Die jüngste Betrugsserie beim mTan-Verfahren zeigt es: So bequem Online-Banking auch sein mag, die digitale Geldüberweisung birgt Risiken. Das liegt zum einen daran, dass Kunden elementare Sicherheitsvorkehrungen missachten, zum anderen daran, dass Betrüger mittlerweile in der Lage sind, technische Schutzbarrieren zu überwinden. Grundlage für das Online-Banking ist der Einsatz von Transaktionsnummern (Tan). Es gibt einige Verfahren, die sich schon als unsicher erwiesen haben, bei anderen wurde allerdings noch kein Betrug festgestellt. Die SZ stellt die wichtigsten Verfahren vor.
Klassisches Tan-Verfahren
So fing beim Online-Banking alles an: Der Kunde erhielt von der Bank eine Liste mit Transaktionsnummern. Bei einer Online-Überweisung bestätigte der Kunde der Reihe nach mit den Nummern die Transaktion. Der Nachteil dieser nur noch selten angewandten Methode liegt auf der Hand: Schon wenn eine Transaktionsnummer aus der Liste in falsche Hände gerät, kann ein Betrüger Schaden anrichten. Deshalb wurde es schon vor Jahren verfeinert.
iTan-Verfahren
Auch hier verschickt die Bank eine Liste mit Transaktionsnummern an den Kunden, diese Nummern sind jedoch fortlaufend nummeriert und damit indiziert (iTan). Der Bankcomputer fordert den Kunden beim Überweisungsvorgang auf, eine bestimmte Transaktionsnummer aus der Liste einzugeben, und zwar zügig. Doch auch hier kam es zu Betrug: So haben Täter Kunden mit einer fingierten Mail von der Bank aufgefordert, Tan einzugeben. Auch wurden schon Tan in laufenden Überweisungsvorgängen abgefangen und der Betrag dann auf ein anderes Konto umgeleitet. Deshalb führten Banken wie die Postbank, die Sparkassen und Genossenschaftsbanken zusätzlich vor etwa zwei Jahren das mTan-Verfahren ein.
Andere Institute, zum Beispiel die Direktbank ING-Diba, halten dagegen an den iTan fest. Kunden, die mit Tan-Listen auf Papier arbeiten, sollten diese auf keinen Fall offen herumliegen lassen und auch keine Sicherheitskopie auf dem Computer einscannen. Zudem sollten die Tan niemals zusammen mit der PIN für das Online-Banking aufbewahrt werden.
mTan-Verfahren
Hier dient das Mobiltelefon als Übermittler einer aktuellen Transaktionsnummer. Wenn der Kunde eine Überweisung ausführen möchte, gibt er den Auftrag zunächst in seinen Computer ein. Dann bekommt er die Tan auf sein Handy geschickt. Diese Nummer ist dann nur für die aktuelle Überweisung gültig. Diese Methode galt lange Zeit als relativ sicher, weil dabei zwei voneinander getrennte Geräte im Spiel sind: der Computer und das Handy.
Auch beim mTan-Verfahren ist Betrug möglich
Doch nun hat sich gezeigt, dass auch beim mTan-Verfahren Betrug möglich ist: Ein Problem ist, dass Mobilfunkdaten wie die Handynummer häufig auch auf dem Computer gespeichert sind, zum Beispiel im E-Mail-System oder weil der Kunde die Mobilfunk-Rechnung online erhält. Hat sich der Betrüger in den Computer eingehackt, konnte er sich eine zweite SIM-Karte besorgen, diese beim Mobilfunk-Anbieter des Kunden freischalten und damit dessen Nummer telefonisch auf das eigene Handy umleiten lassen. So bekam er die mTan auf das eigene Handy. Die Mobilfunk-Anbieter haben es nun erschwert, dass Fremde eine zweite SIM-Karte freischalten lassen können. Zudem empfehlen sie jedem Kunden, für telefonische Vertragsänderungen ein eigenes Passwort registrieren zu lassen. Bisher war das bei vielen Kunden einfach mit Daten möglich, an die auch Betrüger herankommen, zum Beispiel dem Geburtsdatum.
Tan-Generator-Verfahren
Zusätzlich zum mTan-Verfahren bieten viele Banken den Tan-Generator an. Hier erhält der Kunde ein Gerät, das für jede Transaktion die entsprechende Nummer erstellt. In der Regel muss er dabei die eigene EC-Karte in das Gerät einschieben. Dann hält er den Generator an den Bildschirm des PC, und das Gerät erzeugt erst die Tan. Vorher zeigt es die Kontonummer und den zu überweisenden Betrag an. Damit kann keine Tan während des Überweisungsvorgangs abgefischt und auf eine andere Kontonummer umgeleitet werden.
Weiterer Vorteil: Es gibt keine Tan-Liste, die gestohlen werden kann. Die Tan wird nicht mehr als SMS verschickt. Allerdings kann der Tan-Generator entwendet werden. Für einen Missbrauch müssten Betrüger aber auch die EC-Karte haben. Deshalb gilt der Generator noch als sicher, Betrug ist bei ihm noch nicht festgestellt worden. Er kostet zehn bis 20 Euro, bei manchen Banken ist es auch kostenlos. Aber: Nicht jede Bank bietet das Verfahren an.
HBCI-Verfahren
Das Verfahren nutzen vor allem Firmen. Dabei wird ein eigenes Verschlüsselungsgerät direkt am Computer installiert. Das kostet je nach Bank 50 bis 100 Euro. Betrug wurde dabei bisher nicht festgestellt.
Allgemeiner Schutz
Jeder Online-Banking-Kunde sollte auf seinem Computer einen aktuellen Virenschutz installieren. Dasselbe gilt für ein Smartphone, falls darüber Bankgeschäfte erledigt werden. Banken empfehlen zudem, das Betriebssystem, den Internet-Browser und die Virenschutzprogramme jeweils aktuell zu halten.