Tatort www

häufigsten von privaten deutschen Onlinebanking-Kunden verwendet. Die Liste erhebt keinen Anspruch auf Vollständigkeit. Trotz sorgfältiger Forschungs- und Recherchearbeiten können Fehler in den Sicherheitsbewertungen auftreten.
    Die Bewertungen sind mit Stand Februar 2013 erstellt worden. Selbstverständlich unternehmen Banken und Sparkassen auch im Hintergrund große Anstrengungen, um ihre Kunden zu schützen.
    Vereinzelt werden einige Leser folgende Erfahrung gemacht haben:
    Das Telefon klingelt und ein Mitarbeiter der Hausbank ist am Telefon. Dieser sagt Ihnen, dass Sie sich einen Onlinebanking-Trojaner eingefangen haben. Verwundert fragen Sie sich vielleicht, ob Ihre Hausbank Ihren Computer überwacht.
    Nein, keine Sorge. Eine von diversen Maßnahmen zur Bekämpfung von Phishing ist das Suchen von Servern im Internet, auf denen Onlinebanking-Trojaner gestohlene Onlineban-king-Zugangsdaten (zum Beispiel: Kontonummer und PIN) ablegen. Werden solche Server gefunden, versuchen Spezialisten die gestohlenen Daten auszulesen. Damit wissen Banken teilweise schon bevor ein Onlinebanking-Betrug durchgeführt wird, wer davon betroffen ist und informieren umgehend ihre Kunden. Die meisten Banken führen noch weitere Maßnahmen im Hintergrund durch, um ihre Kunden zu schützen, die ich aber nicht im Buch erwähnen möchte, da prinzipiell die Gefahr besteht, dass auch Kriminelle dieses Buch lesen werden.
    Fallen Sie aber nicht auf betrügerische Anrufe vermeintlicher Bankmitarbeiter rein, wie ich auf der Seite 96 ff. im zweiten Gebot beschrieben habe.
PIN/TAN-Verfahren
    Das PIN/TAN-Verfahren dürfte den meisten Onlinebanking-Nutzern noch gut in Erinnerung sein. Nahezu alle Banken und Sparkassen in Deutschland haben inzwischen das Verfahren eingestellt. Zu viele Manipulationen von Onlinebanking-Überweisungen wurden seit dem Jahr 2003 durchgeführt; die Schäden beliefen sich auf mehrstellige Millionen-Eurobeträge.
    Bewertung der Sicherheit: Nicht einsetzen

Kommentar
    Persönlich bin ich der Meinung, dass der Einsatz dieses Verfahrens grob fahrlässig ist. Sowohl seitens einer Bank, die das noch anbietet, als auch seitens von Bankkunden, die ein solches Verfahren noch verwenden. Auch wenn Ihre Hausbank Ihnen garantiert, für eventuelle Schäden aufzukommen, sollten Sie dringend Abstand von diesem Verfahren nehmen. Zum einem unterstützen Sie mit jedem Schaden kriminelle Gruppierungen und zum anderen muss Ihre Hausbank das Ihnen dann hoffentlich ersetzte Geld irgendwo hernehmen. Sie können ja raten, wer die Rechnung letztendlich und logischerweise zahlen muss
.
iTAN / iTAN+
    Das iTAN oder „indizierte TAN-Verfahren“ stellte bis ins Jahr 2008 ein sinnvolles und kurzfristig auch zeitgemäßes Übergangsverfahren dar, um die einfachsten Phishing-Angriffe zu verhindern. Aber schon mit Einführung war klar, dass schnell neue und sicherere Verfahren entwickelt werden müssen, was fast alle Banken auch gemacht haben.
    Bewertung der Sicherheit: Nicht einsetzen

Kommentar
    Das Verfahren bietet keinen ausreichenden Schutz gegen moderne Onlinebanking-Trojaner. Sollten Sie trotzdem gezwungen sein, dieses Verfahren zu verwenden, dann beachten Sie unbedingt die Schutzempfehlungen für Computer im Kapitel 6 auf Seite 177 ff.. Sie sollten auch dringend die allgemeinen Schutzmaßnahmen zum Onlinebanking auf Seite 95 ff. beachten
.
    Wie für alle anderen im Folgenden beschriebenen Gefahren gilt für das iTAN-Verfahren auch, dass Kriminelle versuchen werden, Sie mithilfe von E-Mails oder gefälschten Webseiten zu täuschen und dann zur Eingabe von PIN und TAN beispielsweise in einem Webformular zu verleiten
.
    Geben Sie niemals Onlinebanking-Identitätsdaten (zum Beispiel PIN und TAN) für etwas anderes als Überweisungen ein .
    Verwenden Sie zum Onlinebanking nicht einen Webbrowser, sondern eine professionelle Onlinebanking-Software.
    Mein persönlicher Favorit ist dabei die Software Starmoney, die meiner Meinung nach die derzeit höchste Sicherheit gegen Manipulationen implementiert hat.
    Eine andere und definitiv sicherere Methode ist der Einsatz der Bankix-Lösung des c’t-Verlages. Sie finden diese Variante und Anleitungen dazu auf der Website des Verlages http://www.heise.de/download/ct-bankix.html
mTAN / mobileTAN / smsTAN
    Zum besseren Verständnis wird das Verfahren im Folgenden smsTAN-Verfahren genannt.
    Die Sicherheit des smsTAN-Verfahrens basiert darauf, dass Bankkunden keine TAN-Liste auf Papier mehr haben. Die für eine