IT-Sicherheit

Wie sicher ist Online-Banking?

Online-Banking ist bequem – nicht nur für Kunden, sondern auch für manchen Hacker. Gefährdet Online-Banking unsere Finanzen oder ist alles halb so wild? Ein Sicherheitsforscher erklärt, wie Sie sich absichern.

Auf einen Blick:

  • Betrug im Online-Banking verursacht in Deutschland jährlich 20 Millionen Euro Schäden.
  • Sichere Online-Banking-Verfahren gibt es. Sie setzen streng auf zwei getrennte Geräte.
  • Nicht jedes etablierte Verfahren gilt als sicher. Ein Beispiel: PushTAN wird von Experten als riskant eingeschätzt.
  • Checkliste: Mit diesen Tipps nutzen Sie Online-Banking sicher.

von Denny Gille

Die Digitalisierung geht voran, damit wachsen auch die Gefahren aus dem Netz. Und das kann direkt den eigenen Geldbeutel betreffen. So verzeichnete die Antivirenfirma Kaspersky im vergangenen Jahr 2,9 Millionen Angriffsversuche auf die Bankkonten seiner Nutzer, 46 Prozent mehr als im Vorjahr. Den Schaden durch Cyberkriminelle im Online-Banking beziffert das Bundeskriminalamt alleine für Deutschland auf durchschnittlich 20 Millionen Euro pro Jahr für die Jahre 2011 bis 2015.

Sollte man also die Finger vom Online-Banking lassen, oder gibt es sichere Wege, den Komfort digitaler Bankgeschäfte zu nutzen? Die Antworten kennt Chris Wojzechowski, Sicherheitsforscher am Institut für Internet-Sicherheit der Westfälischen Hochschule Gelsenkirchen.

Gibt es noch sicheres Online-Banking?

Chris Wojzechowski: Ja, sicheres Online-Banking ist möglich. Dafür genügen sogar recht einfache Mittel. Wahr ist aber auch: Die tatsächliche Sicherheit hängt vom Nutzer und dem eingesetzten Online-Banking-Verfahren ab.

Wie wird Sicherheit im Online-Banking erreicht?

Dafür sorgt die sogenannte Zwei-Faktor-Authentifizierung. Die schreibt vor, dass zwei unabhängige Geräte an der Durchführung der Überweisung beteiligt sein müssen. Nehmen wir zum Beispiel das mTAN-Verfahren. Da besteht die Zwei-Faktor-Authentifizierung aus einem PC und einem Handy: Der Nutzer schreibt die Überweisung am PC. Daraufhin schickt die Bank einen Bestätigungs-Code (TAN) per SMS an sein Handy. Erst wenn der Nutzer diesen Code im PC eingibt, kann er die Überweisung abschicken. Selbst wenn es ein Cyberkrimineller nun schafft, den PC des Nutzers zu manipulieren, bleiben Überweisung und Konto geschützt. Denn ohne die TAN auf dem Zweitgerät, erlaubt die Bank dem Kriminellen keinen Zugriff auf das Nutzerkonto.

Welche Verfahren gelten als sicher?

Zu den sicheren Verfahren zählen mTAN- und chipTAN-Verfahren. Das chipTAN-Verfahren nutzt statt einem Telefon ein mobiles Lesegerät für die EC-Karte. Außerdem hat es einen optischen Sensor, mit dem es die Überweisungsdaten vom Monitor abliest. Aus Chipkarten- und Überweisungsdaten generiert es einen individuellen TAN-Code für die Überweisung.

Als noch sicherer gilt das HBCI-Verfahren. Dessen Beantragung ist mit einem höheren Aufwand und etwas höheren Kosten verbunden. Für Sicherheit sorgen die Kombination mit dem Kartenlesegerät und die eher geringe Verbreitung in der Bevölkerung. Durch die geringe Verbreitung lohnt sich der hohe Aufwand das Verfahren zu knacken für Kriminelle nicht.

Welche Verfahren sind riskant?

Da ist zum Einen das pushTAN-Verfahren zu nennen. Grund: Die Zwei-Faktor Authentifizierung wird ausgehebelt. Überweisungen funktionieren auf einem einzigen Gerät, dem Smartphone. Als Ersatz für die Zwei-Faktor-Authentifizierung werden zwei Apps auf dem Smartphone genutzt. Sicherheitsforscher und Hacker haben bewiesen, dass es genügt diese Apps zu infizieren, um den Nutzer zu bestehlen.

Ebenfalls mit Vorsicht zu genießend ist das photoTAN-Verfahren. Abhängig von der Komplexität des dargestellten Codes, ist es Kriminellen möglich, auch diesen nachzubilden. Voraussetzung für alle Verfahren ist zudem: Das Smartphone muss frei von Viren sein!

Bin ich als Nutzer von mTAN und chipTAN 100%ig geschützt?

Wenn ein echter Profi Ihr Konto gezielt angreift, haben Sie schlechte Karten. Aber: Der Programmieraufwand für einen gezielten Angriff ist enorm – das rechnet sich nicht. Angriffe auf photoTAN- und pushTAN-Nutzer sind viel lukrativer. Da muss der Hacker die Schadsoftware nur einmal für eine Banking-App programmieren und erreicht damit Millionen App-Nutzer.

Was passiert im Ernstfall?

Bisher haben Banken die entstandenen Schäden ausbezahlt. Der große Online-Banking-GAU blieb noch aus.

Checkliste: Mit diesen Tipps nutzen Sie Online-Banking sicher

Sicherheitsforscher Chris Wojzechowski weiß, wie Sie Online-Banking sicher machen. Können Sie hinter alle sechs Punkte einen Haken machen? Laden Sie sich unsere Checkliste in PDF-Form mit wertvollen Sicherheitstipps einfach hier herunter.