Mobil sicheres Onlinebanking

"Bitte geben Sie auf dieser Website Ihre PIN und TAN ein, um die Korrektheit Ihrer Kontendaten zu bestätigen." So oder ähnlich lauten E-Mails, die auf eine der Bankenwebsite zum Täuschen ähnliche Website verlinken. Das Problem dabei: Hierbei handelt es sich um den Versuch, sensible Kontendaten vom Nutzer zu klauen, bekannt unter dem Begriff Phishing. mTAN soll davor schützen.

Online-Banking ist alles andere als sicher: Die Phisher betreiben professionell und mit allen zur Verfügung stehenden Hacking-Methoden den Datenklau. Problematisch ist allerdings, dass das Phishing-Opfer auf dem finanziellen Schaden sitzen bleibt, wie beispielsweise der Ombudsmann der Volks- und Raiffeisenbanken kürzlich entschied. Und der Schaden ist nicht unerheblich: Die Beratungsgesellschaft Gartner schätzt alleine für die USA in diesem Jahr einen Schaden von 2,8 Milliarden US-Dollar. Personen, die einer E-Mail der so genannten Nigeria-Connection aufgesessen sind und in diesem Zusammenhang eine Überweisung eines Phishing-Opfers erhalten haben, müssen zusätzlich mit einem staatsanwaltschaftlichen Ermittlungsverfahren wegen des Verdachts der Geldwäsche rechnen.

mTAN für mehr Sicherheit

Postbank mTAN Mittlerweile haben diverse Banken auf die anhaltenden Phishing-Attacken reagiert. Per iTAN ist nur noch eine zuvor konkret benannten Transaktionsnummer - kurz TAN - gültig und nicht eine beliebige Nummer von der Liste. Dadurch soll verhindert werden, dass die Phisher schon mit einer TAN Zugriff auf das Konto erhalten. Und mit mTAN, Abkürzung für mobile Transaktionsnummer, beschreiten in Deutschland die Postbank und einige Volks- und Raiffeisenbanken ein weiteres Sicherheitsverfahren. Die Postbank ließ sich ihr Verfahren sogar kürzlich vom TüV besiegeln.

Das Prinzip dabei: In seinem Onlineaccount meldet der Nutzer sein Handy an. Fortan erhält er für jede durchgeführte Transaktion per SMS die TAN auf das Handy zugesendet, zusätzlich noch Informationen zu seinem Konto. Mit dieser TAN muss er dann die Transaktion bestätigen. Das Problem dabei: Zunmindest bei der Postbank muss der Kunde 9 Cent pro SMS berappen. Und die erste Authentifizierung der eigenen Handynummer erfolgt über eine TAN vom Bogen. Besitzt ein Phisher also eine gültige TAN, kann er theoretisch sein eigenes Handy für das mTAN-Verfahren frei schalten lassen und erhält so unbeschränkten Zugriff auf das Konto des Opfers.

Eine optimale Sicherheitslösung wäre nur der HBCI-Standard mit einer Chipkarte. Dabei besitzt der Nutzer eine Chipkarte, ein Chipkartenlesegerät und eine PIN. Per öffentlichem und privatem Schlüssel macht er sich gegenüber der Bank kenntlich und kann dann Transaktionen durchführen. Dieses Verfahren gilt als nahezu 100 Prozent sicher, sofern der Nutzer nicht Chipkarte und PIN leichtsinnig verwahrt. Nach eigenem Bekunden verzichtet die Postbank darauf aber, weil man auf die kommenden Signaturkarte nach Signaturgesetz setze. Eine solche Vereinheitlichung lässt aber schon seit Jahren auf sich warten. Andere Banken haben deshalb HBCI - mittlerweile zu FinTS weiterentwickelt - schon seit Jahren eingeführt. Die Umstellungskosten sind aber für die Banken recht hoch.