computerwoche.de

iPad

Sicheres Online-Banking

Bankgeschäfte mit dem iPad ohne Risiko

02.03.2013
Von Volker Riebartsch
Mit dem iPad lassen sich alle wichtigen Bankgeschäfte von unterwegs abwickeln. Inzwischen stehen auch sichere TAN-Verfahren zur Verfügung. Wir sagen, worauf zu achten ist

Laut Bundesverband Deutscher Banken erledigten im Jahr 2011 bereits 44 Prozent der Bevölkerung ihre Bankgeschäfte übers Internet. Zur Jahrtausendwende waren es gerade mal elf Prozent. Dabei gibt es Online-Banking schon mehr als 25 Jahre, damals noch unter dem Namen Btx – über Wählleitungen statt Internet-Verbindungen.

Für den rasanten Anstieg der Nutzerzahlen und die inzwischen hohe Akzeptanz gibt es mehrere Gründe. Internet-Anschlüsse sind heute in fast jedem Haushalt vorhanden. Online-Banking befreit zudem vom lästigen Ausfüllen der Überweisungsträger und macht unabhängig von Schalter-Öffnungszeiten.

Auch die Banken und Kreditinstitute haben großes Interesse daran, dass Finanztransaktionen automatisiert zwischen Kunden und Bankrechner ablaufen – das spart Personal und somit Kosten. Schon seit geraumer Zeit haben die Banken deshalb die Kontoführungsgebühren für beleglosen Zahlungsverkehr heruntergesetzt und verlangen für Transaktionen, bei denen der Kunde etwa einen ausgefüllten Überweisungsträger oder Lastschriften einreicht, happige Beträge bis zu 2,50 Euro pro Transaktion.

Die hohe Akzeptanz von Online-Banking hat aber auch üble Zeitgenossen auf den Plan gerufen, die auf verschiedenen Wegen versuchen, an Ihr Geld zu kommen.

Online-Banking und Sicherheit

Legendär ist einer der ersten erfolgreichen Banken-Hacks aus dem Jahre 1984. Mitglieder des Chaos Computer Clubs (CCC) hatten mit einem sogenannten Btx- oder Haspa-Hack das vom Btx-Betreiber Deutsche Post als sicher beworbene System ausgetrickst. Sie bekamen Zugriff auf den Zugangsrechner und luden dessen Hauptspeicherinhalt auf ihre Computer. Sie fanden die Zugangsdaten und das Passwort eines Accounts der Hamburger Sparkasse (Haspa). Die Mitglieder des CCC riefen nun die kostenpflichtige eigene Seite des Clubs mit den Account-Daten der Haspa wiederholt auf. In der Nacht wanderten auf diese Weise knapp 135.000 Mark auf das Konto des CCC – der das Geld nach dem Bekanntmachen des Sicherheitsproblems natürlich zurückzahlte.

Lange schon hat das Internet Btx beim Banking abgelöst. Doch auch hier werden immer wieder Sicherheitsprobleme gefunden und Bankkunden um ihr Geld gebracht. Während im genannten Fall vor fast 30 Jahren der Fehler in der Server-Konfiguration lag, also aufseiten der Betreiber, sind die Bankrechner heute direkt kaum angreifbar.

Die heutigen Sicherheitsprobleme betreffen die Rechner, Smartphones oder Tablet-PCs des Kunden sowie den Übertragungsweg der Transaktion, Stichworte: Phishing, Pharming, Trojaner. Hier ist der Benutzer gefordert, egal, über welches Endgerät er die Bankgeschäfte abwickelt. Die gute Nachricht: Ob am Rechner daheim über den Webbrowser oder am iPad, auch unterwegs: Sicheres Online-Banking ist möglich, solange sich der Benutzer an einige Richtlinien hält.

Basis PIN und TAN

Schon seit Btx-Zeiten sind die Eingabe einer PIN (Persönliche Identifikationsnummer) und der Kontonummer die Voraussetzung dafür, sein Bankkonto online abzufragen. Mit diesen beiden Parametern lassen sich Kontostände überprüfen und getätigte Überweisungen einsehen – aber keine Transaktionen wie Überweisungen, Lastschriften und so weiter erledigen. Für jede Transaktion benötigen Sie eine TAN (Transaktionsnummer). Diese ist etwa bei einer Überweisung sozusagen Ihre digitale Unterschrift. PIN und TANs werden von den Kreditinstituten ausgegeben.

Fast 25 Jahre lang bekamen die Bankkunden eine Liste, auf der Dutzende Transaktionsnummern verzeichnet waren. Jede Transaktion erforderte die Eingabe einer TAN, die man daraufhin auf der Liste durchstrich. Etwas sicherer war das Nachfolgeverfahren mit iTANs, das auch heute noch vereinzelt angewendet wird. Dabei ist jeder TAN auf der Liste eine Nummer zugeordnet. Will man etwa eine Online-Überweisung vornehmen, wird man angewiesen, die zu einer vom Bankrechner vorgegebenen Nummer zugehörige TAN einzutippen.

Beide Varianten haben gefährliche Sicherheitslücken. Gerät die Liste in falsche Hände, benötigt ein Datendieb lediglich noch Ihre PIN und Kontonummer, um das Konto zu räumen. Neben dem Diebstahl oder Verlust der Listen droht auch Gefahr bei einer Phishing-Attacke, wenn Sie also auf eine betrügerische E-Mail oder Website hereinfallen, die Ihnen gleich mehrere TANs unter einem falschen Vorwand entlocken will.

Sicheres mobiles TAN-Verfahren

Die meisten Geldinstitute bieten TAN-Listen gar nicht mehr an oder zumindest eine sichere Alternative. Ideal für iPad-Benutzer, die auch unterwegs Bankgeschäfte tätigen wollen oder müssen, ist das Verfahren mTAN, auch mobile TAN oder SMS-TAN genannt. Einzige Voraussetzung ist ein Mobiltelefon, das SMS empfangen kann. Am Rechner oder iPad nutzen Sie entweder das Webinterface oder eine geeignete App beziehungsweise ein Programm, mit dem Sie die Daten für die Überweisung eingeben können.

Überweisung und mobile TAN

Sicheres TAN-Verfahren nutzen

Banking per Webbrowser birgt einige Risiken, ist aber zumindest zu Hause relativ sicher. Auf jeden Fall sollten Sie ein Transaktionsver- fahren wie mTAN nutzen.
Banking per Webbrowser birgt einige Risiken, ist aber zumindest zu Hause relativ sicher. Auf jeden Fall sollten Sie ein Transaktionsver- fahren wie mTAN nutzen.

Ob Sie zu Hause am Rechner über den Webbrowser oder ein Banking-Programm Ihre Geldgeschäfte erledigen oder unterwegs am iPad mit einer Banking-App: Nutzen Sie das mTAN-Verfahren. Sie füllen im Browser oder in der iPad-App die Überweisung aus und schicken das Formular ab. Sie bekommen eine neue Seite angezeigt, wo die Überweisungsdaten noch einmal angezeigt werden. Hier müssen Sie die TAN für die eigentliche Überweisung eintragen. Sie bekommen sie per SMS auf Ihr Mobiltelefon geschickt. mTANs sind zeitlich begrenzt gültig.

Der Bankrechner schickt Ihnen dann eine TAN auf Ihr Mobiltelefon, die Sie zur Überweisung eintragen (siehe Kasten oben). Die TAN ist zeitlich begrenzt nutzbar. Das mTAN-Verfahren setzt auf einen zweiten Übertragungskanal: Die Überweisung und der Empfang der SMS müssen auf getrennten Geräten erfolgen (siehe Kasten unten).

mTAN und Mobile Banking

Nach Expertenbewertung gehört die mobile TAN-Technik (mTAN) zurzeit zum sichersten Online-Banking-Standard

Seit Einführung der mTAN ist das Phishing-Risiko erheblich gesunken, weil die TANs direkt per SMS auf das Handy des Bankkunden geschickt werden. Phishing oder Trojaner sind chancenlos, weil mobile TANs nur für eine einzige Zahlung gelten.
Gemäß den Vorgaben des Zentralen Kreditausschusses und des Bundesamts für Sicherheit in der Informationstechnik ist beim Mobile Banking die Verwendung des mTAN-Verfahrens nur zulässig, wenn die Datenübertragung über zwei unterschiedliche Kanäle erfolgt. Bei der kompletten Auftragsabwicklung über ein mobiles Endgerät wie das iPhone wird jedoch nur ein Übertragungsweg genutzt, weshalb das Verfahren aus Sicht der Experten für mobile Endgeräte ungeeignet ist. Sollte ein Schadensfall eintreten, müssen Bankkunden damit rechnen, dass die Kreditinstitute die Haftung komplett auf den Bankkunden abwälzen. Die Nutzung des iPad für die Überweisung per Banking-App und der Empfang der mTAN auf dem Mobiltelefon ist der sicherere Weg.

Im Jahr 2010 wurde die Möglichkeit einer Trojaner-Attacke auf das mTAN-Verfahren bekannt. Dazu war allerdings eine Manipulation am PC des Benutzers erforderlich. Er musste dazu gebracht werden, auf einer gefälschten Bankseite seine Handynummer einzugeben. Daraufhin wurde eine SMS mit einem Link an das Handy geschickt, der den Download einer Schadsoftware auslöste. Das Schadprogramm startete seine Arbeit am Handy. Die genannte Trojanerversion funktionierte an Symbian-Smartphones und Blackberrys. Unter iOS ist das bei einem nicht „gehackten“ iPad oder iPhone nicht möglich, hier braucht man sich also keine Sorgen zu machen.

Daneben gibt es weitere sichere TAN-Verfahren, die die Anschaffung beziehungsweise Nutzung von zusätzlicher Hardware erfordern (siehe Kasten unten).

TAN-Verfahren

iTANJede TAN auf der TAN-Liste ist fortlaufend nummeriert. Gibt man eine Transaktion ein, fragt der Bankrechner eine TAN von der Liste ab. Dies verhindert Phishing, jedoch nicht Pharming oder Trojaner.

iTAN PLUS Eine Weiterentwicklung des iTAN-Verfahrens. Ein Kontrollbild wird vor der TAN-Eingabe eingeblendet, das die Daten des Zahlungsauftrags, das Geburtsdatum des Kunden sowie die laufende Nummer der geforderten TAN anzeigt. Das Kontrollbild hat ein Raster, ein maschinelles Auslesen der TAN ist so nicht möglich.

MTAN Für jede Transaktion sendet der Bankrechner eine TAN sowie die Transaktionsdaten per SMS auf das Mobiltelefon. Das Verfahren gilt als sicher, weil zwei verschiedene Übertragungswege beteiligt sind. Eine unbenutzte mTAN verfällt nach kurzer Zeit.

ETAN Von seiner Bank erhält man ein elektronisches Gerät, das für jede Transaktion per Knopfdruck eine TAN erzeugt, die nur wenige Minuten gültig ist. Phishing-Versuche werden zwar erschwert, aber vor Trojanern oder Pharming schützt das Verfahren nicht.

ETAN PLUSEine Weiterentwicklung des eTAN-Verfahrens, bei der zusätzlich ein Karteneinschub für die EC-Karte im TAN-Generator vorhanden ist. Den von der Bank anhand der Transaktionsdaten erhaltenen Code tippt man auf der Tastatur des Gerätes ein, das daraus anschließend die TAN errechnet.

HBCI-VERFAHREN Das derzeit sicherste Verfahren, bei dem man eine Chipkarte der Bank, eine entsprechende Software auf dem Rechner und ein Kartenlesegerät benötigt. Zu empfehlen sind Kartenleser der Klasse 2 oder 3 mit Prozessor und eigener Tastatur. Die Chipkarte verschlüsselt die Daten und wehrt somit Phishing, Pharming und Trojaner ab.