Onlinebanking über Bankenwebseiten

Bequemlichkeit statt Sicherheit?

Bankgeschäfte am PC zu erledigen ist keine "neumodische" Erscheinung, sondern Ausdruck einer sich verändernden Technik und Tagesablauf der Bankkunden. Während man früher an den Schalter ging um seine Überweisungen oder Daueraufträge abzugeben, tat dies später über das Telefon – Telefonbanking – und nun über den Computer.

Selbst in den Banken stehen Automaten, die Überweisungen oder Daueraufträge entgegen nehmen. Eine Art "Onlinebanking vor Ort" könnte man sagen. Gerade die Kunden, die nicht so häufig in die Filiale kommen, oder eine Direktbank haben, sind auf Onlinebanking angewiesen. Nur so können Sie Zugriff auf Ihr Konto nehmen oder Überweisungen tätigen. Dabei bleibt dem Kunden nichts anderes übrig, als auf die Aussagen und Versprechen der Bankmitarbeiter zu vertrauen, was die Sicherheit der Webseiten für Onlinebanking anbelangt.

Sicherheitsmedien

Wer Onlinebanking betreibt, erhält von der Bank meistens eine PIN mit der er sich über das Login auf der Bankenwebseite anmelden kann. Nach dem Login kann sich der Kunde seinen Kontostand ansehen und auch Überweisungen tätigen, Daueraufträge einrichten oder diese Löschen.

Für die Ausführung von solchen Aufträgen benötigt man zusätzlich noch eine iTAN (indizierte TAN). Bei der iTAN erhält man eine TAN Liste, jedoch wird bei der Überweisung vom Bankenserver vorgegeben, welche TAN man verwenden soll. Viele Banken kehren aber der iTAN bereits wieder den Rücken zu, und führen nach und nach die smsTAN oder chipTAN ein. Zudem gibt es noch das optische TAN Verfahren.

Bei der smsTAN hinterlegt man bei seiner Bank seine Mobilfunknummer. Sobald man eine Überweisung tätigt, erhält man kurz danach eine SMS auf sein Handy, worin noch einmal die wichtigsten Daten angezeigt werden – Kontonummer des Empfängers und den Betrag – sowie die TAN. Diese ist zeitlich begrenzt und gilt nur für den Auftrag. Dabei fallen jedoch extra kosten an: bis zu 0,09 € pro SMS.

Die chipTAN funktioniert ähnlich, nur das dort in einen TAN Generator die Girocard bzw. EC Karte eingeschoben wird. Dieser generiert dann die TAN für den Auftrag. Eine weitere Möglichkeit ist das optische TAN Verfahren. Dabei wird ebenfalls die Girocard bzw. EC Karte in einen TAN Generator gesteckt. Sobald man die Überweisung erfasst hat, erhält man von der Bank eine animierte Grafik auf dem Monitor, die man mit dem TAN Generator erfasst. Im Display erscheinen dann noch einmal alle Informationen zur Überweisung. Ist alles in Ordnung, gibt man die TAN ein und sendet die Überweisung an die Bank. Die TAN ist zeitlich begrenzt.

Bei manchen Banken erhält man auch, manchmal nur auf Nachdruck und viel Fragerei, die sogenannte HBCI Karte. Dazu benötigt man entweder noch einen Kartenleser der Sicherheitsklasse 1, Sicherheitsklasse 2 (mit Tastenfeld) oder Sicherheitsklasse 3 (Tastenfeld mit Display).

Zudem gibt es diese HBCI Karte auch in Form eines USB Sticks, wo die HBCI Karte bereits eingesetzt ist. Bequemer kann man es dem Kunden nicht machen, jedoch scheuen sich die Banken, aus welchen unerfindlichen Gründen auch immer, HBCI als Sicherheitsmedium Ihrem Bankkunden anzubieten oder es generell in ihr Onlinebanking Angebot mit aufzunehmen. Die Kosten für solch "erweiterte" Sicherheit dem Kunden gegenüber, wird auf diesen Abgewälzt.

Bankenwebseiten gegen Banking Software

Die Banken und Sparkassen bieten neben den Automaten in Ihren Filialen auch über Ihre Webseiten Onlinebanking an. Gerade Direktbanken haben keine andere Möglichkeit Ihre Kunden zu erreichen, da sie entweder keine oder nur wenige Filialen haben.

Für Überweisungen, Daueraufträge einrichten/kündigen oder auch die Kontoabfragen wird über die Webseiten der Banken ein extra Login angeboten. Das Login ist eine Verschlüsselte Seite und beginnt mit https://. Wer den Internet Explorer ab Version 7 nutzt, erkennt auch anhand der grünen Leiste, dass diese Seite "Sicher" ist. Dies ist der einfachste Weg seine Bankgeschäfte abzuwickeln und die Banken verweisen auf Ihre Webseite, auch wenn es noch weitere Möglichkeiten gibt. Diese wird aber nicht dem Kunden unterbreitet.

Eine extra Software, die auf dem Computer installiert wird, ersetzt die Webseite der Banken. Nach der Einrichtung eines oder mehrerer Konten, kann man dort alle Bankgeschäfte schnell und Bequem erledigen. Zumal diese Banking Software auch mehrere Sicherheitsmedien und Konten bei verschiedenen Banken unterstützt.

Warum die Banken es verschweigen, dass es eine solche Software gibt, bzw. warum sie ihre Kunden nicht darüber aufklären, dass man auch damit seine Bankgeschäfte erledigen kann, bleibt ein kleines Rätsel. Gerade in der heutigen Zeit von Phishing Attacken gegen die Kunden, nachgemachten E-Mails der Banken und Login Weiterleitungen, ist die Banking Software eine gute und sichere Alternative.

Die Computerzeitschrift c't hat in ihrer Ausgabe 4/2011 (31.1.2011) auf Seite 35 einen kleinen Artikel über die Sicherheit von Bankenwebseiten gebracht. Viele Bankenwebseiten haben eine Sicherheitslücke im XSS (Cross Site Scripting), obwohl die Seiten über https:// angesprochen werden.

Trotzdem beharren die Banken und Sparkassen darauf, dass die Webseiten für Onlinebanking sicher sind. Diese werden schließlich immer wieder überprüft und bei Lücken werden diese Geschlossen, um die Sicherheit zu erhöhen. Wer den Artikel in der c't jedoch liest, kann sich des Eindruckes nicht erwecken, das die Banken dieses Thema mehr als Totschweigen wollen.

Möglichkeiten der erhöhten Sicherheit beim Onlinebanking

Wer Onlinebanking machen möchte sollte auch einen Virenscanner und eine Firewall sein eigen nennen. Wir empfehlen in diesem Bereich Symantec, TrendMicro oder Panda Security.

Eine solche Sicherheitslösung genügt an und für sich schon um sich gegen die meisten Schädlinge und Angriffe zu verteidigen. Dies sind die Grundvoraussetzungen, für sicheres Onlinebanking über die Webseite der Banken oder Sparkassen. Nur stellt sich die Frage, was passiert, wenn das Konto wirklich einmal geplündert wurde? Wer haftet dann? Die Banken lehnen die Verantwortung ab und schieben den schwarzen Peter ihrem Kunden zu. Dieser muss nun beweisen, dass er auf eine "gut nachgemachte Seite" bzw. das ein Script im Hintergrund gelaufen ist, das die Daten abgeschöpft hat, hereingefallen ist. Wie kann ein Anwender denn ein Script erkennen? Diese Antworten bleiben selbst die Banken den Betroffenen schuldig.

Um gefahrloser Onlinebanking durchführen zu können, sollte eine Banking Software auf den Heimischen Rechner installiert werden. Hier können wir StarMoney 7.0 und für die Geschäftskunden StarMoney Business 4.0 empfehlen. Natürlich kann man auch andere Banking Software wie WISO Mein Geld oder WISO Konto Online verwenden. Jedoch sollte man vorher bei der Bank fragen, welche Banking Software unterstützt wird. Auf der Webseite von StarMoney können Sie das auch selbst prüfen. Dazu geben Sie dort einfach die Bankleitzahl ihrer Bank ein.

Zudem sollten Sie auf das Sicherheitsmedium HBCI umsteigen. Sie erhalten von der Bank eine Karte, in der Größe einer EC Karte, worauf sich ein Chip befindet. Dieser Chip beinhaltet den Schlüssel. Zusätzlich benötigen Sie noch einen Kartenleser. Die Preisgünstigsten Kartenleser sind die der Sicherheitsklasse 1. Die Eingabe der PIN für die HBCI Karte erfolgt über die Tastatur. Trotz dieses Sicherheitsmediums kann unter Umständen, wenn sich ein Trojaner auf dem Rechner versteckt hat, die PIN für die HBCI Karte abgefangen werden.

Besser ist hier wieder die Sicherheitsklasse 2 mit eigener Tastatur. Darüber wird die PIN für die HBCI Karte eingegeben. Noch sicherer sind die Kartenleser der Sicherheitsklasse 3. Wenn die Bank noch Secoder unterstützt, ebenso der Kartenleser, dann erscheint im Display noch einmal alle Daten der Überweisung. Eine Bestätigung erfolgt also nur auf der Tastatur des Kartenlesers. Secoder fähige Geräte gibt es bereits, welche Banken das unterstützen muss im einzelnen erfragt werden.

Fazit

Wenn Sie ein etwas besseres Gefühl haben möchten beim Onlinebanking, so sollten Sie auf jeden Fall den Kostenfaktor außen vor lassen. Sicherheit kostet Geld. Nur nichts zu machen und am falschen Ende sparen, kann im Endeffekt teuer kommen. Spätestens dann, wenn das Konto von unbekannten Geräumt wurde.

Wer bereits Onlinebanking macht, sollte seinen Berater aufsuchen und Nachfragen, ob man auch eine HBCI Karte und Kartenleser bekommen kann. Die meisten Banken bieten Kartenleser der Sicherheitsklasse 1 an und die sind dort meist Preiswerter als im freien Handel.

Außerdem sollten Sie eine Banking Software wie z. B. StarMoney 7.0 verwenden. Damit umgehen Sie die Webseiten der Banken. Im Zusammenspiel mit HBCI und der Banking Software haben Sie bereits einen höheren Sicherheitsstandart. Besser wäre natürlich ein Kartenleser der Sicherheitsklasse 2, hier müssen Sie jedoch mit über 40,00 € rechnen.

Diese Software schützt nicht vor Schädlingen, wenn man keinen aktuellen Sicherheitsschutz auf dem Rechner aufweisen kann. Wir empfehlen, wie bereits vorher erwähnt, Symantec, TrendMicro und Panda Security. Das sind alles Kostenpflichtige Produkte, die jedoch einen optimalen Schutz bieten. Zwar bieten die Kostenlosen Sicherheitslösungen – AVG, AntiVir oder Microsoft Security Essentials – einen relativ guten Schutz. Jedoch fehlen diesen kostenlosen Versionen erweiterte Schutzfunktionen (Heuristik, Sandbox, etc.). Die Windows Firewall bietet zwar auch einen guten Schutz, jedoch sollte man die Firewall der Kaufprodukte verwenden.

Ganz kann man sich natürlich nicht vor den "Bösen Buben" schützen, Lücken gibt es immer wieder, aber das Risiko sollte man Minimieren. Wenn man sich an diesen Leitfaden hält, kann man beruhigt schlafen, ohne die Ersparnisse unterm Kopfkissen verstauen zu müssen.

© 2011, ALSEHK Computer Bremen, Kay Kisser

Testbericht herunterladen.

Firmendatenbank ALSEHK Computer Bremen

Wir sind Mitglied der

Mitglied der IHU

News

Weitere Telefonnummer

ALSHEK Computer Bremen erhöht die Erreichbarkeit!

Neben unseren Festnetzrufnummern haben wir nun auch eine Mobilfunkrufnummer. Sollten wir über Festnetz und Weiterleitung nicht erreichbar sein, so können Sie uns - zu den gewohnten Bürozeiten - unter der Rufnummer

01 51-64 04 48 18

erreichen. Sollten wir das Gespräch nicht persönlich entgegen nehmen können, so sprechen Sie bitte auf die Mailbox, wir rufen Sie umgehend zurück.

527efb333