Mit sechs Ziffern gegen den Betrug

Als Banken und Sparkassen vor über 25 Jahren das Homebanking einführten, war „Betrug“ noch kein Thema: Die Daten wurden über das als sicher geltende Bildschirmtext-System verschickt, zur Frei­gabe genügten PIN (Persönliche Identifikations-Nummer) und TAN (Transaktionsnummer). Nicht zuletzt hatte meist auch noch ein Sachbearbeiter beim Kreditinstitut ein Auge auf die Aufträge der wenigen Homebanking-Kunden. Erschien die Summe einer Überweisung auffallend hoch, wurde der Kunde durchaus auch einmal angerufen, ob er sich nicht möglicherweise vertippt habe.

Inzwischen ist Homebanking zum Standard im Zahlungsverkehr geworden, beleghafte Überweisungen indes zur Ausnahme. Denn die Gebührendifferenzen sind beträchtlich: Während ein klassisches Girokonto heute zwischen 4,90€ und 12,90€ pro Monat kostet, werden online genutzte Girokonten oftmals kostenlos, manchmal auch gegen ein geringes Entgelt von monatlich 1,95€ bis 2,95€ geführt. Für Geschäftskunden, die in der Regel jeden einzelnen Posten auf dem Kontoauszug bezahlen müssen, gelten bei Online-Nutzung ebenfalls wesentlich niedrigere Preise.
Das Problem jedoch: die Sicherheit. Beim „PIN/TAN-Verfahren“ erhält der Kunde eine PIN und einen Block mit meist 80 bis 120 TANs, mit denen er seine Zahlungsaufträ­ge freigibt. Welche TAN man dabei verwendet, ist nicht entscheidend: Jede ist quasi so wertvoll wie eine Unterschrift. Dies haben sich Betrügerbanden zunutze gemacht, die z.B. mit auf den Rechnern eingeschleusten Trojanern eingege­be­ne TANs abfragen und zu eigenen Zwecken missbrauchen.

Bekannt sind auch „Phishing-Fälle“, in denen der Bankkunde auf eine betrügerische Seite gelotst wird, die der Homepage seiner Bank täuschend echt nachempfunden ist. Dort soll er „aus Sicherheitsgründen“ neben seiner PIN auch eine oder meist mehrere TANs eingeben. Binnen Minuten wird das Konto leergeräumt und mancher Bankkunde merkt erst beim nächsten Blick auf die Kontoauszüge, dass er betrogen wurde. Auch wenn entsprechende Schäden meist von den kontoführenden Banken übernom­men werden, so sind solche Betrügereien doch mehr als ärgerlich.

Vor einigen Jahren haben die meisten Banken und Sparkassen reagiert und das TAN-Verfahren durch die „iTAN“ abgelöst. Dabei kann der Bankkunde nicht mehr eine beliebige Transaktionsnummer aus seiner Liste eingeben, vielmehr wird er zur Eingabe eine bestimmten Nummer, z.B. der TAN 54, aufgefordert. Damit wird das Risiko reduziert, dass Betrüger mit einer ergatterten TAN Missbrauch treiben können.

Doch auch dieser Schutz erwies sich schon bald als problematisch. So tauchte sehr schnell Schad­software am Markt auf, die beim Starten der Homebanking-Funktion aktiv wird. Sie ersetzt im Hintergrund die eingegebenen Überweisungsdaten durch die Konto­daten des Betrügers, ohne dass der Bankkunde etwas merkt.

Phishing-Attacken wurden ebenfalls dahingehend „modifiziert“, dass der Bankkunde z.B. nach 10 TANs mit dazugehöriger Platznummer gefragt wird. Die Dringlichkeit wird dreist mit angeb­lichen Betrugsversuchen kommentiert, die die Bank festgestellt habe und die zu einer Kontosperrung geführt hätten. Erst nach erfolgreichem Absenden der ab­gefragten Nummern könne man das Konto wieder freischalten.

Einige Banken haben dieses Verfahren daher schnell wieder überarbeitet. So wird z.B. nach Erteilen des Auftrags eine Bestätigungsnummer (BEN) von der Bank verschickt, die der Kunde überprüfen kann. Ergeben sich dabei Diskrepanzen, muss von einem Betrugsversuch ausgegangen werden.

Einige Geldhäuser arbeiten auch mit einem Kontrollbild, besser bekannt als CAPTCHA: In einem gesonderten Feld wird ein Textcode in graphisch stark verzerrter Form dargestellt, der vom Bankkunden in ein weiteres Feld einge­geben werden muss. Ver­mieden werden damit zumindest automatische Betrügereien.

Zahlreiche Banken und Sparkassen verschicken dieser Tage jedoch Briefe, in denen sie wiederum neue Verfahren ankündigen. Die klassische TAN-Liste wird dabei abgelöst durch individuell für jede Transaktion kreierte Codes, wobei unterschiedliche Varianten angeboten werden.

Relativ einfach ist die „mobile TAN“: Dabei hinterlegt der Bank­kunde seine Mobilfunknummer bei seinem Kreditinstitut. Erteilt er dann einen Auftrag, wird ihm eine SMS mit einer in­dividuellen, meist 15 Minuten gültigen TAN auf das Handy geschickt. Frei­gegeben wird der Auftrag erst dann, wenn der Bankkunde die TAN an seinem PC eingibt. Dieses Verfahren gilt als vergleichsweise sicher, hat es doch nur eine Schwachstelle: den Verlust des Handys zusammen mit der Zugangs-PIN zum Konto. Aus diesem Grund sollte die PIN auch keinesfalls im Handy gespeichert oder gemeinsam mit ihm aufbewahrt werden. Der Komfort der „SMS-TAN“ hat allerdings seinen Preis: Nur einige Kredit­ins­titute – etwa Cortal Consors – bieten eine kostenlose Abwicklung an, die meisten verlangen jedoch zwischen 0,09€ und 0,15€ je verschickter SMS.

Alternativ wird von vielen Kreditinstituten ein „TAN-Generator“ angeboten. Dabei handelt es sich um ein kleines Gerät, ähnlich einem Taschenrechner. Wie beim TAN-Verfahren wird zunächst die Überweisung am Bildschirm erfasst. Im Anschluss werden Teile der Empfängerkontonummer – z.B. die letzten sechs Stellen – in den „TAN-Generator“ eingetippt, der dann eine wenige Minuten gültige TAN ausgibt. Diese Nummer ist lediglich in die Eingabemaske am PC zu übernehmen und die Order ist freigegeben. Einige Institute fragen alternativ zu Teilen der Empfän­gerkontonummer eine spezielle Kontrollnummer ab, das Verfahren insgesamt ist jedoch identisch. Der „TAN-Generator“ wird oft kostenlos zur Verfügung gestellt, manchmal werden auch zwischen 5€ und 20€ verlangt.

Bei der „Chip-TAN“, oft auch als „Sm@rt-TAN“ bezeichnet, erhält der Kunde ebenfalls einen „TAN-Generator“, der mit seiner Chipkarte (z.B. Bankkarte) betrieben wird. Im Detail sind die Verfahren unterschiedlich: Teilweise werden nach Einschieben der Chipkarte auftragsungebundene TANs generiert. Da hier ein vergleichsweise großes Risiko bei Phishing-Attacken besteht, setzen die meisten Geldhäuser auf eine konkrete Auftragskoppelung. Einfach ist das Verfahren damit jedoch nicht mehr: Zunächst werden die Überweisungsdaten am PC erfasst, dann erhält der Kunde einen Start-Code, der am TAN-Generator einzu­geben ist. Im nächsten Schritt sind die Empfängerkontonummer und der Betrag nochmals am Kartenleser zu erfassen, der dann die TAN ausgibt. Erst nach Eintippen in den PC wird die Zahlung freigegeben.

Alternativ bieten daher die meisten Institute die optische Übertragung an: Nach Eingabe der Überweisungsdaten am PC erscheint ein animierter Code auf dem Bildschirm, der vom TAN-Generator gelesen wird. Nun werden die wichtigsten Daten der Überweisung am Generator angezeigt, nach Eingabe von „o.k.“ wird die TAN ausgegeben, die dann wiederum in den PC zu übernehmen ist.

Technisch aufwendiger, dafür aber einfacher ist das Arbeiten mit einer speziellen HBCI-Chipkarte (Kostenpunkt: 5€ – 15€), die in einem speziellen Lesegerät (Preis: 40€ – 120€) ausgelesen wird. Diese Kombination wird insbesondere von Homebanking-Software unterstützt. Bei der Auftragserteilung wird jeweils eine gleichbleibende PIN am Kartenleser abgefragt, sodass kein mühsames Hin und Her bei den Daten erforderlich ist. Wei­terer Pluspunkt: Die Lesegeräte eignen sich meist auch für andere Anwendungen, etwa das bargeldlose Bezahlen mittels Geldkarte im Internet oder die Legitimationsprüfung mit dem neuen elektronischen Personalausweis.