Das Online-Banking ist bei vielen Menschen verschrieen. Vereinzelte Missbrauchsfälle sorgen immer wieder für großes Aufsehen, so dass der Vorgang vielen Menschen schlicht als unsicher gilt. Nicht wenige befürchten, ihr Konto könnte irgendwann spontan leergeräumt sein. Die Gefahren des Online-Bankings können auch nicht einfach ignoriert werden – sie sind tatsächlich real. Doch de facto bestehen sie nicht aufgrund technischer Mängel, sondern aufgrund banaler menschlicher Fehler. Nahezu alle kriminellen Methoden setzen beim Menschen hinter der Technik an. Und dagegen kann man sich wappnen - mit etwas Hintergrundwissen und Vorsicht.
Es gibt im Grunde keine anfälligen TAN-Listen mehr
Denn all die mittlerweile eingeführten Sicherheitsprozeduren wie TAN-Listen und Lesegeräte sind vollkommen nutzlos, wenn der Kunde selbst zum Risikofaktor wird. Und anders als viele glauben, sind auch die viel gescholtenen TANs heute sicher. Denn die einfachen Streichlisten, aus denen man sich frei bedienen konnte, sind Geschichte. Es kann also kein Krimineller mehr auf gut Glück Zahlenkolonnen ausprobieren, bis er eine der üblicherweise 100 ausgegebenen TANs per Zufall trifft. Heute fragen die Banking-Programme gezielt nach einer bestimmten TAN – für jeden einzelnen Vorgang und nicht nur beim Login wie einst.iTAN, BEN, mTAN und vor allem HBCI als sichere Alternativen
Teilweise wird diese neue iTAN noch um eine BEN ergänzt. Dann antwortet die Software mit der BEN auf die Eingabe – und diese Nummer muss mit der BEN übereinstimmen, die auf dem TAN-Block neben der eingegebenen iTAN aufgeführt ist. Eine Alternative ist schließlich noch die mTAN. Dann wird für jede Transaktion eine mTAN als SMS aufs mit dem Konto verbundene Handy (bzw. die dort eingelegte SIM-Karte) geschickt und muss eingegeben werden. Das erspart den TAN-Block zuhause, der bei Einbrüchen natürlich entwendet werden kann. Umgekehrt kann aber eben auch das Handy verloren gehen – und das ist viel wahrscheinlicher. mTAN hat sich daher gegenüber iTAN bislang nicht durchsetzen können.Die große Alternative zur iTAN ist dagegen das HBCI-Modell. Dabei handelt es sich um Kartenlesegeräte. Oft wird das kombiniert mit einer Chipkarte. Will sich jemand auf der Website seines Kontos einloggen, muss er einen angezeigten Code ins Lesegerät eintippen – und die Chipkarte dabei einlegen. Dadurch wird wiederum ein Code auf dem Lesegerät generiert, den man dann beim Konto-Login angibt. Das gilt als sicherste Methode überhaupt, weil sie auch gegen das sogenannte Phishing sowie das Pharming hilft.
Gefahr 1: Phishing (und Malware)
Mit Phishing bezeichnet man den Versuch von Kriminellen, via Fake-Mails an sensible Login-Daten zu kommen. Die E-Mails wirken, als seien sie vom Bankinstitut und fordern einen in der Regel auf, aus „Sicherheitsgründen“ Passwörter oder TANs einzugeben. Mit diesen Informationen kann man natürlich dann aufs Konto zugreifen und eventuell sogar Transaktionen durchführen. Dank den iTANs ist Phishing mittlerweile deutlich erschwert worden, die Kriminellen müssten nämlich exakt die richtige TAN für die nächste Transaktion erwischen. Nutzer von HBCI-Geräten sind natürlich komplett immun dagegen.Wie man aber schon an dieser Gefahr erkennt, ist der Mensch das schwache Bindeglied, nicht die Software. Wer Phishing ignoriert, hat auch keine Probleme. Gleiches gilt für Malware, die man sich auf den Computer holt, indem man falsche Links auf dubiosen Websites anklickt oder Anhänge von E-Mails unbekannter Absender öffnet. eBay, Paypal & Co jedoch werden einem niemals solche Anhänge schicken und auch nicht auffordern, irgendwelche Daten einzugeben! Der Absender einer E-Mail sagt rein gar nichts aus. Denn der kann kinderleicht manipuliert werden.
Gefahr 2: Pharming
Wer also etwas aufpasst, kann im Grunde kaum einem Betrug zum Opfer fallen. Nur eine moderne Methode ist eine echte Gefahr: das Pharming. Dabei werden bestimmte Adressen, die man im Browser eingibt, kurzerhand umgeleitet. Kriminelle hacken dazu die DNS-Server, an welche die Browser ihre Adressanfrage schicken. Dagegen ist man im Grunde komplett hilflos. Allerdings: Zum einen ist das für Kriminelle mit viel Aufwand verbunden, zum anderen sind unsere Browser recht intelligent: Sie benötigen nämlich eigentlich nur einmal den Kontakt zu so einem DNS-Server.Ist das irgendwann schon einmal für die Adresse der Bank geschehen, wird die zugeordnete IP der Bank in der Windows-eigenen hosts-Datei abgespeichert. Künftig fragt der Browser zuerst diese hosts-Datei und weiß daher gleich, zu welcher IP er verbinden muss. Und so schließt sich der Kreis: Man muss dann nur noch verhindern, dass wiederum Viren diese Datei manipulieren können. Das aber kann man eben mit einem guten Anti-Malware-Schutzprogramm und etwas Aufmerksamkeit beim Öffnen von Links oder E-Mail-Anhängen recht wirksam vermeiden. Und selbst wenn man doch einmal Pech hat: Mit nur einer abgefischten TAN jedoch hält sich das Risiko in Grenzen – es müsste eben genau die sein, die die Bank beim nächsten Vorgang abfragt. Und wer selbst das als zu riskant empfindet, ist mit HBCI auf der sicheren Seite.
