ONLINE-BANKING

Diese Online-Fachbegriffe müssen Sie beim Online-Banking kennen

PIN

Um Zugriff auf das Online-Konto zu haben, muss neben der eigenen Kontonummer die PIN (Persönliche Identifikationsnummer) eingegeben werden. Aus Sicherheitsgründen sollte diese PIN von Zeit zu Zeit geändert werden.

>>> Hier gibt es Infos für die Wahl geeigneter Passwörter.

Um die echte Bank-Website von einer gefälschten Bank-Website (>>> Pharming-Website) einwandfrei zu unterscheiden, geben Sie zunächst neben dem richtigen Anmeldenamen beziehungsweise der richtigen Konto-Nummer zuerst eine ungültige PIN ein.

Bei der echten Bank-Website wird sofort eine Fehlermeldung ausgegeben - bei einer gefälschten Seite werden diese falschen Anmeldedaten akzeptiert und es wird auf eine Pharming-Seite weitergeleitet.

Sichere Internetverbindung:

https   Hypertext Transfer Protocol SSL  (SSL = Secure Socket Layer oder das Nachfolgeprotokoll TLS Transport Layer Security)

In den Statuszeilen der verschiedenen Internet-Browser wird eine TLS/SSL-Verbindung durch ein geschlossenes Vorhängeschloss angezeigt.
Mit einem Doppelklick auf das Schloss erhalten Sie Zusatzinformationen.

i-TAN (indizierte TAN)

(TAN = Transaktionsnummer)

Hier erhält der Bankkunde eine durchnummerierte TAN-Liste und muss auf Aufforderung der Bank, eine TAN aus einer bestimmten Position benutzen.

Dieses Verfahren wird wegen der hohen Angriffsgefahr kaum noch verwendet.

m-TAN (mobile TAN)
oder SMS-TAN

Einen Sicherheitsschritt weiter geht die mobile TAN.
Hier erhält der Online-Bankkunde nach Eingabe seiner Überweisungsdaten eine nur wenige Minuten gültige TAN per SMS auf sein Handy übermittelt.

e-TAN (elektronische TAN)

Mit einem von der Bank ausgehändigtem elektronischen Generator wird für jede Transaktion eine nur wenige Minuten gültige neue TAN generiert.

HBCI
(Homebanking Computer Interface)

Der Bankkunde erhält von seiner Bank eine Spezialsoftware, die es ihm ermöglicht, ein Chipkartenlesegerät anzuschließen. Bei einer Überweisung wird die Chipkarte eingeschoben und die Signatur anschließend verschlüsselt übertragen.

FinTS
(Financial Transaction Services)

Eine noch sicherere Weiterentwicklung ist das FinTS-Sicherheitsverfahren mit weiteren Authentisierungsmöglichkeiten.

Da die Banken unterschiedliche Sicherheitsverfahren unterstützen, ist eine Anfrage bei der Hausbank erforderlich.

chipTAN (Flickercode)

Ein Flickercode-TAN-Generator kann bei unterschiedlichen Banken verwendet werden.

Da keine Daten in dem Gerät gespeichert werden, ist ein Verlust (Diebstahl) kein Sicherheitsrisiko.

Noch sicherer werden Bankgeschäfte mit dem Flickercode (eine animierte Grafik). Hierbei wird nach Eingabe aller für eine Überweisung notwendigen Daten von der Bank  zwecks Identifizierung ein aus sechs kleinen Feldern bestehenden Blinkcode gesendet, der abwechselnd schwarz und weiß blinkt. Dieser Code enthält die Überweisungsdaten sowie eine zur Transaktionsfreigabe verschlüsselte TAN.
Nun wird ein scheckkartengroßer Internetausweis mit einem Fotosensor (Flickercode-TAN-Generator) vor diesen blinkenden Code gehalten, der daraufhin eine nur für diesen Vorgang gültige TAN errechnet, die anschließend wie gewohnt zur Bestätigung eingegeben werden muss.

Phishing
Phishing = engl.: fishing  "abfischen, angeln".
Das "Ph" ist in der Crackerszene eine Alternative zum "F").

aktiviertes Phishingfilter:

Besonders perfide ist die Betrugsmasche mit täuschend ähnlich nachgemachten E-Mails im Bankendesign. Daher besonders skeptisch sein, wenn Sie in einer E-Mail aufgefordert werden, Kontonummer, Passwörter, Bank-Pins oder TANs einzugeben. Auch nicht der Aufforderung folgen, einen Link anzuklicken. Lassen Sie sich auch nicht von irgendwelchen fadenscheinigen Drohungen der Identitätsdiebe einschüchtern. Derartige Mails am besten umgehend löschen.

Verdächtige E-Mails am besten gleich endgültig löschen, also nicht erst in den Papierkorb verschieben.
Bei MS-Outlook funktioniert das z.B. mit der Tastenkombination
[Shift] + [Entf] 

Pharming (Der Begriff ist auf große Server-Farmen zurückzuführen)

Ein eingeschleustes Schadprogramm leitet beim Aufruf der Bankenwebsite unbemerkt auf eine gefälschte Website um auf der dann die illegalen Aktivitäten erfolgen.
Vor dieser hinterhältigen Art der Manipulation ist man auch dann nicht geschützt, wenn die gewünschte Internetadresse richtig eingegeben wird.

Key-Logger (Tastaturrekorder)

Ein eingeschleustes Schadprogramm protokolliert heimlich alle Tastatureingaben mit und sendet diese unbemerkt an den Dieb. Der kann dann mit den ausgespähten Daten die PINs und TANs rekonstruieren.

Für den Fall das die Bank auf der eingeloggten Seite eine mit der Maus zu bedienende Tastatur bereitstellt, so sollte diese auch benutz werden. Eine Protokollierung der Tastatureingaben ist dann nicht mehr möglich.

Tipp: Mit dem Windows-Befehl Start > Ausführen > osk öffnet sich eine virtuelle Bildschirmtastatur. Damit ist die Gerätetastatur entbehrlich und ein Key-Logger kann die sensiblen Eingabedaten nicht mehr aufzeichnen.

Trojaner
>>> Viren, Würmer & Trojaner

Bedenkenlose Downloads von zweifelhaften Seiten oder aus Neugier geöffnete E-Mail-Anhänge zweifelhafter Herkunft (z.B. .exe, .zip, .jpg, .pdf), führen dazu, dass Ihr PC ohne eigenes Eingreifen komische Sachen macht, zu Programmabstürzen neigt, vielleicht sogar ferngesteuert wird oder dass im Falle von eingeschleusten "Trojanern" das verhängnisvolle Ausspionieren von Dateien und Passwörtern auf der Festplatte des Computers ermöglicht wird.

Konten-Sperrnotrufe
bei Verdacht auf einem unberechtigten Zugriff auf ihr Bankkonto

Bank- und Kreditkarten-Notruf. Telefon: 01805/021 021
Zentraler Sperrnotruf.                 Telefon: 116 116

und der bankeigene Sperrdienst (siehe Homepage ihrer Bank)

Sicherheitsklassen von Chipkartenlesegeräten

Sicherheitsklasse 1: Da diese einfachen Chipkartenleser keine eigenen Nummerntasten besitzen, muss die PIN-Eingabe über die PC-Tastatur erfolgen. Hierbei könnte ein mitlaufendes Programm, welches die Tastaturanschläge aufzeichnet, die PIN ebenfalls an Dritte übermitteln.

Sicherheitsklasse 2: Leser der Sicherheitsklasse 2 haben fast immer eine eigene Nummerntastatur. Hierbei wird die PIN direkt auf dem Chipkartenleser eingegeben. Ein maschinelles Ausspähen der PIN ist in diesen Fällen nicht möglich, da die PIN nicht an den PC weitergegeben wird. "Klasse 2"-Leser können zusätzlich im "Klasse 1"-Modus betrieben werden. Dieser "Klasse 1"-Betrieb hat aber auch die entsprechenden, zuvor unter "Sicherheitsklasse 1" genannten Sicherheitsprobleme zur Folge.

Sicherheitsklasse 3: Lesegeräte der Sicherheitsklasse 3 haben eine Tastatur und ein eigenes Display, auf dem die Daten unmittelbar vor der Signatur noch einmal dargestellt werden. So kann der Benutzer sicherstellen, dass seine Eingaben nicht verfälscht wurden und die richtigen Daten signiert werden. "Klasse 3"-Leser können zusätzlich als "Klasse 2"- bzw. "Klasse 1"-Leser betrieben werden. Der "Klasse 1"-Betrieb hat aber auch hier die entsprechenden Sicherheitsprobleme zur Folge. "Klasse 3"-Kartenlesegeräte sind für das Bezahlen mit der Geldkarte über das Internet zugelassen und ermöglichen, bei Unterstützung durch die Bank, auch das Laden der Geldkarte vom heimischen PC aus.

Quelle: Bayerische Landesbank, München (nach ZKA-Sicherheitsstandards)