So sichern sich Verbraucher beim Onlinebanking gegen Hacker ab

Hackern konnten das M-Tan-Verfahren aushebeln und dabei etliche Onlinebankkonten plündern. Obgleich bislang nur Kunden des Mobilfunkanbieters O2 betroffen sind, alarmiert der Vorfall die Sicherheitsexperten. Ein zeitnaher Ersatz des unsicher anmutenden Verfahrens wird verlangt.

Uneinige Experten

O2 interpretiert die Attacke als einmaligen Zwischenfall und hat die Ursache, eine Sicherheitslücke im Netzwerk SS7 bereits behoben. Jetzt beschäftigen sich allerdings Fachleute und das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der Frage, wie sicher das M-Tan-Verfahren überhaupt noch ist. Die DK (deutsche Kreditwirtschaft) verweist auf die hohe Sicherheit beim M-Tan Legitimationsverfahren und hält an der Einzelfalltheorie fest. Das Bundesamt hingegen rät Verbrauchern zum absoluten Verzicht, da die Schwachstelle beim SS7-Protokoll bereits seit Jahren besteht.

Alternativen zum M-Tan-Verfahren

Eine wichtige Meldung zuerst: Seit Kurzem gibt es bei der EU eine neue Zahlungsdienstrichtlinie mit der Bezeichnung PSD2. Die besagt, dass bis 2018 die klassischen Tan-Listen aufgrund nicht ausreichender Sicherheit aus dem Verkehr gezogen werden müssen.

© fabstyle – Fotolia.com

Kunden im Onlinebanking sollen laut den Experten das sogenannte Chip-Tan-Verfahren wählen, weil dies momentan die bestmögliche Sicherheit vor Hackerangriffen bietet. Hierzu ist jedoch ein spezielles Gerät notwendig, welches zusammen mit der Karte des Girokontos Transaktionsnummern generiert und auf dem Display erscheinen lässt.

Ebenso sicher sehen Fachleute das Foto-Tan-Verfahren. Dafür benötigen Verbraucher ein Smartphone und eine entsprechende App. Die erzeugt nach Eingabe der Überweisungsdaten einen auf dem Bildschirm ersichtlichen Code.

Ebenfalls über Smartphone und App funktioniert das Push-Tan-Verfahren; die zu jeder Überweisung notwendige Tan wird vom Institut angefordert und ins Onlinebanking übernommen.

Im Schadensfall haftet zunächst die Bank

Wenn ein Kontoinhaber eine nicht von ihm autorisierte Überweisung feststellt, muss das Institut für den entstandenen Schaden aufkommen. Allerdings kann das Geldhaus die Zahlung bei grober Fahrlässigkeit ganz oder teilweise verweigern. Unter grober Fahrlässigkeit verstehen einige Banken bereits veraltete Virenscanner auf dem Kundenrechner. In jedem Fall werden die Institute selbst den auf sie bezogenen Vorwurf durch neueste Tan-Verfahren vermeiden wollen.