TAN-Verfahren gewähren die höchstmögliche, jedoch niemals eine hundertprozentige Sicherheit beim Onlinebanking – auch wenn das manche Anbieter gerne behaupten. Die ernüchternde Wahrheit ist: Mit Ausnahme des HBCI, das streng genommen gar kein TAN-Verfahren ist, wurde jedes TAN-Verfahren zu irgendeinem Zeitpunkt schon einmal erfolgreich gehackt. Obgleich die verfahrenseigenen Sicherheitslücken bei jedem Betrugsfall eine wichtige Rolle gespielt haben, war meist jedoch eine ganz andere Schwachstelle ausschlaggebend: der Kunde. Von der bankinternen Sicherheitsinfrastruktur isoliert, oft wenig in IT-Themen bewandert und zuweilen impulsiv handelnd, ist er für viele Kriminelle das schwächste Glied der Kette. Show Dies ist auch der Grund, warum Cyber-Angriffe auf ein Bankkonto immer zuerst auf dessen Besitzer abzielen. Aus diesem Grund liegt es wohl oder übel an den Kunden, sich mit dem Thema Kontosicherheit zu befassen und ein Bewusstsein für den sicheren Umgang mit Onlinebanking und TAN-Verfahren zu entwickeln. In diesem Zusammenhang kann es hilfreich sein, den typischen Ablauf einer Attacke zu kennen und zu verstehen. Nun existiert ein großer Variantenreichtum an möglichen Angriffsszenarien, und täglich lassen sich Kriminelle neue Wege einfallen, um an Geld heranzukommen, das ihnen nicht gehört. Somit können hier nicht alle Tricks der Cyberkriminellen umfassend dargestellt werden, doch wir möchten Ihnen zumindest beispielhaft typischeVorgehensweisen vieler Cyber-Kriminellen erläutern. Die folgenden Ausführungen beziehen sich auf das mTAN-Verfahren: Um den Faktor Mensch für die Unterwanderung eines IT-Sicherheitssystems nutzen zu können, bedienen sich geübte Angreifer neben einer Auswahl digitaler und technischer Hilfsmittel vor allem einer Methodik: dem Social Engineering. Sie versuchen, ihr Opfer dazu zu bringen, sich in einer sicherheitskritischen Situation falsch zu verhalten. Beispielsweise könnte sich ein Hacker als Angestellter eines externen IT-Supports ausgeben, der gebeten wurde, Probleme der Buchhaltungs- und Onlinebanking-Software zu lösen. In diesem Zusammenhang versucht er dann, von seinem Gesprächspartner Zugangs- oder Bankdaten zu erfragen. Häufig besteht der erste Schritt einer Cyberattacke auch in der Einschleusung eines Trojaners. Dies geschieht etwa, indem das Opfer in einer vertrauenswürdig wirkenden E-Mail dazu verleitet wird, auf einen infizierten Link zu klicken. Je seriöser die E-Mail und ihre Adresse wirken, desto eher führt diese Art von Phishing zum Erfolg. Betreffzeilen wie „Mahnung“, „Kontosperrung“ oder „Sicherheitsprüfung“ sollen das potenzielle Opfer unter Stress setzen und zu einer unüberlegten Handlung animieren.
Wie ein kriminelles Individuum letztendlich an Ihre TAN herankommt, ist für Sie als Verbraucher nicht wirklich von Belang. Stattdessen sollten Sie sich darauf konzentrieren, sich gegen die ersten Schritte eines Cyber-Angriffs (Social Engineering und das Einschleusen von Banktrojanern) zu wappnen. Dazu müssen Sie beispielsweise auf die typischen Indizien des Phishings achten oder sensible Daten nicht ohne weiteres an Fremde ausgeben, auch wenn diese als verlässlicher Dienstleister (IT-Support, Buchhaltungsdienstleister etc.) auftreten. Welches ist das sicherste OnlineAchten Sie beim Online-Banking darauf, dass die Kommunikation verschlüsselt erfolgt. Online-Banking sollte immer über das geschützte https-Protokoll erfolgen. Ob das der Fall ist, können Sie daran erkennen, dass sich der Anfang der Browserzeile verändert. Statt "http://" wird dann "https://" angezeigt.
Wie sicher ist das chipTANDa der PC und der TAN-Generator nicht miteinander verbunden sind, gilt das chipTAN-Verfahren als das momentan sicherste Verfahren, da sich niemand dazwischen schalten kann. Einzige Möglichkeit für Betrüger, an eine TAN zu kommen, ist es, die Sorglosigkeit des Nutzers auszunutzen.
Was ist sicherer chipTAN oder BestSign?Stiftung Warentest/Finanztest hat in der Ausgabe 08/19 die Sicherheitsverfahren der Banken getestet. BestSign mit Zusatzgerät, das digitale Signaturverfahren der Postbank, erhielt im Ranking „Sicherheit“ – ebenso wie chipTAN – die Bewertung „Sehr hoch“.
Was ist besser chipTAN manuell oder optisch?Die Unterschiede liegen einzig in der Anwendung: chipTAN optisch ist komfortabler und erfordert weniger Aufwand, dafür benötigt chipTAN manuell keinen Code auf dem Bildschirm.
|