Online-Banking – Alle Legitimierungsverfahren des Online Bankings im Vergleich!

Immer mehr Menschen erledigen ihre Bankgeschäfte online. So kann man sich den Weg zur Bankfiliale sparen. Wer bei einer Direktbank-Kunde ist, hat ohnehin keine Wahl. Da es kein eigenes Filialnetz gibt, müssen Überweisungen oder Daueraufträge per Online-Banking eingereicht werden. Was die Sicherheit betrifft kommt es besonders auf das verwendete Verfahren an. Wir stellen die sichersten Verfahren für Online-Banking vor.

Legitimierung von Überweisungen, Lastschriften und Daueraufträgen

Die Legitimation stellt kein besonderes Problem dar, wenn der Kunde die Bankgeschäfte in einer Filiale abwickelt. Zumeist reicht es aus, die zum Konto gehörige Girocard vorzuzeigen. Sollten Zweifel an der Identität bestehen, kann sich der Mitarbeiter auch noch einen Ausweis zeigen lassen. Beim Online-Banking entfällt diese zweifelsohne sicherste Lösung. Deshalb kommen in diesem Bereich andere Sicherheitsverfahren zur Anwendung. In den letzten Jahren hat man die Sicherheit permanent verbessert und an die technischen Möglichkeiten angepasst. Diese Weise soll Manipulationen sowie der unbefugte Zugriff von Dritten verhindern.

TAN-Listen

Die TAN-Listen sind das älteste Legitimationsverfahren und kommen in der Praxis kaum noch zum Einsatz. Der Kunde erhält eine Liste mit TAN-TAN-Nummern, von welcher für jede Transaktion eine eingegeben werden muss. Bei den TAN-Listen werden zwei Varianten unterschieden.
Auf den einfachen Listen werden die TAN in Blöcken aufgedruckt. Der Kunde kann zur Verifizierung eine beliebige Nummer aus der aktuellen Liste eingeben. Jede TAN kann man nur einmalig verwenden und wird nach der Nutzung einfach durchgestrichen. Das klassische TAN-Verfahren ist sehr unsicher und wurde mittlerweile durch iTan ersetzt.
Das i steht bei dieser Variante für „Index“. Vor jeder TAN steht eine Nummer und der Kunde wird vom System aufgefordert, beispielsweise die TAN Nr. 23 einzugeben.

Eine weitere modifizierte Form ist das iTAN++ Verfahren. Der Anzeigetext der Bank, z. B. mit dem Inhalt „Bitte für die Überweisung von XX Euro die TAN Nr. 24 benutzen!“, ist grafisch durch eine Nummer als Wasserzeichen hinterlegt. Die Verifizierung erfolgt durch Eingabe der iTAN sowie der zusätzlichen immer wechselnden Nummer. Nach Angaben der Banken kann die als Wasserzeichen hinterlegte Nummer nicht ausgelesen werden. Ein Phishing-Versuch hat so wenig Aussichten auf Erfolg.
Unser Tipp: TAN Listen sind sehr unsicher und dürfen nicht mehr genutzt werden. Gerät die Liste zusammen mit den Zugangsdaten in fremde Hände, können problemlos Überweisungen vom Girokonto durchgeführt werden. Nutzer dürfen in keinem Fall die TAN-Listen mit einer Software auf dem PC speichern. Dies ist zwar komfortabel allerdings gibt es keine Garantie, dass die Daten auch verschlüsselt werden. Zudem können Viren oder Trojaner die Datenbank ausspähen.

M-TAN-Verfahren

Nachfolger der TAN-Listen war das M-TAN-Verfahren. Die Vorgehensweise ist dabei recht einfach. Dabei registriert man das eigene Mobiltelefon für das Online-Banking. Anschließend erhält der Kunde für jede Transaktion eine TAN per SMS zugesendet. Das Problem dabei ist, dass auch Mobiltelefone nicht vor einem Ausspionieren gefeit sind. Für Sicherheit sorgt, dass die TAN nur für ein begrenztes Zeitfenster von 1 Minute gültig ist. Ein Missbrauch wäre also nur in diesem kurzen Zeitraum möglich, Aus diesem Grund ist dieses Sicherheitsverfahren I-TAN und klassischer TAN-Liste vorzuziehen.

photoTAN-Verfahren bzw. QR-TAN

Das photoTAN-Verfahren wird mittlerweile von vielen Banken wie comdirect angeboten. Von der Funktion ähnelt es dem M-TAN Verfahren beim Online-Banking. Hier wird während der Transaktion eine Grafik ähnlich einem QR-Code auf dem Bildschirm angezeigt. Der Nutzer kann das mit einer App der jeweiligen Bank fotografieren. Im Anschluss werden die Daten zur Überweisung auf dem Smartphone angezeigt. Zudem erscheint eine TAN, die anschließend im Online-Banking eingibt. Das photoTAN-Verfahren ist transaktionsorientiert und gilt deshalb als sehr sicher. Allerdings können Mobiltelefone gehackt und manipuliert werden, weshalb das nachfolgend erläuterte chipTAN-Verfahren als sicherer einzustufen ist.

smartTAN plus-Verfahren nicht transaktionsorientiert

Dieses Verfahren gehört zu den einfachsten beim Online Banking. Der TAN Generator erzeugt dabei eine Folge von Transaktionsnummern. Das Gerät besitzt weder eine Tastatur noch einen optischen Sensor. Es gibt lediglich ein Display zum Anzeigen der Nummern. Nach Einstecken der Karte wird diese automatisch generiert. Da dieses Sicherungsverfahren nicht transaktionsorientiert ist – also keine Verbindung mit einer konkreten Überweisung besteht – gilt das Verfahren heutzutage nicht als sehr sicher.

chipTAN-Verfahren bietet hohe Sicherheit

Bei diesem Verfahren werden die Daten der Überweisung wie gewohnt über die Webseite der Bank eingegeben. Anschließend wird eine Grafik mit den verschlüsselten Transaktionsdaten angezeigt. Nun noch die Girocard in den TAN-Generator einstecken und vor den Bildschirm halten. Die Daten der Überweisung werden auf dem Gerät angezeigt und können hier bestätigt werden. Zum Abschluss noch die TAN auf der Webseite eingeben.
Bei einigen Banken wird der TAN-Generator kostenlos angeboten. Bei anderen kann das kleine Gerät für etwa 10 Euro erworben werden. Die Girocard wird über den integrierten Chipkartenleser eingelesen. Besonders sicher ist das Verfahren, wenn dieser Vorgang durch die zusätzliche Eingabe einer PIN geschützt ist.
Unser Tipp: chipTAN ist derzeit eines der sichersten Verfahren für Online-Banking. Man kann die kleinen Geräte auch problemlos mit in den Urlaub nehmen. Mit diesem Verfahren gehören TAN Listen endgültig der Vergangenheit an.

Push – Verfahren

Das Push-Verfahren ist eine Weiterentwicklung von M-TAN und wird unter anderem von den Sparkassen angeboten. Vorteil dabei ist, dass nur noch ein Gerät wie ein Tablet zum Ausführen der Überweisung benötigt wird. Die Zusendung der TAN per SMS auf ein Smartphone entfällt hier. Stattdessen starten Nutzer Push-Tan über eine separate App. Bei den Sparkassen trägt diese die Bezeichnung „S-pushTAN-App“. Die Transaktion wird in der Anwendung angezeigt und der Nutzer kann diese direkt bestätigen. Erst danach lässt sich die Push-TAN generieren, welche über die Banking App eingegeben wird.
Da keine TAN per SMS versendet werden muss, ist dieses Verfahren sicherer als M-TAN. Der Zugriff auf die App für Push-TAN ist durch einen zusätzlichen Benutzernamen mit Kennwort geschützt. Übrigens gibt es bietet die OutBank auch eine interessante Banking App für iPhone Nutzer an.

FinTS/HBCI – Verfahren

Die Abkürzung steht für Financial Transaction Services / Home Banking Computer Interface und gilt aktuell als die sicherste Form des Online-Banking. Für das Verfahren wird eine zusätzliche Software wie Starmoney benötigt.
Vor dem Einsatz des Verfahrens ist eine separate Freischaltung erforderlich. Der Nutzer wird anschließend mit einem privaten und öffentlichen Schlüssel ausgestattet. Die persönliche Signatur ersetzt dabei die Unterschrift bei der Bank. Die übertragenen Daten können nur von der Bank, welche im Besitz des öffentlichen Schlüssels ist ausgelesen werden.
Für das HBCI-Sicherungsverfahren wird ein Chipkartenleser genutzt. Der persönliche Schlüssel ist direkt auf der Chipkarte gespeichert. Transaktionen und Abfragen des Kontostands sind erst nach Eingabe der PIN möglich. Zudem kann der private Schlüssel auch alternativ auf einem Speichermedium wie einem USB-Stick abgelegt werden.

Was ist Phising?

Mittels Phising versuchen Betrüger, an Pin und TAN des Kontoinhabers zu gelangen. Hierzu wird eine Kopie der Webseite auf dem Bildschirm angezeigt, die sich nur schwierig vom Original unterscheiden lässt. Er gibt der Nutzer seine Daten ein, dabei werden diese abgefangen und für eine missbräuchliche Überweisung genutzt.

Tipps zum Schutz vor Phishing:

• Keine Benutzerdaten wie PIN oder TAN in einer Software oder Datenbank speichern.
• Auf E-Mails in denen zur Eingabe von persönlichen Daten aufgefordert auf keinen Fall reagieren.
• Die Seite der Bank immer über die offizielle Webseite aufrufen. Am besten unter Favoriten ablegen und immer denselben Link benutzen.
• In der Adresszeile darauf achten, dass die Webadresse der Bank mit https:// beginnt. Banken verwenden ausschließlich diesen Standard um Daten sicher zu übertragen.
• Vorsicht wenn die Webseite der Bank ein neues Layout aufweist oder hier Schreibfehler zu finden sind.
• Bei der Bank ein Limit für Überweisungen und Barabhebungen festlegen.
• Abbuchungen regelmäßig überprüfen und bei Auffälligkeiten das Konto sofort sperren.
• Keine Überweisungen an öffentlichen Rechnern durchführen.
• 

Fazit zum Online-Banking

Kunden müssen bei ihrer Bank genau darauf achten, welche Legitimationsverfahren angeboten werden. Zudem sind TAN-Listen veraltet und sehr unsicher. Zum sicheren Online-Banking sollte zumindest M-TAN möglich sein. Besonders sicher sind chip-TAN und HBCI. Zudem können Online-Banking Nutzer auch selbst etwas für ihre Sicherheit tun. Hierzu gehört eine sichere Aufbewahrung der Zugangsdaten. Wichtig ist zudem ein gutes Virenprogramm auf dem Rechner, welches auch die neuesten Viren und Trojaner sofort erkennt. Beachten Kunden die allgemeinen Sicherheitsrichtlinien, ist Online-Banking sehr sicher.

Experten-Tipp:

Die verwendete Variante beim Online-Banking muss natürlich auf die eigenen Ansprüche angepasst werden. Wer nur mit mobilen Endgeräten arbeitet, ist mit der SMS-TAN gut bedient.

• shutterstock.com