Sicherheit beim Onlinebanking Test

Onlinebanking ist heute bei den meisten Banken selbstverständlich. Ebenso selbstverständlich sollte es sein, dass die Banken ihren Kunden dafür sichere Verfahren zur Verfügung stellen. Leider sieht das in der Realität noch anders aus: Im aktuellen Test von Finanztest bieten nur 14 von insgesamt 20 überprüften Banken ausreichend sichere Verfahren für das Onlinebanking an. Bei den anderen sind die Bankgeschäfte per Internet nur eingeschränkt beziehungsweise nach dem heutigen Stand der Technik gar nicht sicher. Grund dafür: Sie bieten meist nur einfache Pin-Tan-Verfahren an, die nicht mehr dem derzeitigen Sicherheitsstandard entsprechen. Finanztest sagt, welche Verfahren heute als besonders sicher gelten, welche Banken ihren Kunden sicheres Onlinebanking ermöglichen und was Kunden dabei generell beachten sollten.

Zu diesem Thema bietet test.de einen aktuelleren Test: Onlinebanking.

Einfache Pin-Tan-Verfahren reichen nicht

Audio
Audio abspielenLautstärke einstellen

Die schlechte Nachricht zuerst: Noch immer gibt es Banken, die nur das einfache Pin-Tan-Verfahren anbieten. Dafür müssen sich Kunden mit einer persönlichen Identifikationsnummer (Pin) legitimieren und jeden einzelnen Auftrag mit einer Transaktionsnummer (Tan) bestätigen. Die Tan entnehmen Kunden einer Liste, die sie von ihrer Bank bekommen. Jede Tan kann nur einmal benutzt werden. Sie ist aber nicht an einen bestimmten Auftrag gebunden. Betrüger können daher mit einer gestohlenen Transaktionsnummer Geld auf ein fremdes Konto überweisen. Für Onlinekunden von Citibank und readybank ist dies besonders fatal: Beide Banken bieten nur dieses unsichere Verfahren für Onlinebanking an. Transaktionen per Internet sind bei beiden Banken also alles andere als sicher. Ein wenig besser, aber aus heutiger Sicht nur eingeschränkt sicher ist das iTan-Verfahren. Hier gibt die bank vor, mit welcher Tan von der Liste eine Überweisung freigegeben wird. Betrüger müssten mehrere Tan erbeuten, damit die Richtige dabei ist.

Höchst möglicher Sicherheitsstandard

Derzeit ist das Home Banking Computer Interface (HBCI) das sicherste Verfahren für Onlinebanking. Es stellt sicher, dass die Daten unverändert dort ankommen, wo sie hinsollen und dass kein Fremder die Daten anzapfen kann. Im Test bieten zehn von 20 Banken dieses Verfahren an. Obwohl es derzeit das sicherste Verfahren ist, greift ein Großteil der Kunden lieber auf andere Methoden zurück. Grund: Es ist recht umständlich. Um HBCI nutzen zu können, benötigen Kunden eine Diskette oder Chipkarte sowie ein Lesegerät. Sie können Bankgeschäfte mittels HBCI dann nur von dem Rechner aus durchführen, an den das entsprechende Lesegerät angeschlossen ist.

Verbesserter Schutz

Mittlerweile gibt es aber auch verbesserte Pin-Tan-Verfahren, mit denen Onlinebanking sicher ist. Dazu gehören eTan, eTan Plus und mTan. Bei letzterer sendet die Bank die Transaktionsnummern auf das Handy des Kunden. Beim eTan-Verfahren erhält der Kunde dagegen von der Bank eine Pin und ein elektronisches Gerät. Dieser Tan-Generator ist nicht viel größer als ein kleiner Taschenrechner. Er generiert für jeden Auftrag eine Tan. Da diese speziell für einen bestimmten Auftrag erzeugt wird, können Betrüger sie nicht einfach stehlen. Bankkunden sind also auch mit den erweiterten Pin-Tan-Verfahren vor Datenklau sicher. Zumindest eine Weile. Denn auch Internetbetrüger entwickeln ausgeklügelte Trickmethoden. Wer online seine Bankgeschäfte abwickeln möchte, sollte sich daher immer über neue sichere Verfahren informieren.

Sorgfältig handeln

Trotz aller Vorsichtsmaßnahmen kann es Bankkunden passieren, dass es Betrügern gelingt, ihr Onlinekonto leerzuräumen. Nicht immer haftet dann die Bank. Sie verlangt, dass ihre Kunden die Sorgfaltspflichten einhalten, um Schäden möglichst zu vermeiden. Was Banken darunter verstehen, steht in ihren Allgemeinen Geschäfts- und Sonderbedingungen. Solange sich Kunden daran halten, müssen sie bei einem Schaden nicht haften. Viele Banken verlangen zum Beispiel, dass Kunden Pin und Tan nicht elektronisch speichern oder in anderer Form notieren. Ebenso sollen Kunde ihre Tan-Liste sicher verwahren und bei der Eingabe sicherstellen, dass Dritte sie nicht ausspähen können. Diese Forderungen von Banken sind akzeptabel. Im Test gab es aber auch Sorgfaltspflichten, die für Kunden kaum zumutbar sind - etwa wenn sie Aufgaben übernehmen sollen, die für technische Laien kaum verständlich oder ausführbar sind. Negatives Beispiel ist hier wieder die Citibank: Kunden müssen beim Erscheinen des Begrüßungsbildschirms prüfen, ob die Onlineadresse auch stimmt. Doch Betrüger können in der kurzen Zeit die Webadresse schon so gestalten, dass Laien Original und Fälschung nicht unterscheiden können.

Dieser Artikel ist hilfreich. 4179 Nutzer finden das hilfreich.