Das neue Onlinebanking: sicher und schnell!

Wer bisher das Onlinebanking nutzte, musste in der Regel immer alles mit den TANs seiner iTAN Liste bestätigen - waren keine TANs mehr übrig oder ging die iTAN Liste verloren, war man im Grunde handlungsunfähig. Dazu kam der Aspekt, dass, auch wenn die Banken stets das Gegenteil behaupteten, die iTANs niemals wirklich als sehr sicher einzustufen waren, da diese anfällig gegen Phishingattacken waren.

Dass selbst bei extremen Fällen, z. B. der Weitergabe durch Eintippen ganzer TAN Listen bei einer Phishingseite, die Banken den Schaden nicht auf den Kunden abwälzen konnten, siehe XYZ, war neben anderen Urteilen, die Bankkunden von der Verpflichtung befreiten, teure Software zu kaufen oder aufwändige Sicherheitssoftware zu installieren (siehe: LG Köln Az. 9 S 195/07 / LG Nürnberg-Fürth Az. 10 O 11391/07), damit diese eine ausreichende Prävention gegen Phishingattacken gewährleisten konnten, Grund genug ein sichereres Verfahren zum Onlinebanking anzubieten.

Papier war gestern - die Zukunft ist mobileTan und ChipTan

Für Kunden heißt das, dass ab dem Jahr 2011 die iTan auf Papier zunehmend ausgedient haben wird. Banken, welche die iTans noch anbieten, lassen diese noch auslaufen, um Kunden zum Umstieg auf die wesentlich sicherere mobileTan, ChipTan, eTan plus oder die FinTS / HBCI umzustellen. Von 75 Banken, welche am deutschen Privatkunden und Geschäftskundenmarkt aktiv sind, bieten 73 Banken eines dieser neuen TAN Verfahren entweder ausschließlich (29 Banken) oder ergänzend zum bisherigen iTan Verfahren an.

Die mobileTan, ChipTan, eTan plus und FinTS / HBCI sind dabei aufgrund der Funktionsweise als deutlich sicherer einzustufen als die alten iTans: Denn statt Tans auf Papier (iTan), die per Brief verschickt werden und entweder durch ein Phishingseite, per Cross Site Scripting oder andere Tricks „abgefischt„ werden können, wird per
- mTan / mobileTan eine einzigartige und nur individuell gültige Tan per SMS versendet,
- chipTAN mit der Bankkarte und einem Tan Generator eine individuell gültige Tan erstellt,
- eTan plus mit einem Tan Generator eine individuell gültige Tan erstellt,
- FinTS / HBCI mit SECCOS HBCI Signaturkarte eine Aktion bestätigt.

Der Nachteil: Im Gegensatz zum kostenlosen iTan Verfahren sind die neuen, sicheren Onlinebanking Lösungen alle mit zusätzlichen Kosten verbunden. So fallen bei der Nutzung des mobileTan Verfahrens im Schnitt 9 - 15 Cent Gebühren pro (!) Überweisung an und die Bereitstellung eines Tan Generators, welcher für die ChipTan benötigt wird, fallen einmalig bis zu 15 Euro an. Wer das sichere FinTS Verfahren nutzen möchte, der muss sich sogar auf einmalige Kosten bis zu 100 Euro einstellen!

Falls Ihre Bank zu den 29 Banken gehört, welche neben den neuen, sicheren Tan Verfahren keine kostenlosen iTans mehr anbieten möchte, müssen sie jedoch nicht verbindlich mit diesen Kosten rechnen, da man als Kunde mindestens 8 Wochen vor der Umstellung des Tan Verfahrens davon in Kenntnis gesetzt werden muss. Danach hat man jedoch nur noch die Wahl, entweder in den sauren Apfel (was die Kosten betrifft) zu beißen oder wieder Überweisungen per Telefon, Überweisungsträger, am Automaten oder in der Filiale auszuführen oder das Konto zu kündigen und zu einer Bank, welche das iTan Verfahren noch weiter anbietet, zu wechseln.

Vorteile von mobileTan, ChipTan und eTan plus

mobileTan / mTan
Die mobileTan / mTan (selten: smsTan) kann nur genutzt werden, wenn man auch ein Mobiltelefon sein eigen nennen kann, da die Tan per SMS an das Mobiltelefon des Kunden geschickt wird, nachdem dieser eine Überweisung im Internet ausgefüllt hat. Der Vorteil hierbei ist, dass die mTan einzigartig und individuell ist - und damit sehr sicher ist.

So kann die von der Bank versendete SMS nur für die Überweisung genutzt werden, für welche sie auch angefordert wurde - und sonst für nichts. Die Gültigkeit der mobileTan ist zudem oft noch zeitlich eingeschränkt, so dass diese nach Ablauf einer Frist ungültig wird und nicht mehr genutzt werden kann.

Zwar kann theoretisch auch die mobileTan / mTan geknackt und abgefangen werden, im Gegensatz zum klassischen Phishingangriff auf die iTan ist der Aufwand hier jedoch sehr viel höher: So müsste beispielsweise die PIN, der Nutzername & das Handy hierfür gestohlen, der Rechner und das Handy mit einer Malware gleichzeitig infiziert oder das Mobilfunknetz gehackt werden.

Neben der unglaublich hohen Sicherheit im Vergleich zum iTan Verfahren ist ein weiterer Vorteil, dass man mit der mobileTan keinerlei Tan Liste mehr braucht, sondern auch von unterwegs Überweisungen oder Bankgeschäfte bequem tätigen kann. Die Sicherheit wird indirekt noch dadurch erhöht, dass den meisten Menschen der Verlust ihres Handys meist eher auffällt als der Diebstahl des Portemonnaies oder der Kundenkarte oder dass man im Falle eines unberechtigten Kontozugriffs indirekt durch die SMS (um die mTan zu übersenden) dadurch sofort gewarnt wird.

Ein Nachteil der mTan ist jedoch, dass die SMS, um die mobileTan zu versenden, zusätzliche Kosten verursacht, die von den Banken den Kunden in Rechnung gestellt wird. Pro Überweisung ist hier mit Zusatzkosten (abhängig von der jeweiligen Bank), von 9 - 15 Cent zu rechnen.
eTan und eTan Generator
Das eTan Verfahren, welches z. B: von Cortal Consors oder der BW Bank angeboten wird, funktioniert völlig anders als das mobileTan Verfahren - Basis des eTan Verfahrens ist ein spezieller, für jeden Kunden individueller Tan Generator, welcher eine vorübergehend gültige Tan unter Angabe:
- der aktuellen Uhrzeit,
- der Empfängerkontonummer und
- eines Geheimschlüssels

erzeugt. Dabei muss in der Praxis nur die Empfängerkontonummer im eTan Generator (der in etwa handflächengroß ist) eingegeben werden - die Uhrzeit fragt das Gerät selbst ab und der Geheimschlüssel ist in der Regel im Gerät selbst hinterlegt. Das eTan Verfahren für das Onlinebanking ist sehr sicher - so kann die eTan im Grunde nur dadurch geknackt werden, wenn der Angreifer den Tan Generator in seinen Besitz bringt, die PIN für das Onlinebanking und die Überweisung zeitnah nach dem Erzeugen der Tan ausführt.

chipTAN
Das chipTan Verfahren für das Onlinebanking ist vor allem bei dezentralen Banken wie der Sparkasse und der Volksbank / Raiffeisenbank anzutreffen. Es funktioniert ähnlich wie das eTan Verfahren mit einem Tan Generator, welcher entweder von der Bank kostenlos zur Verfügung gestellt wird oder für ca. 10 - 15 Euro erworben werden muss.

Der Tan Generator erzeugt eine chipTan mittels der Kundenkarte, welche in den Karteneinschub des Generators eingeführt werden muss, und gibt über das Ziffernfeld ein Startcode, welcher im Onlinebanking angezeigt wird, eingegeben werden. Anschließend muss noch das Empfängerkonto und die Höhe der Überweisung in den Tan Generator getippt werden, bevor dieser eine einzigartige Tan erzeugt, welche online eingegeben wird.

Das chipTan Verfahren kann prinzipiell als noch sicherer als das eTan Verfahren betrachtet werden, da ein Angreifer den Onlinezugang, den Tan Generator und die Kundenkarte benötigt (welche normalerweise alle 3 an verschiedenen Orten aufbewahrt werden) um erfolgreich eine Überweisung ausführen zu können. Jedoch wird das chipTan Verfahren von vielen Kunden als unnötig umständlich im Vergleich zum eTan Verfahren empfunden, da nicht nur im Onlinebanking die Transaktionsdaten eingegeben werden müssen, sondern noch einmal zusätzlich auf dem eher kleinen Gerät.

Je nach Bank kann auch noch eine alte Variante des chipTan Verfahrens nur Anwendung kommen, bei welchem mit einem beliebigen Tan Generator und der (gestohlenen) Kundenkarte die entsprechenden Tans erzeugt werden können. Aber: Auch in diesem Fall müssen dem Angreifer noch die Zugangsdaten (LogIn + PIN) bekannt sein, damit dieser eine Überweisung ausführen kann.

Zwang zum Wechsel?

Wie bereits weiter oben angesprochen ist man als Bankkunde nicht gezwungen, auf die derzeit oft noch kostenpflichtigen Tan Verfahren zu wechseln, sondern kann auch, sofern die Bank es noch weiter parallel anbietet, weiterhin die iTan nutzen. Auch wenn parallel zum iTan Verfahren ein sichereres Verfahren zum Onlinebanking angeboten wird, kann das dem Kunden nicht zum Nachteil ausgelegt werden.

So ist es die vorherrschende Rechtsmeinung unter Rechtsexperten und Gerichten, dass man als Kunde nicht dafür haftbar gemacht werden kann, wenn man iTans bei einer Phishing eingibt, sofern man sich grundsätzlich gegen mögliche Attacken geschützt hat, z. B. mit den kostenlos am Markt erhältlichen Antivirenprogrammen und Firewalls (in den meisten Windows Versionen standardmäßig impliziert und aktiviert).

Man muss somit als Bankkunde weder auf kostenpflichtige Programme oder (aufwändige) Speziallösungen zurückgreifen, auch wenn diese den Betrug und den Schaden verhindert hätten, sofern man die kostenlosen Programme wenigstens halbwegs auf dem aktuellen Stand durch regelmäßige Updates hält.

Aber: Auch nach der Einführung von mobileTan, ChipTan und eTan plus werden Phishing Attacken nicht der Vergangenheit angehören und nicht jede Bank verlangt für die (einmalige) Bereitstellung der Generatoren für ChipTan und eTan plus Gebühren oder ein Entgelt. Wer das unsichere iTan Verfahren nicht mehr nutzen, aber trotzdem nichts für eins der neuen Verfahren zahlen möchte, sollte bei einem der zahlreichen Bankvergleiche im Internet gezielt nach kostenlosen Anbietern Ausschau halten.