1. Digital
  2. Internet

Wie Online-Banking trotz Betrügern wirklich sicher ist

Verbraucher-Tipps : Diese Online-Banking-Verfahren sind wirklich sicher

Immer wieder gibt es Betrugsfälle beim Online-Banking. In einem aktuellen Fall haben Hacker offenbar das SMS-TAN-Verfahren geknackt und so einen Millionenschaden verursacht. Die Verunsicherung ist groß. Wir klären, welche Online-Banking-Verfahren größtmögliche Sicherheit bieten.

Hundert Prozent Sicherheit bietet zwar kein Verfahren, sagt Ralf Scherfling von der Verbraucherzentrale NRW: "Wenn ich mich aber wie im Straßenverkehr auch an grundlegende Regeln halte, kann ich das Risiko auf ein absolutes Minimum reduzieren."

Zu diesen grundlegenden Sicherheitsregeln zähle etwa, stets Virenschutzprogramm, Betriebssystem und Browser aktuell zu halten sowie nie auf Links zum Online-Banking auf Mails zu klicken, sondern die Adresse immer selbst in den Browser einzugeben. "Solche E-Mails mit einem Link zum Online-Banking verschicken Banken und Sparkassen nämlich nie", warnt Scherfling.

Trotzdem gibt es zwischen den einzelnen Verfahren für das Online-Banking große Unterschiede in der Sicherheit. Wir geben Ihnen im Folgenden den Überblick.

Völlig unsicher: die TAN auf Papier / iTAN

Bei der klassischen TAN-Liste auf Papier gibt der Nutzer nach Aufforderung im Browser eine der Nummern auf der ausgedruckten Liste ein. Das Problem: Hat sich auf dem Computer eine Schadsoftware eingenistet, kann der Nutzer nicht mehr kontrollieren, ob eine Überweisung manipuliert wurde. Ihm werde zwar auf dem Bildschirm die von ihm eingegebene Kontoverbindung und auch der Betrag angezeigt. Doch der Bank könnten ganz andere Kontodaten gemeldet werden, nämlich die des Angreifers. Das Geld wäre weg.

Fazit: "Wenn eine Bank nur dieses TAN-Verfahren für das Online-Banking anbietet, würde ich dazu raten, die Bank zu wechseln oder die Bankgeschäfte wieder offline zu führen", sagt Ralf Scherfling von der Verbraucherzentrale NRW.

Noch in Ordnung: die SMS-TAN / mTAN

Der Vorteil der SMS-TAN liegt in den zwei getrennten Geräten. Um eine Überweisung durchzuführen, braucht der Nutzer nicht nur ein internetfähiges Gerät wie einen Computer für das Online-Banking, sondern auch sein Handy. Darauf wird nach Anlegen der Überweisung die TAN per SMS geschickt. Ein Angreifer müsste also entweder in irgendeiner Form beide Geräte knacken — oder der Nutzer müsste fahrlässig handeln und zum Beispiel ohne aktuelles Virenschutzprogramm surfen.

Fazit: "Die SMS-TAN kann ich nutzen, solange ich grundlegende Regeln beachte. Bietet meine Bank aber auch sicherere Verfahren wie den TAN-Generator an, sollte ich diese besseren Alternativen nutzen", rät Verbraucherschützer Ralf Scherfling.

Die größte Sicherheit: der TAN-Generator / chipTAN

Die hohe Sicherheit des TAN-Generators liegt darin, dass dieses Gerät - anders als der Computer - nicht mit dem Internet verbunden ist und daher nicht von außen manipuliert werden kann. Für eine Überweisung braucht der Nutzer seinen Computer und seine EC-Karte. Diese wird wiederum in den Generator geschoben.

Nach dem Ausfüllen der Überweisung im Browser zeigt das Online-Banking einen flimmernden Code an. Vor diesen hält der Nutzer seinen TAN-Generator. Dieser liest dann die Überweisungsdaten aus und zeigt diese dem Nutzer auf dem Generator an, bevor die eigentliche TAN generiert wird. Der Clou: Der Generator zeigt immer an, für welche Überweisung diese TAN tatsächlich eingesetzt werden soll. Eine manipulierte Überweisung würde auffallen. Der Nutzer hat also immer die Kontrolle — wenn er denn die Anzeige auf dem Generator wirklich kontrolliert.

Fazit: "Der TAN-Generator ist von den gängigen Verfahren mit das sicherste Verfahren für das Online-Banking", sagt Ralf Scherfling von der Verbraucherzentrale NRW. Erfolgreiche Manipulationen seien ihm nicht bekannt.

Noch sicherer sei zwar das HBCI-Verfahren, bei dem eine Chipkarte statt der EC-Karte und ein spezieller Chipkartenleser zum Einsatz kommen. Dieses Verfahren habe sich jedoch bedauerlicherweise bislang nicht durchgesetzt.

Weiterhin gibt es neue Verfahren für das Online-Banking wie zum Beispiel das pushTAN-Verfahren der Sparkasse. Für eine Bewertung dieser neuen Methoden unter Sicherheitsaspekten sei es noch zu früh, da Kriminelle diese noch nicht systematisch auf Herz und Nieren getestet hätten. Hier müsse man die weiteren Entwicklungen abwarten, sagt Scherfling.

Lesen Sie hier alles über den aktuellen Betrugsfall bei Telekom-Kunden.

(hebu)