Bundesamt für Sicherheit in der Informationstechnik

Sicherheit im Online-Banking

Inhalt des Dossiers

  1. PIN-/TAN-Verfahren allgemein erklärt
  2. PIN-/TAN-Verfahren mit TAN-Liste
  3. Das mTAN-Verfahren – TAN-Versand per SMS
  4. TAN-Generatoren: Individuelle TAN für jeden Auftrag
  5. Signaturverfahren: Karte statt TAN

Blätterfunktion

Die PIN-/TAN-Verfahren und andere Schutzmaßnahmen

Signaturverfahren: Karte statt TAN

Bei allen PIN/TAN-Verfahren besteht die größte Gefahr darin, dass Angreifer PIN und TAN (bzw. Möglichkeiten der Generierung von TAN) in ihren Besitz bringen und damit Geld vom Konto des Bankkunden entwenden. Eine Alternative ist die Absicherung des Online-Bankings mit dem Verfahren HBCI mit Chipkarte (HBCI steht für: Homebanking Computer Interface).

Dabei bestätigen die Anwender eine Transaktion nicht mit einer TAN, sondern mithilfe eines digitalen Schlüssels, der auf einer Chipkarte gespeichert ist. Selbst wenn Angreifer die Zugangspasswörter erbeutet haben, fehlt ihnen für einen Kontenzugriff die Signaturkarte.
Anwender benötigen für dieses Verfahren eine Finanzsoftware und ein Signaturkarten-Lesegerät – dafür fallen zusätzliche Kosten an. Das Lesegerät muss mit dem Rechner direkt verbunden sein.

Eine Transaktion mit Signaturverfahren läuft folgendermaßen ab: Sie geben die Daten – etwa für eine Überweisung – in einer Finanzsoftware ein. Danach stecken Sie die Signaturkarte in das Lesegerät und geben eine festgelegte PIN ein. Die Signaturkarte "unterschreibt" und verschlüsselt die Transaktion. Danach wird Ihr Auftrag an die Bank übermittelt. Diese entschlüsselt die Daten und prüft die digitale Unterschrift. Erst wenn diese bestätigt wurde, wird Ihr Auftrag ausgeführt.

Es erhöht die Sicherheit, wenn Anwender ein Kartenlesegerät kaufen, das über eine eigene Tastatur verfügt. Sonst erfolgt die Eingabe der PIN über die PC-Tastatur; Schadprogramme können dann die Eingabe aufzeichnen und für unerwünschte Überweisungen missbrauchen.
HBCI ist ein offener Standard im Bereich des Online-Bankings. Er wurde von verschiedenen deutschen Bankengruppen entwickelt. Inzwischen ist bereits ein Nachfolge-Standard mit höherer Sicherheit entwickelt worden: Bei dem HBCI-Nachfolger Secoder ist die Tastatur am Lesegerät Standard. Zudem zeigen Secoder-Karten-Lesegeräte die Transaktionsdaten zusätzlich auf einem Display an. Dies erhöht noch einmal die Sicherheit, weil Benutzer die Überweisung abbrechen können, wenn eine Schadsoftware etwa die Kontonummer des Empfängers manipuliert hat. Moderne Kartenleser gemäß Secoder-Standard können übrigens in der Regel auch den neuen Personalausweis auslesen, mit dem Sie sich online identifizieren können.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK