Sicheres Online-Banking

Worin unterscheiden sich die aktuellen Online-Banking-Verfahren?

Derzeit gibt es zwei etablierte Verfahren bei deutschen Banken: Das PIN/TAN-Verfahren und das Homebanking Computer Interface (HBCI). Bei ersterem muss der Kunde nach dem Anmelden mit einer PIN für jede Transaktion eine TAN von einer Liste eingeben. Beim herkömmlichen Verfahren darf man jede beliebige TAN für eine Transaktion benutzen. Beim indizierten-TAN-Verfahren (iTAN) fragt der Bankenserver nach einer bestimmten TAN in einer durchnummerierten Liste. Somit müsste ein Betrüger mehrere TANs vom Opfer stehlen, in der Hoffnung, dass eine davon später bei der unautorisierten Transaktion abgefragt wird.

Bei der eTAN generiert sich der Kunde mit einem kleinen Gerät seine TAN selbst. Beim mTAN-Verfahren bekommt der Anwender zu jeder aktuellen Überweisung eine SMS-Nachricht auf sein Handy, in der neben der TAN auch Summe und Ziel-Kontonummer aufgeführt sind. Ein Phishing-Angriff ist somit ausgeschlossen, es sei denn, der Betrüger hat das Handy etwa über Lücken in Bluetooth oder einen Handy-Trojaner manipuliert oder das Opfer prüft die Angaben in der SMS nicht sorgfältig.

Als das sicherste Verfahren gilt HBCI mit Smartcard, bei dem der Anwender seine Transaktionen digital unterschreibt. Nutzt man dazu ein Kartenlesegerät mit integrierter Tastatur, kann weder ein Betrüger noch ein Trojaner eine Transaktion ausspähen oder manipulieren. (dab)