Online-Banking - Verfahren
Nach der Statistik der Deutschen Bundesbank 2008 erledigen 24 Millionen Deutsche ihre Bankgeschäfte mittlerweile online.
Hier werden die gängigsten Verfahren vorgestellt. Laufend kommen neue angeblich noch sichere Verfahren hinzu.
HBCI-Banking
.JPG "HBCI-Kartenleser mit Display und Tastatur")
Am sichersten gilt das signaturgestützte HBCI-Verfahren (Homebanking Computer Interface) mit Chipkarte.
Die Eingabe von TANs entfällt. Für die PIN-Eingabe wird ein Chipkartenleser mit eigenem PIN-Pad benötigt. Der HBCI-Leser ist per Kabel an den Computer angeschlossen.Der Leser erzeugt zusammen mit der Scheckkarte die TAN. Bei diesem Verfahren kann weder der kryptografische Schlüssel der Karte bzw. Diskette ausgelesen werden, ein Trojaner kann die PIN bei der Eingabe nicht ausspähen.
Nachteile:
Man braucht eine Softwareinstallation für HBCI. Wegen des Chipkartenlesers leidet die Mobilität.
Foto: Quelle. news aktuell gmbh v. 04.12.09
Kunden können sich zwischen einem Leser der Sicherheitsklasse 2 mit eigener Tastatur oder einem Gerät der Sicherheitsklasse 3 mit einem zusätzlichen Display entscheiden. Dabei erschwert die separate Tastatur das Ausspähen der PIN-Eingabe, beispielsweise durch Trojaner auf dem PC, und das vom PC-Bildschirm unabhängige Display stellt sicher, dass die Chipkarte die richtigen Daten signiert.
Langfristig sollen künftig elektronische Unterschriftskarten die Authentisierungsfunktion übernehmen.
Secoder, Sicherer Chipkartenleser
Dieser Chipkartenleser eignet sich für Online Banking, zum Bezahlen im Internet, zur Nutzung der elektronischen Signatur und für den Altersnachweis auf Web-Seiten. Er wurde von den Banken in Zusammenarbeit mit dem Zentralen Kreditausschuss entwickelt. Beim Online-Banking werden die TANs nicht aus der Papierliste entnommen, sondern dynamisch generiert.
Visa Pin Card gegen Betrug
Visa arbeitet gemeinsam mit der australischen Firma Emue Technologies an einer neuen Kreditkartengeneration, die mit einem Chip und einer Batterie ausgestattet ist und auf der Rückseite ein Display und Zifferntasten aufweist. Der Nutzer erhält nach jeder Eingabe seiner PIN (Persönliche Identifikationsnummer) eine neue, maximal achtstellige Transaktionsnummer (TAN) angezeigt.
Mit einer solchen TAN kann ein Mal ein Zahlungsvorgang bestätigt werden. Die Visa PIN Card genannte Karte wird von Visa als "Meilenstein der Betrugsprävention" bezeichnet. Sie soll ihre Vorzüge dort beweisen, wo die Karte nicht physisch präsent ist, also etwa bei Einkäufen in Online-Shops oder Bestellungen via Telefon. Eine gestohlene Karte gibt ohne richtige PIN keine korrekte TAN preis. Für den Einsatz des neuen Verfahrens müssen Online-Shops und andere im Fernabsatz tätige Unternehmen ihre Systeme wohl entsprechend anpassen.
Quelle: www.heise.de v. 16.06.08
Session-Cookie
Session-Cookie
beim Onlinebanking
Die Postbank wird beim Online-Banking neben der
Session-ID
zusätzlich mit dem
Session-Cookie
arbeiten.
Dadurch wird das Online-Banking noch sicherer.
Volksbanken führen neue Signaturkarte ein
Die Volks- und Raiffeisenbanken in Nord- und Westdeutschland bieten ihren Kunden eine neue VR-BankCard mit digitaler Signatur (VR-BankCard mit HBCI ready-Funktion) für sicheres Online-Banking an. Sie soll Anwender gegen alle heute bekannten Phishing- und Trojaner-Angriffe im Internet schützen. Zusätzlich benötigt der Kunde einen Kartenleser der neuen vom Zentralen Kreditausschuss entwickelten Generation mit Display (Secoder). Der Secoder, der am PC oder Notebook angeschlossen wird, zeigt Kontroll-Informationen der Transaktion an.
Der Anwender muss etwa bei einer Überweisung Empfängerkontonummer und Uuml;berweisungsbetrag am Chipkartenleser bestätigen. Die bestätigten Daten werden kryptografisch abgesichert und sind anschließend nicht mehr durch Angreifer fälschbar. Die Signaturkarte soll die bereits bestehenden Sicherheitsverfahren Sm@rtTAN plus und mobileTAN ergänzen. Die Kunden von 450 Banken könnten nach Angaben des Dienstleisters GAD auf die neu entwickelte Signaturkarte zurückgreifen.
Quelle: www.heise.de v. 19.01.08
Online-Banking mit biometrischem Internetausweis
Die Firmen Siemens und AXSionics haben als Sicherheitssystem für Online-Banking einen "Internetnetausweis" entwickelt. Dieses System besteht aus einem scheckkartengroßen Gerät. Darauf befindet sich ein Fingerabdruckscanner, ein Flickercode-Leser mit optischen Sensoren und ein Display. Der Fingerabdruck wird im Gerät gespeichert. Nur wenn sich der Nutzer mit dem passenden Abdruck identifiziert, wird der scheckkartengroße Internetpass aktiv.
Ein Flickercode bedeutet, dass neben den eingegebenen Daten einer Überweisung auf der Bank-Webseite 6 Kästchen auf dem Bildschirm blinken. Die flackernden Kästchen übertragen die Einzelheiten der Zahlung kabellos an den Pass. Wenn fer Kunde eine Online-Buchung vornehmen will, sendet ihm die Bank verschlüsselte Daten zu. Sobald der Ausweis an den Flickercode gehalten wird und die eingelesenen Informationen übereinstimmen, erscheinen auf dem Display des Ausweises die Daten der aktuellen Überweisung sowie eine dazugehörige TAN, die der Bankkunde eingeben muss, um die Transaktion zu bestätigen. Das Gerät wird zur Zeit von den Banken getestet.
Quelle: www.pressebox.de v. 06.12.07
Wie sicher ist mTAN (TAN per SMS)?
Eine mTAN (Mobile TAN) wird dem Kunden nur für eine bestimmte Transaktion per SMS zugestellt, nachdem er einen Überweisungsauftrag online eingegeben hat. Damit wird verhindert, dass Unbefugte durch Entwenden der Liste in den Besitz gültiger TAN gelangen können.
Das Risiko liegt darin begründet, dass mit der weiteren Verbreitung von kabellosen Internetzugängen auch die SMS direkt auf dem Rechner landet, statt im Mobiltelefon: Viele Anwender verwenden heute kabellose Internetzugänge als Standardverbindung, vor allem, wenn sie unterwegs sind. Wenn der integrierte SMS-Zugang für den Empfang der mTANs genutzt wird, landet der mTAN direkt auf dem Rechner und steht vorhandenen Trojanern zur Verfügung. Die mTans sind nicht verschlüsselt.
Betrüger versuchen während des Online-Bankings die Handynummer von Bankkunden auszuspähen. Dabei öffnet sich kurz nach dem Anmelden eine eigene Seite, die Kunden dazu auffordert, ihre Mobilfunknummer einzugeben. .Die Banken erfragen so keine Telefonnummern.
Das vom österreichischen Unternehmen MERLINnovations & Consulting GmbH, Wien (http://www.merlinnovations.com) entwickelte, patentierte Verfahren SecLookOn bietet hingegen die volle Sicherheit gegen Phishing und Trojaner, indem es einen völlig neuen Lösungsweg einschlägt: nicht mehr geschriebene Passwörter oder TAN werden als Sicherheitsbarriere herangezogen, sondern gedachte Assoziationen.
Im Klartext heißt das: Es wird nicht ein bestimmter Code abgefragt, sondern individuelle assoziative Verbindungen von Bildern, Farben, Formen und Zahlen.
Vorteil Nr. 1: Nur der betreffende User kennt seine persönliche Assoziation.
Vorteil Nr. 2: Verbindungen von Zahlen und bildhaften Elementen (Farben, Formen, Bilder) merkt sich das menschliche Gehirn leichter als Zahlen alleine.
Vorteil Nr. 3: Die individuelle, nur im Kopf des Kunden vorhandene Bild-Zahl-Farb-Form-Assoziation ist bei Eingabe nicht erkennbar und,
Vorteil Nr. 4: für Betrüger so gut wie unknackbar, da die Sicherheit von 340 Bit (2340 Möglichkeiten, entspricht einer 1 mit 102 Nullen) außergewöhnlich hoch ist und bei Bedarf weiter erhöht werden kann. Quelle: www.openpr.de v. 07.02.08
eTAN
Bei eTAN erhält der Kunde einen eigenen TAN-Generator in der Größe eines Taschenrechners, der die Nummern selbst generiert.
Grundsätzlich rät die Stiftung Warentest in jedem Fall von der Benutzung des traditionellen PIN/TAN-Verfahrens ab. Leider ist dieses noch immer bei vielen Banken in Gebrauch. Auch wenn neue Methoden mit zusätzlichen Investitionen verbunden sind, wäre ein Umdenken der Banken in Richtung mehr Sicherheit für die Kontoinhaber sehr wünschenswert (Quelle: Gulli.com v. 03.01.07)
Eine argentinische Diebesbande hat die eTAN-Generatoren von Bankkunden mit einem sogenannten Seitenkanalangriff ausgespäht.. Dabei kamen zwei Techniken zum Einsatz. Zunächst haben die argentinischen Cracker die elektromagnetische Abstrahlung des Generators genau gemessen, um die Rechenvorgänge auf dem Chip des Gerätes bei Erzeugung der TAN rekonstruieren zu können.
Die Ergebnisse des Abstrahlangriffs sind dann durch eine sogenannte Powerattacke ergänzt worden. Dabei wurde der Stromverbrauch des Chips bei der TAN-Erzeugung aufgezeichnet. Zusammen mit den Ergebnissen aus dem Abstrahlangriff konnte in einigen Fällen eine gültige TAN ermittelt werden. (Quelle: www.faz.de v. 21.09.09
iTAN wird ausgehebelt
Es gibt Computerviren, die selbst die neuesten Sicherheitsmechanismen der Banken umgehen. Bisher versuchten Internet-Betrüger Zugangsdaten und Transaktionsnummern (TAN) von Usern mittels "Phishing" auf gefälschten Websites auszuspähen. Mit der Einführung der indizierten TAN - kurz iTAN - bekam man dieses Problem in den Griff.
Die neuen Computerviren - auch Trojaner genannt - greifen jedoch direkt in den Überweisungsvorgang ein. Zugangsdaten müssen nicht mehr ausgespäht werden. So ändert das Programm im Hintergrund einfach Geldempfänger und Summe. Der Nutzer bemerkt den "Irrtum" erst am Kontoauszug.
Die Zahl der Phishing-Fälle wird laut BKA deutlich zunehmen (plus 53 Prozent), weil Cyberkriminelle inzwischen auch das iTAN-Verfahren beim Online-Banking aushebeln könnten.
TAN-Sicherung für Online-Überweisungen
Postbank-Kunden Online-Überweisungen ab 1.000 Euro nur noch mit einer mobileTAN freigeben. Diese kommt per MS aufs Handy und gilt nur für einen bestimmten Auftrag.
Für Überweisungen bis 1.000 € gubt es wie bisgher die iTAN-Listen.
ChipTAN comfort Verfahren
Ein relativ sicheres Verfahren:
Der Kunde erhält ein Scheckkarten-Lesegerät, Zifferntastatur und Display. Mit dem TAN-Generator in Verbindung mit der BankCard erzeugt der Kunde die TAN selbst. Er gibt z.B. Kontonummer des Zahlungsempfängers und den Überweisungsbetrag in den PC ein, die Daten werden per Optik-Sensoren mittels einer bewegten Grafik (Flickercode) am Bildschirm auf den TAN-Generator übertragen. Nach Bestätigung dieser Daten wird auf dem Generator die errechnete TAN angezeigt.
Man benötigt keine TAN-Liste mehr. Das Verfahren erspart dem Kunden die Eingabe von auftragsbezogenen Daten über die Tastatur des Lesers. Eine Installation am PC ist nicht notwendig.
Wie www.heise.de am 23.11.09 berichtete, lässt sich das derzeit von den Sparkassen eingesetzte "chipTAN comfort"-Verfahren angreifen, so dass Betrüger eigene Überweisungen durchführen könnten.
Internet-Banking per Fingerabdruck
Das Verfahren hat die Berner Kantonalbank eingeführt.
Nach Eingabe von Benutzernummer und das Passwort erscheint auf dem PC-Monitor ein Bild mit einem verschlüsselten Code. Der Kunde hält nun das von der Bank erhaltene Lesegerät an den Bildschirm. Mit der eingebauten Minikamera liest er das Bild in seine Karte.
Anschliessend legt er seinen Finger auf den in der Karte eingebauten Scanner. Ein Chip kontrolliert, ob der Fingerabdruck mit dem in der Karte gespeicherten übereinstimmt. Sobald der Fingerabdruck als echt akzeptiert wird, entschlüsselt die Karte den im vorher eingelesenen Bild enthaltenen Code. Mit dem Code erhält der Kunde Zugang zum Internet-Banking.
Der Fingerabdruck wird nur in der Karte gespeichert und er erscheint nie im Netz. Damit sei ausgeschlossen, dass ein Hacker die Fingerabdruckdaten abfangen könne.