Hilf mit die Spendenziele zu erreichen!
Mike Kuketz
12. Juli 2018

Online-Banking: Aber sicher – Das chipTAN-Verfahren

1. Es herrscht: VerunsicherungchipTAN-Verfahren

Die Möglichkeit, bequem von zu Hause aus eine Überweisung oder andere Bankgeschäfte erledigen zu können, ist für viele Anwender verlockend. Trojaner, Phishing-E-Mails oder andere Gemeinheiten versalzen Anwendern allerdings die Suppe. Viele Anwender fragen sich daher:

Ist Online-Banking sicher?

Die Antwort auf diese Frage lässt sich nicht in einem Satz zusammenfassen. Ausschlaggebend für ein »sicheres« Online-Banking ist insbesondere das genutzte TAN-Verfahren.

Im vorliegenden Beitrag stelle ich euch eine Möglichkeit vor, Online-Banking möglichst sicher mit dem chipTAN-Verfahren durchzuführen.

2. Was ist »sicher« beim Online-Banking?

Der Titel des Beitrags lautet:

Online-Banking: Aber sicher – Das chipTAN-Verfahren

Was bedeutet nun »sicher«? Bin ich sicher, wenn ich die Straße bei grün überquere? Bin ich sicher, wenn ich mich beim Autofahren anschnalle? Natürlich nicht, aber die Wahrscheinlichkeit eines Unfalls lässt sich verringern.

Auch in der IT gibt es keine 100%ige Sicherheit. Es geht immer nur um Wahrscheinlichkeiten. Anhand eines kleinen Beispiels lässt sich das verdeutlichen:

Tante Frieda ist eine durchschnittliche Anwenderin, die Windows 7 nutzt und (Sicherheits-)Updates hin und wieder einspielt. Online-Banking macht sie über den Browser. Ihre Bank unterstützt neben dem klassischen iTAN-Verfahren ebenfalls mTAN. Da sie ebenfalls ein Smartphone besitzt, hat sie sich für mTAN entschieden – nach der ausgefüllten Überweisung bekommt sie per SMS eine TAN übermittelt. Leider klickt Tante Frieda innerhalb von Phishing-E-Mails gerne mal auf Links, die Angreifer missbrauchen, um die Zugangsdaten von Online-Konten abzufischen. Ihr kleiner Neffe installiert regelmäßig Android-Spiele von unsicheren Drittquellen – Tante Frieda ist das bisher nie aufgefallen

In diesem fiktiven Szenario ist es wahrscheinlich, dass Kriminelle sicherheitsrelevante Daten wie PIN oder TAN ergaunern und Tante Frieda ein (erheblicher) Schaden entsteht.

Und genau darum geht es: Wir müssen die Wahrscheinlichkeit für solch einen (oder ähnlichen) Angriff reduzieren. Natürlich ist die Lösung, die ich in dem vorliegenden Beitrag vorstelle, auch nicht 100%ig sicher. Allerdings wird die Hürde für einen potenziellen Angreifer derart hoch gelegt, dass er nur eine geringe Chance auf Erfolg hat. Oder anders formuliert: Die Wahrscheinlichkeit, dass beim Online-Banking ein Schaden entsteht, ist mit der im vorliegenden Beitrag vorgestellten Variante (sehr) gering.

2. Was benötigen wir?

Für ein (möglichst) sicheres Online-Banking sollten nach meiner Auffassung folgende drei Voraussetzungen erfüllt sein:

  • Bank: Wir benötigen eine Bank, die das chipTAN-Verfahren unterstützt.
  • chipTAN: Die EC-Karte (Bankkarte) wird in einen externen TAN-Generator / Lesegerät gesteckt und eine TAN generiert, die nur wenige Minuten für den aktuellen Auftrag gültig ist.
  • Linux-Live-System: Wir verwenden ein Linux-Live-System, um die Online-Überweisung getrennt vom eigentlichen Hauptsystem durchzuführen.

Gerade aber ein Linux-Live-System stellt für Anfänger eine »große« Hürde da. Daher sollten wir an dieser Stelle nochmal zwischen Anfängern und Fortgeschrittenen unterscheiden. Anfänger erzielen mit der Kombination chipTAN-Verfahren + externer TAN-Generator schon einen erheblichen Sicherheitsgewinn. Ein Linux-Live-System einzusetzen stellt sozusagen das Tüpfelchen auf dem »i« dar. Das chipTAN-Verfahren sorgt bei korrekter Anwendung schon für eine hohe Sicherheit bei Online-Überweisungen.

Allerdings sollten wir uns auch immer vor Augen führen, dass nicht nur die Online-Überweisung ein sicherheitsrelevanter Vorgang ist, sondern dass über den Online-Zugang zu einem Bankkonto etliche sensible Informationen (Kontostand, Überweisungen, Aktiendepot etc.) abrufbar sind. Gerade im Hinblick auf Schadsoftware wie Trojaner ist es daher sinnvoll, sich über ein vom Hauptsystem abgeschottetes / getrenntes Linux-Live-System in den Online-Bereich der Bank einzuloggen. Mit dieser Maßnahme lässt sich das Risiko erheblich reduzieren, dass ein Dritter die Zugangsdaten über eine im System verankerte Schadsoftware ausspioniert.

Vor diesem Hintergrund solltet ihr euch die Fragen stellen:

Will ich (mehr) Sicherheit oder bevorzuge ich die Bequemlichkeit / Alltagstauglichkeit?

Falls die Antwort auf die Frage »(mehr) Sicherheit« lautet, solltet ihr den unbequemen Weg über ein Linux-Live-System wählen und euch damit vertraut machen. Beantwortet ihr die Frage hingegen mit dem Wunsch nach Bequemlichkeit  / Alltagstauglichkeit, solltet ihr lediglich die Ziffern 2.1 und 2.2 umsetzen.

2.1 Anfänger: Auswahl der Bank

Bei der Auswahl einer Bank spielt insbesondere eine zentrale Frage eine Rolle:

Unterstützt die Bank das (optische) chipTAN-Verfahren?

Einige Banken tun dies noch immer nicht bzw. setzen Verfahren ein, die im Grunde als unsicher bezeichnet werden können. Das ist insofern paradox, weil auch Banken ein großes Interesse haben (sollten), dass Betrüger nicht an das Geld ihrer Kunden gelangen.

In den letzten Jahrzehnten wurde das iTAN-Verfahren (Liste mit indizierten TAN-Nummern) sukzessive durch das mTAN- / smsTAN-Verfahren abgelöst bzw. ergänzt. Gerade das iTAN-Verfahren sehen viele Banken nur noch als Mindestschutz an und empfehlen ihren Kunden andere Verfahren. Aktuell weit verbreitet ist das bereits genannte mTAN- / smsTAN-Verfahren. Bei einer Überweisung benötigt ein Kunde neben einem Computer ebenfalls ein Handy / Smartphone, auf das die auftragsbezogene TAN zur Autorisierung des Vorgangs gesendet wird. Gerade im Hinblick auf Trojaner und andere schadhafte Programme / Apps ist die Nutzung dieses Verfahrens mit einem beträchtlichen Risiko verbunden. Was viele vermutlich (auch) nicht wissen:

Aus Sicherheitsgründen ist es nach den Bedingungen der meisten Banken strikt verboten, eine m- bzw. smsTAN fürs Online-Banking auf dem internetfähigen Smartphone zu nutzen, das zeitgleich für Bankgeschäfte eingesetzt wird.

Ganz klar: Hierbei wird die Zwei-Faktor-Authentifizierung ad absurdum geführt – die zwei Faktoren sind dann nicht mehr voneinander unabhängig. Bei einem Schadenfall übernimmt die Bank womöglich keine Haftung. Vor diesem Hintergrund ist es natürlich paradox, dass etliche Banken die hauseigenen Banking-Apps massiv bewerben, bei denen sowohl die Initiierung als auch Autorisierung einer Überweisung über ein und dasselbe Gerät erfolgen. Das Thema »Banking per Smartphone-App« werde ich nochmal unter Ziffer 4 aufgreifen.

Zusammengefasst: Eure Bank sollte das (optische) chipTAN-Verfahren zwingend unterstützen. Teilweise wird das Verfahren von den Banken auch unter einem anderen Namen wie »Smart-/Sma@rt-TAN plus« beworben. Im Zweifelsfall fragt ihr einfach direkt bei der Bank nach und bittet um Auskunft.

Hinweis

Eure Bank sollte das chipTAN-Verfahren unterstützen. Daneben gibt es natürlich noch weitere Überlegungen bzw. Kriterien für die Auswahl einer Bank. Viele Banken schrecken bspw. nicht davor zurück, ihre Kunden durch Drittanbieter tracken zu lassen – gerade im Hinblick auf den äußerst sensiblen Online-Bankingbereich entstehen dadurch unkalkulierbare Risiken für Sicherheit und Privatsphäre. Mehr Details unter: Wie Banken die Sicherheit und Privatsphäre ihrer Kunden aufs Spiel setzen.

2.2 Anfänger: chipTAN-Verfahren

Beim chipTAN-Verfahren wird die für die Überweisung notwendige TAN von einem Chipkarten-Lesegerät generiert – auch TAN-Generator genannt. Dieser TAN-Generator besitzt ein Ziffernfeld und Karteneinschub für die Bankkarte (EC-Karte). Auf der Rückseite befinden sich fünf optische Sensoren, um die flackernde Grafik (Flicker-Code) zu empfangen. Zahlreiche deutsche Banken bieten dieses Verfahren mittlerweile an. Den Ablauf einer Online-Überweisung möchte ich grob skizzieren:

  • Für eine Online-Überweisung sind zwei Dinge notwendig: Die Bankkarte (EC-Karte) und ein TAN-Generator.
  • Die Bankkarte wird in den TAN-Generator gesteckt und eingeschaltet.
  • Bei einer Online-Überweisung wird anschließend eine chipTAN angefordert. Dazu wird der TAN-Generator an den Bildschirm des Computers gehalten und der Flicker-Code (Lichtsignale) gescannt. Alternativ ist die Eingabe auch manuell am TAN-Generator möglich.
  • Anschließend werden dem TAN-Generator ein (Start-)Code, die Kontonummer des Empfängers und der Überweisungsbeitrag übermittelt. Auf dem Display des TAN-Generators werden die Informationen anschließend zur Kontrolle angezeigt.
  • Sofern die übermittelten Daten mit dem (Online-)Überweisungsträger übereinstimmen und der Anwender sein »Okay« gibt, errechnet der TAN-Generator aus dem (Start-)Code und der eingesteckten EC-Karte eine auftragsbezogene TAN, die für wenige Minuten gültig ist.
  • Diese TAN-Nummer gilt es nun in den Überweisungsvorgang am Computer zu übertragen. Danach ist der Vorgang abgeschlossen.

Der große Vorteil an diesem Verfahren: Beim TAN-Generator handelt es sich um ein dediziertes Gerät, ohne Verbindung zum Computer oder Smartphone. Selbst wenn der Computer oder das Smartphone kompromittiert sind, gelingt die Autorisierung der Überweisung lediglich über die EC-Karte am TAN-Generator – beides liegt vor euch auf dem Tisch und ist offline. Wenn ihr bei einer Online-Überweisung die angezeigten Daten im Display des TAN-Generators kontrolliert (Empfänger, Überweisungsbetrag etc.), ist die Sicherheit des chipTAN-Verfahrens als »sicher« einzustufen. Oder anders formuliert: Die Wahrscheinlichkeit, dass Kriminelle sicherheitsrelevante Daten wie die TAN ergaunern, ist sehr gering.

Damit ihr das chipTAN-Verfahren anwenden könnt, benötigt ihr ein Chipkarten-Lesegerät (TAN-Generator), den eure Bank unterstützt. Persönlich nutze ich den ReinerSCT Tanjack – dieser beherrscht den HHD 1.4 Standard und sollte mit fast allen Banken funktionieren.

Tipp: Informiert euch bei eurer Bank, welchen TAN-Generator bzw. welchen HHD-Standard das Gerät unterstützen muss.

Hinweis

Beim chipTAN-Verfahren gibt es auch Lösungen wie »chipTAN USB«, bei denen das Online-Banking über ein an den Rechner angeschlossenes USB-Gerät abgewickelt wird. Alle Varianten, bei denen der TAN-Generator mit dem Rechner gekoppelt bzw. verbunden wird – egal ob via USB, Bluetooth oder eine andere Schnittstelle – solltet ihr meiden. Der Vorteil des »herkömmlichen« chipTAN-Verfahrens liegt nach meiner Auffassung gerade darin, dass eben KEINE Verbindung mit dem Computer besteht.

2.3 Fortgeschrittene: Linux-Live-System

Weshalb ich ein Linux-Live-System für eine wichtige Komponente bei der Durchführung von Bankgeschäften wie Online-Überweisungen halte, habe ich bereits dargestellt. Nochmal zur Erinnerung: Im Hinblick auf Schadsoftware wie Trojaner ist es sinnvoll, sich über ein vom Hauptsystem abgeschottetes / getrenntes Linux-Live-System in den Online-Bereich der Bank einzuloggen. Damit reduzieren wir das Risiko erheblich, dass ein Dritter die Zugangsdaten über eine im System verankerte Schadsoftware ausspioniert.

Zugegebenermaßen wird die Vorbereitung und Anwendung eines Linux-Live-Systems viele Anwender zunächst abschrecken – das sollte es allerdings nicht. Wer den Vorgang einmal verinnerlicht hat, wird mit einem Plus an Sicherheit belohnt. Grob skizziert sind folgende Schritte notwendig:

  • Wahl einer Distribution: Zunächst solltet ihr ein Linux-Live-System auswählen, mit dem ihr später die Online-Überweisungen durchführen wollt. Die meisten Linux-Distributionen bieten mittlerweile ein Live-Medium an. Diese Live-Distributionen werden insbesondere zum Kennenlernen von Linux eingesetzt, werden aber auch für andere Zwecke wie zur Dateisystem-Reparatur verwendet. Die Besonderheit an einem Live-System ist meistens: Der vorhandene Festplatteninhalt bleibt unverändert. Für Anfänger eignen sich für diesen Zweck insbesondere bekannte Distributionen wie Ubuntu oder Linux Mint, die regelmäßig gepflegt werden und eine gute Hardwareerkennung mitbringen.
  • Live-Medium: Anschließend muss das heruntergeladene Image auf seine Integrität geprüft und auf ein Medium überspielt werden. Als Medium eignet sich bspw. eine externe Festplatte, eine CD/DVD oder ein USB-Stick. Persönlich nutze ich gerne USB-Sticks (+ Schreibschutzschalter) mit ca. 2 – 4 GB an Größe. Insbesondere für Windows-Nutzer eignet sich für diese Aufgabe der Universal USB Installer, um ein Image (ISO-Datei) auf einen USB-Stick zu übertragen. Hinweis: Bei diesem Vorgang wird der komplette Inhalt des USB-Sticks gelöscht.
  • Praxisbetrieb: Mit dem vorbereiteten Medium wird das Linux-Live-System anschließend gebootet und zunächst eine Netzwerkkonnektivität zum Router hergestellt (LAN-Kabel oder WiFi). Anschließend wird direkt der Browser gestartet und die Webseite der Bank aufgerufen – bitte keine Umwege gehen oder andere Seiten aufrufen.
  • Updates: Das Linux-Live-System gilt es in regelmäßigen Abständen zu aktualisieren – ansonsten bleiben wichtige (Sicherheits-)Updates auf der Strecke. Eine Aktualisierung ist im Grunde relativ einfach: Ihr ladet die aktuelle / neue Version eines Systems herunter und überschreibt einfach den vorhandenen USB-Stick, den ihr bisher für diesen Zweck benutzt habt. Mindestens einmal im Quartal solltet ihr diesen Vorgang durchführen, der ca. 15 Minuten in Anspruch nimmt.

Auch dieses Verfahren bietet natürlich keine 100%ige Sicherheit. Es bleiben auch hier immer Restrisiken, die es gilt zu benennen:

  • Integrität: Ist das heruntergeladene Linux-Live-System (ISO-Datei) unverändert bzw. wird das Live-Medium (CD, USB-Stick) auf einem vertrauenswürdigen System erstellt, das nicht von einer Schadsoftware befallen ist?
  • Manipulation: Selbst wenn das Linux-Live-System vollständig in den Hauptspeicher (RAM) kopiert wurde, ist es vor Veränderungen im Betrieb bzw. Manipulation nicht geschützt.
  • Systemupdates: Wer es versäumt, das Linux-Live-System regelmäßig zu aktualisieren, erhöht damit unnötigerweise die Wahrscheinlichkeit, dass das System über eine bekannte Sicherheitslücke angreifbar ist – auch wenn die Wahrscheinlichkeit in der häuslichen Umgebung eher gering ist.
  • Persistenz: Bei der Nutzung eines Linux-Live-Systems via USB-Stick sollten keine persistenten Daten geschrieben werden. Oder anders formuliert: Der USB-Stick sollte schreibgeschützt sein bzw. keine Änderungen am Dateisystem zulassen. Das verhindert unter anderem die heimliche Manipulation von Daten auf dem Stick. Netac, Kanguru oder TrekStor bieten USB-Sticks mit Schreibschutzschalter an.
  • […]

Wie ihr seht, kann man noch weitere Überlegungen anstellen bzw. Vorsichtsmaßnahmen treffen. Allerdings müsst ihr euch dann irgendwann auch die Frage stellen:

Gegen wen oder was schütze ich mich da eigentlich?

Zusammengefasst: Die korrekte Verwendung eines Linux-Live-Systems kann die Wahrscheinlichkeit (weiter) reduzieren, dass ihr Opfer von Kriminellen werdet. Ob ein Linux-Live-System allerdings alltagstauglich ist, müsst ihr für euch selbst herausfinden. Falls nicht, dann nutzt zumindest das chipTAN-Verfahren – auch dann habt ihr schon sehr viel eure Sicherheit beim Online-Banking getan.

Hinweis

Ubuntu bietet eine Anleitung für die Erstellung einer Live-DVD oder eines Live-USB-Mediums.

3. Online-Überweisung in der Praxis

Den gesamten Vorgang einer Online-Überweisung möchte ich euch nun einmal aus der Sicht eines fortgeschrittenen Nutzers demonstrieren, der ein Linux-Live-System einsetzt. Zum Einsatz kommen folgende Komponenten:

  • Bank: PSD-Bank Karlsruhe mit Unterstützung für chipTAN-Verfahren
  • TAN-Generator: ReinerSCT Tanjack – dieser beherrscht den Standard HHD 1.4
  • Live-System: Slax Linux (v.9.4.0)
  • Hardware: ThinkPad T440 (WiFi-Chipsatz wird von Slax erkannt)

Update 30.01.2022

Das letzte Update von Slax Linux ist über zwei Jahre her. Für Online-Banking sollte man daher lieber auf eine aktuelle bzw. gepflegte Linux-Distribution wie Ubuntu oder Linux Mint setzen.

Zunächst wird der vorbereitete USB-Stick mit Slax Linux in einen freien USB-Slot am Notebook geschoben und der Rechner gestartet. Entweder euer Rechner startet automatisch vom USB-Stick oder wird euch ein Auswahlmenü darstellen. In seltenen Fällen müsst ihr händisch nachhelfen und im BIOS den Boot-Vorgang konfigurieren.

Bevor Slax bootet, solltet ihr die Option »Run Slax (Copy to RAM)« selektieren. Slax wir dann direkt in den RAM (Hauptspeicher) eures Systems geladen und von dort aus ausgeführt. Der USB-Stick kann dann noch während des Boot-Vorgangs entfernt werden:

Slax Boot

Nach dem Bootvorgang solltet ihr zunächst eine Konnektivität zu eurem Router herstellen, damit ihr ins Internet könnt. Im Beispiel verbinde ich mich mit dem Router über WiFi – ihr könnt natürlich auch ein Netzwerkkabel benutzen. Nach Eingabe des WPA2-Passworts wird die Verbindung zum Router hergestellt und per DHCP automatisch eine IP-Adresse vermittelt:

Network Manager

Anschließend könnt ihr den mitgelieferten Browser (Chromium) starten und die Webseite eurer Bank bzw. die URL zum Online-Banking eintippen:

PSD-Bank

Sobald ihr euch eingeloggt habt, könnt ihr den Online-Überweisungsträger ausfüllen. Die Bestätigung der Überweisung erfolgt im Beispiel via Flicker-Code. Dazu halte ich den TAN-Generator (mit eingesteckter EC-Karte) einfach an den Bildschirm – und zwar so, dass sich die zwei dargestellten Dreiecke des Flicker-Codes mit denen des Lesegeräts überlappen. Falls notwendig könnt ihr die Größe des Flicker-Codes auf dem Bildschirm vergrößern bzw. verkleinern. Sobald der Flicker-Code übermittelt wurde, berechnet der TAN-Generator – nach manueller Prüfung der Informationen – die für die Transaktion gültige TAN:

chipTAN

Nach Eingabe der TAN ist die Überweisung ausgeführt. Ihr könnt das System anschließend wieder herunterfahren.

4. Banking per Smartphone-App?

Update 30.01.2022

Nach nunmehr knapp 4 Jahren hat sich die Lage im Bereich Mobile-Banking bzw. Banking am Smartphone gewandelt. Für die meisten Anwender dürfte die Kombination einer Banking-App mit dem chipTAN-Verfahren sicherer sein, als Online-Banking über den (heimischen) PC bzw. Notebook durchzuführen. Die Sicherheitsarchitektur (Sandbox-Modell) von Android und iOS ist einem herkömmlichen Windows-System überlegen, bei dem Nutzer in der Regel die Möglichkeit haben, tief ins System einzugreifen.

Der vorliegende Beitrag bleibt dennoch weiterhin aktuell – für alle jene, die ihre Bankgeschäfte weiterhin sicher am PC durchführen wollen. Die Kombination aus Linux-Live-System und dem chipTAN-Verfahren bietet aus meiner Sicht eine sehr hohe Sicherheit.

Banken wie die Deutsche Bank, Commerzbank und Sparkassen bieten spezielle Apps für das Smartphone, um bequem und von überall Überweisungen durchführen zu können. Mein Rat: Aus Sicherheits- und Datenschutzgründen solltet ihr auf diese Apps unbedingt verzichten. Das hat mehrere Gründe – auf zwei gehe ich kurz ein:

  • Unsichere Umgebung: Ein Smartphone ist keine »sichere« Umgebung für Apps, bei denen sensible Daten verarbeitet werden. Man sollte sich nämlich immer wieder vor Augen führen, dass auch Betriebssysteme wie Android hochkomplexe Software sind. Deshalb ist es auch nicht weiter verwunderlich, dass auch bei Android immer wieder neue Schwachstellen auftauchen, die ernste Sicherheitslücken nach sich ziehen und Millionen von Geräten bzw. deren Nutzer bedrohen. Sicherheitslücken der Kategorie Stagefright (CVE-2015-1538, CVE-2015-3864 etc.) oder der WebView-Bug (CVE-2014-6041) demonstrieren regelmäßig, wie verwundbar Android ist. Das Problem sind allerdings nicht unbedingt die Sicherheitslücken selbst – denn diese werden ja von Google geschlossen – sondern das eigentliche Problem liegt woanders: Die meisten Anwender können ihre Geräte bzw. Android nicht mit aktuellen Sicherheitsupdates versorgen, da die Hersteller oftmals schon nach einem halben Jahr den Support einstellen. Vor diesem Hintergrund ist es grob fahrlässig, Banking-Apps zu nutzen – egal in welch schillernden Farben die Banken ihre Apps darstellen. Die meisten Smartphones in freier Wildbahn sind eine wandelnde Zeitbombe mit schwerwiegenden Sicherheitslücken.
  • Sicherheitskonzept ausgehebelt: Wer Online-Banking per (Smartphone-)App nutzen möchte, muss sich oftmals zwei Apps auf seinem Gerät installieren. Einmal die Online-Banking-App und eine TAN-App, um die TANs zu empfangen, die für die Autorisierung der Online-Überweisungen notwendig sind. Solche App-basierten TAN-Verfahren sind für Angriffe geradezu prädestiniert, da der gesamte Online-Banking-Vorgang auf ein und demselben Gerät abläuft. Die Sicherheit der eigenen Kunden wird durch das Wegfallen einer Zweifaktor-Authentifizerung auf dem Altar der Bequemlichkeit geopfert.

Die zwei genannten Gründe sollten im Grunde schon ausreichen, um auf Bankgeschäfte via Smartphone zu verzichten. Doch wir können noch einen draufsetzen: Die Banking-Apps selbst weisen zahlreiche Sicherheitslücken auf, mit denen sich bspw. Überweisungen beliebig manipulieren lassen:

An dieser Stelle noch ein Hinweis von mir: Viele Banken pushen ihre App-Lösungen daher, weil sie fürchten, dass sie Kunden verlieren, wenn sie nicht auf bequeme Lösungen setzen. Diesen Trend, der Bequemlichkeit über Sicherheit stellt, haben wir insbesondere digitalen Finanzunternehmen, sog. FinTechs, zu verdanken.

Fazit: Wer seine Bankgeschäfte einzig über die Banking-Apps (auf ein und demselben Gerät) erledigt, der handelt grob fahrlässig.

Du kannst den Blog aktiv unterstützen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

5. Fazit

Durch Bekanntwerden von zahlreichen Missbrauchsfällen hat Online-Banking bei vielen Anwendern ein schlechtes Image und sie verzichten aus Angst, selbst Opfer von Kriminellen zu werden. Andere Anwender hingegen scheinen jegliches Risiko auszublenden und nutzen (unsichere) Smartphone-Apps für ihre Bankgeschäfte.

Nach meiner Auffassung gibt es allerdings einen Mittelweg, mit dem sich das Risiko erheblich reduzieren lässt, ohne auf Online-Banking verzichten zu müssen. Unterstützt die Bank das chipTAN-Verfahren, sollten sicherheitsbewusste Anwender zu diesem wechseln. Die Kombination bestehend aus einem (Offline-)TAN-Generator und der EC-Karte bietet insgesamt eine hohe Sicherheit. Wer das Risiko weiter reduzieren möchte, der kombiniert das chipTAN-Verfahren mit einem Linux-Live-System – Tante Frieda benötigt hierbei allerdings wohl etwas Unterstützung.

Bildquellen:

Budget: Nhor Phai from www.flaticon.com is licensed by CC 3.0 BY

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester und Sicherheitsforscher bei Kuketz IT-Security überprüfe ich IT-Systeme, Webanwendungen und mobile Apps (Android, iOS) auf Schwachstellen. Als Lehrbeauftragter für IT-Sicherheit an der DHBW Karlsruhe sensibilisiere ich Studierende für Sicherheit und Datenschutz. Diese Themen vermittle ich auch in Workshops, Schulungen sowie auf Tagungen und Messen für Unternehmen und Fachpublikum. Zudem schreibe ich für die Computerzeitschrift c’t und bin in Medien wie heise online, Spiegel Online und der Süddeutschen Zeitung vertreten. Der Kuketz-Blog und meine Expertise finden regelmäßig Beachtung in der Fachpresse und darüber hinaus.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du immer über neue Beiträge informiert bleiben möchtest, gibt es verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge
Mobile-Banking
31. Januar 2022

Android & iOS: Sicheres Mobile-Banking am Smartphone

Sicheres Mobile-Banking am Smartphone (Android, iOS) mit dem chipTAN-Verfahren und der Sparkassen-App.
Unsicheres Online-Banking
9. Juli 2019

Wie Banken Online-Banking durch Apps unsicher machen

Die flächendeckende Verbreitung von Banking-Apps wird die Betrugsfälle stark ansteigen lassen - Banken tragen hier eine erhebliche Mitschuld.
VeraCrypt
26. Juli 2018

VeraCrypt: Daten auf USB-Stick sicher verschlüsseln

Mit VeraCrypt lassen sich Datenträger verschlüsseln und sensible Daten vor neugierigen Blicken schützen. Voraussetzung: Ein sicheres Passwort!
Linux-LUKS
5. September 2018

dm-crypt / LUKS: Daten unter Linux sicher verschlüsseln

Mit dm-crypt / LUKS lassen sich Datenträger verschlüsseln und sensible Daten vor neugierigen Blicken schützen. Voraussetzung: Eine sichere Passphrase!
Online-Banking-Test
25. August 2024

Der große Online-Banking- und TAN-App-Test

Online-Banking und Banking-Apps machen immer größere Fortschritte im Komfort, aber der Datenschutz bleibt dabei leider fast immer auf der Strecke.
Weitere Themen
AndroidAppleAuditAutonomieBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOEncryptionFirewallHackingHardeningiOSKIKuketz-BlogLinuxMessengerMicrosoftOpenWrtPasswortPentestPolitikRaspberryPiRechtSicherheitsmaßnahmeSurveillanceTDDDGTestberichtTorTrackingUnplugBigTechVulnerabilityWearableWordPress
Diskussion
HilfeFür Hilfe und Fragen nutze bitte ausschließlich unser offizielles Forum. Dort erhältst du Unterstützung von der Community – und alle profitieren von der Lösung. Direkte Anfragen per E-Mail oder Signal kann ich aus Zeitgründen leider nicht beantworten und lösche sie ungelesen – der individuelle Betreuungsaufwand ist einfach zu hoch. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern spiegeln den Informationsstand zum Zeitpunkt der Veröffentlichung wieder, ähnlich wie Zeitungsartikel.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.