Keine Chance für Phishers Fritz

Sicheres Homebanking in der Praxis (Teil I)

Endlich tut sich beim Online-Banking etwas gegen Betrug durch Phishing und Pharming: Die Postbank führt als erstes großes Geldinstitut flächendeckend das sichere ChipTAN-Verfahren ein. Bankkunden zahlen einmalig rund zehn Euro für das Lesegerät.

homebanking, cardreader

© PCgo

homebanking, cardreader

Seit rund zehn Jahren existiert mit HBCI eine vergleichsweise sichere Methode Bankgeschäfte online abzuwickeln. Genutzt hat das "Home Banking Computer Interface" bisher kaum jemand. Zu kompliziert und zu teuer sei das Lesegerät für die Chipkarte, das man an den Computer ansteckt. Die Bankkunden wollten es nicht.

Schuldzuweisungen und Interpretationen für das Scheitern des Verfahrens gibt es viele. Und so streicht der ganz überwältigende Teil der Kunden beim Überweisen hierzulande noch immer seine Transaktionsnummer (TAN) von der Papierliste. Dabei ist das PIN/TAN-Verfahren alles andere als sicher. Daran hat auch die Einführung der indizierten TAN (iTAN) nicht viel geändert. Hier hat nur eine ganz bestimmte TAN aus der Liste Gültigkeit.

Das Phishing ist beim Ausspionieren der TANs, nach wie vor ein verbreitetes Problem. So verschicken Betrüger Links auf manipulierte Webseiten, die von den echten Online-Auftritten der Geldinstitute kaum zu unterscheiden sind. Für einen vermeintlichen "Sicherheitscheck" solle man PIN und TAN eingeben.

Hier ist selbstverständlich größtes Misstrauen angebracht. Unser Rat: Klicken Sie niemals auf einen solchen Link in einer E-Mail, sondern tippen Sie die Adresse Ihrer Bank immer manuell in den Browser ein.

Mit dem klassischen "Abfischen" persönlicher Online-Zugangsdaten ist es nicht getan. Auf nicht geschützten Rechnern lassen sich zudem einfach Spionage-Tools aufspielen, die Passwörter aufzeichnen und diese dann Kriminellen in die Hände spielen.

Alternativ verändern die Betrüger bestimmte Systemdateien so, dass Bankkunden auf manipulierten Webseiten landen, obwohl sie die richtige Internetadresse eingetippt haben (Pharming). Schutz gegen Schadcode und jegliche Manipulationen von außen bietet eine Internet-Sicherheits-Suite.

Endlich tut sich was!

Phihing, mail

© PCgo

Phishing per Mail ist immer noch verbreitet: Geben Sie nie Zugangsdaten für vermeintliche Sicherheits- Updates ein.

Vor Jahren schon führten viele Banken zusätzlich zur gedruckten TAN-Liste die mobile Variante mTAN ein. Hier schickt das Geldinstitut die erforderliche TAN per SMS aufs Handy des Kunden. Die Methode ist deutlich sicherer als die Transaktionsnummer auf dem Papier. Dennoch lässt sich das Verfahren mit zwei voneinander unabhängigen Kommunikationswegen über bestimmte Varianten des Banking-Trojaners ZeuS angreifen.

Darüber hinaus verleitet es manche Anwender dazu, eine wichtige Überweisung irgendwo zwischendurch auf einem Fremd-PC zu erledigen. Doch sämtliche Aktivitäten, bei denen persönliche Zugangsdaten oder Passwörter erforderlich sind, gehören nicht auf öffentliche PCs (Hotel, Arbeitsplatz oder Internet-Cafe). Rechner können da wissentlich oder nicht in irgendeiner Weise manipuliert sein und Daten ausspähen bzw. aufzeichnen.

Die Banken selbst gehen dabei nach einer einfachen Kosten-Nutzen-Rechnung vor. Beim Online-Banking geht es also keineswegs um die sicherste Methode für die Kunden, sondern vielmehr um einen Kompromiss aus Aufwand und Risiko. Zwar gibt es keine gesicherten Zahlen über die Schäden. Denn die Banken machen solche Vorfälle wegen des damit verbundenen Reputationsverlustes nicht öffentlich.

Dass es sich aber keineswegs mehr um Bagatellen handelt, zeigt das Vorpreschen der Postbank. Als erste deutsche Großbank will das Geldinstitut die Papier-TANs spätestens ab Sommer nicht mehr einsetzen. Kunden haben dann die Wahl zwischen der mTAN auf dem Handy und der neuen ChipTAN, welche die Postbank seit Mitte November 2010 anbietet.

Sicheres Homebanking in der Praxis (Teil II) finden Sie hier.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Windows 10 Sicherheit: Symbolbild
Computer ohne Werbung

Wir zeigen, wie Sie Adware vermeiden, damit Sie sich im Anschluss an die Installation nicht mühsam entfernen müssen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.