Lange Zeit wurden die Transaktionen bei Bankgeschäften entweder durch einen Besuch auf der Bank, telefonisch, schriftlich, per Fax oder Post durchgeführt. Im Zeitalter des Internets hat sich diese Praxis sehr stark verändert. Viele Kunden wickeln heute ihr komplettes Bankgeschäft per Online-Banking ab. Dabei ist das Online-Banking durchaus nicht ungefährlich, wie Experten immer wieder betonen. Um die Gefahren beim Online-Banking zu verstehen, muss man wissen, wie Online-Banking funktioniert, damit man geeignete Maßnahmen für ein sicheres Online-Banking ergreifen kann.
Die Sicherheitsmaßnahmen für sicheres Online-Banking
Zunächst einmal muss zwischen der Sicherheit der Datenübertragung überhaupt von oder zu der Bank sowie der Abwicklung am Arbeitsplatz – meist der heimische PC – unterschieden werden. Aktuell gibt es momentan drei Sicherheitstechniken beim Online-Banking.
1. Das PIN/TAN-System
Dieses System ist am stärksten verbreitet. Die Transaktion läuft über die verschlüsselte Web-Seite der Bank. Zusätzlich werden die Daten über eine PIN und eine TAN gesichert. Für jeden Auftrag wird eine TAN benötigt. Das System ist sicher, solange die Daten nicht in fremde Hände fallen.
2. Das HBCI-System
Das Homebanking Computer Interface (HBCI) arbeitet mit einer passwortgeschützten Chipkarte. Es werden keine TANs benötigt. Somit können diese auch nicht gestohlen werden. Das System funktioniert nur, wenn die Bank das System unterstützt. Die Sicherheit bei diesem System ist größer als beim PIN/TAN-System.
3. Das Fin-TS-System
Dieses System ist eine Weiterentwicklung des HBCI-Systems.
Die Sicherheit auf der Bankseite
Bei allen Browser- oder Clientbasierten elektronischen Banksystemen ist eine Verschlüsselung der Datenübertragung seitens der Bank gewährleistet. Diese Verschlüsselung ist nur mit einem erheblichen Zeit- und Ressourcenaufwand manipulierbar. Https selbst hat die Möglichkeit, verschiedene Verschlüsselungsalgorithmen zu nutzen. Diese werden als unterschiedlich sicher bewertet. Während des Verbindungsaufbaus wird zwischen dem Web-Browser und dem Bankenserver der Verschlüsselungsalgorithmus ausgehandelt.
Die Sicherheit auf der Seite des Kunden
Stärker gefährdet ist der heimische PC. Der heimische PC sollte durch einen Virenscanner sowie eine Firewall gesichert werden, damit Viren, Keylogger oder Trojaner abgewehrt werden. Durch solche schädlichen Programme kann beispielsweise ein PC ferngesteuert werden. Ein Großteil der Transaktionen beim Online-Banking wird über das PIN/TAN-System abgewickelt. Ein Betrüger benötigt die Kontodaten, die PIN und mindestens eine TAN, um an das Geld des Kunden zu kommen.
Es gibt zwei Wege, wie ein Betrüger an diese Daten kommen kann:
Über einen gefährlichen Code
Der Hacker schleust einfach einen gefährlichen Code auf den ungeschützten PC. Der Code protokolliert nun einfach die Log-in-Daten und sendet sie zusammen mit der abgefangenen TAN an den Hacker. Bevor die TAN bei der Bank ankommt, wird die Internet-Verbindung gekappt. Das heißt, die TAN ist noch gültig und der Angreifer hat direkten Zugriff auf das Konto.
Über das Phishing
In diesem Fall werden vom Angreifer die Daten des Kunden über eine gefälschte Web-Seite, die der Original-Webseite absolut ähnlich sieht, geklaut. Am einfachsten geht dies, indem über eine gefälschte Mail der Anwender auf die gefälschte Seite gelangt.
Mittlerweile gibt es sogar eine Kombination dieser beiden Angriffsvarianten. So wird beispielswiese die host-Datei auf dem Rechner des Kunden manipuliert. Selbst wenn dann eine korrekte Webseite eingetippt wird, gelangt man auf die gefälschte Seite. Eine andere Möglichkeit ist der sogenannte "Man-in-the-middle-Angriff". Hier schaltet sich ein Angreifer zwischen Nutzer und Bank. Dabei wird der Datenverkehr in Echtzeit überwacht. Dabei kann der Angreifer Manipulationen an den übermittelten Inhalten vornehmen. Es ist sehr schwierig, dies zu erkennen. Das Online-Banking sollte auf jedem Fall von einem Betriebssystem erfolgen, das keine Trojaner enthält. Beispielsweise kann das Betriebssystem von einer Live-CD gestartet werden.
Grundsätzlich sollte der Anwender am heimischen PC die folgenden Sicherheitsmaßnahmen durchführen:
1. Eine Antivirensoftware sollte installiert und die Firewall aktiviert sein.
2. Die Adresse der Bank sollte nie über einen Link, sondern immer über die Tastatur eingegeben werden. Damit wird Phishing verhindert.
3. Das Passwort und die TANs sollten sicher aufbewahrt werden.
4. Eine zusätzliche Sicherheit bietet ein Kartenleser. Es muss mit der Bank geklärt werden, welche Kartenleser von der Bank unterstützt werden.
5. Der Kunde sollte seine Spuren am PC immer wieder verwischen. Das geht im Internet Explorer über "Extras, Internetoptionen, Allgemein, Temporäre Internetdateien, Daten löschen."