Jeder vierte Bankkunde benutzt beim Online-Banking das iTAN-Verfahren – doch das schaffen die Banken gerade ab. Welche Möglichkeiten es beim Online-Banking noch gibt und wie es mit deren Sicherheit aussieht, haben Experten der Stiftung Warentest nun geprüft.

Berlin - Hundertprozentige Sicherheit gibt es beim Online-Banking nicht. Die Stiftung Warentest hat festgestellt, dass unter bestimmten Voraussetzungen jedes TAN-System geknackt werden kann.

 
Warum wird das iTAN-Verfahren abgeschafft?
Bankkunden, die ihre Online-Transaktionen mit einer iTAN bestätigt haben, müssen sich umstellen: Denn die Papierliste mit den Transkriptionsnummern (TAN), mit denen jeweils einmal der Bankkunde eine elektronische Überweisung bestätigen kann, gilt nach neuen EU-Richtlinien als nicht mehr sicher und wird bis 2018 abgeschafft. Zu groß ist das Risiko, dass Betrüger mithilfe von Schadsoftware oder gefälschten E-Mails das Verfahren knacken können. Auch die Stiftung Warentest bestätigt in ihrer aktuellen Ausgabe der Zeitschrift „Finanztest“ die niedere Sicherheit der iTAN, „weil diese nicht an die Überweisungsdaten wie Kontonummer, Betrag oder Datum gebunden ist“.
Wie sicher ist Online-Banking generell?
Hundertprozentige Sicherheit gibt es beim Online-Banking nicht, sagt Kerstin Backofen von der Stiftung Warentest. „Wir haben bei der Prüfung der alternativen TAN-Verfahren festgestellt, dass unter bestimmten Voraussetzungen jedes System geknackt werden kann.“ Allerdings hätten sich bei den Verfahren mit Photo-TAN und Push-TAN diese Sicherheitslücken nur unter Laborbedingungen aufgetan. Grundsätzlich kann Kerstin Backofen aber ein positives Fazit ziehen: „Wer auf ein paar Vorkehrungen in puncto IT-Sicherheit Wert legt und auf ein nach heutigem Stand sicheres Verfahren setzt, kann seine Bankgeschäfte durchaus online erledigen.“
Auf welchen Wegen versuchen Betrüger an Bankdaten zu kommen?
Aktuell warnt die Verbraucherzentrale vor Phishing-Mails, die sich an Sparkassen-Kunden richten. Wer auf den Link in diesen betrügerischen Mails klickt, wird auf eine gefälschte Webseite weitergeleitet, wo er seine Bankdaten angeben oder sein Konto durch die Eingabe der Codes freischalten muss. Wer dieser Bitte folgt, erlaubt auch den Betrügern Zugriff. Diese Form des Passwort-Fischens, Phishing genannt, wird auch von der Stiftung Warentest als typische Betrugsmasche beim Online-Banking angegeben. Eine weitere Methode ist laut Backofen, dass eine Schadsoftware auf dem Computer oder dem Handy installiert wird, mit deren Hilfe die Betrüger Überweisungen manipulieren können.
Wie kann man sich vor Betrügern schützen?
Kerstin Backofen von Stiftung Warentest rät, den Computer mit einem Antivirenprogramm zu schützen. „Wichtig ist, stets die neueste Version der Software zu verwenden“, sagt die Verbraucherschützerin. Wer seine Bankgeschäfte übers Internet regelt, sollte die Webadresse der eigenen Bank sicherheitshalber immer selbst eingeben. Beim Online-Banking wird zudem eine gesicherte https-Verbindung genutzt – erkennbar in Form eines kleinen Schlosses. Außerdem enthalten Phishing-E-Mails in der Regel die Aufforderung zur Eingabe von Passwort, PIN und/oder Transaktionsnummern (TAN). „Gleichgültig, wie plausibel die Begründung dafür auch klingt: Kreditinstitute fordern ihre Kunden niemals per E-Mail zur Übermittlung geheimer Daten auf“, warnt Kerstin Backofen. Wer sich unsicher ist, sollte bei der Bank anrufen oder die Nachricht einen Tag lang sacken lassen. „Wenn es tatsächlich wichtig wäre, würde sich die Bank in jedem Fall nochmals melden“, so die Erfahrung von Backofen.
Was tun, wenn man Opfer von Cyberkriminellen geworden ist?
Wer merkt, dass er auf eine Phishing-Mail hereingefallen ist oder sein PC mit einem Trojaner verseucht ist, sollte dies bei der Polizei zur Anzeige bringen, sagt Frank Eißmann vom Landeskriminalamt Baden-Württemberg. Auch dann, wenn augenscheinlich erst einmal kein Geld abgebucht wurde. Das böse Erwachen kann aber nach einigen Monaten folgen, warnt Eißmann. Oft sei die Datenflut eines Angriffs so groß, „dass die Kriminellen mit dem Ausräumen der Konten gar nicht nachkommen“.
Wer haftet bei einer betrügerischen Fehlabbuchung?
Kann eine Bank nicht einwandfrei nachweisen, dass ihr Kunde grob fahrlässig gehandelt hat, ist sie zum Ausgleich des Schadens verpflichtet, der dem Online-Konto-Inhaber aufgrund einer Phishing-Attacke entstanden ist. Das entschied das Landgericht Oldenburg ( AZ: 8O1454/15). Und auch der Bundesgerichtshof bestätigte diese Rechtsprechung (AZ: XI ZR 91/14).