Sichere Systeme fürs Online-Banking
Von Andreas KunzeDie Überweisung zu Hause am Computer zu erledigen, ist viel bequemer, als dafür extra in die Bankfiliale zu gehen. Online-Banking wird deshalb immer beliebter. Doch wie sicher es ist, hängt vom verwendeten Schutzsystem ab.Tan: Der Kunde loggt sich mit seiner PIN-Nummer auf der Internetseite der Bank ein, nimmt eine Transaktion vor und bestätigt das mit einer beliebigen, einmal gültigen Transaktionsnummer (Tan) von der Liste, die er von der Bank erhalten hat. Der Nachteil: Gerät nur eine Tan in falsche Hände, können Hacker damit schon Schaden anrichten. Dieses Verfahren wird kaum noch verwendet.iTan: Das ist eine Weiterentwicklung der einfachen Tan. Auch dabei verschickt die Bank eine Liste mit Tan-Nummern, diese sind aber fortlaufend nummeriert. Der Bankcomputer gibt vor, welche Tan für die jeweilige Transaktion zu verwenden ist, zum Beispiel Nummer 120. Kriminellen würde eine einzelne Tan nichts mehr nutzen, sie bräuchten die Liste.eTan: Statt Papierlisten erhält der Kunde ein kleines Gerät, das Tans für jede einzelne Transaktion elektronisch erstellt. Dafür ist eine Kontrollnummer in den Tan-Generator einzugeben, die der Kunde für die jeweilige Transaktion über die Internetseite der Bank genannt bekommt. Für einen Missbrauch müsste das Gerät entwendet werden.eTan plus: Der Tan-Generator ist in diesem Fall ein Kartenleser, für den eine Kundenkarten mit Chip notwendig ist, damit aus Transaktionsdaten und einem geheimen Schlüssel auf der Karte eine neue Tan berechnet wird. Für einen Missbrauch müssten daher sowohl Kartenleser als auch Kundenkarte vorhanden sein.mTan: Das m steht für Mobile, womit das Mobiltelefon gemeint ist. Bei einer Online-Transaktion schickt die Bank dem Kunden per SMS eine in diesem Moment erzeugte Tan auf sein Handy. Die Tan ist nur für die aktuelle Online-Sitzung gültig. Konten-Hacker müssten das Mobiltelefon haben oder SMS abfangen können.HBCI: Für Transaktionen mit dem Home Banking Computer Interface (HBCI) braucht der Kunde eine spezielle Software auf seinem Computer, einen Kartenleser sowie eine Kundenkarte mit Chip. Für die Transaktion gibt der Kunde seine Karten-PIN ein, worauf vom System eine elektronische Signatur für den Auftrag erstellt wird. Der Nachteil: Von unterwegs lassen sich keine Bankgeschäfte abwickeln, sofern kein Laptop mitgenommen wird.Stiftung Warentest hält eTan plus, mTan oder HBCI für sicher, iTan und eTan werden als eingeschränkt sicher beurteilt. Das Bundeskriminalamt berichtete jüngst von Fällen, bei denen es gelungen sei, das iTan-Verfahren zu überlisten.