Darum ist Homebanking sicher: Die Sicherheitsverfahren PIN/TAN, iTAN und HBCI

Mit einem einfachen Kennwort ist es beim Homebanking nicht getan. Onlinebanken setzen weitaus raffinierte und sicherere Mechanismen ein, um das Homebanking sicher zu machen. Und das ist gut so. Schließlich geht es um Ihr Geld.

Die am häufigsten eingesetzten Sicherheitsmechanismen beim Homebanking sind:

– PIN/TAN-Verfahren

– iTAN-Verfahren

– HBCI

Alle drei Verfahren sorgen dafür, dass die Bankgeschäfte möglichst sicher abgewickelt werden. Allerdings hat jedes Verfahren Vor- und Nachteile. Welche das sind, erfahren Sie im nachfolgenden Abschnitt.

Welche Sicherheitsmechanismen angeboten werden, ist von Bank zu Bank unterschiedlich. Die meisten Banken setzen auf das PIN/TAN- oder verbesserte iTAN-Verfahren. Das besonders sicherer HBCI-Banking bieten nur wenige Banken an.

PIN/TAN-Verfahren

Viele Banken setzen beim Onlinebanking auf das PIN/TAN-Verfahren. Das Prinzip ist einfach: Für das Onlinebanking erhalten Sie von Ihrer Bank per Post zwei Nummern bzw. Nummernblöcke:

PIN-Nummer

Die PIN (Personal Identification Number) ist praktisch Ihr Schlüssel zum persönlichen Onlinebankingbereich der Bank. Für den Zutritt genügt die Eingabe der Kontonummer sowie der meist vier- bis fünfstelligen PIN.

Ganz wichtig: Die PIN gestattet noch keine Bankgeschäfte wie Überweisungen oder Aktienkäufe. Mit der PIN können Sie lediglich den Kontostand einsehen oder Umsätze der vergangene Tage anzeigen lassen.

Zuerst erhalten Sie von Ihrer Bank die PIN; Ihr persönliches Passwort für den Zugang zu Ihrem Konto.

TAN-Nummernblöcke

Zentrales Sicherheitsmerkmal beim PIN/TAN-Verfahren sind die so genannten Transaktionsnummern (TAN). Von der Bank erhalten Sie eine Liste mit knapp 100 Transaktionsnummern. Erst mit den Transaktionsnummern können Sie Bankgeschäfte tätigen.

Und das geht folgendermaßen: Für jede Überweisung oder Auftragserteilung fragt die Bank nach einer Transaktionsnummer. Erst wenn Sie eine gültige TAN des TAN-Blocks eingeben, wird der Auftrag durchgeführt. Dabei spielt es keine Rolle, in welcher Reihenfolge Sie vorgehen. Sie können jede beliebige Transaktionsnummer des TAN-Blocks verwenden.

Wichtig: Jede TAN ist nur einmal gültig. Sobald die Transaktionsnummer für einen Auftrag verbraucht wurde, ist sie ungültig. Sie sollten die benutzte Transaktionsnummer daher auf dem TAN-Block streichen. Sobald alle Transaktionsnummern verbraucht sind, erhalten Sie von der Bank automatisch einen neuen TAN-Block.

Nur mit einer gültigen TAN-Nummer sind Überweisungen und andere Transaktionen möglich.

Wenn Sie sorgsam mit PIN- und TAN-Nummern umgehen, ist das PIN/TAN-Verfahren eine sichere Methode, um gefahrlos alle Bankinggeschäfte am PC zu erledigen. Weiter unten im Abschnitt So schützen Sie sich erfahren Sie, wie Sie PIN und TAN sicher aufbewahren und einsetzen.

Erst wenn Sie eine unverbrauchte TAN eingeben, führt die Bank Überweisungen durch.

iTAN-Verfahren

Seit Anfang 2006 lösen viele Banken das bisherige PIN/TAN-Verfahren durch das iTAN-Verfahren ab. Hierbei handelt es sich um ein verbessertes PIN/TAN-Verfahren, das die Sicherheit beim Onlinebanking noch einmal erhöht.

Das iTAN-Verfahren arbeitet im Prinzip wie das PIN/TAN-Verfahren mit PIN-Nummer sowie einer Liste von Transaktionsnummern. Wichtigster Unterschied: Die Transaktionsnummern sind zusätzlich noch einmal nummeriert – die Banken sprechen hier von indiziert, daher der Buchstabe i bei iTAN.

Auf dem TAN-Block erhält jede TAN zusätzlich eine fortlaufende Nummer, zum Beispiel von 1 bis 100. Diese fortlaufende Nummer ist bei der Durchführung von Überweisungen besonders wichtig. Die Bank fragt Sie dann nicht nach einer beliebigen Transaktionsnummer, sondern einer ganz bestimmten, zum Beispiel der TAN mit der Nummer 84. Zudem kann die von der Bank angeforderte TAN nur für diese eine Transaktion verwendet werden. Andere Transaktionen sind mit der TAN nicht möglich.

Und genau das macht das Onlinebanking per Transaktionsnummer sicherer. Beim herkömmlichen Verfahren genügt es, wenn ein Datendieb an eine beliebige Transaktionsnummer Ihres TAN-Blocks kommt. Zusammen mit der PIN könnte er dann zum Beispiel Überweisungen tätigen. Anders beim iTAN-Verfahren: Da die Bank explizit nach einer ganz bestimmten TAN fragt, müsste ein Datendieb schon genau diese TAN erwischen. Damit ist iTAN wesentlich sicherer als das herkömmliche PIN/TAN-Verfahren.

HBCI

Am sichersten ist Onlinebanking mit dem HBCI-Verfahren. Allerdings auch das Komplizierteste – insbesondere bei der Ersteinrichtung. Zudem brauchen Sie für HBCI eine Homebanking-Software. Bankgeschäfte per Browser sind mit HBCI nicht möglich.

HBCI steht für Home Banking Computer Interface und wurde vom Zentralen Kreditausschuss (ZKK), ein Zusammenschluss der fünf Spitzenverbände der deutschen Kreditwirtschaft, entwickelt, um Homebanking möglichst sicher zu machen.

Das ist es mit HBCI auch. Dreh- und Angelpunkt ist eine Chipkarte – ähnlich einer EC- oder Gelkarte -, auf der Ihr digitaler Schlüssel gespeichert ist. Jede Transaktion wird mit dem digitalen Schlüssel der Chipkarte signiert.

So geht’s: Bevor Sie Bankgeschäfte per HBCI tätigen können, ist zunächst ein wenig Aufwand nötig:

1. Von Ihrer Bank erhalten Sie zunächst die Chipkarte sowie ein Chipkarten-Lesegerät.

2. In der Homebanking-Software erzeugen Sie einen digitalen Schlüssel. Das ist praktisch ihre digitale Unterschrift, mit der Sie später alle Bankgeschäfte unterschreiben.

3. Den erzeugten Schlüssel müssen Sie anschließend ausdrucken, unterschreiben und per Post an Ihre Bank schicken. Anhand des Ausdrucks und Ihrer Unterschrift kann die Bank zweifelsfrei feststellen, ob der eingereichte Schlüssel auch tatsächlich von Ihnen stammt.

5. Die Bank schaltet den HBCI-Zugang für Ihr Konto und den eingereichten Schlüssel frei.

Ist die erste Hürde erst einmal genommen, können Sie HBCI für die Bankgeschäfte nutzen. Das ist sogar einfacher als beim TAN-Verfahren. Sobald Sie zum Beispiel Geld überweisen müssen, brauchen Sie zur „Unterschrift“ nur noch die HBCI-Chipkarte einzulegen und am Chipkarten-Lesegerät die PIN einzugeben. Hacker beißen sich daran die Zähne aus, da Geldgeschäfte nur in Kombination von Chipkarte und PIN möglich sind.

Für HBCI brauchen Sie ein Chipkarten-Lesegerät.