippen. Daraus generiert das Gerät die TAN, die nur für diesen speziellen Auftrag gültig ist. Betrüger haben hier keine Möglichkeit, das Geld auf andere Konten zu überweisen.Noch sicherer ist das chipTAN-comfort-Verfahren (oder sm@rtTAN optic). Einige Banken, darunter die Postbank, bieten TAN-Generatoren an, die die nötigen Daten mithilfe von optischen Sensoren vom Computer-Bildschirm ablesen. Nachdem der Kunde das Überweisungsformular ausgefüllt hat, erscheint zusätzlich zum TAN-Eingabefeld eine Grafik mit schwarz-weiß blinkenden Feldern. Der Kunde schiebt seine Girokarte in den TAN-Generator und hält diesen vor die flackernde Grafik. Aus diesen Lichtsignalen liest der Generator die Überweisungsdaten heraus, der Kunde bekommt auf dem Display die Kontonummer des Empfängers und den Betrag angezeigt, den er überweisen will. Bestätigt er die Transaktion, errechnet der Generator eine TAN, die der Bankkunde in das leere TAN-Feld einträgt. Das BSI sieht in diesem Fall einen guten Schutz vor Phishing und sonstigen Hacker-Angriffen.
HBCI und FinTS: Kompliziert, aber sehr sicher
Ebenfalls vom BSI empfohlen ist das HBCI-Verfahren und dessen Weiterentwicklung FinTS. HBCI steht für Home Banking Computer Interface, FinTS für Financial Transaction Services. Dahinter stecken drei Sicherheitsverfahren. Die Bank stellt eine spezielle Chipkarte, eine Finanzsoftware und einen Chipkartenleser bereit. Auf der Chipkarte ist eine digitale Signatur hinterlegt, die nur für den jeweiligen Nutzer gilt. Die Banken bieten die jeweiligen Lesegeräte und Chipkarten gegen eine Gebühr an, die Finanzsoftware können sich Nutzer im Internet unabhängig von ihrer Bank je nach Programm kostenfrei oder kostenpflichtig herunterladen. Der Kunde bereitet die Überweisung in der Finanzsoftware vor, indem er alle Daten in ein Formular eingibt. Danach steckt er seine persönliche Chipkarte in den Kartenleser und gibt seine PIN ein. Hat er sich erfolgreich identifiziert, unterschreibt der sogenannte Signierschlüssel digital die Überweisung. Zusätzlich wird die Überweisung codiert. Die Überweisung gelangt über eine gesicherte Leitung verschlüsselt zur Bank, die das Ganze entschlüsselt und mit der Unterschrift abgleicht, die der Kunde bei der Bank hinterlassen hat. Stimmen die Unterschriften überein, erfolgt die Überweisung.Die Weiterentwicklung beim FinTS besteht unter anderem darin, dass die Schlüssellänge erweitert und die Programmiersprache vereinheitlicht wurde. “Auch dieses Verfahren gilt als sicher“, sagte ein BSI-Sprecher zu CHECK24. Der Nachteil für den Privatkunden ist, dass die Überweisung viele Komponenten beinhaltet, also aufwendiger ist.
Eine weitere Methode, die selten genutzt wird, ist die Überweisung per Fingerabdruck. Die Postbank gehört zu den ersten Geldhäusern in Deutschland, bei denen Kunden Überweisungen mittels biometrischer Daten autorisieren können. Dafür benötigen die Kunden die App der Bank und müssen sich bei der Bank einmalig für das Verfahren registrieren und dabei ihren Fingerabdruck hinterlegen. Nachdem der Kunde alle Überweisungsdaten ausgefüllt hat, bestätigt er über den Fingerabdrucksensor am Smartphone die Transaktion. Um dieses Verfahren zu nutzen, braucht der Kunde ein Smartphone mit Fingerabdrucksensor.
