Sicheres Online-Banking

Ratgeber: Risikolose Bankgeschäfte mit dem iPad

13.11.2013 von Volker Riebartsch
Mit dem iPad von Apple lassen sich alle wichtigen Bankgeschäfte von unterwegs abwickeln. Inzwischen stehen auch sichere TAN-Verfahren zur Verfügung. Wir erläutern, wie Sie das iPad sicher für die Online-Banking-Geschäfte nutzen können und worauf Sie dabei achten müssen.

Laut Bundesverband deutscher Banken erledigten im Jahr 2011 bereits 44 Prozent der Bevölkerung ihre Bankgeschäfte übers Internet. Zur Jahrtausendwende waren es gerade mal elf Prozent. Dabei gibt es Online-Banking schon mehr als 25 Jahre, damals noch unter dem Namen Btx - über Wählleitungen statt Internetverbindungen.

Für den rasanten Anstieg der Nutzerzahlen und die inzwischen hohe Akzeptanz gibt es mehrere Gründe. Internetanschlüsse sind heute in fast jedem Haushalt vorhanden. Online-Banking befreit zudem vom lästigen Ausfüllen der Überweisungsträger und macht unabhängig von Schalteröffnungszeiten.

Mobiles Büro: Tablets wie das iPad lassen sich auch für Online-Banking-Geschäfte gut nutzen, da mittlerweile viele Banken entsprechende Apps zur Verfügung stellen.

Auch die Banken und Kreditinstitute haben großes Interesse daran, dass Finanztransaktionen automatisiert zwischen Kunden und Bankrechner ablaufen - das spart Personal und somit Kosten. Schon seit geraumer Zeit haben die Banken deshalb die Kontoführungsgebühren für beleglosen Zahlungsverkehr herabgesetzt und verlangen für Transaktionen, bei denen der Kunde etwa einen ausgefüllten Überweisungsträger oder Lastschriften einreicht, happige Beträge bis zu 2,50 Euro pro Transaktion.

Die hohe Akzeptanz von Online-Banking hat aber auch üble Zeitgenossen auf den Plan gerufen, die auf verschiedenen Wegen versuchen, an das Geld der Bankkunden zu kommen.

Online-Banking und Sicherheit

Legendär ist einer der ersten erfolgreichen Banken-Hacks aus dem Jahre 1984. Mitglieder des Chaos Computer Clubs (CCC) hatten mit einem sogenannten Btx- oder Haspa-Hack das vom Btx-Betreiber Deutsche Post als sicher beworbene System ausgetrickst. Sie bekamen Zugriff auf den Zugangsrechner und luden dessen Hauptspeicherinhalt auf ihre Computer. Sie fanden die Zugangsdaten und das Passwort eines Accounts der Hamburger Sparkasse (Haspa). Die Mitglieder des CCC riefen nun die kostenpflichtige eigene Seite des Clubs mit den Account-Daten der Haspa wiederholt auf. In der Nacht wanderten auf diese Weise knapp 135.000 Mark auf das Konto des CCC - der das Geld nach dem Bekanntmachen des Sicherheitsproblems natürlich zurückzahlte.

Lange schon hat das Internet Btx beim Banking abgelöst. Doch auch hier werden immer wieder Sicherheitsprobleme gefunden und Bankkunden um ihr Geld gebracht. Während im genannten Fall vor fast 30 Jahren der Fehler in der Server-Konfiguration lag, also aufseiten der Betreiber, sind die Bankrechner heute direkt kaum angreifbar.

Die heutigen Sicherheitsprobleme betreffen die Rechner, Smartphones oder Tablet-PCs des Kunden sowie den Übertragungsweg der Transaktion, Stichworte: Phishing, Pharming, Trojaner. Hier ist der Benutzer gefordert, egal, über welches Endgerät er die Bankgeschäfte abwickelt. Die gute Nachricht: Ob am Rechner daheim über den Webbrowser oder am iPad, auch unterwegs: Sicheres Online-Banking ist möglich, solange sich der Benutzer an einige Richtlinien hält.

Basis PIN und TAN

Schon seit Btx-Zeiten sind die Eingabe einer PIN (Persönliche Identifikationsnummer) und der Kontonummer die Voraussetzung dafür, sein Bankkonto online abzufragen. Mit diesen beiden Parametern lassen sich Kontostände überprüfen und getätigte Überweisungen einsehen - aber keine Transaktionen wie etwa Überweisungen oder Lastschriften erledigen. Für jede Transaktion benötigen Sie eine TAN (Transaktionsnummer). Diese ist etwa bei einer Überweisung sozusagen Ihre digitale Unterschrift. PIN und TANs werden von den Kreditinstituten ausgegeben.

Fast 25 Jahre lang bekamen die Bankkunden eine Liste, auf der Dutzende Transaktionsnummern verzeichnet waren. Jede Transaktion erforderte die Eingabe einer TAN, die man daraufhin auf der Liste durchstrich. Ein wenig sicherer war das Nachfolgeverfahren mit iTANs, das auch heute noch vereinzelt angewendet wird. Dabei ist jeder TAN auf der Liste eine Nummer zugeordnet. Will man etwa eine Online-Überweisung vornehmen, wird man angewiesen, die zu einer vom Bankrechner vorgegebenen Nummer zugehörige TAN einzutippen.

Beide Varianten haben gefährliche Sicherheitslücken. Gerät die Liste in falsche Hände, benötigt ein Datendieb lediglich noch Ihre PIN und Kontonummer, um das Konto abzuräumen. Neben dem Diebstahl oder Verlust der Listen droht auch Gefahr bei einer Phishing-Attacke, wenn Sie also auf eine betrügerische E-Mail oder Website hereinfallen, die Ihnen gleich mehrere TANs unter einem falschen Vorwand entlocken will.

Sicheres mobiles TAN-Verfahren

Die meisten Geldinstitute bieten TAN-Listen gar nicht mehr an oder zumindest eine sichere Alternative. Ideal für iPad-Benutzer, die auch unterwegs Bankgeschäfte tätigen wollen oder müssen, ist das Verfahren mTAN, auch mobile TAN oder SMS-TAN genannt. Einzige Voraussetzung ist ein Mobiltelefon, das SMS empfangen kann. Am Rechner oder iPad nutzen Sie entweder das Web-Interface oder eine geeignete App beziehungsweise ein Programm, mit dem Sie die Daten für die Überweisung eingeben können.

Der Bankrechner schickt Ihnen dann eine TAN auf Ihr Mobiltelefon, die Sie zur Überweisung eintragen. Die TAN ist zeitlich begrenzt nutzbar. Das mTAN-Verfahren setzt auf einen zweiten Übertragungskanal: Die Überweisung und der Empfang der SMS müssen auf getrennten Geräten erfolgen.

Im Jahr 2010 wurde die Möglichkeit einer Trojaner-Attacke auf das mTAN-Verfahren bekannt. Dazu war allerdings eine Manipulation am PC des Benutzers erforderlich. Er musste dazu gebracht werden, auf einer gefälschten Bankseite seine Handynummer einzugeben. Daraufhin wurde eine SMS mit einem Link an das Handy geschickt, der den Download einer Schadsoftware auslöste. Das Schadprogramm startete seine Arbeit am Handy. Die genannte Trojanerversion funktionierte an Symbian-Smartphones und BlackBerrys. Unter iOS ist das bei einem nicht "gehackten" iPad oder iPhone nicht möglich, hier braucht man sich also keine Sorgen zu machen.

Daneben gibt es weitere sichere TAN-Verfahren, die die Anschaffung beziehungsweise Nutzung von zusätzlicher Hardware erfordern.

TAN-Verfahren im Überblick

iTANJ: Jede TAN auf der TAN-Liste ist fortlaufend nummeriert. Gibt man eine Transaktion ein, fragt der Bankrechner eine TAN von der Liste ab. Dies verhindert Phishing, jedoch nicht Pharming oder Trojaner.

iTAN PLUS: Eine Weiterentwicklung des iTAN-Verfahrens. Ein Kontrollbild wird vor der TAN-Eingabe eingeblendet, das die Daten des Zahlungsauftrags, das Geburtsdatum des Kunden sowie die laufende Nummer der geforderten TAN anzeigt. Das Kontrollbild hat ein Raster, ein maschinelles Auslesen der TAN ist so nicht möglich.

MTAN: Für jede Transaktion sendet der Bankrechner eine TAN sowie die Transaktionsdaten per SMS auf das Mobiltelefon. Das Verfahren gilt als sicher, weil zwei verschiedene Übertragungswege beteiligt sind. Eine unbenutzte mTAN verfällt nach kurzer Zeit.

ETAN: Von seiner Bank erhält man ein elektronisches Gerät, das für jede Transaktion per Knopfdruck eine TAN erzeugt, die nur wenige Minuten gültig ist. Phishing-Versuche werden zwar erschwert, aber vor Trojanern oder Pharming schützt das Verfahren nicht.

ETAN PLUS: Eine Weiterentwicklung des eTAN-Verfahrens, bei der zusätzlich ein Karteneinschub für die EC-Karte im TAN-Generator vorhanden ist. Den von der Bank anhand der Transaktionsdaten erhaltenen Code tippt man auf der Tastatur des Gerätes ein, das daraus anschließend die TAN errechnet.

HBCI-VERFAHREN: Das derzeit sicherste Verfahren, bei dem man eine Chipkarte der Bank, eine entsprechende Software auf dem Rechner und ein Kartenlesegerät benötigt. Zu empfehlen sind Kartenleser der Klasse 2 oder 3 mit Prozessor und eigener Tastatur. Die Chipkarte verschlüsselt die Daten und wehrt somit Phishing, Pharming und Trojaner ab.

Browser oder App

Die meisten Nutzer setzen auf Online-Banking per Browser. Fast alle Geldinstitute bieten Banking per Web-Interface. Nach der Anmeldung für das Online-Banking und der Wahl des TAN-Verfahrens kann es losgehen. Doch hier ist Vorsicht geboten: Banking per Webbrowser setzt voraus, dass Sie Schutzmaßnahmen ergreifen - ganz sicher ist die Lösung weder am PC noch am iPad.

Einige Sicherheitsrisiken resultieren aus der Schwäche der Webbrowser und des Betriebssystems - nicht nur bei iPad und iPhone, sondern besonders auf dem PC. Dazu kommt oft die Arglosigkeit der Benutzer. Beim sogenannten Phishing etwa wird ein Benutzer per E-Mail aufgefordert, seine Kontoinformationen online zu aktualisieren. Die angegebenen Links führen allerdings nicht zur eigenen Bank, sondern auf täuschend echt aussehende, aber gefälschte Seiten. Dort wollen Betrüger die vertraulichen Daten abfangen. Basierend auf einer Manipulation der DNS-Anfragen von Webbrowsern versuchen Betrüger, den Benutzer auf gefälschte Webseiten trotz korrekt eingegebener URL umzuleiten - Pharming genannt. Zu guter Letzt können sogenannte Trojaner im Hintergrund ihr Unwesen treiben, etwa Passwörter abfangen. Unterwegs, an einem Hotspot, könnte zudem ein betrügerischer Betreiber des Internetzugangs versuchen, relevante Daten abzufangen.

Banking-Apps setzen auf das derzeit sicherste Verfahren HBCI. Alle Daten werden verschlüsselt zwischen der iPad-App und dem Bankserver übertragen und nehmen keine Umwege über die Systeme Dritter. Phishing, Pharming und Trojaner haben keine Chance.

HBCI steht für Homebanking Computer Interface; es ist ein offener Standard für den Bereich Electronic Banking. Er wurde von verschiedenen Bankengruppen in Deutschland entwickelt und vom Zentralen Kreditausschuss (heute: Deutsche Kreditwirtschaft) beschlossen. HBCI ist eine standardisierte Schnittstelle für das Home-Banking. Dabei werden Übertragungsprotokolle, Nachrichtenformate und Sicherheitsverfahren definiert.

Welche Bank, welche App?

Wer seine Finanztransaktionen online mit dem iPad erledigen will, sollte dies unbedingt mit einer Banking-App tun. Auch Benutzer, die am heimischen Rechner Online-Banking betreiben, sollten das sicherheitshalber nicht per Browser machen. Auch hier gibt es Programme, die sichere Datenübertragung und TAN-Verfahren unterstützen, wie etwa Starmoney oder Outbank.

Gute Lösung: Outbank unterstützt alle wichtigen Geldinstitute sowie Kreditkarten, Paypal-Accounts und mehr.

Für die Nutzung an iOS-Geräten hat der Benutzer die Qual der Wahl. Viele Geldinstitute bieten ihren Kunden eigene Lösungen, die entweder kostenlos oder wenigstens kostengünstig sind. Wer Konten bei mehreren Geldinstituten und dazu noch Kreditkarten oder Paypal-Accounts verwalten will, dem empfehlen wir Outbank (vormals iOutbank) von Stoeger IT. Die Lösung unterstützt fast alle Geldinstitute, zudem Kreditkartenanbieter, Paypal und mehr. Darüber hinaus lassen sich Terminüberweisungen ebenso einrichten wie Auswertungen der Kontobewegungen. Outbank unterstützt alle wichtigen TAN-Verfahren.

Hilfestellung: Mit der gut gemachten App lassen sich beispielsweise auch Daueraufträge verwalten oder Kontakte mit Bankdaten speichern. Outbank beherrscht alle modernen TAN-Verfahren.

Wichtig bei der Wahl der App ist, vor dem Kauf zu prüfen, ob die Hausbank unterstützt wird. Die App-Anbieter stellen auf ihren Webseiten dazu ein Formular ein, in das Sie die Bankleitzahl Ihrer Bank eintragen. So erfahren Sie, ob die App für Ihre Zwecke geeignet ist.

Unterstützt Ihre Hausbank kein modernes TAN-Verfahren, erhebt gar Extragebühren für die Online-Nutzung oder bietet es nur beschränkt an, sollten Sie sich nach einem anderen Institut umsehen. (hal)

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Macwelt.