Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Sicherheit beim Onlinebanking

Ich mache Onlinebanking in der Regel am PC, weil ich das übersichtlicher finde. Aber ist das 2FA-Verfahren für die Überweisungen dazu überhaupt sicher?

In Pocket speichern vorlesen Druckansicht
Lesezeit: 3 Min.
c't Magazin
Von
  • Markus Montz

Ich mache Onlinebanking in der Regel am PC, weil ich das übersichtlicher finde. Um Zugriff auf mein Konto zu erhalten, muss ich auf dem Smartphone die ING-Banking-App installieren. Nach der Anmeldung mit einer PIN kann ich auf dem Smartphone bereits Einsicht in das Konto nehmen. Auf dem PC muss ich zwei QR-Codes scannen, um die Konten abzufragen. Jegliche weitere Aktion am PC muss ich per Eingabe der PIN in der App freigeben. Das halte ich für ein sicheres 2FA-Verfahren. Aktionen wie Überweisungen auf ein anderes Konto können aber auch alleine am Smartphone erfolgen. Dazu meldet man sich mit der PIN in der App an und hat nach der Bestätigung bereits Zugriff auf Konto, Extrakonto und Depot. Um Geld zu überweisen, genügt es, dieselbe PIN wie bei der Anmeldung einzugeben. Das ist doch kein sichereres 2FA-Verfahren, oder?

Da können wir Sie beruhigen. Die Antwort lautet, dass sich die zwei Faktoren aus den Bereichen Besitz und Wissen ergeben. Die App haben Sie bei der Einrichtung technisch an Ihr Smartphone gebunden. Dieses gilt als Besitz. Wichtig ist dabei, den Sperrbildschirm durch eine gute PIN oder biometrisch zu sichern. Die fünfstellige PIN der ING-App haben Sie im Kopf, sie stellt den zweiten Faktor (Wissen) dar.

Anders ausgedrückt: Selbst wenn Diebe an Ihr Smartphone kommen und dessen Sperre überwinden, haben sie immer noch die Hürde App-PIN mit einer theoretischen Wahrscheinlichkeit von 3 zu 10.000 vor sich. Diese PIN ist übrigens umso schwerer zu erraten, je weniger sie sich beispielsweise an Geburtsdaten oder aktuelle Telefonnummern anlehnt, die man sich aus anderen Quellen erschließen kann. Einfallslose Kombinationen wie 12345 oder 33333 verbieten sich von selbst. Auf keinen Fall darf die PIN außerdem mit der des Geräts übereinstimmen.

Die Tatsache, dass Banking und Authentifizierung auf demselben Gerät stattfinden, ist kein grundsätzliches Problem. Die jeweiligen Kanäle laufen getrennt voneinander. Banking-Apps funktionieren zudem in der Regel nicht mehr, wenn Angreifer das Handy gerootet und damit übernommen haben. Falls die App doch noch funktioniert, besteht eine hohe Wahrscheinlichkeit, dass die automatische Betrugsprüfung der ING die Modifikation erkennt, anspringt und die Überweisung blockiert.

Die Betrüger wissen das natürlich ebenfalls. Daher versuchen sie in aller Regel, Ihnen die Zugangsdaten und Berechtigungen durch Phishing-Angriffe oder vorgebliche Telefonanrufe Ihrer Bank abzuluchsen. Wie sie dabei vorgehen, haben wir für Sie aufgeschrieben.

Neugierig geworden?

Weitere Tipps & Tricks von c't

(mon)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten