Deutsche Bank 0nline

Die Deutsche Bank 0nline

Kreuzerkamp 7-11 40878 Ratingen Mit sicherem Online-Banking viele Angebote und Dienstleistungen für Privat- und Firmenkunden. Die Fahrgäste der Deutschen Bahn müssen auf erhebliche Verspätungen vorbereitet sein. Wer mehr Geld investieren will, sollte dies auf mehrere Banken aufteilen. Aktivieren Sie das Online-Banking - Handy aufladen - Konto-Wecker - alle Dienstleistungen und Formulare. Exklusiv bei den teilnehmenden Partnerbanken der Genossenschaftlichen Finanzgruppe.

Sicherer Online-Zugang im c't Magazine

Die Kreditinstitute wollen mit diversen TAN-Verfahren und Chip-Kartensystemen Anschläge auf das Online-Banking abwehren. Der traditionelle Diebstahl von PIN und TAN über gefälschte Websites ist zunehmend in den Schatten gestellt worden, da kaum noch eine Bank das konventionelle PIN/TAN-Verfahren verwendet. Banking-Trojaner, die sich in den Computer schmiegen und sehen, wann ein Benutzer Online-Banking aufruft. Sie treten in den Fokus, um dann den ersten Schritt zu tun.

Die betreffenden Mitarbeiter stellen ihre eigenen Anbindungen an das Online-Banking des Nutzers her und tätigen ihre eigenen Transfers mit einer möglichst sicheren TAN. Sie stellen dem Nutzer im Webbrowser nachgeahmte Bankseiten zur Verfügung. Laut Antiviren-Spezialist Kaspersky sollte z. B. der trojanische Win32.banker. oq in der Lage sein, 56 Bankseiten nachzuahmen. Und da die Kunststücke immer böser werden, wird es für unsere Kundschaft auch immer schwerer, ihre PCs zu schonen.

Im Schadensfall erweisen sich viele Kreditinstitute als entgegenkommend, aber oft nicht - vor allem deshalb, weil der Bankkunde seine Sorgfaltspflicht missachtet hat und z. B. keine moderne Virenschutzsoftware aufgesetzt hat. Laut einem Beschluss des Landgerichts Wiesloch vom vergangenen Jahr sind die Kreditinstitute jedoch für Schadenersatzansprüche aus der Abfrage von vertraulichen Informationen verantwortlich.

"Die Gefahr der Fälschung des Überweisungsauftrages wird von der Bank getragen", so das Gerichtsurteil. Es ist nicht sinnvoll, dass der Kunde die betreffende Computersoftware mit der selben Schnelligkeit kauft, mit der sich der Virenbefall ändert. Er sollte keiner höheren Obhutpflicht unterliegen als die Bank. Die Citibank verpflichtet sich, mit dem Abschluß der kostenfreien Online-Sicherheitsgarantie keine Gespräche mit ihren Kundinnen und kunden über die Zahlung von Schadenersatz zu führen.

Es kompensiert die durch Phishing, Pharming und Trojaner verursachten Einflüsse. Offensichtlich hat die Bank, die als eine der wenigen nur das bisherige Thesaurierungsverfahren anbieten kann, auf die Anschuldigungen mit dem Verzicht auf ein gesichertes Online-Banking und der anschließenden Übertragung der Risikohaftung auf den Verbraucher mitwirkt. Nahezu alle in Deutschland ansässigen Kreditinstitute haben auf die Angriffe geantwortet und neue Methoden zur Transaktionsauthentifizierung implementiert.

Bei den meisten Kreditinstituten wurde nur vom üblichen TAN-Verfahren auf das iTAN-Verfahren umgestellt, bei dem anstelle einer Vorgangsnummer aus einer Auswahlliste eine von der Bank gewünschte Geschäftsnummer eingetragen werden muss. Aber auch das iTAN-Verfahren kann von Trojanern umgangen werden. Zu diesem Zweck stellen sie dem Betroffenen die Forderung nach der iTAN für eine parallele Übertragung durch den trojanischen Computer vor, in den das Betroffene betrügerisch eintritt, weil es glaubt, dass es während einer Übertragung seine eigene Transaktionsweise legitimiert.

Durch einen so genannten Man-in-the-Middle-Angriff kann auch die von einigen wenigen dt. Kreditinstituten verwendete eTAN, die nichts anderes ist als eine TAN-Liste in elektronischer Form, genutzt werden. Der TAN-Generator gibt alle paar Minuten eine andere Zahl mit einem präzisen, mit der Bank abgestimmten Takt wieder. Fällt der Drojaner das eTAN ab, kann er innerhalb kurzer Zeit eigene Übertragungen durchführen.

Auch TAN-Generatoren auf der Grundlage der MoneyKarte können in ähnlicher Weise angegriffen werden, wenn sie nur das so genannte One-Step-Verfahren verwenden, d.h. eine TAN auf dem Bildschirm darstellen, sobald die gesteckte Platine eingeführt wird. Dies erfordert einen neuen Lesegerät mit einer Klaviatur, mit der nach dem Einsetzen der Scheckkarte ein von der Bank übermittelter Überweisungsnummerncode und die letzen sechs Stellen des Ziel-Kontos eingegeben werden können.

Nachdem der Kundin oder der Kunden seine Bestellung eingegeben hat, verfügt er über einen TAN-Generator mit integrierten Foto-Transistoren vor dem Display, auf dem die Bank über fünf Eingabefelder mittels Blitz, Java Script oder animierter GIF einen schwarz-weißen Blinkkode ausgibt. Nach dem Lesen des Kodes wird der Transferbetrag und das Benutzerkonto angezeigt - jede Veränderung der Buchung durch einen Trickbetrüger oder Trojaner wird unmittelbar bemerkt.

Nachteilig an dem gesicherten TAN-Verfahren mit Smartcard ist, dass der Nutzer immer ein zusätzliches Gerät mit sich führen muss, was ebenfalls Kosten verursacht - nur etwa 10 bis 15 EUR, aber zumindest. Die Kreditinstitute nutzen mit der Mobilfunk-TAN (mTAN/smsTAN) den Vorteil, dass in Deutschland fast jeder Verbraucher sein eigenes Mobiltelefon hat und in der Regel immer eines dabei hat.

Damit ist es möglich, die für eine Transaktionsabwicklung benötigte Rufnummer auf einem vom Computer getrennten Weg an den Endkunden zu senden - und zwar per SMS. HBCI (seit 2002 auch FinTS genannt) mit Chipkarten wird neben chipkartenbasierten TAN-Generatoren nach wie vor als sicheres Verfahren für das Online-Banking angesehen. HBCI ermöglicht in Kooperation mit Homebanking-Software wie vor allem StarMoney nicht nur den Einsatz vor Angriffen auf Pharming und Pharming, sondern auch einen komfortablen Kontozugriff - statt über die Weboberfläche der Bank.

Stattdessen unterschreibt der Nutzer eine Checksumme seiner Bewegungsdaten mit seinem auf der Kard. Er sendet das Ganze an die Bank. Weil der Signaturprozess in der Signaturkarte stattfindet und der Key nicht von der Signaturkarte gelesen werden kann, kann ein Täter keine eigenen Vorgänge mit ihr unterschreiben. Die Bank kann die Richtigkeit der erhaltenen Bewegungsdaten mit Hilfe des bei der Bank gespeicherten Keys überprüfen.

Zum einen: Für HBCI mit Kreditkarte benötigen Sie einen aufladbaren Lesegerät, der das Prozedere unbeweglich macht. Aber dort konnte ein Trojan weiterlesen und so eigene Transfers aktivieren. Zum Dritten, obwohl die Bankensoftware die Überweisungsdaten anzeigt, erkennt der Benutzer nicht, was er mit der Kreditkarte unterschreibt, da selbst Kartenlesegeräte mit Bildschirm die relevanten Informationen nicht ausgeben.

Dabei könnte ein Trojan intervenieren, indem er die vom Auftraggeber auf dem Computer hinterlegte Übertragung vor der Übertragung an den Card Reader abändert. Ähnlich wie bei den TANs werden auch bei HBCI die Kreditinstitute nachgerüstet: Das ZKA hat unter dem Titel Secoder eine Spezifizierung für eine neue Gerätegeneration von universellen Chipkartenlesern erarbeitet und im Frühling präsentiert.

Das Online-Banking mit digitalen Signaturen soll mit Hilfe von Sekunden noch mehr Sicherheit bieten, auch weil für den Lesenden eine Tastatureingabe und ein Bildschirm erforderlich sind - und dieser zeigt die Bewegungsdaten auch zu Kontrollzwecken an. Zusätzlich muss die PIN am Reader eingegeben werden; unter HBCI geht es um die Einstellungen in der Finanzbuchhaltung, auch bei Geräten der Klasse 3.

Zudem kann Sekoder auch zusammen mit der Geld-Karte zur Bezahlung im Netz und zur Altersverifikation auf Websites eingesetzt werden. Selbst über das Netz kann die Zahlungskarte mit Hilfe von Sekundenschnelle geladen werden. Die Geldkartenfunktion soll es gar ermöglichen, im Netz online anständig einzukaufen. Bisher haben jedoch nur wenige Volksbanken und Sparkassen im norddeutschen Raum Secoders angeboten, die vom IT-Dienstleister GAD betreut werden.

Weitere Institutionen wie die Deutsche Bank untersuchen die Einführungsphase noch oder wollen sie erst 2009 einführen. secoderer hat jedoch einen Nachteil: Er arbeitet zurzeit nicht mit einer Finanzbuchhaltung, sondern nur mit der GAD-Browseranwendung, die ihn bereits auszeichnet. Die simple TAN-Prozedur ist nicht mehr aktuell, die iTAN leistet keine Hilfe gegen Trojaner und HBCI ist aufgrund der verwendeten Geräte nicht mehr mobil.

Weil auch ein Kartenlesegerät mit Bildschirm die Übertragungsdaten nicht anzeigt, hat der Benutzer keine Möglichkeit, dies zu überprüfen. Mit dem neuen Secoder mit vielen weiteren nützlichen Funktionalitäten, der aber bisher nur von den Volks- und Raiffeisenbanken in Nord und West unterstützt wurde, verändert sich dies. Zahlreiche Kreditinstitute betrachten HBCI heute offenbar vor allem als Mittel zur Bindung von Kundinnen und -kunden an ihre Konten über eine Finanzprogramme und nicht als Mittel zur Erhöhung der Sicherheiten.

Das betrifft vor allem die Kreditinstitute, die HBCI nur zusammen mit PIN und TAN statt mit Chipkarten ausgeben und diesen rückläufigen Schritt in Sachen Sicherheit auch als HBCI+ täuschend bewerben. Dennoch sollten Nutzer, die nur die Auswahl zwischen iTAN und HBCI mit Baustein haben, HBCI bevorzugen. "Â "Online-Banking sicherÂ" Beitrag Ã?ber "Online-Banking sicherÂ" in c't 17/2008 zu finden:

Die Datenerhebung beim Kreditantrag erfolgt durch: smava GmbH Kopernikusstr. 35 10243 Berlin E-Mail: info@smava.de Internet: www.smava.de Hotline: 0800 - 0700 620 (Servicezeiten: Mo-Fr 8-20 Uhr, Sa 10-15 Uhr) Fax: 0180 5 700 621 (0,14 €/Min aus dem Festnetz, Mobilfunk max. 0,42 €/Min) Vertretungsberechtigte Geschäftsführer: Alexander Artopé (Gründer), Eckart Vierkant (Gründer), Sebastian Bielski Verantwortlicher für journalistisch-redaktionelle Inhalte gem. § 55 II RStV: Alexander Artopé Datenschutzbeauftragter: Thorsten Feldmann, L.L.M. Registergericht: Amtsgericht Charlottenburg, Berlin Registernummer: HRB 97913 Umsatzsteuer-ID: DE244228123 Impressum