#1 3. Januar 2007 Die Zeitschrift FINANZtest von der Stiftung Warentest hat das angebotene Verfahren zum Onlinebanking von zwanzig deutschen Banken in ihrer aktuellen Ausgabe genauer unter die Lupe genommen. Nur vierzehn der insgesamt zwanzig überprüften Geldinstitute bieten laut diesem Test ihren Kunden eine ausreichende Sicherheit an. Bei den durchgefallenen Kandidaten ist die Sicherheit nur eingeschränkt oder gar nicht gewährleistet. Viele Banken, wie die eben genannte Citibank und Readybank bieten ihren Kunden ausschließlich das einfache, traditionelle PIN/TAN-Verfahren an, welches heutzutage nicht mehr als sicher gilt. Der Grund dafür ist, dass die einzelne Transaktionsnummer (TAN) nicht an eine bestimmte Überweisung gebunden ist. Hat jemand z. B. durch Phishing Zugriff zu einer Persönlichen Identifikationsnummer (PIN) und einer TAN bekommen, kann dieser jederzeit Geld abzweigen und das belauschte Konto leer räumen. Als etwas besser gilt das sogenannte I-Tan-Verfahren. Der Kunde erhält eine ausführliche Liste mit TANs, aus denen für jede Transaktion nach dem Zufallsprinzip von der Bank jeweils eine vorgegeben wird. Für Überweisung a nehme man aus der Liste z. B. TAN Nummer 14, für die nächste Nummer 44 etc. Kriminelle müssten in Besitz der kompletten, durchnummerierten Liste kommen, um Schaden anrichten zu können. Als sicherste Lösung gilt die Nutzung einer Chipkarte oder einer Schlüsseldiskette inklusive Lesegerät nach dem Homebanking Computer Interface-Verfahren (HBCI). Bei diesem Verfahren kann weder der kryptografische Schlüssel der Karte bzw. Diskette ausgelesen werden, noch ist das Belauschen der PIN-Eingabe mit einem Keylogger oder Trojaner möglich. Phishing ist hier ebenfalls prinzipiell nicht möglich, da man zum erfolgreichen Ausführen einer Transaktion im Besitz der entsprechenden Hardware sein muss. Vielen Personen wird die Handhabung mit Karte/Diskette/USB-Stick und dem entsprechenden Lesegerät abgeschreckt haben. Sie bleiben lieber bei den alten, weniger sicheren Verfahren. Außerdem bot von den getesteten Firmen überhaupt nur die Hälfte der Kreditinstitute die Anwendung dieses Verfahrens an. Auch noch relativ sicher: Beim mTAN-Verfahren wird die benötigte Transanktionsnummer bei Bedarf von der Bank an die registrierte Handynummer des Kontobenutzers geschickt. Bei eTAN erhält der Kunde einen eigenen TAN-Generator in der Größe eines Taschenrechners, der die Nummern selbst generiert. Nicht in allen Fällen haftet die Bank bei Missbrauch. Sie verlangt, dass wir unseren Sorgfaltspflichten nachkommen, um jegliche Schäden zu vermeiden. Wie jede Bank das im Einzelfall definiert, kann man den Allgemeinen Geschäfts- und Sonder- bedingungen entnehmen. PIN und TAN dürfen aber in vielen Fällen nicht auf dem PC gespeichert werden, ansonsten entfällt die Haftung. Trauriges Schlusslicht wieder die Citibank: Deren Kunden müssen beim Erscheinen des Begrüßungsbildschirms fürs Onlinebanking prüfen, ob die URL auch stimmt. Doch viele Betrüger gestalten sowohl die Adresse, als auch das Layout der Seite so, als wäre man tatsächlich bei der entsprechenden Bank gelandet. Laien können Original und Fälschung nicht unterscheiden - müssen sie aber, wenn sie die Citibank in Regress nehmen wollen. Egal ob Neukunde oder nicht: Grundsätzlich rät die Stiftung Warentest in jedem Fall von der Benutzung des traditionellen PIN/TAN-Verfahrens ab. Leider ist dieses noch immer bei vielen Banken in Gebrauch. Auch wenn neue Methoden mit zusätzlichen Investitionen verbunden sind, wäre ein Umdenken der Banken in Richtung mehr Sicherheit für die Kontoinhaber sehr, sehr wünschenswert. quelle: gulli untergrund news + Multi-Zitat Zitieren