Phishing

Beim Online-Banking wird die TAN-Liste zum Risiko

Per Handy oder Smartphone wollen Kreditinstitute mehr Schutz bei Internet-Überweisungen erreichen. Manche Banken erheben aber Gebühren.

Foto: dpa-tmn

Bei der Targobank haben die Kunden gerade die Wahl, auch bei der Direktbank ING Diba müssen sie sich in den nächsten Wochen entscheiden, genauso wie bei vielen Genossenschaftsbanken und Sparkassen. Die Frage an die Kontobesitzer ist stets die gleiche: Welches Sicherheitssystem hätten Sie denn gerne für Ihr Online-Banking?

Wie wäre es mit iTAN oder doch lieber mit mobileTAN, gerne auch mal schlicht als mTAN abgekürzt, oder eher die chipTAN? Nicht jedes Institut bietet jedes Verfahren an, was die Wahl für die Kunden nicht einfacher macht. In einem sind sich aber alle einig: Es muss etwas geschehen, um den immer versierteren Internet-Betrügern die Arbeit so schwer wie möglich zu machen.

Seit 30 Jahren gehören die gedruckten Listen mit den Kolonnen von Transaktionsnummern, kurz TANs genannt, für viele Menschen zum virtuellen Bankgeschäft dazu. Schon beim Bildschirmtext BTX Anfang der 80er-Jahre sollten die Zahlen verhindern, dass Unbefugte Zugang zum Konto erhalten. Heute nutzen mehr als 25 Millionen Deutsche das Internet für Überweisungen oder die Einrichtung von Daueraufträgen.

Phishing-Fälle steigen rasant

Doch längst haben auch Kriminelle das Online-Banking entdeckt. Für 2010 weist die Statistik des Bundeskriminalamtes 5331 Fälle aus, bei denen Betrüger den Zugangscode ausspionierten. Experten sprechen auch von „Phishing“, einer Kombination der englischen Wörter Password und Fishing. Ein Jahr zuvor waren es 2923, davor sogar nur 1778. Der rasante Anstieg zeige die Anpassungsfähigkeit der Täterseite auf die Einführung neuer technischer Sicherungsmechanismen, schrieb das Bundeskriminalamt in seinem Jahresbericht.

Die durchschnittliche Schadenssumme schätzten die Experten auf 4000 Euro. Wobei sie insgesamt von einer hohen Dunkelziffer ausgehen. Wohl lediglich 40 Prozent der tatsächlichen Fälle würden bekannt. „Die Hasen sind losgelaufen, aber die Igel, sprich die Betrüger, warten bereits wieder am Ziel“, sagt Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik .

Es dauere nie lange, bis sich die Angreifer auf neue Standards eingestellt hätten, sprich, auf die bei vielen Banken erst 2008 eingeführten iTAN-Listen. Sie hatten nur kurzzeitig für Entspannung gesorgt. Fingierte E-Mails, die angeblich von der eigenen Bank kommen, und mit denen PINs und TANs erfragt werden, gibt es kaum noch.

Die Betrüger schleusen längst über Internetseiten Spione auf den Computer des Bankkunden. Die Software tauscht einfach die Nummer des Kontos aus, auf das der Nutzer sein Geld überweisen will. Der Kunde bekommt davon nichts mit. In der Eingabemaske stehen weiterhin die Kontonummer und die Bankleitzahl, die er eingegeben hatte.

Solche Angriffe sollen durch zwei Verfahren vereitelt werden: die mobileTAN und die chipTAN. In beiden Fällen gelangt die TAN unabhängig von dem für das Online-Banking genutzten Computer zum Kunden. Hacker können die TAN also nicht vorher abfangen. Und, fast noch wichtiger, auf das Mobiltelefon oder den Generator im Taschenrechnerformat werden zur Kontrolle auch die Kontonummer und der Betrag geschickt, wie er bei der Bank tatsächlich ankam. Manipulationen sollten auffallen.

Postbank stellt um

Die Postbank hat bereits im Frühjahr die letzten iTAN-Listen gedruckt. Nach und nach stellt sie auf mobileTAN und chipTAN um „Im Oktober sind wir damit durch“, heißt es. Auch die meisten der 429 Sparkassen werden die Listen mit den Zahlenkolonnen bis Jahresende abschaffen. Bei den Volks- und Raiffeisenbanken im Norden und Osten der Republik gab es die iTAN nie, sie sprangen direkt von der klassischen TAN-Liste auf Mobiltelefon und Generator. Im Süden und Westen steht bei vielen der Abschied von iTAN gerade an.

Doch längst noch nicht jedes Institut verabschiedet sich von iTAN. Die Targobank, einst Citibank, will sie sogar erst einführen. Alle Online-Banking-Kunden erhalten dieser Tage einen Brief, in dem sie über die beiden neuen Verfahren iTAN und mobileTAN informiert werden. Wobei es eine Einschränkung gibt: Für Beträge von mehr als 1000 Euro und alle Auslandsüberweisungen darf die iTAN-Liste nicht eingesetzt werden. Das ist eine Abwehrstrategie, die von der HypoVereinsbank schon seit Jahren verfolgt wird. Angeblich ist den Kriminellen bei Beträgen unter 1000 Euro das Risiko, erwischt zu werden, zu hoch.

Bei der Targobank legt man Wert auf die Feststellung, dass auch nach der Umstellung die Garantie der Bank gilt, dass mögliche Schäden in jedem Fall vollständig ersetzt werden. Andere Institute verweisen an dieser Stelle lediglich auf Kulanzregeln. Wer also zu unbedarft mit seinen Daten umgeht, kann auf seinem Schaden sitzen bleiben.

Banken gehen unterschiedlich vor

Die großen Privatkundenbanken gehen unterschiedlich mit der Sicherheitsthematik um. Die Deutsche Bank bietet weiterhin iTAN, aber auch mobileTAN und den vor allem von Geschäftsleuten genutzten HBCI-Standard. Die Commerzbank ist dagegen bislang nur mit iTAN und HBCI vertreten. Andere Verfahren würden noch geprüft, heißt es auf Nachfrage. Erklärtes Ziel ist es auch hier, die bisherigen Zahlenkolonnen abzulösen. „Mit der Einführung eines neuen Sicherheitsverfahrens wird dieses die iTAN final ersetzen“, teilte die Bank mit. Die Tochter Comdirect ist in der Entscheidungsfindung offenbar schon einen Schritt weiter. Hier soll Anfang 2012 die mobileTAN kommen – kostenlos für alle, heißt es ausdrücklich.

Das ist längst nicht bei jedem so und kann leicht zum Ärgernis werden. So verlangt die Deutsche Bank von ihren Kunden neun Cent pro SMS, bei der Frankfurter Volksbank, einer der größten bundesweit, sind es sogar zehn Cent. Dadurch würden die Fremdkosten des Rechenzentrums an die Kunden weitergegeben, so die Entschuldigung der Genossenschaftsbank – und das, obwohl ohnehin schon Kontoführungsgebühren anfallen. Verbraucherschützer wettern denn auch dagegen. Ihr Argument: Es ist Sache der Banken, für die Sicherheit ihres Online-Bankings zu sorgen. Hätten die Betrüger bei einem ihrer Kunden Erfolg, bliebe schließlich auch die Bank meist auf einem Schaden sitzen.

Die Entwicklung der Sicherheitstechnik wird weitergehen müssen. So ist ausgerechnet für die modernsten Kunden, die ihre Bankgeschäfte am liebsten per Smartphone erledigen, noch keine überzeugende Lösung gefunden. Die mobileTAN scheidet hier aus, denn wenn die Kennnummer auf das gleiche Smartphone geschickt würde, hätten die Betrüger leichtes Spiel. Die HypoVereinsbank stellt Kunden für das Mobile-Banking weiterhin iTAN-Listen aus – auch für höhere Beträge. Bei der Postbank müssen die Nutzer der App zusätzlich den Chip-Generator mit sich führen.