FinTS/HBCI mit Signaturdatei ist sehr sicher und bequem, wenn eine ausreichend starke Verschlüsselung eingesetzt wird. Genossenschaftliche Banken verwenden nur noch RDH10 mit langen Schlüsseln. Die verwendete Verschlüsselungstechnik ist dokumentiert und veröffentlicht, es gibt auch einige open-Source Programme, die diese Technik unterstützen. Das ist nicht bei allen Banken so.
PIN und TAN: Auftragskontrolle bei SmartTAN und mobileTAN und auch im Browser nutzbar
Potentielle Angreifer werden – so vermute ich –
a) entweder versuchen, die Onlinebanking-Software selbst zu unterwandern, also z.B. gefälschte Aufträge in das System hineinzubringen oder
b) in den Besitz der Signaturdatei und des dazugehörigen Passwortes zu kommen, um auf einem eigenen System zu arbeiten. Das verwendete Computersystem muss also gut abgesichert sein.
c) ein durchprobieren sämtlicher Passwörter halte ich bei guten Passwörtern für aussichtslos.
Ersteres würde sämtliche andere Verfahren im gleichen Maße treffen, weshalb dies von einigen Experten als das wahrscheinlichere angesehen wird. Mir erscheint das zweite Szenario aber als „einfacher“ zu programmieren. Zur Beruhigung: Bislang ist mir aber noch nie ein Angriff „von außen“ bekannt geworden. Betrugsversuche von Insidern sind allerdings vorgekommen.
Folgende Sicherheitsmaßnahmen sind unumgänglich:
- die Signaturatei darf niemals in fremde Hände geraten
- das dazugehörige Passwort darf ebenfalls niemals Dritten zugänglich werden
Viele denken bei ersterem Punkt an den USB-Stick oder an die Sicherheitsdatei und verwahren diese besonders sicher. Das ist richtig und gut so, aber womöglich zu kurz gedacht, die Sicherheitsdatei könnte ja auch unbemerkt kopiert werden. Auch der zweite Teil der Sicherheit, nämlich das zur Datei gehörige Passwort, muss vertraulich bleiben.
Die Gefahr: Passwörter könnten von sogenannten Keyloggern direkt bei der Tastatureingabe ausgelesen werden.
Lesen Sie hier weiter, was im Fall der Fälle zu tun ist