Online-Banking So sicher ist Online-Banking

Das Laptop ist stets dabei: Bankgeschäfte lassen sich zu jeder Zeit und jedem Ort erledigen. Doch immer wieder tun sich Sicherheitslücken auf.

(Foto: David Paul Morris/Reuters)

Das Konto über das Internet zu verwalten ist praktisch. Aber Online-Banking hat auch Tücken, wie ein neuer Betrugsfall zeigt. So funktionieren die gängigen Verfahren.

Von Harald Freiberger und Helmut Martin-Jung

Der Betrug mit dem Online-Banking ist fast so alt wie das Online-Banking selbst. Wo Geld zu holen ist, tauchen auch Verbrecher auf, die versuchen, die Sicherheitsvorkehrungen der Banken zu überlisten. Das zeigt auch wieder die jüngste Betrugsserie beim Online-Banking mit dem sogenannten mTAN-Verfahren, bei dem der Bankkunde eine Überweisung am eigenen PC in Auftrag gibt und die zugehörige Transaktionsnummer (TAN) auf sein Smartphone bekommt. Die Täter fanden Schwachstellen in beiden Systemen und leiteten Geldüberweisungen aufs eigene Konto um. "Kein Bezahlverfahren im Online-Banking bietet 100-prozentige Sicherheit", warnt Frank Christian Pauli vom Verbraucherzentrale Bundesverband. Aber Bankkunden können zumindest das Risiko verringern. Ein Überblick über die gängigen Verfahren.

Die E-Mail

Am Anfang war die Mail. Damit Hacker online auf Bankkonten zugreifen können, brauchen sie als Erstes die Daten der Kunden: Kontonummer, Name, Handynummer. Weil die kaum jemand einfach so herausrückt, versuchen sie es mit der Angstmasche. In Mails, die angeblich einer Sicherheitsüberprüfung dienen, werden die Opfer aufgefordert, ihre Daten einzugeben. Das Perfide daran: Die Mails sind immer besser formuliert. Damit sie überzeugend wirken, kopieren die Betrüger auch Logos und Bilder, und sie verwenden oft Absender-Adressen, die zumindest auf den ersten Blick kaum von der richtigen Adresse zu unterscheiden sind.

Trotzdem muss niemand darauf hereinfallen, denn nach wie vor gilt: Banken verschicken keine Mails, die zur Eingabe sensibler Daten auffordern. Banken würden auch nie per Mail einen Link schicken, der zur Eingabeseite führt. Mails mit betrügerischer Absicht erkennt man zudem oft daran, dass sie keine personalisierte Anrede haben, stattdessen heißt es etwa "Lieber Sparkassen-Kunde". Meist wird der Inhalt des Links angezeigt, wenn man mit der Maus darüber fährt (nicht klicken!). Oft erscheint dann eine kryptische Adresse, die gewiss keiner Bank gehört. Wer sich trotzdem noch unsicher ist, sollte einfach bei seiner Bank anrufen, auch wenn die Mail zur Eile mahnt - gerade die angebliche Dringlichkeit soll die Opfer ja dazu verführen, die wertvollen Daten preiszugeben.

Die iTAN Als es in den 1990er-Jahren mit dem Online-Banking anfing, verschickten die Banken Papierlisten mit TAN, die der Kunde bei jeder Überweisung eingeben musste. Später kam die iTAN, bei der die Bank nach einer bestimmten Nummer auf der Liste fragt. "Die iTAN ist das unsicherste gängige Verfahren", sagt Verbraucherschützer Pauli. Geben Bankkunden einem Täter eine iTAN weiter, kann dieser immer noch mit Glück das Konto abräumen. Er leitet den Kunden meist auf eine gefälschte Version der Bankwebseite um und nutzt die eingegebenen Daten für eigene Zwecke. Einige Banken bieten das iTAN-Verfahren immer noch an. Bald ist es damit aber vorbei: Die EU-Bankenaufsicht schreibt vor, dass jede TAN von vorneherein mit einer bestimmten Transaktion verknüpft sein muss.

Die mTAN Das Verfahren wurde 2011 eingeführt, weil es immer mehr Betrug mit der iTAN gab. Anfangs galt die mTAN auch als sicher, weil dafür zwei voneinander getrennte Systeme nötig sind: Computer und Handy. Im Laufe der Jahre haben Betrüger aber Methoden gefunden, die Barrieren zu überwinden. So gab es eine Betrugswelle, bei der Täter sich erst ins Online-Banking einhackten und sich dann eine zweite Sim-Karte besorgten, die mTAN auf das eigene Handy umleiteten und so teils sechsstellige Euro-Beträge auf das eigene Konto überwiesen. Die Telekom-Firmen haben inzwischen die Bedingungen für eine zweite Sim-Karte verschärft. Beim jüngsten Betrug ließen sich die Täter SMS auf eigene Smartphones umleiten. In Deutschland waren Kunden von O2 betroffen. Inzwischen ist die Lücke geschlossen. Die Fälle zeigen aber: Auch mTAN ist nicht mehr sicher.

Abgezockt per SMS und E-Mail

Abo-Fallen, gefälschte Inkassoschreiben, verbotene Werbeanrufe: Mit diesen Maschen wollen Betrüger abkassieren. Von Berrit Gräber mehr ...

Der TAN-Generator Um die Sicherheit zu verbessern, führten viele Banken vor wenigen Jahren ein neues System ein: den TAN-Generator. Das ist ein kleines Gerät, in das der Kunde seine EC-Karte steckt, wenn er am Computer eine Überweisung macht. Auf dem Bildschirm taucht dann ein Flicker-Code auf, an den der Generator gehalten wird. Dieser erzeugt daraufhin die TAN und zeigt sie an. "Das System ist derzeit das sicherste", sagt Verbraucherschützer Pauli. Betrug sei damit noch nicht bekannt geworden.

Fingerabdruck & Co. Die Sicherheitsbranche arbeitet an einer Reihe weiterer Verfahren, um Geld online zu transferieren oder bargeldlos an der Kasse zu zahlen. Eines davon ist eine App auf dem Smartphone, die per Scan den Fingerabdruck des Nutzers erkennt. Einige Kreditinstitute, etwa die Postbank, bieten das bereits an. Andere Verfahren funktionieren über das Scannen der Iris, der Venen an der Hand oder des individuellen Herzschlags. Die Verfahren sind teils noch Zukunftsmusik, sicher ist aber: Auch sie werden nicht hundertprozentig sicher sein. "Was ist, wenn Betrüger die Iris oder den Fingerabdruck perfekt imitieren?", fragt Pauli.

Bei all den Gefahren im Online-Banking gibt es auch eine gute Nachricht: Die Richter entscheiden bei Betrug meist im Sinne der Verbraucher. Ausnahmen gibt es, wenn der Kunde schuldhaft oder fahrlässig handelt. Das kann der Fall sein, wenn er seine EC-Karte verliert und nicht gleich sperren lässt oder wenn er persönliche Daten wie PIN und TAN sorglos weitergibt. Kann der Kunde den Betrug aber nicht verhindern, weil er gar nicht davon erfährt - so wie im jüngsten Fall mit mTAN -, muss ihm die Bank den Schaden ersetzen.

Schwachstelle im Mobilfunknetz: Kriminelle Hacker räumen Konten leer

Auch deutsche Kunden waren betroffen. O2-Telefonica bestätigte die Vorfälle. Die konkrete Schwachstelle, die die Kriminellen ausnutzten, ist seit zwei Jahren bekannt. Von Hakan Tanriverdi und Markus Zydra mehr...