Betrugsfälle beim Online-Banking - Chipkarte mit HBCI/FinTS bietet wirksamen Schutz

Kombination von HBCI und Chipkarte gilt derzeit als sicherster Schutz vor Hackern und Trojanern

(17.01.08) - Zentrales Thema bei Bankgeschäften per Internet bleibt die Sicherheit. Immer mehr Banken ersetzen heutzutage das einfache PIN/TAN-Verfahren durch Online-Legitimation per Chipkarte gemäß HBCI/FinTS, um Betrugsdelikte zu verhindern. Kartenlesegeräte schützen nicht nur vor Hackern und Trojanern, sondern ermöglichen auch zusätzlichen Service für Bankkunden - zum Beispiel das bequeme Aufladen der Geldkarte am heimischen PC oder die Nutzung der Bankkarte als komfortables Zahlungsmittel für Einkäufe im Internet.

Immer mehr Menschen in Deutschland, mittlerweile 39 Prozent, profitieren von den Vorteilen, die Bankgeschäfte über das Internet bieten. Bis zum Jahr 2012 - so eine aktuelle Studie von Forrester Research - werden rund 47 Prozent in Deutschland ihre Bankgeschäfte per Internet erledigen.

Zentrales Thema beim Online-Banking ist aber nach wie vor die Sicherheit: bis Ende Oktober 2007, so das BKA, wurden bereits 3.100 Betrugsfälle gemeldet - soviel wie im ganzen Jahr 2006. Der offizielle Gesamtschaden beträgt rund 14 Millionen Euro. Hauptangriffspunkt sind Sicherheitslücken in den herkömmlichen PIN/TAN-Verfahren. Online-Betrüger haben hier relativ leichtes Spiel, Kontozugangsdaten zu erschleichen und mit einer abgefangenen TAN zum Beispiel eine Überweisung zu veranlassen, meist über (ahnungslose) Mittelsmänner auf ein ausländisches Konto.

Immer mehr deutsche Banken reagieren auf den besorgniserregenden Kriminalitätsanstieg im Internet und stellen die Authentifizierung ihrer Online-Angebote auf den Sicherheitsstandard HBCI/FinTS um. Die der GAD angeschlossenen Volks- und Raiffeisenbanken im Norden und Westen Deutschlands beispielsweise verschicken ab kommendem Frühjahr keine auf Vorrat gedruckten TAN-Listen mehr. Auch das einfache Smart-TAN-Verfahren läuft aus. Als Alternative bieten Genossenschaftsbanken dann unter anderem eine bequeme HBCI Legitimationsmöglichkeit per VR BankCard an. HBCI steht für Home-Banking Interface - ein Sicherheitsframework, auf das sich die deutsche Kreditwirtschaft bereits in den 90er Jahren geeinigt hat und das mittlerweile zum "Financial Transaction Service" (FinTS) weiterentwickelt wurde.

Die Kombination von HBCI und Chipkarte gilt derzeit als sicherster Schutz vor Hackern und Trojanern. Am Kunden-PC muss dafür ein Kartenlesegerät angeschlossen sein. Kontoverfügungen sind damit denkbar einfach: Zunächst wird das elektronische Überweisungsformular wie bisher am Rechner ausgefüllt. Danach steckt der Kunde seine Chipkarte in das Lesegerät und gibt seine PIN ein. Bevor der Auftrag an die Bank geht, wird er vom Chip auf der Karte mit einem digitalen Chiffrierschlüssel signiert und codiert. Code und Signatur sind für Hacker unsichtbar, da sie nur auf dem Chip und einem gesicherten Bankrechner gespeichert sind. Sobald die Bank den Auftrag über verschlüsselte Leitungen erhalten hat, decodiert sie die digitale Unterschrift und vergleicht sie mit dem hinterlegten Signierschlüssel. Nur wenn beides übereinstimmt, erfolgt die Transaktion.

Wichtig beim Online-Banking ist zum Beispiel, dass ein Kartenleser mindestens die Sicherheits-stufe 2 erfüllt, das heißt, dass er über eine eigene Tastatur verfügt. Schnüffel-Programme, die Eingaben am PC-Keyboard unbemerkt protokollieren (sogenannte Key-Logger), bleiben somit chancenlos.

Interessant ist der Einsatz digitaler Signaturkarten für Banken auch jenseits sicherer Kontozugänge via Internet. Denn sie können damit zusätzlichen Service bieten, die Kundenloyalität verbessern und neue Geschäftschancen nutzen. Beispielsweise lässt sich die Geldkarte bequem via Web aufladen; der eigene PC wird sozusagen zum Bankautomaten. Auch als sicheres und anonymes Zahlungs-mittel für Interneteinkäufe ist eine HBCI/FinTS-fähige Bankkarte bestens geeignet. (Reiner SCT: ra)