Weiterlesen mit NEWS. Jetzt testen.
Lesezeit ca. 7 Min.

Sicherheit: Das neue Online-Banking


PC Welt - epaper ⋅ Ausgabe 10/2019 vom 06.09.2019

Am 14. September tritt die PSD2 in Kraft, eine neue Zahlungsrichtlinie der EU. Sie soll das Online-Banking und das Online-Einkaufen im Internet sicherer machen. Doch die Änderungen müssen auch richtig umgesetzt werden, damit sie funktionieren.


Artikelbild für den Artikel "Sicherheit: Das neue Online-Banking" aus der Ausgabe 10/2019 von PC Welt. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Foto: © ipopba – AdobeStock

Im November 2018 wurden vier Männer aus Chemnitz verhaftet und in Untersuchungshaft gesteckt. Die Zentralstelle für Cybercrime Bayern in Bamberg wirft ihnen vor, sich in den Jahren zuvor mit gestohlenen Log-in-Daten Zugang zu den Konten von Sparkassen-Kunden verschafft zu haben. Über die Online-Banking-Plattform der Banken veranlassten ...

Weiterlesen
epaper-Einzelheft 2,99€
NEWS 30 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von PC Welt. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 10/2019 von Bunt: Eklatante Mängel bei Sprachassistenten. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Bunt: Eklatante Mängel bei Sprachassistenten
Titelbild der Ausgabe 10/2019 von Hardware: Flüssig gekühlte Grafikkarten. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Hardware: Flüssig gekühlte Grafikkarten
Titelbild der Ausgabe 10/2019 von Sicherheit: Microsoft schließt 94 Lücken. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Sicherheit: Microsoft schließt 94 Lücken
Titelbild der Ausgabe 10/2019 von Software: Paint.Net. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Software: Paint.Net
Titelbild der Ausgabe 10/2019 von Internet: PC-WELT-Surftipp des Monats. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Internet: PC-WELT-Surftipp des Monats
Titelbild der Ausgabe 10/2019 von IFA: IFA 2019. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
IFA: IFA 2019
Vorheriger Artikel
Internet: Chrome, Opera, Edge, Firefox & Co. im Test
aus dieser Ausgabe
Nächster Artikel Über 80 Entschlüsselungstools auf DVD: 10 Fragen zu Ran…
aus dieser Ausgabe

... sie eine Änderung des TAN-Verfahrens, die es ihnen oder bisher unbekannten Mittätern erlaubte, eigene Überweisungen zu tätigen. Insgesamt konnten sie auf diese Weise rund 1,1 Millionen Euro von den Konten abziehen. Die Sparkassen holten davon über einen Recall etwa 270.000 Euro wieder zurück, der Rest des Gelds ist verschwunden.


„Die Papierzettel mit TANs haben ausgedient. Apps und Zusatzgeräte sind jetzt das Mittel der Wahl.“


Dieser Vorfall zeigt, wie einfach der Computerbetrug per Online-Banking bislang war. Kriminelle Gruppen lockten Bankkunden mit Phishing-Mails auf gefälschte Websites, wo sie ihre Log-in-Daten eingaben. Mit den abgefangenen Kontonummern, Benutzernamen und Passwörtern meldeten sich die Kriminellen dann bei den echten Banken an und konnten in vielen Fällen Überweisungen auf ihre eigenen Konten veranlassen, ohne dass es zu weiteren Überprüfungen durch die Banken gekommen wäre. Doch damit soll jetzt Schluss sein.
2015 verabschiedete der Rat der Europäischen Union die überarbeitete Zahlungsdiensterichtlinie, kurz PSD2 (Payment Services Directive). Sie verlangt von den Banken, eine gute Zwei-Faktor-Authenfizierung zu nutzen und eine Schnittstelle für externe Zahlungsdienste einzurichten.

Zwei-Faktor-Authentifizierung wird fürs Transfers zur Pflicht

Vorgeschrieben ist jetzt eine Zwei-Faktor-Authentifizierung, und zwar nicht nur für Bank-Transaktionen, sondern auch für sämtliche Einkäufe im Internet. Die meisten Bankkunden kennen das bereits: Sie loggen sich mit Benutzernamen und Passwort auf der Website ihrer Bank ein und füllen dort beispielsweise ein Überweisungsformular aus. Damit das Geld dann jedoch tatsächlich transferiert wird, müssen sie noch eine mobile TAN (mTAN) anfordern, die ihnen per SMS an eine hinterlegte Mobilfunknummer geschickt wird. Ganz allgemein gesprochen, müssen laut den Vorschriften der PSD2 zukünftig sowohl beim Online-Banking wie auch beim Bezahlen im Internet zwei von drei Sicherheitsmerkmalen aus den Bereichen Wissen, Biometrie und Besitz abgefragt werden. Im beschriebenen Beispiel des Online-Banking mit mTAN ist das etwa die Eingabe von Benutzernamen und Passwort (Wissen) kombiniert mit dem Empfang der SMS auf dem eigenen Handy (Besitz). TAN-Listen, bei denen der Kunde für seine Überweisungen eine beliebige TAN für die Authentifizierung auswählte, und das iTAN-Verfahren, bei dem die Bank zur Eingabe einer bestimmten TAN aufforderte, sind ab dem 14. September nicht mehr zulässig.

Während sich für die meisten Banken nicht so viel ändert, müssen die meisten Online-Händler die zweistufige Authentifizierung erst noch in ihre Websites implementieren. Denn die bloße Eingabe etwa von Kreditkartendaten inklusive Prüfnummer (Besitz) ist ab dem 14. September nicht mehr ausreichend. Beim Bezahlen muss noch eine zweite Komponente hinzukommen, etwa die Abfrage eines Passworts (Wissen) oder eines biometrischen Merkmals.

Auf den Seiten der Deutschen Bundesbank sind die Regelungen der PSD2 noch einmal zusammengefasst. Zudem gibt es Links zu den Originaltexten.


Aufgrund der Regelungen der PSD2 haben die Banken in den vergangenen Monaten andere Sicherheitsverfahren eingeführt.


Die wichtigsten Online-Sicherheitsverfahren im Überblick

Wir stellen Ihnen im Folgenden eine Übersicht der aktuellen Sicherheitsverfahren vor und erläutern jeweils die Vor- und Nachteile der Methoden.

chipTAN: Das chipTAN-Verfahren heißt bei manchen Banken auch smartTAN. Auf jeden Fall benötigt der Kunde einen TAN-Generator, ein externes Gerät. Zunächst gibt er am PC wie gewohnt die Daten etwa für eine Überweisung ein. Danach steckt er seine Girocard in den TAN-Generator, so dass dieser auf den Chip der Karte zugreifen kann. Dort wird anschließend die TAN berechnet. Nun gibt es zwei Varianten: Beim manuellen chipTAN-Verfahren (smartTAN-plus) müssen die Daten noch ein weiteres Mal am TAN-Generator eingetippt werden. Damit wird dann die TAN erzeugt, die der Kunde in das Formular am PC eingibt. Die Alternative ist das Verfahren chipTAN komfort (smartTAN optic). Sobald die Daten am PC eingegeben wurden, beginnt ein Bereich auf dem Monitor zu flickern (es blinken schwarz-weiße Klötzchen auf). Der Kunde hält nun seinen TAN-Generator vor den Monitor. Über einen Sensor liest der Generator die über das Flickern übertragenen Daten der Transaktion ein und zeigt sie auf seinem Display an. Sind sie korrekt, bestätigt der Kunde mit „OK“, das Gerät erzeugt eine TAN und zeigt sie an. Diese TAN muss nun auf dem PC in das Feld beim Online-Banking eingetragen werden. Das chipTAN-Verfahren gilt technisch als sehr sicher, da zwei voneinander unabhängige Geräte eingesetzt werden und die erzeugte TAN lediglich einmal verwendet werden kann. Ganz ausschließen lässt sich ein Missbrauch allerdings nicht. Dazu muss der Kunde jedoch per Phishing oder über eine Schadsoftware auf eine gefälschte Online-Banking-Site gelockt werden.

Von der Firma Reiner SCT kommt ein TAN-Generator für das bluetoothTAN-Verfahren. Allerdings muss die Banking-Software das auch unterstützen.


Die Volksbanken verkaufen oft spezielle TAN-Generatoren für das photoTAN-Verfahren, um einen farbigen Code vom PC-Monitor einzulesen.


chipTAN QR: Das chipTAN-QR-Verfahren ist eine Variante von chipTAN komfort. Anstatt über das Flickern des Bildschirms werden die Daten über einen QR-Code übertragen, der nach dem Ausfüllen des Überweisungsformulars am PC eingeblendet wird. Der Kunde steckt seine Girocard in den Generator und liest damit den Code ein. Das Gerät erzeugt nun eine TAN, die am PC eingetippt werden muss.
chipTAN USB: Bei diesem Verfahren wird der TAN-Generator per USB-Kabel an den PC angeschlossen. Über diese Verbindung werden sowohl die Überweisungsdaten an den Generator wie auch die TAN zurück an den PC geschickt. Der Kunde muss die TAN also nicht mehr manuell eintippen. Das Verfahren funktioniert allerdings nicht im Browser, sondern erfordert eine Online-Banking-Software wie etwa StarMoney, WISO Mein Geld, Lexware Finanzmanager etc. Das Programm muss zudem das chip-TAN-USB-Verfahren unterstützen.
bluetoothTAN: Eine weitere Variante des chipTAN-Verfahrens. BluetoothTAN funktioniert genauso wie chipTAN USB, allerdings erfolgt die Datenübertragung per Bluetooth-Funk. Der Kunde benötigt also einen TAN-Generator mit Bluetooth-Unterstützung, einen Bluetooth-fähigen Computer wie etwa ein Notebook, Smartphone oder Tablet, sowie eine Finanzsoftware, die das Verfahren unterstützt.
eTAN: Auch dieses Verfahren setzt auf einen TAN-Generator. Der Kunde gibt zunächst im Browser auf dem PC die Transaktionsdaten ein. Die Banken-Website blendet daraufhin eine Kontrollnummer ein, die er in den TAN-Generator eintippt. Damit errechnet das Gerät eine TAN, mit der die Transaktion bestätigt wird. Weiter verbreitet ist mittlerweile allerdings das eTAN-Plus-Verfahren. Es ersetzt den TAN-Generator durch ein Kartenlesegerät, in das der Kunde seine Girocard einsteckt. Diese Karte enthält einen geheimen Code, aus dem zusammen mit der Kontrollnummer der Bank die TAN erzeugt wird.
Da beim eTAN-Verfahren immer eine Kontrollnummer der Bank benötigt wird, haben Phishing-Angriffe, bei denen der Kunde auf eine gefälschte Website gelockt wird, keine Chance.
HBCI: Das Homebanking Computer Interface wurde 2002 eigentlich in FinTS (Financial Transaction Services) umbenannt, dennoch ist die alte Abkürzung weiterhin gebräuchlich. Um mit HBCI eine Überweisung vorzunehmen, benötigt der Kunde eine Chipkarte seiner Bank, einen Chipkartenleser und eine Finanzsoftware. Zunächst füllt er am PC das Überweisungsformular aus. Dann steckt er seine Chipkarte in das Lesegerät und identifiziert sich dort durch Eingabe einer PIN. Mit einer digitalen Signatur auf der Karte wird die Überweisung nun unterschrieben, zudem wird ein weiterer Code für die Verschlüsselung der Daten herangezogen. Die Berechnungen erfolgen jeweils im Chipkartenleser.
Das HBCI-Verfahren gilt als das sicherste Online-Banking-Verfahren. Einige zu Anfang bemängelte Schwachstellen wurden mittlerweile abgestellt. Die Nachteile des Verfahrens sind der mangelnde Komfort und die hohen Kosten, da eine spezielle Software- und Hardware-Ausstattung benötigt werden. Das bisher von einigen Banken eingesetzte HBCI-Verfahren mit einer Schlüsseldatei anstatt einer Chipkarte ist gemäß den Regelungen der PSD2 ab dem 14. September nicht mehr erlaubt.
mobileTAN: Die meisten Bankkunden kennen das mobileTAN-Verfahren, das oft auch als SMS-TAN oder mTAN bezeichnet wird. Der Kunde füllt auf der Website der Bank ein Überweisungsformular aus und bekommt anschließend eine SMS mit der TAN an eine hinterlegte Handynummer geschickt. Dort sind auch die Überweisungsdaten noch einmal aufgeführt. Nach Eingabe der TAN auf der Website wird die Überweisung freigegeben. Achtung: Einige Banken verlangen für die SMS eine Gebühr von rund 10 Cent.
Das Verfahren ist bei zahlreichen Banken im Einsatz. Wohl aus diesem Grund war es in den vergangenen Jahren immer wieder Ziel von Kriminellen. Sie installierten Trojaner, welche die Zugangsdaten des Kunden abfingen und eine gefälschte Website einblendeten, lasen die TAN mit einem Virus auf dem Smartphone aus oder sie verschafften sich eine Kopie der SIM-Karte, so dass sie die übertragenen TAN abfangen und für eigene Überweisungen nutzen konnten.

Finanzsoftware wie WISO Mein Geld führt nicht nur Überweisungen aus, sondern bietet unter anderem auch umfassende Analysen der Ein- und Ausgaben an.


photoTAN: Beim photoTAN-Verfahren blendet die Bank zum Bestätigen einer mit dem PC durchgeführten Transaktion einen farbigen Barcode ein. Der Kunde scannt diesen Code mit einer von der Bank gelieferten App auf seinem Smartphone oder einem speziellen Lesegerät. Daraufhin zeigt das Gerät die Überweisungsdaten an und generiert eine TAN, mit welcher der Kunde seine Überweisung bestätigt. Das Verfahren ist einfach, preiswert und vergleichsweise sicher, allerdings nicht vollständig gegen kriminellen Missbrauch gefeit. Falls der Betrüger die Log-in-Daten des Kunden in Erfahrung bringt, braucht er nur noch dessen Smartphone, um selbst Überweisungen vornehmen zu können. Zudem kann eine Schadsoftware auf dem Gerät die erzeugte TAN auslesen und an den Hacker übermitteln.
pushTAN: Für das pushTAN-Verfahren benötigt man eine kostenlose Smartphone-App der Bank. Zunächst gibt der Kunde seine Überweisungsdaten über den Browser auf der Website der Bank ein. Direkt im Anschluss werden ihm die Daten noch einmal in der App angezeigt. Wenn er sie bestätigt, blendet die Software eine TAN ein, die er in den Browser eintippen muss. Der Kunde kann dabei auch einen Browser auf seinem Smartphone verwenden, es ist also nur ein Gerät erforderlich, um eine Überweisung zu tätigen. Dennoch gilt das Verfahren als sicher.
sm@rtTAN photo: Der Kunde gibt seine Überweisungsdaten im Browser ein und steckt seine Bankkarte in den externen smartTAN-photo-Generator. Die Website der Bank blendet nun einen farbigen QRCode ein, den er mit dem Generator scannt. Auf dem Display des Geräts erscheinen die Details der Überweisung. Der Kunde überprüft die Daten und bestätigt sie mit „OK“, daraufhin zeigt der sm@rt-TAN-photo-Generator die TAN an. Der Kunde gibt den Code in das Überweisungsformular ein und drückt auf der Website noch einmal „OK“. Die TAN ist nur einmal und auch nur wenige Minuten gültig, das Verfahren wird als sicher eingeschätzt.

Fazit: Der Kassiker HBCI bietet die größte Sicherheit

Der Klassiker HBCI ist im Vergleich mit den anderen Methoden nach wie vor das sicherste Online-Banking-Verfahren. Allerdings ist es für den Kunden auch das teuerste. Er benötigt einen TAN-Generator und eine spezielle Software wie Lexware Finanzmanager (www.lexware.de ) oder WISO Mein Geld (www.buhl.de). Der Generator kostet in der Regel etwa 15 Euro, die Software zwischen 35 und 40 Euro pro Jahr – die Pakete werden nur im Abo angeboten. Anders als bei Internetbrowsern ist die Gefahr einer Attacke durch einen Online-Banking-Trojaner auf die Software verhältnismäßig gering, da es weniger mögliche Opfer gibt. Etwas günstiger sind Verfahren wie chip-TAN, eTAN oder sm@rtTAN photo, bei denen die Dateneingabe im Browser erfolgt. Durch die Verwendung eines externen TAN-Generators ist das Sicherheitslevel immer noch vergleichsweise hoch.
Verzichten sollten Sie – wenn möglich – auf mobileTAN, photoTAN und pushTAN. Alle drei sind zwar auch nach den Regeln der PSD2 noch erlaubt, bieten Hackern dennoch zu viel Angriffsfläche.