11. Februar 2016 | 17:33

Sicherheit beim Onlinebanking

Klassische TAN-Verfahren mittels TAN-Liste bzw. iTAN-Liste sind auch heute noch weit verbreitete Verfahren, um beim Onlinebanking Transaktionen abzuschließen. Leider sind diese Verfahren nicht nur weit verbreitet, sondern auch ebenso unsicher. Ein Verlust dieser Listen reicht meist aus, um Opfer von Bankbetrügern zu werden. Die mangelhafte Sicherheit ist Grund genug für einige Banken dieses Verfahren erst gar nicht mehr anzubieten. Welche Alternativen es gibt und wie es um deren Sicherheit bestellt ist, erfahren Sie im Folgenden.

 

push-TAN/mTan/SMS-Tan

Diese Verfahren funktionieren im Grunde alle gleich. Für eine Überweisung im Onlinebanking erhalten Sie eine generierte TAN per Banking-App bzw. SMS direkt auf Ihr Smartphone oder Tablet.

Das push-TAN Verfahren, welches lange Zeit als sicherste Form des Onlinebankings galt, wurde kürzlich von zwei Wissenschaftlern der Universität Erlangen geknackt. Speziell ging es dabei um die Ausnutzung von Sicherheitslücken in der Banking-App der Sparkasse. Siehe: https://www.wbs-law.de/it-recht/das-push-tan-verfahren-der-sparkasse-weist-grosse-sicherheitsluecken-auf-65502/

Das bewährte SMS-TAN-Verfahren wurde mit weitaus höherem Aufwand Ende 2015 ebenfalls umgangen. Den Betrügern gelang es mittels Trojanern die Zugangsdaten sowie Telefonnummer zum Onlinebanking auf den Computern der Geschädigten zu erlangen. Im Anschluss daran bestellten sie sich Ersatzsimkarten (Telekom) für diese Telefonnummer. Zusammen mit den Zugangsdaten sowie der nun im Besitz der Betrüger befindlichen SIM-Karte entstand so in mindestens einem Fall ein fünfstelliger Schaden.

 

Chiptan

Das mittlerweile sicherste Verfahren zur Erzeugung der TAN funktioniert mittels eines kleinen TAN-Generators mit Karteneinschub. Dies ist ein unabhängiges Gerät, welches über keinerlei Internetzugang verfügt und somit nicht manipuliert werden kann, zudem enthält das Gerät keinerlei „sensible“ Daten. Der TAN-Generator, bei dem sich auf einer Seite fünf optische Sensoren befinden, erzeugt nach Eingabe des Überweisungsauftrags mittels eines optischen Signals („Flickergrafik“) sowie Ihrer eingeschobenen Bankkarte eine TAN. Dazu muss das Gerät an die flickernde Grafik, die auf dem Computerbildschirm erscheint, gehalten werden. Die übertragenen Daten werden zum Vergleich nochmals im TAN-Generator angezeigt und müssen bestätigt werden. Im Anschluss daran wird die TAN generiert, um im Onlinebanking der Bank eingegeben zu werden.

Um dieses Verfahren zu umgehen, müssten dem Betrüger die Zugangsdaten zum Onlinebanking, der TAN-Generator sowie Ihre Bankkarte zur Verfügung stehen.

 

Vielen Dank für Ihre Aufmerksamkeit. Bei Fragen und/oder Anregungen kontaktieren Sie uns bitte unter s.huhle@wpreichert.de.

 

Dresden, den 11.02.2016

Stephan Huhle, Zertifizierter Datenschutzbeauftragter

 

Bitte beachten Sie den folgenden Haftungsschluss: „Die vorstehenden Äußerungen geben ausschließlich die persönliche Meinung des Autors zum angegebenen Datum wieder und können und wollen keine Beratung im Einzelfall ersetzen. Daher ist eine Haftung gegenüber Dritten gleich aus welchem Rechts- oder Sachgrund, insbesondere durch sich ständig ändernde Gesetze und/oder Rechtsprechung vollumfänglich ausgeschlossen. Auch erhebt der vorstehende Beitrag keinen Anspruch auf Vollständigkeit aller möglichen Fälle und/oder Varianten, nicht zuletzt, um den Inhalt auf bewusst dargestellte Schwerpunkte zu fokussieren und zu beschränken.“