Computerwissen

Dies ist ein Begrüßungstext, der immer auf der QuA Landingpage (qa/index) angezeigt wird.

Hallo, Herr Koch,

mit Interesse habe ich in "PC-Wissen für Senioren" Ihren Beitrag zu den Online-Bankgeschäften gelesen. Ich nutze seit Jahren bei der Postbank die 2-Wege-Authentifizierung und habe damit bisher keine Probleme. Jetzt hat mich jedoch Ihr Kollege Gerb vom "Viren-Ticker" mit der Mitteilung verunsichert, dass bei diesem Verfahren die Betrugsfälle um das Sechsfache gestiegen sind. Das BKA fordert deshalb zum Umstieg auf. Auf der sicheren Seite wäre man mit dem HBCI-Verfahren. Das kommt nun in Ihrem Beitrag gar nicht vor. Muss ich mir also doch keine Sorgen machen und kann wie bisher mit dem SMS-TAN-Verfahren arbeiten?

Besten Dank für Ihre Bemühungen und viel Erfolg bei "PC-Wissen für Senioren".

Freundliche Grüße
Alfred Peter
Geschrieben in: Internetsicherheit 09:40, 05. Februar 2018
Beitrag teilen:

Akzeptierte Antwort

11:00, 06. Februar 2018
Hallo Herr Peter,

die Zweiwege-Autorisierung mit dem SMS-TAN-Verfahren ist vollkommen sicher, solange wirklich niemand außer Ihnen die SMS mit den zugeschickten TAN-Nummern empfangen kann. Das ist aber grundsätzlich der Fall, weil ja SMS zunächst einmal nur an das Handy mit Ihrer Telefonnummer verschickt werden.

Es gibt in diesem System allerdings zwei mögliche Schwachstellen:

- Falls Sie für den Empfang der SMS ein Smartphone nutzen, muss dieses (wie im Artikel erwähnt) vor dem Befall durch Schadprogramme geschützt sein. Davon sind vor allem Smartphones mit Android-Betriebssystem betroffen, weil die Zahl der Schadprogramme für Android deutlich zugenommen hat. Ich vermute sehr stark, dass sich die Aussage des Kollegen bezüglich der gestiegenen Fallzahlen auf diesen Umstand bezieht. Ein unentdecktes Schadprogramm auf einem Android-Handy könnte die SMS unbemerkt an einen weiteren Empfänger weiterleiten und somit den Zugriff auf Ihr Konto ermöglichen.

Von dieser Sicherheitslücke sind Sie aber nicht betroffen, wenn Sie nach wie vor ein "normales" Handy (also kein Smartphone) nutzen, auf dem Sie keine eigenen Apps installieren. Für iPhones existieren ebenfalls nur sehr wenige Schadprogramme, die zudem nicht auf dem "regulären" Installationsweg über den Apple-App-Store auf das Gerät gelangen.

- Eine zweite – theoretische – Sicherheitslücke setzt einen aufwendigen und erfolgreichen "Phishing"-Versuch bei Ihnen voraus: Sollten Datendiebe ausreichend persönliche Daten und das Kundenkennwort für Ihr Mobilfunkkonto abgegriffen haben, könnten sie theoretisch eine zweite SIM-Karte bestellen und somit Zugriff auf die an Sie verschickten SMS bekommen. Diese Masche ist jedoch seit längerem bekannt und hat dazu geführt, dass die meisten Mobilfunk-Anbieter strengere Sicherheitsregeln für die Bestellung von SIM-Karten umgesetzt haben. Insofern ist auch ein erfolgreicher Betrug auf diesem Weg sehr unwahrscheinlich geworden.


Grundsätzlich ist HBCI in der Tat das sicherste Verfahren für Online-Banking – solange es nicht durch verschiedene "Erleichterungen" aufgeweicht wurde. Entscheidend: Die Autentifizierungsdaten für den Kontozugriff liegen verschlüsselt auf einer Chipkarte vor, dazu muss die Eingabe der PIN-Nummer bzw. die Freigabe einer Transaktion am dazugehörigen Chipkartenleser stattfinden. Hier wäre zum Beispiel nur ein Diebstahl der Chipkarte und der dazugehörigen PIN ein Weg, um in Ihr Konto einzubrechen – sehr unwahrscheinlich.

Neuere "HBCI"-Verfahren ("HBCI 2.2", "HBCI+") tragen zwar noch diesen Namen, erfordern aber zum Beispiel die Freigabe per PIN-Eingabe am PC. Dort kann wiederum ein Schadprogramm eingreifen und die Transaktion manipulieren. Der Vorteil des "echten" HBCI-Verfahrens gegenüber dem PIN/TAN-Verfahren ist damit verloren.


Kurz zusammengefasst: Das SMS-TAN-Verfahren bietet gute Sicherheit, solange Sie Ihr Smartphone vor Schadprogrammen schützen oder noch ein altes Handy ohne eigene Apps nutzen. Tipp: Falls Sie die Möglichkeit haben, können Sie die Sicherheit jedoch durch Nutzung des Chip-TAN-Verfahrens noch einmal verbessern

HBCI ist noch sicherer, solange das vollwertige HBCI-Protokoll mit Chipkarte und PIN-Eingabe am Kartenleser zum Einsatz kommt. Insgesamt sind der Aufwand und die Kosten dafür jedoch deutlich höher, weshalb HBCI vor allem in Unternehmen eingesetzt wird.

Viele Grüße,

Martin Koch :)
google icon

Wunderbar, dass Ihnen weiter geholfen werden konnte!

Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
Jetzt bewerten

Die Antwort ist derzeit minimiert Show
Antworten (1)
  • Akzeptierte Antwort

    13:27, 06. Februar 2018
    Hallo, Herr Koch,

    herzlichen Dank für diese umfassende Antwort.

    Freundliche Grüße
    Alfred Peter
    google icon

    Wunderbar, dass Ihnen weiter geholfen werden konnte!

    Wir würden uns sehr freuen, wenn Sie uns eine Bewertung auf Google hinterlassen:
    Jetzt bewerten

    Die Antwort ist derzeit minimiert Show
Login Bild

Bitte melden Sie sich an um eine Antwort zu verfassen

Sie müssen angemeldet sein um eine Antwort zu verfassen. Sie können hierfür das Anmeldeformular rechts nutzen oder sich registrieren.

Hier registrieren »