Sie sehen nicht nur auf den ersten Blick hoch offiziell aus, sondern halten oft sogar einem zweiten kritischen Blick stand: E-Mails mit bekanntem Firmenlogo, vertrauten Farben und in gewohntem Duktus. Höflich bis unverbindlich, aber in der Sache bestimmt.
„Bitte besuchen Sie dringend unsere Webseite, um Ihre Zugangsdaten zu bestätigen!“, lautet meist in etwa der Inhalt der Mail. Der Empfänger wird auf eine gefälschte Webseite gelockt. Auch die sieht täuschend echt aus.
Kein Wunder, dass viele Menschen verunsichert sind, wenn sie so eine Phishing-Mail erhalten. Besonders listig: Oft wird im Text auch noch auf die aktuellen Gefahren hingewiesen, was plausibel klingt und die Menschen erst recht motiviert, den Anordnungen in der Mail nachzukommen. Die Gefahr von „Password Fishing“, dem Abfischen von sensiblen Benutzerdaten mit windigen Tricks, hat sich zwar mittlerweile weitgehend herum gesprochen – trotzdem verschicken die Betrüger nach wie vor wöchentlich Millionen solcher E-Mails. Tendenz: Steigend.
Arglose Computerbenutzer fallen immer wieder auf die Tricks rein
Kein Wunder, denn es reicht völlig, wenn ein Bruchteil der Empfänger darauf reagiert – und in die Falle tappt. Erstaunlich ist eigentlich, dass Banken, Sparkassen und auch Onlineshops wie eBay und andere nur sehr unzureichend auf die neuen Gefahren reagieren. Längst ist klar, dass zumindest im Bereich des Homebanking neue Sicherheitsverfahren her müssen. Denn das Verfahren mit PIN und TAN ist in die Jahre gekommen und nicht mehr wirklich zeitgemäß.
Es gibt zahlreiche Alternativen. Eine nennt sich HBCI, Home Banking Computer Interface. Hier bekommt der Kunde eine scheckkartengroße HBCI-Karte, die mit einem Chip ausgerüstet ist. Auf dem Chip sind wichtige Daten über den Kunden gespeichert – verschlüsselt, versteht sich. Der Homebanker braucht außerdem einen Kartenleser. Hier kommt die Karte rein. Dann wird noch ein Geheimcode eingetippt, so ähnlich wie beim Geldautomaten – erst dann ist der Zugriff auf das Onlinekonto freigegeben.
HBCI ist dem alten Verfahren mit PIN und TAN weit überlegen
Phishing-Mails haben keine Chance. Denn die haben zum Ziel, dem Empfänger PIN und TANs zu entlocken. Mit diesem Zahlenpaar lassen sich dann Transaktionen durchführen. Wer sein Konto mit HBCI führt, kann zwar seine PIN verraten. TANs gibt es aber nicht. Und mit der PIN allein kann man nichts anfangen. Denn es ist auf jeden Fall die physikalische Karte nötig.
HBCI ist zwar auch nicht gerade ultramodern – aber trotzdem deutlich sicherer als PIN und TAN. Trotzdem hört und liest man selten, dass Banken und Sparkassen ihre Kunden aktiv versuchen zu überzeugen, auf HBCI mit HBCI-Karte umzusteigen. Vielleicht wegen der Kosten, die für Karte (10 Euro) und Kartenleser (35 bis 70 Euro) anfallen. Doch dafür gibt es deutlich mehr Sicherheit. Kein zu hoher Preis.
Umstieg auf HBCI lohnt sich – jederzeit
Was schlimmer ist: Manche Banken, etwa die Deutsche Postbank, bieten HBCI mit Karte nicht mal an. Eigentlich ein Skandal! Einige Institute verweisen auf die kommende Signaturkarte nach Signaturgesetz. Die ist in der Tat noch sicherer – aber warum warten? Mittlerweile steht FinTS (Financial Transaction Services) in den Startlöchern. Eine Weiterentwicklung von HBCI. Damit würde Homebanking noch sichererer – aller höchste Zeit, dass Banken, Sparkassen und Kunden diese Chance ergreifen.
Links:
FinTS: Standard für sicheres Homebanking
https://www.hbci-zka.de/
