Kevin Schwarzinger
Ein Beitrag von Kevin Schwarzinger, 16.05.2017

Online-Banking Welches Tan-Verfahren ist sicher?

Hackern ist es kürzlich gelungen, das M-Tan-Verfahren auszuhebeln. So konnten sie etliche Bankkonten plündern. Ist das Verfahren noch sicher und was sind die Alternativen?
Online-Banking Welches Tan-Verfahren ist sicher?

Hacker verschaffen sich immer wieder Zugriff auf Bankkonten.

Betroffen sind Kunden des Telekommunikationsunternehmens O2. Durch einen kriminellen Angriff wurden SMS vereinzelt unbefugt umgeleitet. Für Bankkunden, die das M-Tan-Verfahren nutzen, bedeutet dies ein großes Risiko. Dass es sich um eine altbekannte Schwachstelle im sogenannten SS7-Netzwerk handelt, bringt den Telekommunikationsriesen in Erklärungsnot. Zwar hat das Unternehmen die Sicherheitslücke bereits behoben, doch Experten sind sich uneins, ob das M-Tan-Verfahren tatsächlich noch sicher ist.

Beim sogenannten M-Tan-Verfahren müssen sich Bankkunden mit ihrer Mobilfunknummer bei ihrer Bank oder Sparkasse anmelden. Das Geldhaus verschickt bei jeder Überweisung die entsprechende Tan-Nummer per SMS auf das Handy des Kunden. Nach den jüngsten Hacker-Angriffen steht diese Methode allerdings auf dem Prüfstand. Die deutsche Kreditwirtschaft (DK) spricht von einem "Einzelfall" und weist darauf hin, "dass die M-Tan ein technisch sicheres Legitimationsverfahren beim Online-Banking ist."

Anders sieht dies das Bundesamt für Sicherheit in der Informationstechnik (BSI): "Auf die Schwachstelle im SS7-Protokoll weisen wir schon seit einigen Jahren hin", kritisiert BSI-Präsident Arne Schönbohm. Die Bundesbehörde empfiehlt Verbrauchern auf das M-Tan Verfahren zu verzichten.

Alternativen zum M-Tan-Verfahren

Bankkunden haben in Sachen Online-Banking eine breite Auswahl. Ob M-Tan, Push-Tan oder Photo-Tan, bei der Fülle von Legitimationsverfahren können Verbraucher schnell den Überblick verlieren. Chris Wojzechowski, Projektleiter am Institut für Internet Sicherheit, empfiehlt Verbrauchern das sogenannte Chip-Tan-Verfahren. Bei dieser Methode wird die Tan-Nummer mit einem speziellen Lesegerät erstellt.

"Wer hauptsächlich Online-Banking von zu Hause betreibt, ist mit dem Chip-Tan-Verfahren auf der sicheren Seite", so Wojzechowski. Für noch sicherer stuft der IT-Experte das sogenannte HBCI-Verfahren ein, das auch mit einem Chipkartenleser funktioniert: "Da diese Methode von Verbrauchern kaum genutzt wird, ist das Interesse von Internetkriminellen hier aktiv zu werden eher gering." Das Verfahren HBCI (Homebanking Computer Interface) basiert auf einer verschlüsselten Kommunikation zwischen Bank und Kunde über eine spezielle Chipkarte.

Für nicht empfehlenswert hält der Experte das Push-Tan-Verfahren: "Da wird die Zwei-Faktoren-Sicherheit aufgebrochen. Überweisungen laufen bei diesem Verfahren nur über ein Endgerät, das Smartphone. Die Praxis zeigt, dass die Apps mit Schadsoftware ausspioniert werden können", warnt Wojzechowski.
  Anbieter Monatspreis Jahrespreis
Girocard
 
1.
0,00
0,00
2.
0,00
0,00
3.
0,00
0,00
Datenstand: 22.08.2017
Sämtliche Angaben ohne Gewähr

Bankkunden haften bei grober Fahrlässigkeit

"Grundsätzlich haftet die Bank für jede Überweisung, die nicht direkt vom Bankkunden autorisiert wurde. Sie kann aber Schadensersatzansprüche geltend machen. Bei grober Fahrlässigkeit kann die Bank sogar die komplette Schadenssumme verlangen", warnt IT-Rechtsexperte Christian Solmecke. Als grobe Fahrlässig gilt bereits, wenn Bankkunden eine veraltete Virensoftware auf dem Rechner installiert haben.

Im aktuellen Fall handelt es sich um eine Schwachstelle im sogenannten SS7-Netzwerk, die bereits seit 2014 öffentlich bekannt ist. "Trotz dieser Kenntnis wurde die Schwachstelle von O2-Telefonica weder behoben noch gemeldet. Im Verhältnis zum Kunden ist darin eine schuldhafte vertragliche Pflichtverletzung zu sehen. Es ist daher wahrscheinlich, dass am Ende O2 für die entstandenen Schäden einstehen muss", so das Urteil von Solmecke.

Tipp:
Lesen Sie hier, wann Cyberkriminelle leichtes Spiel haben und wie Sie Ihr Online-Banking schützen.
Jetzt zum Geldsparen Newsletter anmelden!

Liebe Leserinnen und Leser,

Kevin Schwarzinger mein Name ist Kevin Schwarzinger. Meine Fachbereiche sind Geldanlage, Kredite.

Suchen Sie ein bestimmtes Thema?

Artikel Suchen

Oder schreiben Sie mir einfach, wenn Sie eine Frage haben.

Mail

Ich freue mich auf eine Mail von Ihnen

» Autoren von geldsparen.de

Leserkommentare

noch keine Kommentare vorhanden

Kommentar schreiben

Name*

Email*

Überschrift*

Kommentar

Ziffernfolge
hier eingeben:
neu laden


*Pflichtfelder

 

Foto: HQuality/Shutterstock.com ID:6966

Der Geldsparen-Newsletter

Schon abonniert?

Unser Newsletter versorgt Sie regelmäßig mit aktuellen Themen zu:

Geld
Geld
  Gesundheit
Vorsorge
Wohnen
Wohnen
  Beruf
Beruf/Ausbildung
Internet & Telefon
Internet & Telefon
  Unterwegs
Unterwegs

Anrede

Vorname

Nachname

eMail*

Newsletter (wöchentlich)

Spartipp des Tages (täglich)

Ich erkläre mich mit der Nutzung meiner Daten
    laut Nutzungsbedingungen einverstanden.

 

*Pflichtfelder

 
Bereich: Geld Pagename: online-banking-tan-verfahren(6966)