E-Banking: Sicherheit auf Kosten der Bequemlichkeit

Neue Sicherheitsrichtlinien beim Onlinebanking sorgen derzeit für Verunsicherung. Sie treten Mitte des Monats in Kraft und dürften Bankgeschäfte am Computer tatsächlich etwas umständlicher machen. Es gibt aber auch gute Gründe für die Verschärfungen.

Sendungshinweis

„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Ö1.

Jetzt auch als Podcast.

Am 14. September tritt die neue Zahlungsdienstleistungsrichtlinie der EU (PSD2) in Kraft. Sie beinhaltet eine Verschärfung der Sicherheitsstandards für Onlinebanking. Die Ankündigung der neuen Regeln hat bei vielen Konsumentinnen und Konsumenten für Verwirrung und Verunsicherung gesorgt. Grund zur Panik bestehe jedoch nicht, so Thorsten Behrens, Internetexperte vom Österreichischen Institut für angewandte Telekommunikation (OIAT) und Leiter der Watchlist Internet. Für die meisten Nutzer werde sich in der Praxis nämlich gar nicht so viel ändern.

Zwei-Faktor-Authentifizierung wird ausgebaut

Um Transaktionen online durchführen zu können, setzen Banken seit jeher auf die Zwei-Faktor-Authentifizierung. Um etwa eine Überweisung zu tätigen, muss neben der Verfügernummer und einem Passwort auch eine Transaktionsnummer (TAN) als zweiter Faktor eingegeben werden. Künftig wird die Eingabe einer TAN-Nummer in regelmäßigen Abständen auch dann notwendig sein, wenn man sich in das Onlinebanking-Portal einwählen möchte, so Behrens. Bei der BAWAG wird diese zusätzliche TAN-Abfrage beispielsweise alle 90 Tage erfolgen.

Die TAN-Nummern werden den Kundinnen und Kunden auf eigens übermittelten TAN-Listen zur Verfügung gestellt, oder sie werden per SMS auf das Handy gesendet. Empfehlenswert ist übrigens, dass bei der Zwei-Faktor-Authentifizierung auch wirklich immer zwei unterschiedliche Werkzeuge zum Einsatz kommen. Etwa der Computer als erster Faktor und das Mobiltelefon oder die TAN-Liste als zweiter Faktor. Ein Krimineller müsste in so einem Fall über beide Faktoren verfügen, um sich unrechtmäßig zu bereichern. Die klassischen TAN-Listen (iTAN) haben allerdings endgültig ausgedient, sie entsprechen nicht mehr den modernen Sicherheitsanforderungen, so Behrens.

Klassische TAN-Listen sind Vergangenheit

Das Problem bei den TAN-Listen sei, dass viele Verbraucherinnen und Verbraucher ihre TANs irgendwo gespeichert haben, um auch unterwegs im Bedarfsfall einige TAN-Nummern zur Verfügung zu haben. Dies sei ein nicht zu unterschätzendes Sicherheitsrisiko, so der Internetexperte. Zum anderen sei es problematisch, wenn eine TAN-Nummer über längere Zeit besteht und nicht verwendet wird. Je älter eine TAN wird, desto höher sei die Wahrscheinlichkeit, dass Kriminelle den Code errechnen können. Es habe sich gezeigt, dass nach Hackerangriffen jene TANs, die im unteren Bereich der Liste notiert waren, oft nicht mehr als sicher angesehen werden konnten.

Aus diesem Grund sind viele Kundinnen und Kunden bereits auf die so genannte mobile TAN (mTAN/smsTAN) umgestiegen. Bei diesem Verfahren wird die TAN per SMS auf das Handy gesendet. Diese Möglichkeit wird auch nach dem 14. September von manchen Instituten weiter angeboten. Etwa von der BAWAG oder der Bank Austria. Letztlich ist aber auch die TAN per SMS als Auslaufmodell einzustufen. Die Erste Bank wird das Service einstellen und auch Raiffeisen wird es zumindest Neukunden nicht mehr anbieten.

TAN-Nummern per SMS sind ein Auslaufmodell

Bei der SMS gebe es das Problem, dass diese über ein sehr offenes Übertragungsprotokoll versendet werde, so Behrens. Ähnlich wie eine E-Mail müsse eine SMS überall auf der Welt gelesen werden können und werde daher in der Regel unverschlüsselt übertragen. Wenn eine SMS ins Ausland gesendet wird, müsse diese vom eigenen Mobilfunkanbieter einem anderen Mobilfunkanbieter quasi übergeben werden, erklärt der Experte. Leider gebe es auch unseriöse Anbieter, über die die Nachricht an Kriminelle gelangen könne. Es habe in der Vergangenheit immer wieder Fälle gegeben, in denen das offene Übertragungsprotokoll der SMS von Kriminellen ausgenutzt worden sei, so Behrens.

Verschlüsselte TAN-Übertragung in der App

Bankinstitute legen ihren Kundinnen und Kunden daher gegenwärtig nahe, eine bankeigene App auf dem Smartphone oder dem Computer zu installieren. Statt per SMS werden TAN-Nummern dann direkt an die App gesendet, man spricht hier vom Push-TAN-Verfahren. Bei diesen Security-Apps sei es so, dass sowohl das Versenden der TAN-Nummer als auch der Empfang in einem geschlossenen Kreislauf stattfindet, der von der Bank kontrolliert wird, so Behrens. Die Übertragung sei verschlüsselt und könne daher nach derzeitigem Stand der Technik kaum gehackt werden.

Ein Handy zeigt ein Quadrat aus bunten Pixeln, den Photo-TAN, an
Commerzbank.de
Die echte Zwei-Faktor-Authentifizierung erfordert zwei separate Geräte

Da Security-Apps so ausgelegt sind, dass sie nicht nur TAN-Nummern empfangen, sondern ganze Überweisungen damit durchgeführt werden können, ist die klassische Zwei-Faktor-Authentifizierung allerdings zumindest teilweise außer Kraft gesetzt, da dafür ja zwei unterschiedliche Geräte notwendig wären. Um dennoch eine Zweifaktor-Authentifizierung zu gewährleisten, müssen vor einer Transaktion zwei von drei Sicherheitsmerkmalen erfüllt werden. Faktor eins ist Wissen: Kenntnis des Passworts oder der Pin des verwendeten Smartphones. Faktor zwei ist der Besitz, also der Besitz des Smartphones. Als drittes Merkmal kommen biometrische Daten ins Spiel, zum Beispiel der Fingerabdruck oder die automatische Gesichtserkennung.

Security-Apps werden von den Banken sowohl für Smartphones als auch für Desktop-PCs angeboten. Wer also kein Smartphone besitzt, kann seine Bankgeschäfte auch ausschließlich über den PC abwickeln. Wer hingegen eine Smartphone-App verwenden möchte, sollte besonders darauf achten, dass das Gerät gegen unbefugte Zugriffe gut abgesichert ist, rät Behrens.

Smartphones vor unbefugtem Zugriff schützen

Das einfache Hochstreichen, um Zugang zum Smartphone zu erlangen, sei natürlich sehr unsicher, sagt Behrens. Auch von den weit verbreiteten Wischgesten rät der Experte ab. Durch die beim Wischen entstehenden Fettspuren könne man diese Muster recht einfach vom Display ablesen. Der Experte empfiehlt, das Smartphone zumindest mit einem PIN-Code oder noch besser durch ein mehrstelliges Passwort abzusichern. Der Einfachheit halber könne man das Gerät natürlich auch über biometrische Merkmale, wie den Fingerabdruck oder mittels der Gesichtserkennung entsperren. Ein Passwort sei aber sicherer, da man es im Zweifelsfall jederzeit ändern könne, was bei einem Fingerabdruck klarerweise nicht möglich ist, sollte dieser einmal von Kriminellen ausgelesen worden sein.

Ein guter Passwortschutz am Smartphone und auch bei der verwendeten Banking-App sei unerlässlich, wenn man das Gerät für Bankgeschäfte nutzen möchte, so Behrens. Manche Verbraucherschützer befürchten, dass die Bank anderenfalls dem Kunden im Schadensfall grobe Fahrlässigkeit vorwerfen und eventuell den Ersatz des Schadens verweigern könnte.

Experte: Sicherheit geht vor Komfort

Noch mehr Benutzernamen und noch mehr Passwörter, die man sich wird merken müssen. Einen Verlust an Komfort bedeutet das allemal. Komfort und Sicherheit passen aber nun einmal nicht zusammen, sagt Behrens. In diesem Fall gehe es um finanzielle Angelegenheiten, und daher sollte man hier der Sicherheit eindeutig den Vorzug geben und auf Bequemlichkeit verzichten, meint der Experte.

Ein weiterer Wermutstropfen im Zusammenhang mit den neuen Sicherheitsstandards beim E-Banking ist, dass die Apps nicht für alle gängigen Betriebssysteme angeboten werden. So werden etwa Linuxanwender nicht berücksichtigt. Wer also seine Bankgeschäfte weiterhin auf einem Linuxsystem abwickeln möchte oder seine Geldgeschäfte grundsätzlich vom Smartphone fern halten möchte, kann sich einen separaten TAN-Generator zulegen. Auf diesen Geräten können TANs mit Hilfe eines Computerchips und der Bankomatkarte generiert werden. Sie werden derzeit etwa von der Erste Bank, der Bank Austria und Raiffeisen angeboten.

Paul Urban Blaha, help.ORF.at

Links