PIN, TAN, iTAN, HBCI & Co. – Wie sicher ist Homebanking?

Onlineshops wie Amazon oder Auktionshäuser wie ebay setzen als Zugangskontrollen auf Benutzernamen und Kennwörter. Wer das richtige Passwort eingibt, kann im Shop einkaufen oder Waren ersteigern. Beim Homebanking reicht die Zugangskontrolle per Kennwort nicht aus. Onlinebanken setzen weitaus raffiniertere und effektivere Mechanismen ein, um Geldgeschäfte sicher zu machen. Und das ist auch gut so, denn sonst könnte jeder, der in den Besitz des Kennworts gelangt, auf die Onlinekonten zugreifen.

Beim Homebanking kommen verschiedene Sicherheitsmechanismen zum Einsatz, um Bankgeschäfte am PC sicher zu machen:

PIN/TAN-Verfahren

Viele Banken verwenden das PIN/TAN-Verfahren. Sie erhalten von Ihrer Bank per Post zwei Nummern bzw. Nummernblöcke: die PIN-Nummer sowie TAN-Nummernblöcke. Die PIN (Personal Identification Number) ist Ihr Kennwort zum persönlichen Bankingbereich der Bank. Die PIN-Nummer alleine gestattet jedoch noch keine Bankgeschäfte wie Überweisungen oder Aktienkäufe. Damit lassen sich lediglich Kontostände oder Umsatzlisten einsehen. Erst die TAN-Nummern machen Überweisungen und andere Bankgeschäfte möglich. Sie erhalten von der Bank eine Liste mit knapp 100 Transaktionsnummern. Für jede Überweisung oder Auftragserteilung fragt die Bank nach einer neuen Transaktionsnummer. Erst wenn eine gültige TAN-Nummer des TAN-Blocks eingeben wird, führt die Bank den Auftrag durch.

Die TAN funktioniert wie ein Einmalpasswort. Wurde sie für eine Banktransaktion verwendet, ist die Nummer verbraucht; für weitere Bankgeschäfte benötigen Sie eine neue TAN-Nummer. Dabei spielt es keine Rolle, in welcher Reihenfolge Sie vorgehen. Sie können jede beliebige Transaktionsnummer des TAN-Blocks verwenden. Sobald alle Transaktionsnummern verbraucht sind, erhalten Sie von der Bank automatisch einen neuen TAN-Block.

Wenn Sie sorgsam mit PIN und TAN umgehen, ist das PIN/TAN-Verfahren eine sichere Methode, um gefahrlos alle Bankgeschäfte am PC zu erledigen. Weiter unten im Abschnitt Gegen Phishing schützen erfahren Sie, wie Sie PIN und TAN sicher aufbewahren und einsetzen.

Erweiterte TAN-Verfahren

Um das PIN/TAN-Verfahren noch sicherer zu machen, wird es bei vielen Banken mittlerweile durch erweiterte Verfahren abgelöst, meist durch das iTAN-Verfahren (indiziertes TAN-Verfahren). Das funktioniert im Prinzip wie das PIN/TAN-Verfahren; die Transaktionsnummern sind hier jedoch zusätzlich nummeriert (indiziert).

Jeder TAN-Nummer erhält auf dem TAN-Block eine fortlaufende Nummer, etwa von 1 bis 100. Bei einer Überweisung können Sie dann nicht mehr eine beliebige TAN-Nummer verwenden, sondern werden von der Bank aufgefordert, eine ganz bestimmte TAN einzugeben, etwa TAN Nr. 46. Zudem kann die von der Bank angeforderte TAN nur für diese eine Transaktion verwendet werden. Andere Transaktionen sind damit nicht möglich. Das erhöht die Sicherheit gegenüber dem klassischen PIN/TAN-Verfahren. Beim „alten“ Verfahren musste ein Datendieb nur eine beliebige TAN-Nummer ergaunern, um zusammen mit der PIN Überweisungen zu tätigen. Anders beim iTAN-Verfahren: Da hier explizit nach einer ganz bestimmten TAN gefragt wird, müssten Onlinebetrüger genau diese TAN ergattern.

Neben iTAN gibt es weitere TAN-Verfahren, die die Sicherheit der Transaktionsnummern erhöhen. Beim mTAN-Verfahren (Mobile TAN) erhalten Sie nach dem Ausfüllen einer Überweisung per SMS eine einmalig und nur für wenige Minuten gültige Transaktionsnummer. In der mTAN ist zusätzlich die Zielkontonummer enthalten, um eine Umleitung auf ein anderes Konto unmöglich zu machen. Einige Banken setzen auch einen sogenannten Smart-TAN-Generator ein. Das ist ein kleines Zusatzgerät, das zusammen mit der ec-/Maestro-Karte auf Knopfdruck TANs in einer bestimmten Reihenfolge generiert.

HBCI

Als drittes Verfahren hat sich HBCI (Homebanking Computer Interface) etabliert. HBCI ist das bisher sicherste Bankingverfahren; allerdings ist es – zumindest bei der Ersteinrichtung – auch das komplizierteste. Beim HBCI erhalten Sie von Ihrer Bank eine Chipkarte, auf der Ihr individueller Homebanking-Schlüssel gespeichert ist. Jede Banktransaktion wird mit diesem Schlüssel von Ihnen digital unterschrieben.

Um den HBCI-Zugang einzurichten, ist zunächst einiger Aufwand notwendig. Nach der Installation der Banking-Software erzeugen Sie auf Ihrem PC einen digitalen Schlüssel. Diesen Schlüssel müssen Sie ausdrucken, unterschreiben und per Post an die Bank schicken. Anhand des Ausdrucks kann die Bank erkennen, dass der Schlüssel auch tatsächlich von Ihnen stammt. Erst jetzt schaltet die Bank den HBCI-Zugang Ihres Kontos frei. Geldgeschäfte sind dann nur noch in Kombination mit Ihrer PIN und der HBCI-Karte möglich.

Wichtigster Unterschied zum PIN/TAN-Verfahren: HBCI-Bankgeschäfte lassen sich nicht im Browser erledigen; Sie brauchen hierzu eine Bankingsoftware wie WISO Mein Geld oder StarMoney. Die Kombination aus HBCI-Chipkarte und Bankensoftware schützt am besten vor Phishing-Attacken.

Falls Ihre Bank nur das PIN/TAN-Verfahren anbietet oder Ihnen HBCI zu kompliziert ist, können Sie Onlinebanking mit einem Trick erheblich sicherer machen. Verwenden Sie für die Bankgeschäfte nicht den Internet-Browser, sondern eine Banking-Software. Da die Bankgeschäfte damit nicht mehr über Webseiten, sondern innerhalb der Bankingsoftware ablaufen, geht von gefälschten Webseiten keine Gefahr mehr aus – sofern Sie ausschließlich die Bankingsoftware nutzen. Besonders empfehlenswert sind die Finanzprogramme Quicken Deluxe (www.quicken.de), WISO Mein Geld (www.buhl.de) und StarMoney (www.starmoney.de).

Neben der erhöhten Sicherheit bieten Bankingprogramme weitere Vorteile. Sie können damit Ihr gesamtes Vermögen wie Sparbuch, Girokonto, Bausparvertrag, Kreditkartenkonto, Wertpapierdepot und Barmittel verwalten. Zudem gibt es nützliche Komfortfunktionen wie Vorlagen für häufige Überweisungen, umfangreiche Such- und Sortierfunktionen zum Auffinden von Buchungen sowie Finanzberichte und Auswertungen zur Einnahmen- und Ausgabenentwicklung oder Wertpapiergewinnen.

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.