Änderung der Sicherheitsverfahren beim Online-Banking

Erhöhtes Phishing-Risiko für den Verbraucher?

Diesem Sommer ändern viele Banken ihre Sicherheitsverfahren beim Online-Banking. Hintergrund ist die europäische PSD2 Richtlinie (engl.: Payment Services Directive 2)

So wird zum Beispiel das Papier-TAN Verfahren (iTAN) komplett eingestellt, ebenso stellen einige Banken das SMS-TAN (mTAN) Verfahren nach und nach ein.

Ein Aspekt bei diesen Umstellungen ist das Thema Sicherheit. Das Papier-TAN stammt aus der Frühzeit des Online-Banking und gilt per se als unsicher, und auch beim SMS-TAN Verfahren sind schon länger Schwachpunkte bekannt.

Ein weiterer Faktor bei der Einstellung des mTAN Verfahren sind die SMS-Kosten, denn ab September müssen Banken bei jeder Transaktion eine Zwei-Faktor Authentifizierung einsetzen und dass kann schnell die Kosten in die Höhe treiben.

Smartphones werden künftig wichtiger

Die Nachfolgeverfahren Push-Tan und Photo-Tan erfordern künftig die Nutzung eines Smartphones – als Zweiten Faktor bei der Authentifizierung im Online-Banking Konto, zur Verifikation einer Transaktion oder bloß zur Generierung einer TAN. 

Nachtrag: Das ChipTan Verfahren bleibt weiterhin erhalten. Es bietet Nutzern eine Alternative um Online-Banking auch ohne App oder Smartphone zu nutzen. Einige Banken bieten dafür neue TAN-Generatoren an, die künftig das Push- und Photo-Tan Verfahren ebenfalls unterstützen. Die Geräte sind im Gegensatz zur App bei vielen Banken jedoch nicht kostenlos.

Das ChipTan-Verfahren reduziert mögliche Angriffsvektoren, die sich aus den teils verspäteten Sicherheits-Updates auf Android seitens der Hersteller ergeben.
Und es reduziert das Risiko durch den Faktor Mensch – mit seinem weiterhin häufig noch fehlenden Sicherheitsbewusstsein bei der Nutzung von Smartphones oder Tablets. Beides sind heute vollwertige Computer und erforden die Basisschutz-Maßnahmen wie auf einem PC.
Linktipp: Android einrichten und absichern

Die Umstellung der TAN-Verfahren wird das Online-Banking in Zukunft sicherer machen, dennoch diese Verfahren kommen nicht ohne weitere Risiken für den Verbraucher einher.

Beim Online-Banking per App immer zwei Geräte nutzen

Eine Empfehlung ist deshalb, bei der Nutzung von Push- und Photo-Tan per Smartphone künftig zumindest auf zwei Geräte zu setzen und darauf zu verzichten, eine Überweisungs-Authentifikation bzw. die Verifikation und TAN-Generierung auf demselben Gerät durchzuführen.

Praktisch sollte das Online-Banking per App/Smartphone wie folgt erfolgen:
Konto-Aufruf und Überweisungen auf dem Desktop-PC oder Laptop, Verifikation und Authentifizierung per Smartphone oder Tablet.

Falls Nutzer jedoch nur über ein Gerät verfügen, sollten wenigstens die Zugriffsrechte so konfiguriert werden, dass die beiden für das Banking notwendigen Apps nicht miteinander kommunizieren können. 

Risiko Umstellung

Neben den regulären Risiken bei der Nutzung von Smartphones und Tablets bietet jedoch auch die Umstellungs-und Übergangsphase auf die neuen TAN-Verfahren Cyberkriminellen große Möglichkeiten.  

Risiko Fake-Apps

Schon seit längerer Zeit warnen AV-Hersteller wie ESET regelmäßig vor Fake Mobile Banking Apps wie z.B. im Google Play Store. Es ist sehr wahrscheinlich, dass in den nächsten Monaten vermehrt Fake-Apps auftauchen könnten, die Vorgeben die legitime Banking-App einer Bank oder Sparkasse zu sein. Hier gilt es für den Verbraucher ein besonderes Augenmerk darauf zu haben, die richtige und offizielle App zu installieren.

Kreditkartenzahlungen im Internet

War es bisher bei der Bezahlung per Kreditkarte lediglich notwendig, die dreistellige CCV-Nummer auf der Rückseite der Kreditkarte als Sicherheitsverifikation einzugeben, müssen z.B. Sparkassen-Kunden in Zukunft eine Zahlung mit der S-ID Check App zusätzlich bestätigen. Auch hier besteht das Risiko, sich eine gefälschte App herunterzuladen.

Risiko Phishing

Ein enormes Risiko-Potential bietet auch die Kundenkommunikation seitens der Banken zu den Umstellungen auf die neuen Verfahren. 

Ein absolutes No-Go für Banken sollte es dabei sein, die Kunden per Email darauf hinzuweisen, per Click auf einen Link ihr Konto aufzurufen und Änderungen durchzuführen.

Hier sei auf die Mail der Berliner Sparkasse aus dem Mai verwiesen, die eigentlich alle Kriterien einer Phishing Email erfüllt hat.

Die Berliner Sparkasse verschickt derzeit legitime Emails an Ihre Kunden zur SMS-Tan-Abschaltung.
Die Emails erfüllen dabei leider fast alle Kriterien für eine Phishing-Email. #Phishing #Sparkasse #SMSTan #Berlin pic.twitter.com/TTN3Wp09QJ— botfrei (@botfrei) 15. Mai 2019

Wir empfehlen Bankkunden und Internetnutzern deshalb in nächster Zeit noch mehr Vorsicht walten lassen. Besonders, wenn sie Emails oder WhatsApp-Nachrichten zum Thema Banking sowie TAN- und Konto-Änderungen seitens Ihrer Bank bekommen.

Sicherheitstipps fürs Online-Banking

  • Halten Sie die Geräte, die Sie für das Online-Banking stets aktuell. Updates sollten immer zeitnah installiert werden.
  • Nutzen Sie für das Online-Banking immer zwei unterschiedliche Geräte.
  • Wenn Ihnen  keine zwei Geräte zur Verfügung stehen, dann trennen Sie die Zugriffsrechte so, dass beide Apps miteinander nicht kommunizieren können.
  • Apps sollten immer nur aus vertrauenswürdigen Quellen heruntergeladen werden und insbesondere bei der Installation von Banking-Apps sollte besondere Vorsicht gelten.
  • Besondere Vorsicht gilt bei Emails, die Sie zur Änderung ihres Kontos bzw. des TAN-Verfahrens auffordern. Eigentlich ist es allgemeiner Konsens, dass Banken solche Art von Emails nicht an ihre Kunden verschicken.
  • Machen Sie sich mit den neuen TAN-Verfahren Ihrer Bank vertraut. Viele Banken bietet z.B. kurze „Erklär-Videos“ an. (Push-Tan) / (Photo-Tan)

Fazit

Die Umstellung auf die neuen TAN-Verfahren bietet Verbrauchern in Zukunft mehr Sicherheit beim Online-Banking oder bei der Kreditkartenzahlung im Internet.

Die Umstellungsphase bietet jedoch auch ein Risiko für Verbraucher und Potential für Kriminelle.

Verbraucher sollten Sich deshalb ausreichend über die neuen Verfahren informieren, dazu weiterhin die allgemeinen IT-Sicherheitsregeln befolgen und vor allem bei Emails zum Thema Online-Banking immer ein gesundes Maß an Skepsis an den Tag legen.

Wer künftig jedoch auf Nummer sicher gehen möchte und Apps/Smartphones nicht vertraut, sollte weiterhin ChipTAN nutzen. Es unterstützt inzwischen auch Push- und Photo-Tan, hat jedoch den Nachteil, dass man seinen TAN-Generator bei sich haben müsste. Zudem ist der TAN-Generator ist der Anschaffung nicht kostenlos.