Sicherheit im elektronischen Zahlungsverkehr

Mit der zunehmenden Digitalisierung gewinnt die elektronische Abwicklung von Geschäftsprozessen mehr denn je an Bedeutung. Daten mit Kunden und Geschäftspartnern werden elektronisch ausgetauscht, um Prozesse schneller und effizienter ausführen zu können. Viele Unternehmen und Unternehmer benötigen dafür eine schnelle und sichere Lösung, um ihren Zahlungsverkehr mobil und elektronisch abzuwickeln. Elektronische Übertragungsverfahren überzeugen seit vielen Jahren aus Effektivitäts- und Sicherheitsaspekten und werden ständig verbessert.

Am Anfang des elektronischen Zahlungs­verkehrs wurden Transaktions­nummern (TAN) aus einer Papier-Liste benutzt. Die eingegebene Zahlung wurde dabei mittels der nächsten freien TAN auf der TAN-Liste freigegeben. Waren alle TAN verbraucht, bekam der Kunde eine neue Liste aus­gehändigt. Schnell galt dieses TAN-Verfahren als veraltet. Denn bei dieser Möglichkeit der Zahlungs­freigabe wurde von Betrügern versucht, an eine freie TAN zu kommen. Dafür wurden einzelne TANs oder vollständige TAN-Listen gestohlen.

Um ihre Kunden vor Cyberkriminellen besser zu schützen, entwickelten die Banken sicherere Alternativen wie die indizierte TAN-Liste (iTAN-Verfahren). Bei Bestätigung der Zahlung mit einer TAN wurde der Anwender aufgefordert, eine bestimmte TAN von der Liste zu nehmen. Die einzelnen TAN-Nummern waren jeweils mit einer fortlaufenden Nummer auf der TAN-Liste versehen. So wurde die Zahlung nur mit der richtig nummerierten TAN ausgeführt. Mittlerweile gilt auch das iTAN-Verfahren als veraltet.

Nach den TAN-Listen folgte die Generation der Smart-TAN-Generatoren. Dabei wird die TAN mit Hilfe der eigenen EC-Karte und dem Smart-TAN-Generator erzeugt. Weiterentwickelt wurde dieses Verfahren durch die Ausstattung des Generators mit einer eigenen Tastatur. Der Anwender muss dafür manuell Daten eingeben. Die Nachteile in der Handhabung: Eingaben waren nicht nur fehleranfällig, sondern auch umständlich.

Um die Sicherheit noch weiter zu erhöhen, wurde das sogenannte Smart-TAN-Optic-Verfahren standardisiert. Der Smart-TAN-Optic-Leser besitzt eine optische Schnittstelle, mit der ein angezeigter Flacker-Code ausgelesen und eine individuell passende TAN erzeugt wird. Danach werden die Zahlungen sicher verschlüsselt an die Bank gesendet, da nur der Anwender und die Bank die Verschlüsselung aus dem Lesegerät, der EC-Karte und dem Code auf dem Bildschirm kennen.

Zusätzlich zu diesen Verfahren gibt es die Möglichkeit, sich die TAN direkt aufs Handy oder Smartphone schicken zu lassen. Hierbei ist es aus Sicherheitsgründen jedoch nicht möglich, Online-Banking auf dem Smartphone auszuführen und gleichzeitig die mobile TAN zu nutzen. Es müssen immer zwei voneinander getrennte Endgeräte verwendet werden.

Die Lösung bietet die neuste Weiterentwicklung: das sogenannte Push-TAN-Verfahren. Voraussetzung für die Nutzung ist ein Smartphone, auf dem die entsprechende App installiert wird. Sobald eine Zahlung abgeschickt werden soll, wird in der App die TAN bereitgestellt. Damit hat der Anwender die TAN verschlüsselt in der App zum Abruf vorliegen. Die nächste Sicherheitsstufe, denn im Gegensatz zur mobilen TAN gibt es hier die Legitimationshürde über die Anmeldung in der App. Die Push-TAN-Funktion ist nicht in Kombination mit der mobilen TAN nutzbar. Vorteil bei dem neuen Verfahren ist die Nutzung eines mobilen Endgerätes wie dem Smartphone zusammen mit der Push-TAN-Funktion. Beides kann bequem und sicher auf demselben mobilen Endgerät erfolgen.

Bei Nutzung einer Zahlungsverkehrssoftware erfolgt die Legitimation durch eine HBCI-Schlüsseldatei, bei der ein persönlicher Schlüssel auf einem externen Speichermedium (z. B. USB-Stick, Chipkarte) erzeugt wird, um Zahlungen freizugeben und verschlüsselt zu übertragen. HBCI (HomeBanking Computer Interface) ist ein standardisierter Vorgang, der von vielen Banken angeboten wird. Die Verschlüsselung ist nur dem Kunden und der Bank bekannt und wird bei der Freigabe nicht mit übertragen. Eine Entschlüsselung der Dateien durch Dritte kann so verhindert werden.

Eine weitere Möglichkeit ist das Übertragungsverfahren EBICS. EBICS steht hierbei für „Electronic Banking Internet Communication Standard“ und ist ein standardisiertes Übertragungsverfahren, das ebenfalls von vielen Banken angeboten wird. Wie beim HBCI-Verfahren wird ein persönlicher Schlüssel zur Legitimation auf einem externen Speichermedium erzeugt. Dieses Übertragungsverfahren eignet sich vor allem für Massenzahlungen (z. B. Lastschrifteinzüge bei Mieten, Gehaltszahlungen, viele kleinteilige Rechnungen), da im Gegensatz zum HBCI-Verfahren eine größere Datenmenge verarbeitet werden kann.

In allen Fällen gilt: Welches Übertragungsverfahren das richtige ist, hängt von den Anforderungen und den individuellen Strukturen im Unternehmen ab. Dabei müssen alle Fakten des Zahlungsverkehrs und deren Abläufe betrachtet werden. Dafür ist es wichtig, aus einer Vielzahl an Legitimationsverfahren wählen zu können, die gleichzeitig den neuesten Sicherheitsstandards entsprechen. Außerdem sollten unterschiedliche Sicherheitsverfahren angeboten werden, die sowohl klassischen PC-Nutzern als auch Nutzern mobiler Geräte gerecht werden.

Online-Banking jederzeit und sicher

• Halten Sie das Betriebssystem Ihres Smartphones bzw. Tablets immer auf dem aktuellen Stand.
• Stellen Sie eine Internetverbindung nur über vertrauenswürdige und unverschlüsselte Netze her, insbesondere bei unbekannten Netzwerken (wie zum Beispiel öffentliche WLANs) ist Vorsicht bei Banktransaktionen geboten.
• Beziehen Sie nur vertrauenswürdige Apps und nur aus offiziellen Quellen, z. B. iTunes oder dem GooglePlay Store.
• Achten Sie auf die korrekte Herstellerbezeichnung bei den Apps.
• Verwenden Sie stets die aktuelle Version der jeweiligen App.
• Wählen Sie sichere, geheime Passwörter und geben Sie diese nur unbeobachtet ein.

Bild: Fotolia/Vladstar