Über 70 Prozent der Bankkunden in Deutschland nutzen Online Banking. Um die Sicherheit zu erhöhen, wollen die Finanzinstitute nun das iTan-Verfahren abschaffen. Andere Verfahren machen sicheres Banking per PC weiter möglich. Stiftung Warentest hat die einzelnen Verfahren einander gegenübergestellt.

Tipps und Empfehlungen zur Sicherheit beim Online Banking

Tipps und Empfehlungen für mehr Sicherheit beim Online Banking
© Shutterstock

Online Banking Verfahren im Vergleich

Die meisten Banken bieten mehrere Verfahren für das Online Banking an. Stiftung Warentest hat die gängigsten untersucht und Stärken und Schwächen beschrieben. Dabei wurden folgende Verfahren analysiert:

  • ITan.
  • mTan (SMS-Tan).
  • ChipTan Comfort (SmartTan plus).
  • Photo-Tan.
  • Push-Tan.
  • iTan.

Das iTan-Verfahren

Kunden bekommen von ihrer Bank oder Sparkasse eine Papierliste mit nummerierten Transaktionsnummern (Tan). Nach Eingabe der Überweisungsdaten am Computer gibt Ihnen die Bank nach dem Zufallsprinzip vor, mit welcher dieser Tan-Codes Sie Ihre Überweisung bestätigen sollen. Die Tan ist nur einmalig gültig.

Wenn Ihre Banken verspricht, dass sie im Schadensfall nachweisen muss, dass der Kunde grob fahrlässig gehandelt hat, sind Sie mit diesem Verfahren auf der sicheren Seite.

Das Verfahren bietet nach Expertenmeinung allerdings nur geringe Sicherheit, weil die iTan nicht an die Überweisungsdaten wie Kontonummer, Betrag oder Datum gebunden ist. Immer wieder versuchen Betrüger in seriös wirkenden E-Mails Bankkunden aufzufordern, auf einen Link zu klicken. Dieser führt auf eine gefälschte Webseite, die der ihrer Bank täuschend ähnlich sieht. Dort sollen Sie Ihre Zugangsdaten eingeben und auch die Tan. Damit erhalten die Betrüger dann Zugriff auf das Konto.

Das mTan-Verfahren (SMS-Tan)

Kunden müssen ihrer Bank oder Sparkasse mitteilen, an welche Mobilfunknummer eine Tan schicken soll. Die Bank bestätigt die Anmeldung per SMS an diese Handynummer.

Nach Eingabe der Überweisungsdaten am Computer erhalten Sie von Ihrer Bank eine SMS mit der Tan auf das Handy. Die SMS wiederholt auch den Betrag und mindestens die letzten vier Stellen der Kontonummer des Empfängers.

Tätigen Sie eine Überweisung von einem Smartphone, sollte die Tan zur Sicherheit auf ein zweites Handy geschickt werden.

Das Verfahren verspricht eine hohe Sicherheit, weil die Tan nur an die registrierte Mobilfunknummer und auf ein separates Gerät geschickt wird und nur für den einen Auftrag gilt. Allerdings verlangen manche Institute Geld für den Service.

Betrüger versuchen, die Computer von Bankkunden mit Schadsoftware zu infizieren, um Zugangsdaten und Mobilfunknummer auszuspähen. Andere Betrüger gaben sich als Mitarbeiter von Mobilfunkshops aus und bestellten wegen angeblichem Verlust eine Ersatz-Sim-Karte für „ihren Kunden“. In beiden Fällen konnten die Betrüger dann die zur Bestätigung notwendige mTan abfangen und selbst Aufträge ausführen.

Das ChipTan-Verfahren (SmartTan plus)

Sie müssen Ihre Girocard für dieses Verfahren registrieren lassen und bei Ihrer Bank einen Tan-Generator anfordern oder ihn im Fachhandel kaufen. Das kostet meist zwischen 10 und 15 Euro.

Nach Eingabe der Überweisungsdaten am Computer werden diese in ein Schwarz-Weiß-Bild mit fünf Balken, ähnlich einem Strichcode, umgewandelt. Sie müssen den Tan-Generator nun vor die wechselnd aufleuchtenden Balken halten. Die Signale übertragen die Überweisungsdaten an den Generator und erzeugen eine Tan.

Wenn das optische Auslesen nicht funktioniert, können Sie die Tan auch manuell erzeugen: Dazu müssen Sie die Überweisungsdaten und einen Startcode in das Gerät tippen.

Das Verfahren weist eine sehr hohe Sicherheit auf, weil die Tan auftragsbezogen auf dem Tan-Generator erzeugt wird und nur mit der dazugehörigen Girocard funktioniert. Allerdings ist es eher unkomfortabel.

Betrüger versuchen, auf Ihren Computer unbemerkt eine Schadsoftware zu installieren. Dann erhalten Sie zum Beispiel eine Meldung, dass ein ChipTan-Test notwendig sei, Sie falsch überwiesenes Geld zurückschicken sollen oder per Überweisung an einem Gewinnspiel teilnehmen können. Wenn Sie den Anweisungen folgen, geben Sie dem Betrüger die Möglichkeit, im Hintergrund unbemerkt eine Überweisung zu machen.

Das Photo-Tan-Verfahren

Für die Photo-Tan brauchen Sie ein spezielles Lesegerät (Kosten zirka 15 Euro), das Sie bei der Bank registrieren lassen müssen. Nachdem Sie die Überweisungsdaten am Computer eingegeben haben, wird daraus eine farbige Grafik auf dem Bildschirm erzeugt, die Sie mit dem Lesegerät scannen. Das Lesegerät entschlüsselt die Bilddaten und erzeugt die Tan.

Statt des Lesegeräts können sie auch eine Photo-Tan-App auf Ihr Smartphone laden und aktivieren. Dann erscheint nach der Eingabe der Überweisungsdaten eine Schaltfläche für die Anforderung der Tan per Photo-App.

Das Verfahren bietet eine sehr hohe Sicherheit, wenn die Tan mit dem zuvor registrierten Lesegerät erzeugt wird. Bisher ist es nur Wissenschaftlern vor längerer Zeit gelungen, das Verfahren zu knacken. Sie haben das Smartphone zuvor mit Schadsoftware infiziert.

Das Push-Tan-Verfahren

Sie müssen eine kostenlose spezielle App Ihres Geldinstituts auf Ihr Smartphone laden und aktivieren. Dazu erhalten Sie von der Bank einen Anmeldenamen und eine Zahl für die Legitimation oder einen QR-Code. Nachdem Sie die Überweisungsdaten am Computer eingegeben haben, starten Sie die passwortgeschützte Push-Tan-App. Dort können Sie die Auftragsdaten noch einmal prüfen und im Anschluss eine Tan anfordern.

Es ist möglich, die Tan auf demselben mobilen Gerät zu empfangen, auf dem auch die Banking-App ist, da die Push-Tan-App im Smartphone isoliert von anderen Apps betrieben wird.

Das Verfahren bietet eine hohe Sicherheit, wenn Banking-App und Push-Tan-App auf zwei voneinander unabhängigen Geräten betrieben werden. Auch dieses Verfahren konnte bislang nur von Wissenschaftlern unter Laborbedingungen geknackt werden.

Achten Sie auf sicheres Online Banking

Zum Schluss noch einige Hinweise für sicheres Online Bankig:

  • Schützen Sie Ihren Computer vor schädlichen Daten durch eine Firewall und aktuelle Virenschutzprogramme. Halten Sie Ihre Browser, Ihr Betriebssystem immer auf dem aktuellen Stand.
  • Klicken Sie niemals auf Links und öffnen Sie auch keine Dateianhänge auf E-Mails von unbekannten Absendern. Kommt Ihnen beim Online­banking etwas seltsam vor, dann brechen Sie den Vorgang lieber ab, schließen den Browser und wiederholen ihn zu einem späteren Zeitpunkt.
  • Fremde oder öffentliche Computer und Netzwerke sind für Bank­geschäfte nicht geeignet. Geben Sie die Webadresse der Bank immer selbst ein oder nutzen Sie die Favoritenliste in Ihrem eigenen Browser.
  • Wenn Sie auf Ihrem Konto dennoch betrügerische Abbuchungen feststellen, informieren Sie sofort die Bank und stellen Sie bei der Polizei Strafanzeige.