Was sich die Deutschen von ihrem Girokonto wünschen

Laut einer Umfrage von TNS Infratest im Auftrag der Allianz Deutschland AG wünschen sich die Deutschen ein kostenloses Girokonto mit der Möglichkeit an vielen Geldautomaten kostenlos Geld abheben zu können. Zudem wünschen sie sich bei Bedarf auch eine qualifizierte Beratung, also Bedingungen, die sich aus Sicht der Banken in ihrer Gesamtheit nicht leicht erfüllen lassen. Kostenlose Girokonten werden eher von reinen Onlinebanken angeboten, während eine kompetente Beratung eher eine Domäne der Filialbanken ist. Außerdem ergab die Umfrage, dass rund 11 Prozent der Bevölkerung, also ca. 6,6 Millionen Bankkunden, ernsthaft über einen Wechsel ihrer Bankverbindung nachdenken.

Im einzelnen ergab die Umfrage, dass sich 85 Prozent der Befragten eine kostenfreie Kontoführung wünschen, eine flächendeckende und kostenlose Bargeldversorgung in Deutschland wollen 93 Prozent, im Ausland 72 Prozent. 52 Prozent wünschen sich ihr Konto online führen zu können, wobei besonders die Altersgruppe zwischen 18 und 39 Jahren auf diesen Punkt und die Bargeldversorgung am Automaten besonderen Wert legt. Der Wunsch nach einer kostenlosen Kontoführung ist über alle Altersgruppen gleichmäßig verteilt.

Über die Art und Weise, wie die Deutschen ihre Bankgeschäfte erledigen, fand die Umfrage heraus, dass immerhin noch 57 Prozent ihre Filiale vor Ort nutzen, während 40 Prozent ihre Bankgeschäfte online und zwei Prozent per Telefon-Banking erledigen. Dabei sind vor allem Personen über 60 Jahre und Frauen besonders eng mit ihrer Hausbank verbunden, wohingegen Personen zwischen 18 und 39 Jahren und Männer zum Online-Banking tendieren.

Erstaunlicherweise halten 85 Prozent der Befragten unabhängig von Alter und Geschlecht einen persönlichen Ansprechpartner in ihrer Bank für wichtig, bzw. sehr wichtig. Kleine Unterschiede ergeben sich nur zwischen den Online-Bankern und den Nicht-Online-Bankern. Bei ersteren sind es 80 Prozent, die Wert auf eine persönliche Beratung legen, während für 90 Prozent der Personen, die kein Online-Banking nutzen, dieser Punkt besonders wichtig ist.

Warnung vor neuem Trojaner

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundeskriminalamt (BKA) warnen vor einem neuartigen Trojaner, der Teilnehmer am Online-Banking zum Ziel hat. Im Gegensatz zu bisher üblichen Phishing-Attacken leitet einen dieser Trojaner nicht auf eine gefälschte Website um, die man evtl. noch am fehlenden HTTPS erkennen könnte, sondern manipuliert die Original-Website der Bank. Angeblich wird der Kunde dazu aufgefordert, bis zu 20 TAN-Nummern einzugeben. Bei einer solchen Aufforderung sollte man sofort stutzig werden und die Verbindung zum Bankportal umgehend beenden.

Zudem ist es geboten mit dem hoffentlich installierten und aktualisierten Virenscanner einen Komplettscan des betroffenen Rechners durchzuführen. Mit etwas Glück wird der Virus gefunden und kann beseitigt werden. Wird kein Virus gefunden, ist das aber kein Grund zur Entwarnung. In der Regel dauert es etwas bis ein neu erkannter Virus in die aktuellen Virensignaturen der Scanner eingeht. Eine Alternative ist der Einsatz eines Online-Scanners. Einige der namhaften Hersteller von Anti-Viren-Software bieten diesen Service auf ihrer Website an. Diese Online-Scanner sind oft schneller auf dem aktuellen Stand.

Der Trojaner wird überwiegend über infizierte Webseiten verbreitet. Daher können selbst vorsichtige Naturen einen Befall ihres Rechners nicht ausschließen und kaum verhindern.

Daher empfiehlt es sich, wie schon in dem auf dieser Seite erschienenen Artikel “Sicherheit beim Online-Banking Teil 5“ beschrieben, zum Online-Banking den Rechner mit einem auf einem schreibgschützten Medium befindlichen garantiert sauberen System zu starten. Empfehlenswert ist hier das ebenfalls in jenem Artikel erwähnte Bankix der Computerzeitschrift c’t.

Sicherheit beim Online-Banking (Teil 5)

In diesem 5. und letzten Teil werden einige zusätzliche Möglichkeiten aufgezeigt, die Online-Banking noch ein gutes Stück sicherer machen.

Einen guten Schutz gegen Attacken aus dem Bereich klassisches Phishing bietet spezielle Online-Banking-Software wie StarMoney oder das kostenlose Hibiscus. Da hier die Parameter zur Verbindung mit der Bank einmal eingerichtet werden und in Zukunft die Verbindung zum Bankserver über das Programm hergestellt wird, entgeht man Schreibfehlern bei der Eingabe der Bankadresse.

Eine sehr sichere Lösung ist ein eigener PC, der ausschließlich fürs Online-Banking verwendet wird. Im Idealfall sind auf diesem Rechner ein alternatives Betriebssystem (z.B. Linux) und ein alternativer Browser (z.B. Firefox) installiert.

Es muss aber nicht notwendigerweise ein eigener PC herhalten, ein virtueller PC ist nahezu genauso sicher. Es gibt inzwischen einige kostenlose Virtuelle Maschinen im Internet. Eine geeignete Lösung fürs Online-Banking ist der Moka-Five-Player der kostenlos aus dem Internet geladen werden kann. Beim ersten Start lädt der Player das Linux System Fearless Browser, das bereits fertig konfiguriert und auf sicheres Surfen ausgelegt ist. Man benötigt daher keine speziellen Linux-Kenntnisse. Als Browser kommt Firefox zum Einsatz.

Ein sehr interessanter Ansatz ist das Bankix Projekt der Computerzeitschrift c’t. Hierbei handelt es sich um ein speziell für das Internet-Banking angepasstes Linux-Live-System, das von CD oder einem USB-Stick mit Schreibschutzschieber gebootet werden kann. Auch hierfür sind keine Linux-Kenntnisse nötig. Eine detaillierte Anleitung findet man u.a. auf der Website der c’t. Der Vorteil ist, dass die CD, bzw. der schreibgeschützte Stick nicht angreifbar ist. Während der Arbeit mit Bankix ist außerdem kein Zugriff auf die Festplatte des Rechners möglich.

Fazit: Bei Beachtung einiger Verhaltensregeln ist Online-Banking nicht so gefährlich wie sein Ruf.

Sicherheit beim Online-Banking (Teil 4)

In diesem Teil geht es um Maßnahmen der Banken, die geeignet sind, die Sicherheit beim Online-Banking weiter zu erhöhen.

Von Seiten der Banken gibt es hauptsächlich zwei Verbesserungen des PIN/TAN-Verfahrens. Beim aktuell von sehr vielen Banken eingesetzte iTAN-Verfahren sind die TANs auf der Liste durchnummeriert. Bei einer Transaktion wird nun vom Bankserver eine ganz bestimmte TAN (z.B. TAN Nummer 34) angefordert. Nur mit dieser TAN kann die Transaktion abgeschlossen werden. Dieses Verfahren verhindert ziemlich zuverlässig das klassische Phishing, da der Betrüger selbst wenn er in den Besitz von einigen TANs gelangt ist, nicht weiß welche TAN er eingeben muss. Einen Schritt weiter geht das mTAN-Verfahren. Dabei hat der Anwender keine Liste mit TANs, sondern erhält bei Bedarf eine TAN und die Buchungsdaten per SMS auf sein Handy. Diese Methode unterbindet recht zuverlässig alle Phishing-Attacken, hat aber den Nachteil, dass sie sehr kostenintensiv ist. Legt die Bank die SMS-Gebühren auf den Kunden um, entstehen diesem nicht unerhebliche Kosten pro Transaktion. Daher hat sich diese Technik kaum durchgesetzt.

Eine Alternative zum PIN/TAN-Verfahren ist HBCI (Hombanking Computer Interface). Hierbei erhält der Kunde eine passwortgeschützte Chip-Karte, die ähnlich wie die EC-Karte am Geldautomaten die Autorisierung übernimmt. Dieses Verfahren bringt tatsächlich deutlich mehr Sicherheit. Allerdings bieten längst nicht alle Banken diese Technik an und der Kunde benötigt ein Kartenlesegerät, was als Einmalanschaffung eigentlich nicht wirklich ins Gewicht fällt. Leider hat sich dieses Verfahren wahrscheinlich aus o.g. Gründen bisher zahlenmäßig nicht durchsetzen können.

Es existieren noch weitere Techniken und Ideen, die aber noch Entwicklungsstatus haben und daher aktuell noch keine Rolle spielen.

Im nächsten Teil werden weitere technische Möglichkeiten besprochen, mit denen der Bankkunde für deutlich mehr Sicherheit sorgen kann.

Sicherheit beim Online-Banking (Teil 3)

Die zweite und aktuell am weitesten verbreitete Phishing-Methode arbeitet mit sogenannten Trojanern, bzw. Trojanischen Pferden. Der Begriff ist den griechischen Heldensagen über die Eroberung Trojas entliehen. Trojaner sind eine Untergruppe von Computerviren, die keinen Schaden am Computer anrichten, sondern ähnlich wie das berühmte Pferd unauffällig und unbemerkt auf Ihren Einsatz warten. Ihre Stunde ist gekommen, wenn der Bankkunde eine Onlineverbindung zum Bankserver aufnehmen will. Der Trojaner schaltet sich in den Datenverkehr zwischen Browser und Bankserver ein und leitet die Daten an eine gefälschte Website weiter. Man spricht hier auch von einer „Man in the Middle“-Attacke.

Einige dieser Websites greifen die PIN und TAN zur späteren Verwendung ab und geben eine Fehlermeldung aus, die natürlich von der gefälschten Website stammt. Mit etwas „Glück“ versucht der Bankkunde es mehrmals erneut mit verschiedenen TANs, sodass der Betrüger auf einen Streich in den Besitz gleich mehrerer unverbrauchter TANs kommt. Also Augen auf bei Fehlermeldungen während Transaktionen. Diese müssen nicht, können aber auf eine Attacke hindeuten.

Bei einer anderen Methode werden durch ein automatisches Tool auf der gefälschten Website die Empfängerdaten geändert und die bearbeitete Buchung an den echten Bankserver weitergeleitet. Das perfide an dieser Attacke ist, dass der Anwender von dieser Aktion nichts mitbekommt und auch kein Anhaltspunkt für eine Attacke zu erkennen ist. Erst bei der Kontrolle der Kontoauszüge kommt die Wahrheit ans Licht.

Gegen diese Methoden hilft letztlich nur seinen Rechner „sauber“ zu halten. Zum einen sollten das Betriebssystem und vor allem der Internet-Browser stets auf dem aktuellen Stand gehalten werden, um erkannte Sicherheitslücken zu schließen. Zum anderen sollte eine Firewall (entweder zentral im Router, oder eine Desktop-Firewall auf dem Rechner) aktiv und ganz wichtig ein Virenscanner mit stets aktuellen Virensignaturen installiert sein.

Im nächsten Teil geht es um weitergehende Techniken, die Online-Banking noch sicherer machen.

Sicherheit beim Online-Banking (Teil 2)

Trotz der in Teil 1 besprochenen Doppelsicherung im PIN/TAN-Verfahren, haben sich findige Hacker mit kriminellen Intentionen Methoden ausgedacht, das System zu unterlaufen. Die grundsätzliche Idee besteht darin, PIN und TANs abzufangen und auszuspionieren. Diese Technik wird allgemein als Phishing bezeichnet. Hierbei gibt es zwei Methoden.

Beim klassischen Phishing wird versucht den Anwender auf eine gefälschte Website zu locken, die im Idealfall möglichst exakt wie das Portal Ihrer Bank aussieht. Ein weit verbreiteter Weg ist das Versenden von gefälschten E-Mails, die vorgeben von der eigenen Bank zu sein und den Anwender auffordern sich über einen in der Mail befindlichen Link mit der (gefälschten) Website zu verbinden, sich einzuloggen und unter irgendeine Vorwand eine oder gleich mehrere TANs einzugeben. Auch wenn die Link-Adresse auf den ersten Blick wie die URL Ihrer Bank aussieht ist hier Vorsicht geboten, da der dargestellte Link-Text technisch ganz einfach auf eine andere Adresse verweisen kann. Ihre Bank würde Sie niemals per E-Mail dazu auffordern, Ihre PIN oder TANs irgendwo einzugeben. Eine sichere Methode ist also solche Mails einfach zu ignorieren und die Mail sofort zu löschen. Eine weitere Methode in dieser Kategorie sind Websites die durch kleine Schreibfehler des Anwenders bei der Eingabe der URL des Bank-Portals angesteuert werden und im weiteren nach der o.g. Methode verfahren. Da die Methode auf Zufall, bzw. einem Fehler des Bedieners beruht, also nicht von den Betrügern provoziert werden kann, ist sie nicht sehr weit verbreitet. Auf jeden Fall sollte man die Adresse des Bank-Portals immer händisch eingeben und niemals über Links, Bookmarks, etc. auf die Website der Bank gehen. Bei der Eingabe sollte man natürlich sehr sorgfältig vorgehen und Schreibfehler vermeiden. Lieber einmal zu viel kontrollieren, als einmal zu wenig.

Der nächste Teil befasst sich mit der zweiten Kategorie von Phishing-Attacken über sogenannte Trojaner. Dies ist die aktuell am weitesten verbreitete Methode.

Sicherheit beim Online-Banking (Teil 1)

Auf der Suche nach einem geeigneten und möglichst kostengünstigen Girokonto stößt man schnell auf Angebote von Direktbanken, die kein eigenes Filialnetz unterhalten. Sehr schnell sieht man sich dann mit dem Thema Online-, bzw. Internet-Banking konfrontiert. Selbst viele ansonsten sehr vom Internet begeisterte Zeitgenossen, die sich gerne und oftmals sehr freizügig in sozialen Netzwerken tummeln, schrecken bei diesem Thema unvermutet zurück und lassen sich damit die Möglichkeit im täglichen Geldverkehr ordentlich zu sparen entgehen.

Natürlich birgt Online-Banking wie fast alles im Leben etliche ernst zunehmende Gefahren, aber unter Beachtung einiger Regeln ist es auch nicht gefährlicher, als vom Geldautomaten abzuheben oder in Geschäften und Restaurants mit EC- oder Kredit-Karte zu zahlen. Auch Bargeld kann verloren gehen oder gestohlen werden und Überweisungsträger in Papierform können durch Schreibfehler oder Zahlendreher unangenehme Konsequenzen nach sich ziehen.

Im Rahmen einer mehrteiligen Reihe haben dieser und die folgenden Artikel zum Ziel Skeptikern die Angst vorm Internet-Banking zu nehmen und Techniken und Verhaltensstrategien aufzuzeigen, um Online-Banking so sicher wie möglich zu machen.

Zur Absicherung von Geldbewegungen (Transaktionen) und die Autorisierung durch den Kontoinhaber wird überwiegend das PIN/TAN-Verfahren eingesetzt. Dabei meldet sich der Anwender mit seiner Kontonummer und seiner PIN(Persönliche Identifikationsnummer) im Banksystem an. Damit kann der Kontoinhaber lesend auf seine Daten (Kontostand, Umsätze, …) zugreifen. Soll nun eine Transaktion wie z.B. eine Überweisung getätigt oder ein Dauerauftrag erteilt werden, muss diese mit einer Transaktionsnummer bestätigt werden. Hierzu erhält man von der Bank eine Liste mit Transaktionsnummern, die beim einfachen PIN/TAN-Verfahren in beliebiger Reihenfolge benutzt werden können. Durch diese Doppelabsicherung hat man an sich schon ein sehr sicheres System, solange man mit der PIN und den TANs sorgsam umgeht.

In den nächsten Teilen geht es um die Methoden mit denen es Betrügern trotzdem gelingt, das System auszuhebeln, wie die Banken diesem Missbrauch begegnen und was man selbst tun kann um die Sicherheit zu erhöhen.