IT Blog - w3Projekt.com

Wer seine Geldgeschäfte wirklich sicher über das Internet abwickeln möchte, sollte den neuen Standard “Secoder” für Chipkartenleser nutzen oder das “mTAN” Verfahren. Bietet die Bank nur ältere Kartensysteme oder das als unsicher geltende iTAN an, ist das keine gute Wahl. Das einfache TAN Verfahren ist schlichtweg nicht mehr zeitgemäß, wird aber noch immer von vielen Banken eingesetzt, so c’t 17/08.

Bankkunden sind Ziel Nummer eins der Kriminellen im Internet: Die Schäden durch das Ausspähen von privaten Kontodaten sind nach Angaben des Bundeskriminalamts im vergangenen Jahr drastisch gestiegen: 2007 wurden mit 4200 Fällen 700 mehr registriert als im Jahr zuvor.

Doch gibt es durchaus sichere Verfahren fürs Online- Banking: Beim mTAN-Verfahren erhält der Bankkunde Empfängername, Betrag und eine Transaktionsnummer über sein Handy, mit dem er die Transaktion im Internet bestätigt. Anders funktioniert das iTAN-Verfahren: Die Bank gibt vor, welche Transaktionsnummer der Kunde von einer vorher zugeschickten Liste angeben soll. “Allerdings gibt es längst Trojaner, die das iTAN-Verfahren aushebeln können”, so c’t-Redakteur Daniel Bachfeld.

Das einfache TAN-System aus der Computersteinzeit, etwa noch von der citibank eingesetzt, ist inzwischen relativ leicht zu knacken. Trotzdem sind die Kunden auf der sicheren Seite, denn zum Ausgleich versichert die Bank, für mögliche Betrugsschäden aufzukommen.

Kartenlesegeräte nach dem HBCI-Standard gelten beim Online-Banking als relativ sicher. Dabei signiert der Anwender seine Transaktion mit einem geheimen auf einer Karte gespeicherten Schlüssel und schickt das Ganze an die Bank. Doch gibt es bereits Angriffsszenarien, die auch dieses System zum Wackeln bringen, dem iTAN-Verfahren ist es aber immer noch vorzuziehen. Der neue Standard Secoder hingegen ist nicht nur sicherer, sondern bietet auch viele andere nützliche Funktionen. Er eignet sich gemeinsam mit einer Geldkarte auch zum Bezahlen im Internet und für den Altersnachweis auf Webseiten. Bisher wird er aber nur von Volks- und Raiffeisenbanken im Norden und Westen unterstützt.

Als alternative sichere Lösung gegen Banking-Trojaner und Phishing-Angriffe bietet sich c’t Bankix an. Die Software auf Linux-Basis befindet sich auf der aktuellen Heft-DVD. Damit lässt sich eine personalisierte CD-Version von c’t Bankix erstellen, die direkt von der Scheibe aus startet - dann sind auch eventuell auf der Festplatte vorhandene Schädlinge machtlos. Wer diese Lösung zuvor testen möchte, kann c’t Bankix auch direkt von der Heft-DVD aus booten.