Gefahren beim Online-Banking bleiben trotz iTAN

Hartmut Pohl, Sprecher des GI-Arbeitskreises Datenschutz und IT-Sicherheit: „Die iTAN bringt kein Mehr an Sicherheit, sondern suggeriert sie nur.“ Diese Tatsache sei Fachleuten seit langem bekannt. Doch klärten Sparkassen und Banken die Öffentlichkeit darüber nicht auf.

Für Transaktionen beim Online-Banking werden persönliche Identifikationsnummern (PIN) sowie Transaktionsnummern (TAN) eingesetzt. Der Bankkunde verfügt dazu über eine Liste von TAN zur einmaligen Verwendung. Bei einer Online-Transaktion muss eine gültige, noch nicht verbrauchte Transaktionsnummer angegeben werden.

Im letzten Jahr wurde das TAN-Verfahren auf das iTAN-Verfahren umgestellt. Dabei sind die TANs mit so genannten Indizes durchnummeriert. Bei der Einleitung einer Transaktion wird der Kunde hierbei aufgefordert, die zugehörige TAN z.B. mit Index 23 einzugeben. Begründet wurde dieses kompliziertere Verfahren mit dem angeblich besseren Schutz vor Phishing-Angriffen.

Doch könnten Phisher sich weiterhin unbemerkt zwischen Kunden und Bank positionieren („man-in-the-middle-attack“), so die GI weiter. Ob mit TAN oder iTAN – im Endeffekt werde beim Phishing ein Geldbetrag auf ein fremdes Konto überwiesen.

Phishing-Angriffe ließen sich mit zwei bestimmten Maßnahmen zumindest erschweren, heißt es weiter. So solle man regelmäßig seinen PC nach Trojanern durchforsten und diese gegebenenfalls löschen. Zusätzlichen Schutz biete eine Prüfung des vom Browser angezeigten Zertifikats der Banking-Webseite. Dies ist der Nachweis, dass die Internet-https-Verbindung tatsächlich mit der eigenen Bank hergestellt ist.

Erläuterungen zum Online-Banking von Seiten der Banken sollten nach Auffassung der GI den eher begrenzten Beitrag der iTANs zur Sicherheit herausstellen. Die Banken sollten unmissverständlich klar machen, dass es keine Sicherheit ohne die penible Beachtung der obigen beiden Regeln geben könne. (Detlef Scholz)