Gängige Verfahren für das Onlinebanking

Hinweis: Dieser Beitrag wurde zuletzt aktualisiert im Mai 2020
Waren es 2008 in Deutschland nur etwa 24 Millionen Menschen, die Onlinebanking im privaten Bereich für Ihre Finanzgeschäfte nutzen, so waren es vier Jahr später schon mehr als 27 Millionen Menschen. Mit Stand Januar 2019 sind es 61% aller Deutschen, unterteilt nach Altersgruppen mal mehr, mal weniger.
Auch die Serviceangebote der Banken steigen und das Online-Geschäft spart viel Geld für Mitarbeiter in den Filialen und die Wartung und Aufstellung von Kontoauszugsdruckern etc. Es gibt in den letzten Jahren einen wahren Boom neuer sog. FinTech-Unternehmen, die reines Banking über das Smartphone anbieten und ebenfalls zum Online-Trend beitragen.

Allerdings steigt damit auch das Risiko, dass zu viel gespart wird, und Banken in Ihrer IT die Schraube anziehen und Investitionen in Personal und KnowHow zurückfahren. Schon jetzt bestehen beim Bezahlen im Internet viele Gefahren und das Ausspähen von Zugangsdaten – auch für Onlinebanking – scheint zum Sport zu werden 🙁
So versuchen Betrüger vermehrt sich über gefälschte E-Mails mit Verlinkung auf Phishing-Seiten die Transaktionsnummern (TANs) von Bankkunden zu ergaunern oder sich Kreditkartennummern inkl. CVV-Code zu sichern. Ebenfalls kann über unverschlüsselte Verbindungen, der Datentransfer zwischen den Geräten (Smartphone, PC, Browser, Bank-Server) mitgelesen werden.

Welche Verfahren existieren?

Die bekanntesten Verfahren für Privatanwender für den Zugriff auf das Banking per Internet sind derzeit:

  • PIN und TAN per SMS (smsTAN / mobileTAN / pushTAN)
    Eine TAN wird generiert und dem Benutzer an sein Mobiltelefon bzw. Smartphone gesendet (smsTAN / mobileTAN). Diese ist im Regelfall nur für einen sehr begrenzten Zeitraum gültig. In der SMS können in Stichpunkten die wichtigsten Dinge zur Transaktion enthalten sein wie etwa die Zielkontonummer und der Betrag. Diese besteht immer aus Ziffern und ist im Regelfall mind. 8 Zeichen lang. Diese Option ist sehr komfortabel, aber nicht alle Anbieter bieten den Versand der SMS-TAN kostenlos an.

    Beim Verfahren pushTAN erhält man keine SMS, sondern die TAN wird innerhalb einer App auf dem Smartphone der Bank generiert. Der „Befehl“ zur Generierung kommt von der Bank -> Push.

  • PIN und TAN-Generator (chipTAN)
    Bei diesem Verfahren wird ein speziellen TAN-Generator genutzt. Diesen erhält der Kunde von seiner Bank (gegen Gebühr), die Geräte sind aber nicht Bankenspezifisch und ein Generator kann für verschiedene Dienstleister genutzt werden. Auch im Internet können die Geräte bestellt werden. Die TAN wird auf dem Gerät erstellt und ist ebenfalls nur für einen bestimmten Zeitraum gültig. Für die Erstellung ist die EC-Karte der Bank erforderlich, die in das Gerät eingeschoben wird.

    Dieses Verfahren entspricht dem aktuellen Stand der Technik. Der Generator ist kostenpflichtig und liegt je nach Bank und Hardware bei ca. 10-15 EUR.

  • PIN und TAN per App (smartTAN / App-TAN)
    Die Generierung einer TAN zur Bestätigung der Überweisung (oder Anmeldung) erfolgt analog dem chipTAN-Verfahren allerdings in der Smartphone-App der Bank. Die TAN wird auf dem Gerät erstellt und ist ebenfalls nur für einen bestimmten Zeitraum gültig.
  • Früher: PIN und Papier-TAN-Liste (iTAN)
    Die Liste in Papierform mit den Transaktionsnummern hat seit Ende 2019 ausgedient und galt schon viele Jahre als unsicher und veraltet. Kaum eine Bank hatte nicht bereits alternative Verfahren im Angebot und stellte den Versand neuer Listen per Post glücklicherweise bereits ein. Das Ziel sind individuell und zufällig für den Einzelfall generierte TANs, die nur für eine bestimmte Transaktion Gültigkeit besitzen. Dafür wurden meist Angaben wie die Kontonummer des Empfängers, das aktuelle Datum, die Höhe des zu überweisenden Betrags etc. mit einbezogen. Im Rahmen der sog. PSD2-Richtlinie zum europäischen Zahlungsverkehr wurde es Banken untersagt, ab dem 14.09.2019 weitere TAN-Listen auszustellen.
  • Banking mittels HbCI (Homebanking Computer Interface) mit Legitimation per Chipkarte
    Wird eine Software genutzt anstelle des Zugriffs per Browser auf die Seiten der Bank, so gilt HbCI in Zusammenhang mit der Chip-/EC-Karte und einem Kartenleser als das sicherste Verfahren. Hierfür existieren Kartenlesegeräte mit eigener Tastatur (Klasse 2 und höher) die als besonders sicher gelten. Noch sicherer soll es mit Lesegeräten gehen, die einen Fingerabdruckscanner besitzen; für einen deutlich höheren Preis.

Die genannten Verfahren dienen primär der Ausführung einer Transaktion (Überweisung, Kauf-/Verkauf von Aktien, Bestätigung von Kontostands-Abfragen uvm.). Für das eigentliche Login gibt es je nach Bank unterschiedliche Optionen: Klassisch per Kontonummer und Passwort. Zusätzliche Zwei-Faktor-Authentifizierung mittels SMS, smartTAN oder ähnlicher Bestätigung per Banking-App.

Zusatzdienste einiger Banken verbessern ebenfalls die Sicherheit oder erleichtern die frühe Feststellung eines Missbrauchs:

  • frei wählbaren Anmeldenamen anstelle der Kontonummer
  • Benachrichtigungsmöglichkeit (z.B. bei Kontostandsänderung durch SMS und/oder E-Mail)

Für den sicheren Umgang mit dem Onlinebanking sollte natürlich auch das Betriebssystem mit den aktuellen Sicherheitspatchen der Hersteller ausgestattet sein und ein aktiver Virenschutz sowie eine Firewall eingesetzt werden. Auch der Browser für den Zugriff auf das Onlinebanking inkl. dessen Plugins sollten aktuell sein. Selbiges gilt für das mobile Gerät wie z.B. Smartphone oder Tablet.

Achten Sie darauf, dass die Verbindung bereits ab der Loginseite per https erfolgt und schließen Sie nach Möglichkeit nebenbei laufende andere Programme. Sind Sie unterwegs und nutzen öffentliche HotSpots, sollte nach Möglichkeit auf Online-Banking verzichtet werden.

6 Antworten

  1. Peter Heinzig 13. November 2012 / 19:42

    Online-Banking ist im Allgemeinen nicht wirklich sicher. Wenn man nur mal bedenkt, auf wie viele Zeichen die Vergabe der Login-Pins beschränkt ist, wird das klar. Auch EC- und Kreditkarten sind keine sicheren Zahlungsmittel. Das ist schon seit längerem so und betrachtet man die neueren technischen Entwicklungen, wie Zahlen via RFID oder NFC, fällt auf, dass es nicht besser wird. Sehr lesenswert hierzu:
    http://www.schnatterente.net/technik/ec-karten-bequem-unsicher-zahlen

  2. dietmar 13. November 2012 / 21:48

    Hallo Peter, sicher ist es nicht, aber die Banken reagieren – wenn auch nur langsam und rüsten nach. Aktuell wird auch wieder vor Apps gewarnt, die die SMS-TAN vom Smartphone abfangen können. Ohne Geld geht es leider nicht und selbst bei Barzahlung (was in Onlineshops nicht möglich ist) muss man zumindest zunächst an den Automaten, um Geld abzuheben und kann in die nächsten Fallen tappen. Lastschrift fiele mir noch ein, aber dann muss man Dritten dauerhaft die Bankverbindung überlassen…

  3. Jochen 19. November 2012 / 11:49

    Die Überweisung mittels Banking-Software erscheint mir in Moment mit am sichersten. Doch der sicherste Weg ist und bleibt die schriftliche Weg mit dem guten alten Überweisungsträger und ich denke, wer schon mal schlechte Erfahrungen mit dem Online-Banking hatte, wird nichts anderes mehr benutzen.

    Gefahren von Internet-Banking – Sat1 Ratgeber

    • dietmar 19. November 2012 / 17:44

      Hallo Jochen, vielen Dank für deine Meinung 🙂 An einen Überweisungsträger habe ich gar nicht gedacht, bin wohl einfach zu sehr Onlinebanking gewöhnt 😉 Möglich ist das aber auch nur, wenn die Gebühren sich dafür in Grenzen halten (beleghafte Überweisung) und man eine Filiale in der Nähe hat. Bei reinen Onlinebanken verliert man.

Schreibe einen Kommentar zu Peter Heinzig Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.