Augsburger Allgemeine (Ausgabe Stadt)

Die Tücken des Online Bankings

Finanzen Nach dem Angriff auf das Netz des Telekommun­ikations-anbieters O2 stellen sich viele Fragen: Wie sicher ist das Tan-verfahren? Und vor allem: Wer haftet im Schadensfa­ll?

- Foto: Fotolia

Augsburg Das von vielen Bankkunden verwendete M-tan-verfahren galt bislang als zuverlässi­g. Nach dem aktuellen Betrugsfal­l (wir berichtete­n) herrscht jedoch weiter Verunsiche­rung. Denn Internetbe­trügern ist es gelungen, das M-tanverfahr­en auszuhebel­n und etliche Online-bankkonten zu plündern.

Betroffen waren Kunden des Telekommun­ikationsun­ternehmens O2. „Ein kriminelle­r Angriff aus dem Netz eines ausländisc­hen Providers hat Mitte Januar dazu geführt, dass eingehende SMS für vereinzelt­e Rufnummern in Deutschlan­d unbefugt umgeleitet wurden“, teilte das Unternehme­n dazu mit.

Dass es sich um eine altbekannt­e Schwachste­lle im sogenannte­n Ss7-netzwerk handelt, bringt den Telekommun­ikationsri­esen aber in Erklärungs­not. Zwar hat das Unternehme­n die Sicherheit­slücke bereits behoben, doch Experten sind sich uneins, ob das M-tan-verfahren tatsächlic­h noch sicher ist. Sie empfehlen Alternativ­en. Hier die wichtigste­n Fragen und Antworten zu diesem Thema:

Wie sicher ist das M-tan-verfahren?

Beim sogenannte­n M-tan-verfahren müssen sich Bankkunden mit ihrer Mobilfunkn­ummer bei ihrer Bank oder Sparkasse anmelden. Das Geldhaus verschickt bei jeder Überweisun­g die entspreche­nde Tannummer per SMS auf das Handy des Kunden. Nach den jüngsten Hacker-angriffen steht diese Methode allerdings auf dem Prüfstand. Die deutsche Kreditwirt­schaft spricht von einem „Einzelfall“und weist darauf hin, „dass die M-tan ein technisch sicheres Legitimati­onsverfahr­en beim Online-banking ist“. Das Bundesamt für Sicherheit in der Informatio­nstechnik (BSI) sieht das anders. „Auf die Schwachste­lle im Ss7-protokoll weisen wir schon seit einigen Jahren hin“, kritisiert Bsi-präsident Arne Schönbohm. Die Bundesbehö­rde empfiehlt Verbrauche­rn, auf das M-tan Verfahren zu verzichten.

Welche anderen Tan-verfahren sind empfehlens­wert?

Bankkunden haben in Sachen On- eine breite Auswahl. Ob M-tan, Push-tan oder Phototan: Bei der Fülle von Legitimati­onsverfahr­en können Verbrauche­r schnell den Überblick verlieren. Chris Wojzechows­ki, Projektlei­ter am Institut für Internet-sicherheit, empfiehlt Verbrauche­rn das sogenannte Chip-tan-verfahren. Bei dieser Methode wird die Tan-nummer mit einem speziellen Lesegerät erstellt. „Wer hauptsächl­ich Onlinebank­ing von zu Hause betreibt, ist mit dem Chip-tan-verfahren auf der sicheren Seite“, rät Wojzechows­ki. Für noch sicherer stuft der It-experte das Hbci-verfahren ein, das auch mit einem Chipkarten­leser funktionie­rt: „Da diese Methode von Verbrauche­rn kaum genutzt wird, ist das Interesse von Internetkr­iminellen, hier aktiv zu werden, eher gering.“Das Verfahren HBCI (Homebankin­g Computer Interface) basiert auf einer ver- schlüsselt­en Kommunikat­ion Bank und Kunde über spezielle Chipkarte.

Ist die Push-tan-methode sicher?

Von diesem Verfahren sollten Bankkunden lieber die Finger lassen. „Da wird die Zwei-faktoren-sicherheit aufgebroch­en. Überweisun­gen laufen bei diesem Verfahren nur über ein Endgerät, eben das Smartphone. Die Praxis zeigt jedoch, dass die Apps mit Schadsoftw­are ausspionie­rt werden können“, warnt Experte Wojzechows­ki.

Wer haftet im Schadensfa­ll?

zwischen eine

„Grundsätzl­ich haftet die Bank für jede Überweisun­g, die nicht direkt vom Bankkunden autorisier­t wurde. Sie kann aber Schadenser­satzansprü­che geltend machen. Bei grober Fahrlässig­keit kann die Bank sogar die komplette Schadenssu­mme verlangen“, warnt der It-rechtsexpe­rline-banking te Christian Solmecke. Als grobe Fahrlässig­keit gilt bereits, wenn Bankkunden eine veraltete Virensoftw­are auf dem Rechner installier­t haben. Im aktuellen Fall handelt es sich um eine Schwachste­lle im sogenannte­n Ss7-netzwerk, die bereits seit 2014 öffentlich bekannt ist. „Trotz dieser Kenntnis wurde die Schwachste­lle von O2-telefonica weder behoben noch gemeldet. Im Verhältnis zum Kunden ist darin eine schuldhaft­e vertraglic­he Pflichtver­letzung zu sehen. Es ist daher wahrschein­lich, dass am Ende O2 für die entstanden­en Schäden einstehen muss“, so das Urteil von Experte Solmecke.

Wichtige Tan Verfahren

SMS Tan, Mobile Tan, M Tan Hier erhält der Kontoinhab­er die Tan per SMS auf das Mobiltelef­on, um den Überweisun­gsvorgang ab zuschließe­n. Experten raten von die sem Verfahren aber ab.

Chip Tan Hier können Bankkun den mittels eines speziellen Chip geräts in Kombinatio­n mit der Giro karte Tans erzeugen. Dieses Ver fahren gilt als besonders sicher, da die eingehende­n Tans lediglich auf dem Display erscheinen.

Photo Tan Auch dieses Verfahren funktionie­rt mit dem Smartphone samt spezieller App. Nach dem Ein tippen der Überweisun­gsdaten wird ein Code auf dem Bildschirm an gezeigt. Ausschlagg­ebend für die Datensiche­rheit ist hier die Pixelung des QR Codes.

Push Tan Für dieses Verfahren müssen sich Verbrauche­r eine spe zielle App auf das Smartphone laden. Nach jeder Überweisun­g können sie darüber eine Tan anfordern und direkt ins Online Banking übertra gen. Die Methode gilt als verhältnis mäßig unsicher, da die komplette Überweisun­g auf einem Endgerät ab gewickelt wird.

Tan Liste Die EU Zahlungs dienstrich­tlinie PSD2 bestimmt, dass die Tan Listen beim Online Banking nicht mehr sicher genug sind. Sie sollen bis 2018 aus dem Verkehr gezogen werden. (biallo)

?? ?? Wer online Bankgeschä­fte macht, muss vorsichtig sein. Einige Methoden halten Ex perten für unsicher. Doch es gibt auch bessere Verfahren.
Wer online Bankgeschä­fte macht, muss vorsichtig sein. Einige Methoden halten Ex perten für unsicher. Doch es gibt auch bessere Verfahren.

Newspapers in German

Newspapers from Germany