Das Online-Banking benutzt aus der Sicht des Kunden in der Praxis ein dreistufiges Sicherheitskonzept. Es besteht aus der
1. Identifizierung, bei der Kunde und Bank den Kontakt über das Internet aufbauen,
2. Authentifizierung, mit der sich Bank und Kunde jeweils dem anderen gegenüber eindeutig ausweisen und so ihre Berechtigung zur Transaktion belegen und
3. Legitimation, mit der die Berechtigung zu jeder einzelnen Transaktion belegt wird.
Stufe 1: Identifizierung
Die Identifizierung erfolgt auf Seiten der Bank durch die Adresse des Web-Servers. Der Kunde gibt diese Adresse an und kann dann normalerweise damit rechnen. dadurch auch einen Kontakt zum Rechner seiner Bank herzustellen.
Der Kunde seinerseits stellt sich dem Bank-Rechner mit seiner Benutzer-ID vor. Dies ist üblicherweise seine Konto- oder Kundennummer. Aufgrund dieser eindeutigen Identifikation kann der Bank-Server dem anmeldenden Kunden sein Konto zuweisen.
Stufe 2: Authentifizierung
Unmittelbar nach der Identifizierung folgt die zweite Sicherheitsstufe, die Authentifizierung, bei der die beiden Kommunikationspartner sich gegenseitig beweisen, dass sie wirklich zu Transaktionen berechtigt sind. Auf Seiten der Bank erfolgt dies meist durch ein Zertifikatssystem, bei dem der Web-Browser vom Bank-Server ein Echtheitszertifikat anfordert. Der überprüft diesen Echtheitsbeleg und lässt den weiteren Kontakt nur im Erfolgsfall zu.
Auch der Kunde muss sich dem Bank-Server gegenüber eindeutig ausweisen. Eine Kunden- oder Kontonummer kann schließlich recht einfach von einem Dritten ermittelt und missbräuchlich verwendet werden. Deshalb muss sich der Bankkunde mit einer PIN ausweisen, die ähnlich wie die Geheimzahl der EC-Karte funktioniert. Diese PIN darf eigentlich nur der Kontoinhaber kennen. Wenn sich also jemand mit dieser PIN ausweist, kann der Bank-Server davon ausgehen, dass es sich um den ordnungsgemäßen Kontobesitzer handelt.
So schützen Sie Ihre PIN
Da die PIN letztlich entscheidend für den sicheren Online-Zugang zu Ihrem Konto ist, sollten Sie diese mindestens so gut wie die Geheimzahl Ihrer EC-Karte oder andere Passwörter schützen. Achten Sie insbesondere auf die folgenden Punkte:
Für das Aussehen einer sicheren PIN gelten praktisch die gleichen Regeln wie für sichere Passwörter. Wählen Sie Ihre PIN so, dass einem Hacker das Raten oder anderweitige Ermitteln möglichst schwer gemacht wird.
Nach der Eröffnung des Kontos erhalten Sie von Ihrer Bank eine erste vorgegebene PIN. Ersetzen Sie diese möglichst schnell durch eine geeignete eigene, um kein Risiko einzugehen.
Ändern Sie Ihre PIN regelmäßig. Sollte sie doch mal geknackt worden sein, ohne dass Sie etwas davon bemerkt haben, können Sie den Hacker so wieder aussperren.
Schreiben Sie Ihre PIN nirgends auf Der Klebezettel am Monitor ist ein Freibrief für Hacker. Aber auch Verstecke wie die Schreibunterlage oder die Unterseite der Schreibtisch-Schublade sind für findige Ganoven nicht neu.
Speichern Sie Ihre PIN auch nicht elektronisch auf dem Rechner. Banking-Programme bieten oft die Möglichkeit, die PIN abzuspeichern, um den Zugang zum Konto zu automatisieren. Widerstehen Sie dieser bequemen Möglichkeit. Wenn Sie Ihr Online-Konto mit einem Mausklick öffnen können, kann das auch jeder andere, der sich Zugang zu Ihrem Rechner verschafft hat.
Haben Sie Grund zu der Annahme, dass jemand unberechtigt Ihr Konto benutzt, lassen Sie dieses sofort sperren, bis die unklaren Vorgänge eindeutig aufgeklärt sind. Generell gilt, dass Sie zum Zeitpunkt der Meldung des Missbrauchs für eventuelle Schäden haften müssen. Erst danach geht der Schwarze Peter an die Bank.
Stufe 3: Legitimierung
Nach der erfolgreichen Authentifizierung ist die Verbindung aufgebaut und es können Kontoinformationen ausgetauscht, also z. B. der Kontostand und allgemeine Informationen abgerufen werden. Transaktionen, also Überweisungen, Daueraufträge etc., sind selbst dann aber noch nicht ohne weiteres möglich. Um diese durchzuführen, muss zunächst die dritte Sicherheitsstufe überwunden werden, die einzelne Transaktionen schützt.
Dazu gibt es die Transaktionsnummem (TANs). jeder Kunde erhält ein Liste solcher Nummern; eine Kopie der Liste liegt auf dem Bank-Server vor. Soll eine Transaktion ausgef'ührt werden, muss der Kunde eine der Transaktionsnummern angeben. Dadurch erhält die Bank einen zusätzlichen Beweis der Berechtigung des Kunden. jede Transaktionsnummer kann nur genau einmal verwendet werden. Deshalb kann sie auch bedenkenlos unverschlüsselt ausgetauscht werden. Selbst wenn ein Hacker die TAN abfängt, kann er sie nicht einsetzen. Nach der Verwendung streicht der Bank-Server die verwendete TAN von seiner Liste und lehnt erneute Transaktionen mit dieser Nummer ab.
So schützen Sie Ihre TANs
Ihre TANs erhalten Sie in einer Liste von Ihrer Bank. Die erste Liste sollten Sie gemeinsam mit den anderen Unterlagen direkt nach dem Eröffnen Ihres Kontos erhalten. Bei einigen Banken muss die Liste extra angefordert werden. Bei jeder Transaktion verbrauchen Sie eine TAN. Sind alle TANs aufgebraucht, müssen Sie eine neue Liste haben. Erkundigen Sie sich rechtzeitig bei Ihrer Bank nach der notwendigen Prozedur. Einige Banken registrieren den TAN-Verbrauch und schicken die nächste Liste automatisch rechtzeitig zu. Bei anderen müssen Sie sich selbst rechtzeitig um Nachschub kümmern. Nichts ist ärgerlicher, als im Bedarfsfall ohne gültige TAN dazustehen. Achtung: Wenn Sie neue Listen selbst anfordern müssen, benötigen Sie dafür bei einigen Banken wiederum eine TAN. Verbrauchen Sie die alte Liste also nicht bis auf die letzte TAN, bevor Sie eine neue anfordern.
Ähnlich wie die PIN müssen auch die TANs sorgfältig geschützt werden, um sie vor Missbrauch zu bewahren;
Heben Sie die TAN-Liste an einem sicheren Ort auf Sie sollte in jedem Fall vor versehentlicher Entdeckung geschützt werden. Besser ist eine abgeschlossene Schublade oder gar ein Safe.
Die PIN sollte möglichst nur in Ihrem Kopf gespeichert sein. Wenn Sie eine Gedächtnisstütze benötigen, heben Sie die PIN unbedingt von den TANs getrennt auf Das Sicherheitskonzept des Online-Bankings beruht darauf, dass entweder die
PIN oder die TANs alleine nicht missbraucht werden können. Fallenjedoch beide gemeinsam in die falschen Hände, ist Ihr Konto ungeschützt.
Banking-Programme wie Quicken bieten die Möglichkeit, TAN-Listen nach dem Erhalt komplett in den Rechner einzugeben und dort zu speichern. Bei Bedarf holt sich das Programm dann die nächste gültige TAN und löscht sie anschließend. Ähnlich wie beim Speichern von PINs sollten Sie auf diese Bequemlichkeit verzichten. Einem Eindringling auf Ihrem Rechner machen Sie es sonst unter Umständen auch sehr bequem, Transaktionen mit Ihrem Konto auszuführen.