Sicheres Onlinebanking: Meine Pin gehört mir

Girokonten Test

Beim Onlinebanking setzen viele Banken weiterhin auf das Pin/Tan-Verfahren. Es gibt jedoch Sicherheitslücken, durch die „Phisher“ schlüpfen können.

Betrüger lassen sich immer wieder etwas anderes einfallen, um an die vertraulichen Kontodaten von Bankkunden zu gelangen: Erst vor kurzem hat das Bundeskriminalamt vor einer neuen Phishing-Welle gegen Postbank-Kunden gewarnt. Phi­­shing ist ein englisches Kunstwort für das Abjagen von persönlichen Kundendaten. Diesmal hatten Betrüger versucht, die Daten für das Telefonbanking zu bekommen.

Per Mail hatten sie die Kunden auf eine gefälschte Onlinebanking-Seite der Postbank gelockt. Dort forderten sie diese auf, neben ihrer Kontonummer und der Pin-Nummer für das Onlinebanking auch die Identifikationsnummer für das Telefonbanking einzugeben. Mit dieser Nummer und der Kontonummer wollten die Täter das Konto plündern. Die Transaktionsnummern (Tan), die sonst häufig ausgespäht werden, benötigten sie dann nicht.

Risiko mit Pin und Tan

Trotz des Risikos, dass Betrüger die Zugangsdaten ausspähen könnten, halten die meisten Banken am sogenannten Pin/Tan-Verfahren fest. Das hat die Finanztest-Untersuchung der Girokonten bestätigt.

Von den meisten getesteten Banken bekommen die Onlinekunden eine persönliche Identifikationsnummer (Pin) und eine Liste mit Transaktionsnummern (Tan). Wollen sie per Internet Geld überweisen, geben sie ihre Kontonummer und Pin ein, um Zugang zum Konto zu bekommen. Dann wählen sie eine Tan, um die Transaktion zu bestätigen.

Einzelne Banken nutzen verfeinerte Verfahren und arbeiten mit indizierten Transaktionsnummern (iTan): Der Bankcomputer gibt dem Kunden eine bestimmte Tan vor. Von anderen bekommt der Kunde eine mobile Tan (mTan) auf sein Handy geschickt.

HBCI seltener als Pin / Tan-Verfahren

Mehr Sicherheit als das Pin/Tan-Verfahren bietet nach Meinung von Experten das HBCI-Verfahren mit Chipkarte („Home Banking Computer Interface“). Dieses Verfahren verwendet unter anderem die Deutsche Kreditbank – eine der Siegerbanken unseres Tests von Girokonten.

Bei HBCI unterschreibt der Anwender seine Transaktion mit einem digitalen Schlüssel, der auf einer Chipkarte gespeichert ist. Diesen Vorgang muss er mit einer Pin freischalten. Der Nutzer benötigt ­dafür neben dem Computer ein Karten­lesegerät – am besten mit eigener Tastatur.

„Natürlich ist HBCI aufwendiger und teurer als das Pin/Tan-Verfahren, aber es ist sicherer“, erklärt Frank-Christian Pauli, Referent für Banken beim Bundesverband der Verbraucherzentralen. „Wichtig wäre, dass die Banken weitere Alternativen zum Pin/Tan-Verfahren entwickeln, die leichter zu handhaben sind.“

Dieser Artikel ist hilfreich. 2350 Nutzer finden das hilfreich.