UPDATE: Online-Banking Teil 1: Sicherheitsmechanismen im Test

Hallo liebe Leute,

es wird mal wieder Zeit für eine Art Dauertest, diesmal erscheint er zum Thema Online-Banking. Online-Banking wird in der heutigen Zeit immer populärer und ist für den Menschen, der sich im Internet täglich bewegt und einkauft und dabei seine Finanzen im Blick haben will, unverzichtbar geworden (fast). Ich habe die verschiedenen Online-Banking-Portale der gängigsten Direkt-Banken und Banken vor Ort getestet und mich mit den Sicherheitsverfahren auseinandergesetzt.

Zunächst ein paar Worte zu den

Standard-Sicherheitsverfahren beim Online-Banking

Sicherheitsverfahren gibt es viele:

  • mTAN / mobileTAN
  • iTAN
  • chipTAN
  • UPDATE: smartTAN / Smart-Secure TAN
  • HBCI-Chipkarte

doch was genau leisten Sie, wie komfortabel sind Sie? Wie viel sie kosten und wie sicher sie meiner Meinung nach sind:

mTAN

Die mobile Handy-TAN kennt fast jeder, der Online-Banking macht und sich mal mit Alternativen zur iTAN auseinandergesetzt hat. Hierbei erhält der Bankkunde bei jeder Transaktion eine TAN per SMS aufs Handy geschickt, mit der er die Transaktion freigeben kann. Leider bringt das wenig, wenn das Handy gerade mal nicht zur Hand ist. Außerdem empfinde ich als kritisch, dass jeder, der das Handy besitzt eine potentielle TAN-Liste hat oder sie mitlesen kann. Existiert beispielsweise eine Display-Anzeige von SMS (automatisch), so muss ein Dieb noch nichtmal das Handy entsperren, um die SMS mitzulesen. Besonders gefährlich ist dieses Methode im Zusammenhang mit mobile-Banking. Hier wurden schon zahlreiche Android-Handys infiziert, die fortan sämtliche TAN-SMS an die Betrüger weiterleiteten. Diese Fälle gingen letztes Jahr durch die Presse, sodass fast alle Banken ihre mTAN nur noch im Zusammenhang mit Browser-Banking anboten. Die mobile TAN-Liste per Handy ist praktisch, aber mit Vorsicht zu genießen:

Leider stellen einige Banken den Versand einer TAN-SMS in Rechnung.

mTAN Sicherheit beim Online-Banking via Browser: akzeptabel

mTAN Sicherheit beim Handy-Banking: unzureichend

iTAN

Die iTAN kennt fast jeder, der vor Jahren mal mit Online-Banking begonnen hat. Das iTAN-Verfahren ist der Nachfolger des TAN-Verfahrens. Hierbei wird von der Bank per Post bei (Zugangs-)Eröffnung eine Liste mit Transaktionsnummern (TAN) übersandt, mit der er Transaktionen freigeben kann. Hierzu wird die Nummer der TAN, die er eingeben muss, am Bildschirm angezeigt. Auch dieses Verfahren war schon einmal negativ in der Presse, eben weil Benutzer leichtsinnigerweise auf Phishing-Seiten mehrere TANs eingegeben haben. Wer jedoch seine TANs nur auf sicheren Seiten seiner Bank (diese muss man zu erkennen wissen) eingibt, und immer nur eine, also insgesamt vorsichtig damit umgeht, der hat ein solide sicheres Sicherheitsverfahren zum Online-Banking.
Worauf man jedoch achten sollte ist, dass man regelmäßig den Briefkasten leert und etwaige Sicherheitsdokumente seiner Bank zu Hause sicher verwahrt.

iTAN-Sicherheit für versicherte Nutzer: sehr gut

chipTAN

Das sog. chipTAN-Verfahren, das hauptsächlich im öffentlichen Bankensektor den Kunden empfohlen wird, ist das in meinen Augen sicherste und für die Banken anscheinend das teuerste. Hierzu wird dem Kunden von seiner Bank ein TAN-Generator (meist zum Selbstkostenpreis von 10,-) verkauft, der aber auch über alle Banken hinweg nutzbar ist.

Für jede Transaktion muss dann der Kunde mithilfe des TAN-Generators mit eingesteckter Bankkarte einen Flitter-Code vom Bildschirm scannen. Der Generator errechnet dann aus diesen Informationen die TAN.

Im Test sicherster Sicherheitsmechanismus online wie auch mobil

Leider ist chipTAN derzeit nur wenig verbreitet. Unter anderem liegt das auch an den einmaligen Anschaffungskosten von ca. 10,- €.

Experimentell: smartTAN

Vollkommen neu fiel mir hier die Anwendung smartTAN der 1822direkt auf. Hier muss man sich eine App aus dem Market ziehen, die dann als TAN-Generator fungiert. Vorher muss man die App einmalig mit dem System verbinden und registrieren – ähnlich bei dem Verfahren chipTAN.

Bei jeder Transaktion scannt dann der Kunde den eingeblendeten QR-Code vom PC-Bildschirm mit seinem Smartphone ab und das Smartphone errechnet dann die TAN. Man könnte meinen, die Sicherheit sei auf ähnlichem Niveau wie die von chipTAN. Das ist jedoch nicht ganz so, da zum TAN generieren hier keine Bankkarte benötigt wird. Deswegen:

SmartTAN-Sicherheit beim Banking: noch gut
(besser als mTAN, schlechter als chipTAN)

Dafür fällt beim chipTAN der Anschaffungspreis für den Generator weg, sofern man ein Smartphone hat. Hier sollte man jedoch, was die Anfälligkeit für Malware von Android selbst angeht, etwas vorsichtig sein.

Smart-Secure TAN

Neues Verfahren: Seit 2014 bieten einige Banken wie die ING-Diba und diverse Sparkassen das Smart-Secure Verfahren an, das die Kanaltrennung bei der Legitimation ein wenig aufweicht: Tätigt man hier eine Überweisung oder einen Vorgang mit dem Smartphone, so erfolgt die Legitimation mit dem Smartphone über eine fest definierte Sicherheitsapplikation. Die mobile-Banking-App und die Sicherheitsschlüsselapplikation laufen hierbei komplett unabhängig voneinander. Manche Anbieter wie die ING-Diba schalten davor noch ein selbst definiertes Passwort.

Insgesamt ist das Verfahren interessant und eine gute Alternative zur mTAN. Kritisch sehe ich nur die Kanaltrennung zwischen zwei Apps. Die Trennung zweier Geräte, die man benötigt, um sich zu legitimieren, hat mir persönlich besser gefallen.

Finger weg…

Wovon ich insgesamt abraten kann ist nicht Online-Banking selbst, sondern von Geschichten wie giropay oder Online-Überweisung.de, Sofort-Überweisung.de und wie sie alle heißen. Giropay ist noch am ehesten empfehlenswert, habe ich aber noch nie genutzt. Beim Online-Shoppen sollte man möglichst immer per ELV (Elektronischem Lastschrift-Verfahren) bezahlen oder sich eine Kreditkarte anschaffen, dann benötigt man solche Systeme nie.

Genauso mit Vorsicht zu genießen ist Paypal, das immer wieder negative Schlagzeilen schreibt, weil es willkürlich Konten sperrt, Zahlungen nicht tätigt (bei mir auch schon einmal im Zusammenhang mit Steam geschehen) oder einfach nicht läuft.

Paypal ist, wenn überhaupt, nur bei ebay-Käufen empfehlenswert.

Man muss sich bei solchen Zahlungsdienstleistern immer im Klaren darüber sein, dass man die eigenen Daten/Zahlungsdaten noch an einen Dritten, der die Zahlung abwickelt, weitergibt. Sollte da mal ein Sicherheitsloch vorherrschen (wäre nicht das erste Mal), dann ist man direkt betroffen, nur weil man schnell bezahlen wollte.

Wer eine Kreditkarte und ein Girokonto besitzt, der braucht keine Zahlungsdienstleister wie PAYPAL & Co.