header banner
Default

Es gibt neue Vorschriften für Online-Banking, die keine 100-prozentige Sicherheit gewährleisten


Neue Regeln für Online-Banking

Symbolbild, das einen Hacker im Kapuzenpullover und mit Lederhandschuhen zeigt. In der Hand hält er eine Kreditkarte und ein Laptop.

Die neuen EU-Richtlinien zum Online-Banking sind umstriten. © imago / Panthermedia

Von Katja Strippel · 17.12.2019

Benutzername, Passwort, TAN - das war einmal. Seit drei Monaten gelten in der EU neue Sicherheitsstandards fürs Online-Banking. Sie machen Online-Überweisungen komplizierter und umständlicher - aber auch sicherer?

Früher war Internet-Banking irgendwie einfacher: Benutzername, Passwort und ein paar Ziffern – und schon war die Online-Überweisung fertig. Doch seit Mitte September ist damit Schluss: Seitdem gilt die neue Zahlungsdienste-Richtlinie der EU – und die führt dazu, dass beim Online-Banking jetzt zwei Faktoren aus drei Bereichen eingegeben werden müssen.

"Der erste Faktor ist Wissen", sagt Stefanie Pallasch von der Stiftung Warentest. Gemeint ist damit, dass man eine PIN-Nummer oder ein Geheimwort für das Konto kennt. Der zweite Faktor sei Besitz, so die Finanzexpertin. Also etwa der Besitz einer EC-Karte. Als dritten Faktor meint die neue Richtlinie die so genannte Inhärenz. Das beziehe sich auf körperliche Merkmale wie etwa einen Fingerabdruck, um eine TAN zu erzeugen, erklärt Pallasch. Nur wer zwei dieser drei Faktoren kennt, kann seine Bankgeschäfte online erledigen.

Ohne Updates keine Sicherheit

VIDEO: Grundlagen des Online-Bankings: TAN, Sicherheit & mehr
BILDNER TV

Unter Fachleuten ist allerdings umstritten, ob es dieses Mehr an Sicherheit überhaupt braucht. Viele argumentieren, dass die gängigen Verfahren schon jetzt sicher sind. Timo Halbe von Finanztest rät Nutzern dazu, dass sie ihr Betriebssystem und die App der Bank aktuell halten. Außerdem sei es wichtig, Überweisungen nicht im öffentlichen WLAN-Netz zu machen, weil das immer etwas unsicher sei. "Und auch ein guter Passwort-Schutz in der App ist wichtig", sagt Halbe. Diese solle man am besten mit einem Passwort schützen, das mindestens acht Stellen hat.

Seit die neuen Regeln in Kraft sind, werden Passwörter und PINs ständig abgefragt – und das nervt viele Kunden. Gerade der Start verlief holprig. Kunden verschiedener Banken berichteten davon, dass die Kreditinstitute unterschiedlich schnell die Verfahren umgestellt haben. Und auch das mobile TAN-Verfahren ist noch immer im Einsatz. Bei ihm kommt die Nummer für eine Überweisung direkt aufs Handy.

Dagegen wurden TAN-Listen auf Papier mit Inkrafttreten der neuen EU-Richtlinie abgeschafft. Der IT-Sicherheitsexperte Vincent Haupert findet das sinnvoll – auch wenn er aus Erfahrung weiß, dass es keine hundertprozentige Sicherheit beim Online-Banking gibt: "Das sicherste Verfahren ist auf jeden Fall eins, das unabhängige Hardware hat, also zwei verschiedene Geräte miteinbezieht."

Sprich: Die Transaktionsauslösung auf dem einen, die Transaktionsbestätigung auf dem anderen Gerät. "Ein Verfahren, dass das sehr gut erfüllt, ist das Chip-TAN-Verfahren", so Haupert. Dazu braucht man ein separates kleines Gerät, das man direkt bei der Bank kaufen kann. In das steckt der Kunde seine EC-Karte und bekommt anschließend eine TAN-Nummer angezeigt, die er dann zum Beispiel für eine Überweisung nutzen kann.

Banking-App mit Sicherheitslücke

VIDEO: Online Banking: Neue Regeln einfach erklärt
Sven Schulze - Sachsen-Anhalts Stimme in Europa

Vincent Haupert erzählt, dass er vor einigen Jahren eine Banking-App gehackt habe. Auf die Idee brachte ihn ausgerechnet sein Sparkassenberater. Der hatte ihn vor einem Auslandssemester darauf hingewiesen, dass es in Südamerika Probleme mit dem Empfang der SMS-TAN geben könne. Als Alternative empfahl der Bankberater das Push-TAN-Verfahren: Dabei wird die TAN direkt auf dem Smartphone erzeugt.

Eine Alternative, die Haupert hellhörig machte: "Er hat das explizit so beworben, dass man sowohl die Banking-App als auch die Push-TAN-App auf ein und demselben Gerät betreiben kann." Da er eine gewisse Expertise im Bereich Sicherheit mitbringe, seien bei ihm die Alarmglocken angeschlagen.

Vincent Haupert sagt, es sei nicht schwer gewesen, das System zu hacken. Er habe eine App mit einer Schadsoftware entwickelt, die er dann in einen Store hochgeladen habe. "In unserem war das eine Bildergalerie, die im Hintergrund eine Sicherheitslücke ausgenutzt hat." Dadurch seien die Banking-App und die TAN-App so manipuliert worden, dass die Transaktionsdaten für den Nutzer unbemerkt ausgetauscht wurden. Der habe seine Transaktion gesehen und die entsprechende Überweisung freigegeben, weil alles integer wirkte. "In Wahrheit wurde aber eine ganz andere Transaktion freigegeben", so Haupert.

Auch der Online-Handel soll sicherer werden

VIDEO: Neues Smartphone: Was passiert mit meinem Online-Banking?
Kreissparkasse Heilbronn

Sein Angriff wäre nicht möglich gewesen, wenn die Eingaben an zwei verschiedenen Geräten gemacht worden wären. Stichwort: Faktor-Zwei-Authentifizierung. Wenn etwa der PC mit Schadsoftware befallen ist, hat der Angreifer im Zweifelsfall nur die Zugangsdaten zum Onlinebanking. "Er hat aber keinen Zugriff auf das Sicherungsverfahren", sagt der IT-Spezialist.

Was seit Mitte September beim Online-Banking gilt, das sollte eigentlich auch schon längst beim Online-Handel gelten. Aber da gab es Probleme mit der Umstellung. Deshalb hat die EU-Bankenaufsicht den Händlern eine Fristverlängerung angeboten: Sie haben noch bis Ende kommenden Jahres Zeit, die Faktor-Zwei-Authentifizierung einzuführen.

Sources


Article information

Author: James Brown

Last Updated: 1703830442

Views: 860

Rating: 3.5 / 5 (36 voted)

Reviews: 94% of readers found this page helpful

Author information

Name: James Brown

Birthday: 1999-03-12

Address: 94379 Mccormick Dam, Haynesstad, NM 06138

Phone: +4361690037555731

Job: Electrician

Hobby: Skiing, Beekeeping, Playing Chess, Graphic Design, Fishing, Scuba Diving, Coffee Roasting

Introduction: My name is James Brown, I am a unreserved, sincere, ingenious, rare, resolute, Colorful, resolved person who loves writing and wants to share my knowledge and understanding with you.