Onlinebanking gehört zum Electronic Banking (E-Banking) und in einem weiteren Sinne zum E-Commerce. Dabei handelt es sich um eine innovative Art und Weise, Bankgeschäfte bequem mit dem persönlichen Rechner von zu Hause aus sowie mit dem Laptop oder dem Handy von unterwegs zu erledigen. Diese Vorgehensweise hat sich mittels des Internets etabliert und erfreut sich zunehmender Beliebtheit.
Da Konto-Transaktionen unabhängig von den Schaltern und Automaten der Geldinstitute vorgenommen werden können, bietet sich diese Form des Bankings insbesondere für Personen höheren Alters, Menschen mit Behinderung und Geschäftsreisende an.
Inhaltsverzeichnis
Verbreitung des Onlinebankings
Nach der Erhebungen der europäischen Statistikbehörde Eurostat verfügen über 24 Millionen Bankkunden in Deutschland über ein Online Konto. Das sind 38% der Bundesbürger. 2004 waren es erst 13%. Der europäische Durchschnitt liegt bei 29%. An der Spitze befindet sich Finnland mit 72%. Die Bundesrepublik liegt im europäischen Vergleich an neunter Stelle, wobei Onlinebanking von Männern weitaus mehr genutzt wird als von Frauen.
Varianten des Onlinebanking
Das PIN-TAN-Verfahren ist hierbei die einfachere und gängigere Version. Die Bankkunden können von ihrem Computer mit Internetanbindung direkt auf ihr Konto zugreifen. Von der Homepage des entsprechenden Geldinstitutes ist die Option “Onlinebanking” zu wählen, woraufhin die Nutzer auf eine Seite gelangen, wo sie ihre Kontodaten, einschließlich der persönliche Identifikations-Nummer (PIN) oder dem Passwort eingeben können. In der Regel sollten nun alle üblichen Bankgeschäfte, wie In- und Auslandsüberweisungen, Daueraufträge und Überprüfungen des Kontostandes, möglich sein. Jede Transaktion wird mit einer Transaktionsnummer (TAN) bestätigt. PIN- und TAN-Nummern erhalten die Kontoinhaber von ihrer Bank.
Bezüglich der Anwendungen und der Transaktionsoptionen kann es je nach Anbieter leichte Abweichungen geben. Es wird zwischen diversen Verfahren zur Nutzung der TAN unterschieden. Hierzu gehören u. a. die TAN-Liste, die indizierte TAN-Liste (iTAN), das iTANplus-Verfahren mit CAPTCHA, die Mobile TAN (mTAN oder smsTAN) und die TAN mit Bestätigungsnummer (BEN).
TAN-Liste
Bei der TAN-Liste, der am häufigsten anzutreffenden Form der TAN-Anwendung, erhalten die Kontoinhaber Listen mit TAN-Nummern von ihrer Bank. Nach jeder durchgeführten Transaktion werden sie aufgefordert, irgendeine Nummer aus der Liste einzugeben. Jede Nummer kann nur einmal verwendet werden. Nachdem alle TAN zum Einsatz gekommen sind, lässt das entsprechende Kreditinstitut den Teilnehmern eine neue Liste zukommen.
indizierte TAN-Liste / iTan
Die iTAN stellt eine sicherere Variante der TAN-Liste dar. Hierbei genügt nicht die Eingabe einer beliebigen TAN, sondern es erfolgt die Anordnung durch die Bank, eine bestimmte Nummer aus der durchnummerierten Liste innerhalb der nächsten Minuten einzugeben. Trotz der verbesserten Sicherheit sind Übergriffe auch bei diesem Verfahren nicht auszuschließen.
iTANplus mit CAPTCHA
Das iTANplus-Verfahren arbeitet mit dem Ziel, Sicherheitsangriffe durch Dritte zu erschweren, mit einem Kontrollbild, dem CAPTCHA. In diesem Bild werden die Transaktionsdaten noch einmal dargestellt, das Geburtsdatum der Nutzer erscheint als CAPTCHA- Hintergrund und der Aufruf zur TAN-Eingabe wird als Text angezeigt.
mobile TAN – mTAN oder smsTAN
Beim mTAN- oder smsTAN Verfahren wird den Bankkunden nach der Transaktion eine TAN per SMS zugeschickt. Diese Nummer ist sofort einzugeben und ihre Gültigkeit ist auf den jeweiligen Vorgang begrenzt. Das Zwischenschalten unbefugter Nutzer wird durch diese Vorgehensweise wirksamer unterbunden als durch die davor dargestellten Verfahren. Außerdem wird keine Liste mit Nummern benötigt, was besonders für Reisende von Vorteil ist.
TAN mit Bestätigungsnummer (BEN)
Eine ergänzende Sicherheitsmaßnahme stellt die TAN mit BEN dar. Hierbei bestätigen nicht nur die Kontoinhaber jede Transaktion sondern auch die Bank lässt im Anschluss ihren Kunden eine Bestätigungsnummer zukommen.
TAN Nummern generieren
Bei einigen Geldinstituten erhalten die Kunden die Möglichkeit, die Nummern mittels eines TAN-Generators zu erzeugen. Auch hierfür gibt es verschiedene Methoden, die im Folgenden kurz skizziert werden.
sm@rt-TAN
Beim sm@rt-TAN-Verfahren gibt die Bank einen TAN-Generator ohne Ziffernblatt an ihre Kunden aus. Nach jeder Transaktion ist die Maestro-Karte in das Gerät einzufügen, um auf Knopfdruck mittels des Chips auf der Karte Nummern zu generieren. Diese können durch das zuständige Institut bei der Eingabe zurückverfolgt werden. Die Nutzung der TANs ist nur in der jeweiligen Reihenfolge möglich. Sobald mehrere gebildet wurden, und die Letzte aus der Reihe verwendet wurde, verfallen alle Nummern davor. Ohne die dazugehörige Karte können allein mit dem Generator keine Nummern erstellt werden. Dieser Sicherheitsvorteil relativiert sich jedoch durch die nicht vorhandene Anbindung an bestimmte Aufträge, die das Zwischenschalten Unbefugter begünstigt.
sm@rtTAN-Plus
Davon unterscheidet sich das sm@rtTAN-Plus-Verfahren, welches auch unter der Bezeichnung chipTAN manuell vorzufinden ist. Hier erhalten die Nutzer einen TAN-Generator mit einem Ziffernfeld. Nach der Durchführung einer Transaktion wird ein Code auf dem Bildschirm des Generators angezeigt, woraufhin die Maestro-Karte einzufügen und der Code über die Zifferntasten einzugeben ist. Im Anschluss werden die Kontonummer der Transaktionspartner sowie die Beträge eingetippt, woraus eine TAN generiert wird, die beim Onlinebanking zur Bestätigung des Geschäfts einzugeben ist. Durch die Notwendigkeit der PIN ist dieses etwas aufwendigere Verfahren, insofern die Eingaben korrekt vorgenommen werden, relativ sicher. Nach einer Sperrung der Karte, z. B. bei Verlust oder Diebstahl, werden die mit ihrer Hilfe erzeugten TANs durch das zuständige Kreditinstitut abgewiesen.
sm@rtTAN optic – chipTAN comfort
Einer wachsenden Beliebtheit erfreut sich in Deutschland die sm@rtTAN optic- oder chipTAN comfort-Anwendung. Den Nutzern dieses Verfahrens wird ein TAN-Generator mit Karteneinschub und Ziffernblatt ausgehändigt. Nach einem Bankgeschäft zeigt der Bildschirm des Generators eine Grafik, bestehend aus fünf schwarz-weißen Feldern, an. Daraufhin ist die Maestro-Karte einzulegen, wonach die Übertragung der Daten, d. h. eines Anfang-Codes, der Kontonummer der Empfänger sowie der Transaktionssumme, über Lichtsignale erfolgt. In der Regel sollten innerhalb weniger Minuten Empfängerkontonummer und der Betrag auf dem Bildschirm des Generators sichtbar sein. Sind diese Angaben richtig, müssen sie durch die Kontoinhaber bestätigt werden, woraufhin der Generator eine an den speziellen Auftrag gebundene TAN erzeugt, die zur Bescheinigung der Transaktion beim Onlinebanking einzugeben ist. Im Vergleich zu der manuellen Dateneingabe ist diese Vorgehensweise komfortabler. Auch hierbei kann der Generator nur im Zusammenhang mit einer PIN verwendet werden und TANs einer gesperrten Maestro-Karte werden ebenfalls durch die Bank zurückgewiesen.
eTAN-Verfahren
Anders als bei den vorherigen Generator-Anwendungen verhält es sich beim eTAN-Verfahren. Die Nutzer des Onlinebankings bekommen von dem entsprechenden Geldinstitut einen TAN-Generator, der mittels eines Geheimschlüssels aus der Empfängerkontonummer, die manuell einzutragen ist, und der gegenwärtigen Uhrzeit eine TAN erstellt, die ausschließlich zu diesem Zeitpunkt und für die jeweils aktuelle Transaktion verwendet werden kann. Auch bei dieser Vorgehensweise ist die PIN erforderlich, wodurch die Missbrauchgefahr bei Verlust des Generators, ebenso wie bei den anderen Verfahren, verschwindend gering ist.
HBCI – Homebanking Computer Interface
Das etwas komplexere Homebanking Computer Interface-Verfahren (HBCI), welches im Jahre 1998 vom Zentralen Kreditausschuss (ZKA) entwickelt wurde, verläuft unter der Anwendung standardisierter, anerkannter Normen mit internationalem Gültigkeitsbereich. Das Verfahren gehört zu den 2003 vom ZKA erlassenen Spezifikationen Financial Transaction Services (FinTS).
HBCI vollzieht sich gewissermaßen wie die Nutzung von Bankautomaten, nur dass die Transaktionen von dem persönlichen Computer zu Hause vorgenommen werden. Hierzu bedarf es der dazugehörigen Software sowie eines Kartenlesegeräts und selbstverständlich der HBCI-Chipkarte im Zusammenhang mit einer PIN. Das Equipment muss bei der zuständigen Bank eigens erworben werden. Daraufhin können alle üblichen Transaktionen nach dem Einlegen der Chipkarte durchgeführt werden. Die Funktionalität geht sogar über die gängige Anwendung hinaus, indem es beispielsweise möglich ist, die Geldkarte mit dem Chipkartenleser aufzuladen. Darüber hinaus zeichnet sich HBCI durch Multibankfähigkeit aus. Die HBCI-Nutzer können mittels der Software zwischen allen Banken wählen, die dieses Verfahren anbieten.
Der anfängliche einmalige Erwerb der erforderlichen Geräte, lohnt sich im Anbetracht der im Vergleich zum PIN-TAN-Verfahren höheren Sicherheit, die aus der Verwendung allgemein anerkannter Signatur- und Verschlüsselungsverfahren resultiert. Seit Juli 2008 wird bei einigen Banken HBCI-Banking gemäß der neuen Secoder®-Standards angeboten. Hierbei zeigt der Kartenleser im Secoder®-Modus auf dem Display an, welche Daten er signiert und kodiert.
Die gesamte Anwendung wird weiterhin durch den Wegfall der TAN-Verwaltung vereinfacht. Allerdings ist das Kartenlesegerät auf Reisen im Vergleich zur TAN-Liste oder dem TAN-Generator weniger komfortabel. Der Generator, der dem HBCI-Verfahren im Punkto Sicherheit näher kommt als die TAN-Liste stellt für diese Zielgruppe eine angemessene Alternative dar.
Vorteile des Onlinebankings
- freie Zeiteinteilung und Privatsphäre bei der Erledigung der Bankgeschäfte
- Transaktionen vom Notebook aus auch auf Reisen
- Unabhängigkeit von den Öffnungszeiten der Banken
- günstige Tarife
Gefahren beim Onlinebanking und Internetkriminalität
Die hohe Affinität des Onlinebankings, begründet durch seine Förderlichkeit, hat auch einen neuen Markt für Verbrechen hervorgebracht. Nach dem Branchenverband Bitkom, der seine Informationen unmittelbar von den Landeskriminalämtern bezieht, soll es im Jahre 2007 zu 4100 Vorfällen gekommen sein, wobei Kriminelle im Schnitt insgesamt 19 Mio. Euro von den Konten der Geschädigten abhoben. Die Vorfälle sowie die Beträge wurden in den letzten beiden Jahren noch gesteigert.
Dabei konnten verschiedene kriminelle Vorgehensweise des so genannten Phishings, d. h. des Zugriffs auf persönliche Daten der Nutzer, festgemacht werden. Eine davon ist das Klauen von Geheimzahlen und Passwörtern mittels E-Mails, die einen Links zu gefälschten Bankseiten enthalten, auf welchen Onlinebanking Kunden zur Dateneintragung aufgerufen werden. Allerdings gingen Vorfälle dieser Art zugunsten weitaus einfallsreicherer zurück. Heutzutage werden zumeist E-Mails mit Trojanern versendet, die Daten ausspionieren und weiter leiten. Nicht selten lauert schädliche Software sogar auf seriösen Seiten. Zur Datenübermittlung werden des Öfteren auch “Money Mules”, sprich nichts ahnende Arbeitssuchende, welchen ein lukrativer Heimverdienst versprochen wird, angeworben.
Kurz zusammengefasst: der Markt mit gestohlenen Daten boomt. Im Spießrutenlauf gegen das Verbrechen sind das BKA, IT Anbieter und Finanzdienstleistungsunternehmen stets bemüht, neue Maßnahmen zur Verbesserung der Sicherheit zu entwickeln.
Eigenverantwortliche Sicherheitsvorkehrungen bei der Nutzung von Onlinebanking
Unabhängig von den Maßnahmen zur Erhöhung der Sicherheit von offiziellen Stellen, können bereits durch den verantwortungsbewussten Umgang mit Onlinebanking sowie mit dem Medium Internet im Allgemeinen viele Risiken abgewendet werden.
Sicherheitsmaßnahmen für das Onlinebanking
- Ein aktuelles Antivirenprogramm verwenden
- Nur mit einer abgesicherten Eingangssoftware im Internet surfen
- Das Betriebssystem und den Internet-Browser regelmäßig aktualisieren
- Keine persönlichen Daten im Internet preisgeben
- Neuartige Bezahlsysteme wie Paypal oder ClickandBuy meiden
- Keine Mails mit unbekannten Absendern öffnen und erst Recht keine Spam-Mails sowie Anhänge
- Persönliche Daten, wie Geheimzahlen und Passwörter, ausschließlich auf der Webseite der Bank eintragen und diese immer selbst aufrufen
- PIN und TAN nicht am selben Ort aufbewahren und auch nicht auf dem Computer oder dem Handy speichern
- Nur vom eigenen Rechner aus einloggen und Telefon Banking nur vom eigenen Telefon oder Handy vornehmen. Bei Letzterem sollten niemals die komplette PIN oder das vollständige Passwort genannt werden
- Nach der Ausführung der Bankgeschäfte immer ausloggen
- Sobald etwas seltsam erscheint, sofort der zuständigen Bank melden
