Onlinebanking

Homebanking2In diesem Artikel geht es mir darum, Ihnen die neuesten Mechanismen eines gesicherten Onlinebanking näher zu erläutern. Ebenfalls werden anschliessend ältere Methoden erklärt, die man nicht mehr oder nur bedingt anwenden sollte.  Als erstes möchten ich beginnen mit den neuesten Techniken, fahre dann fort mit den Aelteren und beende dann den Artikel mit den Historischen.

Beim  Onlinebanking geht es um die Erledigung von Bankgeschäften mit dem eigenen PC, Labtop, Notebook, Smartphone  usw. Dabei geht es darum, mit ausgeklügelten technischen Verfahren den Abwicklungsprozess der Bankgeschäfte vor Datendieben und Hackern zu schützen. Vorab eine kurze Beschreibung eines Bankgeschäftes: Angenommen Ihre Bank hat mit Ihnen das Onlinebanking bereits eingerichtet und Sie möchten nun Ihren Kontostand überprüfen. Sie loggen sich auf der Seite Ihrer Bank ein. Gleich danach erhalten sie auf Ihrem Mobiltelefon via SMS eine TAN (Transaktionsnummer), die Sie dann auf der eingeloggten Bankseite eingeben müssen. Anschliessend wird die TAN von der Bank überprüft. Wenn sie gültig ist, steht nun Ihr Konto für Sie auf Ihrem Bildschirm zur Verfügung. Dies ist die Methode des zum Zeitpunkt der Veröffentlichung dieses Berichtes am häufigsten verwendete Mobile-TAN. Weitere Methoden funktionieren ähnlich.  Nicht ganz so einfach sind die technischen Einrichtungen, die im Hintergrund ablaufen. Zum möglichst sicheren Onlinebanking gehören verschiedene Absicherungsmethoden die uns bei unseren Online-Geschäften mit der Bank vor Betrügereien schützt. Es gibt nämlich Leute, die haben es auf unser Geld abgesehen. In diesem Blog werden wir 3 Punkte näher betrachten.

 

  1. Die Methoden, mit denen Hacker unser Geld abtransportieren können
  2. Die Methoden, mit denen wir uns davor schützen können
  3. Die Grundvoraussetzungen eines gesicherten onlinebankings, die am PC, Notebook, Labtop, Smartphone usw. vorhanden sein müssen.

 

Die Methoden der Hacker.

Mit Hilfe von Viren, Trojanern, und Würmern, die auf ungesicherten Geräten installiert werden, können diese von fremden Personen überwacht, fremdgesteuert und auf verschiedene Art manipuliert werden. Ist dann das Gerät infiziert, können die Betrüger das Gerät  überwachen, Tastatureingaben abfangen und  Passwörter auslesen. Eine weitere Methode  ist das sogenannte Phishing. Beim Phishing sendet Ihnen der Betrüger beispielsweise eine E-mail mit der Aufforderung Ihre Bankdaten inklusive Passwort zur Ueberprüfung in ein Formular einzugeben.  Vorab eine Empfehlung:  Eine Bank wird Ihnen niemals so ein E-mail mit dieser Aufforderung  senden. Detaillierte weitere Erklärungen der Hackermethoden finden Sie in unseren beiden Blogs: „Internetbetrug“  und „Was ist Phishing“.

 

Methoden zu Ihrem Schutz.

 

Photo TAN

Beim Photo TAN wird die oben beschriebene TAN (Transaktionsnummer) verschlüsselt in Form einer farbigen Mosaikgrafik auf Ihrem Bildschirm dargestellt, welche sich folgendermassen präsentiert.

Photo TAN

Mit einer App, die zuvor auf Ihrem Smartphone installiert und signiert wurde, wird die Mosaikgrafik auf das Smartphone übertragen. Durch die vormalige Signierung wird garantiert, dass nur dieses eine  Smartphone die Entschlüsselung vornehmen kann. Gleichzeitig wird daraus eine TAN generiert und zur Ueberprüfung werden noch die Transaktionsdaten angezeigt. Diese TAN kann dann auf dem Computer eingegeben werden und das Konto ist zur Bearbeitung geöffnet. Es versteht sich von selbst, dass beim nächsten Login wieder eine andere Mosaikgrafik und daraus resultierend auch eine andere TAN generiert wird. Dieses System kann bei richtiger Handhabung als sehr sicher eingestuft werden. Gewisse Banken stellen dem Kunden zur Entschlüsselung TAN-Generatoren für Photo-TAN zur Verfügung.

Auch hier gilt: Schauen Sie, dass keine Viren, Würmer und Trojaner auf Ihren Computer kommen können. Im Idealfall empfehle ich Ihnen einen zweiten Computer anzuschaffen, mit dem sie wirklich nur Ihre Bankgeschäfte abwickeln. Auf diese Weise ist die Wahrscheinlichkeit sehr viel geringer, dass Schadsoftware sich einnisten kann. Information zu Schutzprogrammen:          —>>> Hier klicken

Hier ein Video zur Einrichtung von Photo TAN:

 

ChipTAN comfort/SmartTAN optic (Flickering) (Für Eptileptiker nicht geeignet)

Voraussetzung für dieses  Verfahren ist ein TAN-Generator mit Display, Ziffernfeld, Karteneinschub und 5 optischen Sensoren auf der Rückseite. (Siehe Beispiel unten) Dieser funktioniert in Verbindung mit der Banksoftware wie folgt. Nach dem Start eines Bankgeschäftes mit der Banksoftware wird auf dem Computerbildschirm eine Grafik mit 5 flackernden rechteckigen Flächen aufgebaut. Weil diese Flächen flackern, ist diese Methode für Eptileptiker nicht geeignet.

ChipTAN comfort SmartTAN optic Flickering 1

Nun muss der TAN-Generator bei eingesteckter Bankkarte mit den optischen Sensoren auf die Flickergrafik aufgesetzt werden, wodurch eine Datenübertragung durch Lichtsignale erfolgt.

 

ChipTAN comfort SmartTAN optic Flickering 2

Dadurch werden Daten vom Computer zum TAN-Generator übertragen, die auf dem Display zum kontrollieren angezeigt werden.

ChipTAN comfort SmartTAN optic Flickering 3

Nach der Bestätigung erzeugt der TAN-Generator eine direkt mit dem Auftrag verbundene TAN. Diese wiederum muss dann am Computer in der Banksoftware eingegeben werden. Bei manchen Banken muss der TAN-Generator vor der ersten Verwendung mit  i Tan/mTan registriert werden.

Tragen Sie Sorge zur Bankkarte. Geht sie verlustig, sofort sperren lassen bei der Bank. Ansonsten könnte ein Finder mit der Karte und einem beliebigen TAN-Generator eine TAN erzeugen. Allerdings müsste er, um eine Transaktion auszulösen vorgängig Ihren PC gehackt haben, denn er muss ja auch noch die Software bedienen können. Dazu bräuchte er Ihr Passwort.

Auch hier gilt: Schauen Sie, dass keine Viren, Würmer und Trojaner auf Ihren Computer kommen können. Im Idealfall empfehle ich Ihnen einen zweiten Computer anzuschaffen, mit dem sie wirklich nur Ihre Bankgeschäfte abwickeln. Auf diese Weise ist die Wahrscheinlichkeit sehr viel geringer, dass Schadsoftware sich einnisten kann. Information zu Schutzprogrammen:           —>>> Hier klicken

Die Raiffeisenbank nennt dieses Verfahren Sm@rt-TAN plus.

Hier ein Video zur Vorsichtsmassnahme:

 

ChipTAN manuell

Voraussetzung für dieses Verfahren ist ein TAN-Generator mit Display, Ziffernfeld und Karteneinschub.

ChipTAN manuell SecureTAN plus1 smartTAN-Plus

Dieser funktioniert in Verbindung mit der Banksoftware wie folgt. Nach dem Start eines Bankgeschäftes mit der Banksoftware generiert diese einen sogenannten Start-Code. Dieser muss dann bei eingesteckter Bankkarte im TAN-Generator eingetippt und bestätigt werden. Ob noch zusätzliche Eingaben erforderlich sind, ist vom jeweiligen Geldinstitut abhängig. Nun berechnet der TAN-Generator eine TAN, die am Display angezeigt wird. Diese wiederum muss dann am Computer in der Banksoftware eingegeben werden. Auch hier gilt: Zusätzliche Eingaben sind vom Geldinstitut abhängig. Tragen Sie Sorge zur Bankkarte. Geht sie verlustig, sofort sperren lassen bei der Bank. Ansonsten könnte ein Finder mit der Karte und einem beliebigen TAN-Generator eine TAN erzeugen. Allerdings müsste er, um eine Transaktion auszulösen vorgängig Ihren PC gehackt haben, denn er muss ja auch noch die Software bedienen können. Dazu bräuchte er Ihr Passwort.

Auch hier gilt: Schauen Sie, dass keine Viren, Würmer und Trojaner auf Ihren Computer kommen können. Im Idealfall empfehle ich Ihnen einen zweiten Computer anzuschaffen, mit dem sie wirklich nur Ihre Bankgeschäfte abwickeln. Auf diese Weise ist die Wahrscheinlichkeit sehr viel geringer, dass Schadsoftware sich einnisten kann. Information zu Schutzprogrammen:           —>>> Hier klicken

 

eTAN

Voraussetzung für dieses Verfahren ist ein TAN-Generator mit Display und  Ziffernfeld. Es gibt Banken, die stellen diesen TAN-Generator zur Verfügung, wie hier bei der BW-Bank.

eTAN

Der Kunde muss hier die Kontonummer eintippen. Der TAN-Generator erzeugt dann zusammen mit dieser Kontonummer, einem versteckten Schlüssel und der momentanen Uhrzeit eine zeitlich begrenzt gültige TAN-Nummer. Tragen Sie Sorge zum TAN-Generator. Geht er verloren, kann der Finder weitere TAN-Nummern erzeugen. Dazu bräuchte er aber Ihre Kontonummer und Ihr Passwort. Allerdings müsste er, um eine Transaktion auszulösen vorgängig Ihren PC gehackt haben, denn er muss ja auch noch die Software bedienen können.

Auch hier gilt: Schauen Sie, dass keine Viren, Würmer und Trojaner auf Ihren Computer kommen können. Im Idealfall empfehle ich Ihnen einen zweiten Computer anzuschaffen, mit dem sie wirklich nur Ihre Bankgeschäfte abwickeln. Auf diese Weise ist die Wahrscheinlichkeit sehr viel geringer, dass Schadsoftware sich einnisten kann. Information zu Schutzprogrammen:           —>>> Hier klicken

 

sm@rt-TAN

Voraussetzung  für dieses Verfahren ist ein TAN-Generator mit Display, ohne Tastaturfeld aber mit zwei Tasten.

sm@rt-TAN

Nachdem die Kundenkarte mit dem TAN-Genrator verbunden ist, kann mit Knopfdruck auf TAN eine TAN erzeugt werden. Das Verfahren ist leider nicht auftragsbezogen. Es dient nur zur TAN-Erzeugung.

Tragen Sie Sorge zum TAN-Generator. Geht er verloren, kann der Finder weitere TAN-Nummern erzeugen. Dazu bräuchte er aber Ihre Kontonummer und Ihr Passwort. Allerdings müsste er, um eine Transaktion auszulösen vorgängig Ihren PC gehackt haben, denn er muss ja auch noch die Software bedienen können.

Auch hier gilt: Schauen Sie, dass keine Viren, Würmer und Trojaner auf Ihren Computer kommen können. Im Idealfall empfehle ich Ihnen einen zweiten Computer anzuschaffen, mit dem sie wirklich nur Ihre Bankgeschäfte abwickeln. Auf diese Weise ist die Wahrscheinlichkeit sehr viel geringer, dass Schadsoftware sich einnisten kann. Information zu Schutzprogrammen:           —>>> Hier klicken

Mobile-TAN (mTAN)

Bei diesem Verfahren wird vor oder nach dem Einloggen in die Bankensoftware eine TAN (Transaktionsnummer) via SMS zum Mobiltelefon des Kunden übermittelt. Es ist also keine Transaktionsliste mehr notwendig wie bei dem Verfahren der Tanliste oder dem der indizierten Tanliste, was als Vorteil angesehen wird.  Die Gültigkeitsdauer der TAN ist begrenzt und nur für diese eine Tansaktion verwendbar. Je nach Bankinstitut werden noch zusätzliche Kontrollelemente mit der SMS übertragen. Diese TAN muss der Kunde dann in der E-Banking-Software eingeben. Erst dann erhält er Zugriff auf sein Konto.   Dieses Verfahren gilt unter bestimmten Voraussetzungen als relativ sicher. Die Voraussetzungen sind, dass die Bankensoftware und die TAN-Ubertragung getrennt sind, das heisst die Software auf dem Computer oder Labtop und die TAN-Uebertragung auf dem Mobiltelefon. Zur Katastrophe kann das ganze ausarten, wenn beides auf einem Smartphone installiert ist. Dann hat jemand, der Phishing betreibt ein leichtes Spiel. Möglicherweise wird das von der Bank auch nicht erlaubt.  Siehe in diesem Zusammenhang meine Blogbeiträge: Internetbetrug“ oder  „Was ist  Phishing“ . 

 

Indizierte TAN-Liste (iTAN), (iTANplus)

Bei diesem Verfahren wird der Kunde von der Bank aufgefordert, eine mit einer bestimmten Positionsnummer verbundene TAN-Nummer einzugeben. Diese kann er einer Liste entnehmen, die er zuvor von seiner Bank in Briefform zugeschickt erhalten hat.  Diese Nummer muss er innerhalb einer bestimmten Zeit eingeben, ansonsten sie verfällt. Jede dieser Nummern kommt nur einmal zur Anwendung.

Homebanking TAN-Liste 1

Eine Erweiterung erfährt dieses System durch (iTANplus) bei dem vor der Eingabe der TAN zusätzlich zur Kontrolle ein Bild eingeblendet wird, in dem nochmals alle Transaktionsdaten aufgeführt sind. Ebenfalls wird das Geburtsdatum des Kontoinhabers in Form eines digitalen Wasserzeichens aufgeführt. Dies soll der Kunde dann vormals überprüfen.

Bei einigen Banken wird dieses Verfahren zusätzlich durch eine Bestätigungsnummer erweitert. Das heisst die Bank schickt die eingegebene TAN zum Kunden zurück, die er dann noch bestätigen muss.

TAN-Liste

Dieses Verfahren war der erste Versuch, die Bankkunden vor Betrügern zu schützen und funktioniert ähnlich wie i TAN. Nur hat die TAN-Liste hier keine Positionsnummern. Hinzu kommt, dass der Kunde die Nummer, die er nachher durchstreicht,  aus der Liste selber auswählen kann. Sie wird also nicht von der Bank vorgeschlagen. Da diese Methode immer mehr von Phishing-Attacken angegriffen werden konnte, wird sie von den Banken kaum noch empfohlen.

Homebanking TAN-Liste 2

Onlinebanking Verfahren werden naturgemäss auch immer weiterentwickelt. Deswegen werde ich auch in künftigen Blogs, wenn nötig über die neuesten Technologien auf diesem Gebiet berichten. Wenn Sie sich noch tiefer in die Materie des Onlinebanking einarbeiten wollen, empfehlen wir Ihnen die entsprechenden Wikipedia-Seiten.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.