Online Banking mit dem Handy - meist eine Dumme Idee...
Einmal ganz direkt gefragt: wer liest denn die AGBs, wenn die lustigen Banker einmal wieder ein Update per Email "gschwind" ankündigen? Ich wollte es einmal wissen, nachdem mir die Netbank (die ich sehr schätze) ja versichert, dass ich garantiert auf der "sicheren Seite" bin.
Zusatzfrage: wer verwendet vertrauensvoll SMS-Tan (oder auch "mTan" genannt) zusammen mit dem Smartphone und erledigt auf diesem auch gleich die ganze Überweisung von unterwegs?
You are doomed!
Lesen wir mal weiter:
Wer also mehr als EINE iTan zur Autorisierung verwendet oder sich die mTan aufs Handy schicken lässt auf dem er auch das Banking betreibt, handelt grob fahrlässig! Ich ergänze (meine Meinung): SMS-Tan ist immer unsicher, wenn sie auf ein Smartphone geschickt wird (dazu später mehr).
Um es deutlich zu sagen: Die Bank hat Recht. Dies sind Punkte, die die Sicherheit gefährden - keine Frage. Aber welcher Kunde weiß das?
Ich werde oft gefragt: "Ja was mache ich jetzt?" - Die Antwort ist (nach heutigem Stand) "Chip-Tan" mit einem kleinen Kartenleser (den man an den Bildschirm halten muss - siehe obiges Bild) und EC Karte. Alles andere ist gefährlich.
Wie läuft das ab?
- Überweisung am PC ausfüllen - wie üblich.
- Statt "mTan" im Bildschirm Dialog den Button "Chip Tan" wählen.
- Es erscheint ein blinkendes Muster am Bildschirm.
- Die EC Karte in den kleinen Kartenleser stecken (Taste "F" drücken) und an das Flickermuster halten.
- Der Kartenleser zeigt einen Fortschrittsbalken und "Übertragung erfolgreich".
- "OK" drücken (mehrmals) - es werden die IBAN und der Betrag der Überweisung angezeigt.
Wichtig: Chip-Tan wird erst sicher, wenn man diese Angaben vergleicht, bevor man die "TAN" Taste drückt. - Die meisten Leute sind einfach zu faul, obiges zu tun - bitte vergleicht wenigstens die Prüfsumme der IBAN (das sind die zwei Ziffern hinter dem "DE" - z.B. die "12" in "DE12-5xxxx517064848xxx9") und die letzte Ziffer der IBAN (die "9" als letzte Stelle der früheren "Kontonummer" im obigen Beispiel). Das geht schnell und vermindert das Risiko. Der Gauner müsste ein Konto mit der selben Endziffer und der selben Prüfziffer benutzen, damit er an Eurer Kontrolle "vorbeikommt" - das ist zwar nicht perfekt, aber schon recht sicher. Vollkommen sicher bleibt allerdings nur, wer alle Ziffern vergleicht.
- Wenn das Einlesen des Flicker Codes nicht klappt (der Balken startet von vorne und "Suche Anfang" erscheint) - sollte man folgendes versuchen: Ist der Bildschirm zu groß oder zu klein für das Lesegerät? Man erkennt die Sensoren auf der Unterseite des Chip-Tan Lesers - diese müssen über den flackernden Rechtecken liegen - passt das nicht, bietet der Bildschirmdialog die Optionen "vergrössern - verkleinern" an. Falls immer noch kein Einlesen möglich ist, kann der Code auch langsamer geschaltet werden.
Warum ist das alles so sicher? Die Sicherheit beim ("schlechten") mTan Verfahren sollte (!) auf der "Zweikanaligkeit" beruhen: Über einen halbwegs unsicheren PC ("Kanal 1") wird eine Transaktion gestartet und über einen wieder halbwegs sicheren zweiten Kanal wird diese Transaktion überprüft (darum steht auch zur Kontrolle die Zielkontonummer in der mTan-SMS).
Leider haben die bösen Jungs das auch gerafft und bieten inzwischen Software an, die nicht nur den PC befällt auf dem die Transaktion gestartet wird, sondern auch das Handy (wenn man nicht aufpasst). Heise berichtete (Link).
Im Gegensatz hierzu das Chip-Tan Verfahren: Der Kunde tippselt seine Daten in das Banking System. Also "Ich will 1 Euro an die Bandverbindung DE12345.... überweisen". Die Bank schaut sich das an und schickt quasi als Paket diese Info über das blinkende Fenster zurück. Da steht dann drin "Wir die GeldHaberBank haben verstanden, Du willst 1 Euro an DE.... überweisen". Das Display generiert eine TAN für exakt diesen Vorgang. Wurde an irgendeiner Stelle die Eingabe des Benutzers verfälscht (so geschieht Bankraub heutzutage), wird diese Veränderung auf dem Display des Tan Generators sichtbar.
Sicher? Da das Chip-Tan Gerät nicht von außen (durch Viren, Trojaner o.ä.) "befallbar" ist, kann ein Betrüger nur den PC infizieren (nicht den Tan Generator). Der PC (ob manipuliert oder nicht) überträgt auf dem Weg von der Bank zurück nur die Nachricht des Geldinstituts, die quasi "unterschrieben" durch einen sicheren Tunnel weitergeleitet wird. Eine Manipulation würde die Unterschrift ungültig machen und (am Tan Generator) angezeigt. Nach heutigem Stand ist das die sicherste Methode.
Nachteil: das Chip-Tan Gerät wird für eine Transaktion benötigt. Ich persönlich verstehe nicht, warum diese Tatsache immer so negativ dargestellt wird. Ich überweise nie von unterwegs aus.