Zur mobilen Ansicht
Wechseln Sie für eine bessere Darstellung
auf die mobile Ansicht
Weiterlesen Mobile Ansicht
Startseite

Wie sicher ist welches Tan-Verfahren?

Die mTan galt als besonders sicher. Doch nun knackten Betrüger das Verfahren reihenweise und räumten Hunderttausende Euro ab. Wie sicher ist Online-Banking wirklich, und wie kann man sich schützen?

Von Daniel Bakir und Christoph Fröhlich

  Onlinebanking via mTan galt als sicher - bislang

Onlinebanking via mTan galt als sicher - bislang

Fast jeder zweite Bundesbürger erledigt seine Bankgeschäfte mittlerweile online. Doch die Stimmung droht zu kippen. Schon nach Bekanntwerden der NSA-Affäre im Sommer gab jeder Dritte in einer Bitkom-Umfrage an, aus Sicherheitsgründen auf Online-Banking zu verzichten. Ein deutlicher Anstieg gegenüber dem Vorjahr, als nur jeder Vierte Sicherheitsbedenken geäußert hatte. Und nun sorgt auch noch eine Betrugsserie beim als sicher geltenden mTan-Verfahren für Schlagzeilen.

Bundesweit sind etwa ein Dutzend Fälle bekannt geworden, bei denen Betrüger in den vergangenen Monaten mit einer ausgeklügelten Masche das mobile Tan-Verfahren knackten. Dabei spionierten die Täter mittels Trojanern zunächst die Computer ihrer Opfer aus, griffen darauf gespeicherte Passwörter und Mobilfunk-Daten ab. Dann besorgten sie sich im Namen ihrer Opfer eine zweite Sim-Karte beim Mobilfunk-Anbieter und ließen sich die mTan-Passwörter auf ihr eigenes Handy schicken. Damit räumten sie die Konten leer. Nach Informationen der Süddeutschen Zeitung geht es in mindestens zwei Fällen sogar um sechsstellige Summen. Insgesamt sollen die Kriminellen mindestens 780.000 Euro erbeutet haben. Die Kunden kämpfen nun darum, dass die Banken das Geld erstatten.

Die Geldinstitute versuchen, ihre Kunden zu beschwichtigen. "Die Tan-Verfahren sind alle sicher", sagt eine Sprecherin des Bankenverbands stern.de. Doch jede Sicherheit ist relativ. Entscheidend ist nicht nur die Technik, sondern auch wie sorglos Verbraucher mit sensiblen Daten umgehen. Kunden, die ihre Sorgfaltspflicht eingehalten haben, bekämen ihr Geld zurück, sagt die Bankensprecherin. Allerdings: "Wer grob fahrlässig handelt, bleibt auf dem Schaden sitzen." Das Problem ist: Wo die Sorgfaltspflicht endet und die Fahrlässigkeit anfängt, ist nicht scharf definiert. Die Gerichte entscheiden im Einzelfall.

Laut Bankenverband sollten Kunden unbedingt immer einen aktuellen Virenscanner auf ihrem PC haben. Auch Browser, Firewall, Betriebssystem und Programme sollten auf dem neuesten Stand gehalten werden. Onlinebanking im Internetcafé ist tabu. Tan- und Pin-Nummern sollten nicht im Portemonnaie oder der Handtasche aufbewahrt werden, wo sie Dieben leicht mit anderen persönlichen Daten in die Hände fallen können.

stern.de erklärt die aktuell gängigen Tan-Verfahren und gibt Tipps, wie Sie sich gegen Kriminelle schützen können.

Welche Verfahren gibt es?

Generell sollte immer das aktuellste Sicherheitsverfahren fürs Onlinebanking genutzt werden, das die Bank anbietet. Wer sich online beispielsweise noch mit Pin und Tan authentifiziert, sollte wenn möglich auf die sichere mTan wechseln - trotz der aktuellen Betrugsfälle.

Klassisches Tan-Verfahren

Im Onlinebanking-Bereich fing alles mit einer Liste voller Geheimzahlen an. Um eine Überweisung abzuschließen musste der Kunde nichts weiter tun, als den Buchungsauftrag mit einer Transaktionsnummer (Tan) zu bestätigen. Der Nachteil dieses Systems ist offensichtlich: Bekommt ein Betrüger auch nur eine Tan-Nummer in die Hände, kann großer Schaden angerichtet werden.

iTan

Die betrugsanfälligen Tan-Listen wurden schnell verbessert: Fortlaufende Nummern, sogenannte Indizes, sollten es Betrügern schwerer machen. Wie beim klassischen Tan-Verfahren auch, fordert der Bankcomputer bei einer Überweisung eine Transaktionsnummer, diesmal aber von einer bestimmten Position der Liste. Doch auch dieses Verfahren wurde kurz nach der Einführung geknackt. Viele Banken raten mittlerweile von diesem Vorgehen ab und bieten Alternativen zur gedruckten Tan-Liste an. Wenden Sie sich am besten direkt an Ihren Bankberater.

ChipTan

Für ChipTan (auch bekannt als smartTan) benötigt man einen Tan-Generator (kostet zehn bis 15 Euro), in den die Bankkarte gesteckt wird. Das Gerät, das wie ein Taschenrechner mit Kartenslot aussieht, errechnet getrennt vom Internet für jede Überweisung eine ebenfalls nur wenige Minuten gültige Tan, die der Nutzer eingeben muss. Bei der Postbank und vielen anderen Banken funktioniert das Verfahren so: Wie gewohnt werden die Überweisungsdaten am Rechner oder am Smartphone eingegeben. Bei einer Transaktion erscheint eine Grafik, die das Lesegerät scannt und zusammen mit den Daten vom Chip der Bankkarte eine Tan errechnet. Alternativ können die Überweisungsdaten auch per Hand in das Lesegerät eingetippt werden. Der Kunde gibt anschließend die Tan am PC ein und bestätigt so den Auftrag.

Zwar ist das System relativ umständlich, da der Kunde für jede Überweisung eine Bankkarte und ein Lesegerät benötigt, dafür bietet es eine höhere Sicherheit als ein Tan-Block. Hundertprozentig sicher ist das aber nicht: Bereits 2009 knackten Hacker das chipTan-Verfahren mit Hilfe eines Trojaners.

mTan

Das mTan-Verfahren, auch smsTan oder Mobil-Tan genannt, gilt als sicherste Form des Onlinebankings. Hierbei schickt die Bank eine nur wenige Minuten gültige Transaktionsnummer per SMS direkt aufs Handy des Kunden, die der Nutzer dann am Computer eintippt. Diese Geheimzahl gilt ausschließlich für die aktuelle Transaktion. Wird eine Änderung an den Kontodaten oder am Überweisungsbetrag fällig, muss eine neue Tan angefordert werden. Dieses Verfahren galt lange als sicher, weil die beiden benötigten Geräte - Handy und Computer - getrennt voneinander genutzt werden. Einige Betrugsfälle in den vergangenen Wochen haben aber gezeigt, dass auch das mTan-Verfahren mit viel Aufwand geknackt werden kann.

HBCI-Verfahren

Das HBCI-Verfahren (Home Banking Computer Interface) nutzen vor allem Firmen und ist recht veraltet. Dabei wird ein separates Verschlüsselungsgerät direkt am Computer installiert, zudem wird eine eigens ausgestellte Chipkarte der Bank verwendet. Die Kosten sind allerdings recht hoch: Je nach Bank werden bis zu 100 Euro fällig. Betrugsfälle sind bislang nicht bekannt.

Fünf Tipps gegen Angriffe von Betrügern

1. E-Mails nicht blind vertrauen
Banken bitten ihre Kunden niemals per E-Mail um die Eingabe vertraulicher Daten. Sollten Sie eine solche Nachricht in ihrem Postfach finden - etwa weil angeblich die Bankenserver aktualisiert werden - ist diese Nachricht mit hoher Wahrscheinlichkeit von Betrügern gefälscht worden, selbst wenn die Absenderadresse authentisch wirkt. Häufig wird in der E-Mail mit einer Kontosperre gedroht, lassen Sie sich davon nicht einschüchtern. Klicken Sie keine Links an und speichern Sie nicht den Anhang, dahinter könnte ein Schadprogramm stecken.

2. Vorsicht auf fremden Rechnern


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Verbrauchern, für Onlinebanking grundsätzlich den eigenen Computer zu nutzen. Doch unterwegs oder im Urlaub haben Sie häufig keine andere Wahl, als ein Internetcafé für Überweisungen aufzusuchen. Hier gilt besondere Vorsicht: Browser speichern Daten in einem Zwischenspeicher, dem "Cache". Dieser kann unter Umständen noch Stunden nach der eigentlichen Überweisung ausgelesen werden, weshalb er immer gelöscht werden sollte. Nach der Sitzung sollten Sie sich unbedingt abmelden. Zudem können Sie nie sicher sein, dass die Rechner auf dem neuesten Stand sind, weshalb Bankgeschäfte auf fremden Computern vermieden werden sollten.

3. Bank-Webseite überprüfen


Beim Online-Banking sollte die Webseite der Bank immer direkt in die Adresszeile eingegeben oder über die eigenen Lesezeichen in den Favoriten aufgerufen werden. Wenn Sie über Links von anderen Seiten auf die Bank-Homepage gehen, besteht die Gefahr, dass Sie auf einer gefälschten Version der Seite landen. Wichtig: Die Verbindung zum Bankcomputer muss verschlüsselt sein, das erkennen Sie an den Buchstaben "https" in der Webadresse sowie einem kleinen Schloss-Symbol.

4. Sorgfältig mit Geheimzahlen umgehen


Passwörter (Pins) und Transaktionsnummern (Tans) sollten nie auf dem PC gespeichert werden. Wird der Computer mit einem Trojaner infiziert, könnten Hacker die sensiblen Daten in die Finger bekommen. Vermeiden Sie die automatische Speicherung von Zugangsdaten in Ihrem Browser. Das Passwort fürs Online-Banking sollte zudem mindestens acht Zeichen lang sein, Groß- und Kleinbuchstaben sowie Sonderzeichen beinhalten. Empfehlenswert ist es, die Pin und das Passwort alle drei Monate zu wechseln.

5. Diebstahl sofort melden


Um sicherzugehen, dass sich niemand Zugriff auf das eigene Konto verschafft hat, sollten regelmäßig die Kontoauszüge überprüft werden. Tauchen unbekannte Abbuchungen auf, sollte umgehend die Bank informiert und die Karte gesperrt werden. Außerhalb der Geschäftszeiten hilft die kostenpflichtige zentrale Sperrnummer 01805-021021 oder die gebührenfreie Nummer 116116. Bei Kreditkarten ist der jeweilige Anbieter zuständig, also etwa Visa oder MasterCard.

Weitere Themen

täglich & kostenlos
Täglich & kostenlos

Stern Logo Das könnte Sie auch interessieren

Partner-Tools