DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Online-Banking

 Online-Banking steht zwei­fellos hoch im Kurs der Bank­kunden. Natürlich ist es bequem, seine Bank­ge­schäfte zu jeder Zeit und von jedem Ort durch­zu­führen. Dieser Komfort hat seinen Preis: Seien Sie auf­merksam, damit Sie keine böse Über­ra­schung erleben.

Mit zuneh­mender Digi­ta­li­sierung bietet Online-Banking immer mehr Mög­lich­keiten. Zusätzlich zu Aus­künften über den Kon­to­stand und den klas­si­schen Über­wei­sungen können bei­spiels­weise Prepaid-Karten auf­ge­laden und direkt in Online-Shops bezahlt werden.

Gerade im Online-Banking zeigt sich ein­drucksvoll, wie Sicher­heits­vor­keh­rungen wei­ter­ent­wi­ckelt werden bzw. müssen. Bereits vor 2 Jahren haben Stu­di­en­ergeb­nisse  gezeigt, dass die Angst beim Online-Banking steigt:  Während 2009 lediglich 4,3 Prozent der Befragten aus Angst vor Betrug auf Online-Tran­s­ak­­tionen ver­zichten wollten, sind es 2010 immerhin 20,2 Prozent. Banken bieten ver­schiedene Methoden an, um die Trans­ak­tionen sicher zu gestalten:

Ver­fahren beim Online-Banking

  • iTAN: Der Online-Banker erhält von seiner Bank eine TAN-Liste mit TANs (Trans­ak­ti­ons­nummern), die durch eine Position (Index) gekenn­zeichnet sind. Die Authen­ti­fi­zierung einer Trans­aktion erfolgt durch die durch die jeweilige zur Posi­ti­ons­nummer gefor­derten TAN
  • iTANplus: Vor der Eingabe der ITAN wird zur Authen­ti­fi­zierung zusätzlich ein Kon­trollbild ange­zeigt, das bestimmte Trans­ak­ti­ons­daten enthält, ergänzt um das Geburts­datum des Bank­kunden.
  • mobile TAN: Der Online-Banker erhält eine SMS, in der die Daten der Trans­aktion zusammen gefasst sind und dazu eine TAN. Zur Authen­ti­sierung der Trans­aktion wird die TAN in das Online-For­­mular ein­ge­tragen.
  • HBI-Chip­­­kar­­ten­­leser: Die Authen­ti­fi­zierung erfolgt durch hard­ware­ge­stützte Ver­schlüs­selung mittels einer per­so­na­li­sierten Chip­karte und Lese­gerät. Das Lese­gerät mit Chip­karte wird am Com­puter ange­schlossen, die Eingabe einer TAN ent­fällt.
  • smartTAN: Mittels eines TAN-Gene­­rators und der gesteckten Maestro-Karte können zur Authen­ti­fi­zierung auf Knopf­druck TANs erzeugt werden.
  • smartTAN plus: Aus dem Online-Banking-Auftrag wird ein Startcode ange­zeigt, der zusammen mit der Emp­fän­ger­kon­to­nummer in den TAN-Gene­­rator ein­ge­tippt wird. Daraus errechnet der TAN-Gene­­rator eine auf­trags­be­zogene TAN zur Authen­ti­fi­zierung des Auf­trages.

Diese Mög­lich­keiten bietet Ihre Bank an, weitere Infor­ma­tionen darüber finden Sie auf den Seiten des BSI .
Wenn Sie nun denken, dass Sie diese Ver­fahren ohne weitere Pflichten nutzen können, muss ich Sie ent­täu­schen. Es gibt durchaus Pflichten, die der Gesetz­geber für Sie parat hat:  

Gesetz­liche Pflichten des Online-Bankers
Ver­hal­tens­pflichten beim Online-Banking betreffen in erster Linie die „Pflichten zur Abwehr von Iden­ti­täts­miss­brauch“ und fordern, die Authen­ti­fi­zie­rungs­medien (PIN und TAN) sorg­fältig auf­zu­be­wahren und geheim zu halten. Daneben konnten auch weitere Pflichten bestehen, nämlich die Pflicht, Täu­schungs­ver­suche zu erkennen und auf Ver­dachts­mo­mente ange­messen zu reagieren, oder die Pflicht, die IT-Infra­­struktur zu sichern. Abge­leitet wurden diese Pflichten aus dem Giro­vertrag und den AGBs der Banken.
Zum 31.10.2009 wurde eine neue Regelung der Zah­lungs­dienste ins BGB ein­ge­führt.  Dazu gehört, dass erstmals die Pflicht zur Sicherung der Authen­ti­sie­rungs­medien in § 6751 BGB geregelt ist: „Pflichten des Zahlers in Bezug auf Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­mente“:
Der Zahler ist ver­pflichtet, unmit­telbar nach Erhalt eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments alle zumut­baren Vor­keh­rungen zu treffen, um die per­so­na­li­sierten Sicher­heits­merkmale vor unbe­fugtem Zugriff zu schützen. Er hat dem Zah­lungs­dienst­leister oder einer von diesem benannten Stelle den Verlust, den Dieb­stahl, die miss­bräuch­liche Ver­wendung oder die sonstige nicht auto­ri­sierte Nutzung eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments unver­züglich anzu­zeigen, nachdem er hiervon Kenntnis erlangt hat.

Tipps zum Online-Banking
Unab­hängig vom Trans­ak­ti­ons­medium sollten Sie ein Limit für die täg­liche Geld­be­wegung fest­legen und die Kon­to­be­we­gungen regel­mäßig prüfen.
Die Ver­fahren an sich sind unter­schiedlich sicher, aber Sie selbst können einen Beitrag leisten, um ein Stückchen sicherer zu werden. Das BSI hat dazu einige Emp­feh­lungen  aus­ge­sprochen. Die wich­tigsten Hin­weise für das Thema Online-Banking habe ich für Sie zusam­men­ge­fasst:

  • Sorg­fältige Auf­be­wahrung und Geheim­haltung der Authen­ti­fi­zie­rungs­medien

Wählen Sie für den Zugang zur Online-Banking-Seite sichere Pass­wörter aus und ändern Sie diese in regel­mä­ßigen Abständen. Spei­chern Sie Ihre Zugangs­daten und TANS nicht ab!
Bewahren Sie die Listen mit Ihren TANs sicher auf, sodass sie nicht gestohlen oder kopiert werden können!

  • Prüfung der Bank­seite auf Echtheit

Natürlich ist es prak­tisch, die Bank­seite in den Favo­riten zu hin­ter­legen. Sicherer ist es aber, die Inter­net­adresse immer wieder von neuem über die Tas­tatur ein­zu­geben!
Geben Sie bei der Anmeldung nie eine TAN ein, diese brauchen Sie erst bei der Online-Tran­s­aktion, nicht schon bei der Anmeldung!
Achten Sie auf Ver­än­de­rungen der Seite – fallen Ihnen Recht­schreib­fehler auf? Hat sich die URL geändert?

  • Ver­schlüs­selte Kom­mu­ni­kation

Online-Banking sollte immer über das geschützte https-Pro­­­tokoll erfolgen!
Ver­schlüsseln Sie außerdem Ihre WLAN-Ver­­­bindung!

Auch wenn Sie diese Emp­feh­lungen berück­sich­tigen, lohnt es sich, von Zeit zu Zeit zu prüfen, wie es um Art und Umfang von Angriffen bestellt ist und wie die Banken darauf reagieren. TAN und iTAN gelten als unsicher und genügen nicht mehr den aktu­ellen Sicher­heits­an­for­de­rungen, sind sich Experten einig. Deshalb haben einige Banken dem ITAN-Bogen bereits Adieu gesagt, andere setzen noch auf dieses Ver­fahren. Das mTAN-Ver­­­fahren dagegen ist nur dann sicher, wenn auf PC gebucht und die TAN per Smart­phone emp­fangen wird – findet beides auf dem gleichen Smart­phone statt ist das Ver­fahren unsicher (Hin­ter­gründe im Artikel Online-Banking mit dem Smart­phone, Emp­fehlung auch im Kom­mentar).

Und zum Schluss: Derzeit gilt das Chip­­­TAN/s­­martTAN-Ver­­­fahren als das sicherste!

Bild:  © Thorben Wengert / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Walter Leon­hardt, DATEV eG

Dipl. Infor­ma­tiker (FH). Hat Technik von der Pike auf in seiner Aus­bildung zum Nach­rich­ten­ge­rä­te­me­cha­niker und Fein­ge­rä­te­elek­tro­niker gelernt. Nach seinem Studium der Infor­matik begann er 1990 bei DATEV in den Bereichen Ent­wicklung und Grund­satz­stra­tegien. Mitt­ler­weile leitet er die Abteilung IT-Research im Bereich Stra­te­gische Unter­neh­mens­ent­wicklung und beschäftigt sich mit der Vir­tua­li­sierung von Com­pu­ter­res­sourcen, der digi­talen Rech­te­ver­waltung oder Workflow-Management-Sys­temen.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.