Was ist Online-Banking?
Beim Online-Banking stellt die Bank dem Kunden mittels einer Webseite oder einer Spezialsoftware über das Internet einen Zugang zu seinem Konto zur Verfügung. Der Kunde kann über diesen Zugang seine Kontodaten einsehen und Trabsaktionen (z.B. Überweisungen) veranlassen.
Welche Techniken werden im Online-Banking eingesetzt?
Die eingesetzten Techniken lassen sich in zwei Kategorien einteilen: WWW-Techniken und HBCI/FinTS.
WWW-Techniken
Im World Wide Web werden viele verschiedene Technologien eingesetzt, um den Reichtum an Features implementieren zu können:
- http (Hypertext Transfer Protocol): Mit http werden Webseiten von einem Server angefordert, und Daten aus HTML-Formularen (z.B. BLZ, Kontonummer, PIN, TAN) an den Bankserver übertragen. http verwendet das Internet-Protokoll TCP/IP.
- HTML (Hypertext Markup Language): Das Aussehen, der Inhalt und die Funktionalität von Webseiten werden in HTML (und einigen Zusatzstandards wie CSS und Javascript) beschrieben. Der Browser interpretiert HTML und stellt es auf dem Bildschirm dar.
- Formulare (HTML forms): Damit auch Daten vom Kunden an die Bank übertragen werden können, nutzt man Formulare. Diese enthalten Auswahl- und Texteingabefenster (z.B. zur Eingabe von PIN und TAN).
- Javascript ist eine interpretierte Programmiersprache, die „im Browser lebt“. Das bedeutet sie kann normalerweise keine Effekte außerhalb des Browsers erzielen (z.B. Dateien des Kunden lesen oder schreiben), aber innerhalb des Browsers kann sie erstaunlich viel, etwa neue Browserfenster öffnen oder alte schließen.
- SSL (Secure Socket Layer): SSL verschlüsselt alle Daten (also auch PIN und TAN), die zwischen Browser und Server ausgetauscht werden. Darüber hinaus dient SSL auch dazu, die Echtheit des Bankservers zu verifizieren. Dies muss der Kunde allerdings manuell erledigen (Informationen zu SSL).
HBCI/FinTS
HBCI (Home Banking Computer Interface), 2002 umbenannt in FinTS (Financial Transactions), besteht aus einer Menge von Nachrichten, die zwischen dem HBCI-Programm auf dem PC des Kunden und dem HBCI-Server der Bank ausgetauscht werden. Die Sicherheit von HBCI beruht nicht primär auf SSL (obwohl es auch eingesetzt werden kann), sondern auf kryptograpischen Prüfsummen (MAC) und digitalen Signaturen, mit denen wichtige Nachrichten gegen Veränderungen geschützt werden können. Diese Sicherheitsmechanismen sind meist auf einer Chipkarte implementiert.
Wegen der technischen Schwierigkeiten rund um Chipkarten und Chipkartenleser wurde dieses vorbildliche Sicherheitssystems allerdings durchlöchert, indem man auch HBCI mit PIN/TAN einführte.
Wie läuft das WWW-basierte Onlinebanking ab?
Die Details des Ablaufs sind von Bank zu Bank verschieden. Wichtig sind die folgenden Schritte:
- Zur Eingabe Ihrer persönlichen Bankdaten (Kontonummer, PIN, TAN) sollte die Bank Ihnen ein durch SSL-Verschlüsselung geschütztes HTML-Eingabeformular zur Verfügung stellen. Sie erkennen das an einem Symbol, das ein geschlossenes Vorhängeschloss darstellen soll. Mehr Informationen zu SSL, und was Sie alles zu Ihrer Sicherheit beachten müssen, finden Sie unter Informationen zu SSL.
- Da Ihre Kontonummer auf vielfältige Art und Weise an Dritte übermittelt wird, benötigt die Bank die geheime PIN („Persönliche Identifikationsnummer“) um festzustellen, ob Sie auf das Onlinekonto zugreifen dürfen.
- Darüber hinaus verlangt die Bank von Ihnen für jede Transaktion (z.B. Überweisung) eine „frische“ TAN („Transaktionsnummer“). Dieser Mechanismus ist verantwortlich für den hohen Sicherheitsstandard beim Onlinebanking, und wird z.B. in den USA nicht eingesetzt. Über die verschiedenen aktuell diskutierten TAN-Varianten informiert Sie der nächste Abschnitt.
Welche TAN-Mechanismen gibt es?
| TAN | Beim ”normalen” TAN-Verfahren wählt der Kunde zufällig eine TAN aus der TAN-Liste aus und streicht diese auf der Liste durch. Da keine inhaltliche Verbindung von TAN und konkreter Überweisung erfolgt, gilt das System als nicht sicher und sollte nicht verwendet werden. |
| iTAN | Beim indizierten TAN-Verfahren gibt die Bank vor, welche TAN als nächstes zu verwenden ist. Dadurch wird die Erfolgswahrscheinlichkeit eines Phishers, eine erbeutete TAN bei einer Transaktion einzusetzen, deutlich verringert. Allerdings findet auch hier keine inhaltliche Verbindung von TAN und Übereisung statt. Es gilt heute nicht mehr als ausreichend sicher. |
| eTAN | Wird ein elektronisches Gerät (oft von der Größe eines Schlüsselanhängers oder eines kleinen Taschenrechners) zur Erzeugung der TAN verwendet, so spricht man von ”elektronischer TAN”. Die eTAN wird durch einen geheimen Algorithmus im Gerät erzeugt, den nur die Bank kennt. Fließen die Transaktionsdaten (z.B. Zielkonto und Betrag) in die Berechnung der eTAN mit ein (dazu wird am Gerät eine Tastatur benötigt). Das Verfahren galt lange Zeit als sicher gegen Phishing- und Pharming-Angriffe. |
| mTAN | Die mTAN ist eine TAN, die im Rechner der Bank erzeugt und über einen sicheren Mobilfunkkanal per SMS an den Kunden übertragen wird. Diese SMS enthält in aller Regel auch Daten zu der Überweisung; insb. Höhe des Überweisungsbetrags und Kontonummer oder IBAN des Zielkontos. Duch mittlerweile weit verbreitete Angriffe auf mobile Endgeräte, ist das Verfahren heute nicht mehr vollständig sicher. |
| chipTAN | Das chipTAN-Verfahren funktioniert ähnlich dem eTAN-Verfahren. Die TAN für eine Überweisung wird mittels des Chips auf der EC- oder Kundenkarte des Bankkunden vollständig unabhängig von anderen Kommunikationskanälen aus den Überweisungsdaten generiert. Der Server der Bank nimmt die Berechnung parallel vor. Vor der Eingabe der TAN muss der Kunde auf dem TAN-Generator die Überweisungsdaten bestätigen. Dadurch ist eine technische Manipulation ausgeschlossen. Technisch gilt das Verfahren als sicher, es sind noch keine erfolgreichen technischen Angriffe bekannt geworden. |
Die aufgezeigten TAN-Verfahren schützen den Kunden nur technisch vor Eingriffen Dritter in das Online-Banking. Daneben sind noch Angriffe möglich, die dem social engineering zuzuordnen sind. Dies können etwa sog. Rücküberweisungstrojaner sein, die dem Kunden fälschlicherweise einen zu Hohen Kontostand anzeigen, der von einer fehlgeleiteten Überweisung stammt. Dies ist in der Regel verbunden mit der Aufforderung den Überweisunsbetrag zurück zu überweisen. Dies sollte auf keinen Fall durchgeführt werden! Alle Banken haben die Möglichkeit falsche oder fehlerhafte Überweisungen von sich aus zu stornieren.