E-BusinessOnline-Banking-Gefahren für Geschäftskunden

Noch vor einigen Jahren waren Unternehmer Stammgäste in Bankfilialen. Durch die Verbreitung des Online-Bankings sind sie allerdings seltener am Bankschalter zu sehen. Schließlich lassen sich Bankgeschäfte heute mit wenigen Klicks abwickeln. Die Vorteile liegen klar auf der Hand. Per Online-Banking lassen sich:

  • Lieferantenrechnungen,
  • Löhne und Gehälter,
  • Miete und Pacht,
  • Leasingraten,
  • Versicherungsbeiträge,
  • Kreditkartenrechnungen (Spesen für Außendienstler) und vieles mehr

einfach erledigen. Schließlich braucht man nur einen internetfähigen Rechner mit Browser. Über diesen wird der Zugang zum Online-Banking der Hausbank über eine verschlüsselte Verbindung aufgerufen, die Überweisungsdaten eingetragen – fertig. Wie stark das Online-Banking in seiner Bedeutung gewachsen ist, macht ein Blick in die Zahlungsverkehrsstatistik der Deutschen Bundesbank deutlich. Im Jahr 2009 wurden circa 1,99 Mrd. Überweisungen online erledigt. Bis 2013 hat sich diese Zahl auf 2,65 Mrd. Stück erhöht.

Kosten für das Online-Banking

Grundsätzlich ist das Online-Banking im Regelfall keine separate Leistung der Banken, die als Paket gebucht und bezahlt wird. Inzwischen ist das Banking via Internet fest in die Kontomodelle der Institute eingebettet. Ein konkretes Beziffern der Kosten wird damit schwierig. Allerdings lässt sich für Unternehmen abschätzen, welchen Kostenvorteil diese Form des Bankings bietet. Hintergrund: In der Vergangenheit sind bei den Serviceleistungen der Banken erhebliche Veränderungen spürbar geworden.

Für viele beleghafte Leistungen, wie:

  • das Drucken von Kontoauszügen oder
  • Überweisungen per Formular am Bankschalter

fallen inzwischen teils hohe Gebühren von mehreren Euro an. In Anbetracht dieser Tatsache ist das Online-Banking attraktiver – weil einfach kostengünstiger. Hinzu kommt ein weiterer positiver Effekt: Mitarbeiter, die in einer Bankfiliale am Schalter warten, fallen für andere Aufgaben im Unternehmen aus, müssen aber trotzdem bezahlt werden. Bankgeschäfte am PC zu erledigen kostet weniger Zeit und die Mitarbeiter stehen anschließend sofort für andere Aufgaben zur Verfügung.

Unternehmen müssen vor diesem Hintergrund weniger die Kosten für das Online-Banking im Auge behalten. Es geht viel mehr darum, das Geschäftskonto nach Gesichtspunkten auszuwählen, die eine optimale Balance aus Serviceleistung und Gebühren für die Kontoführung ermöglichen. Anders als im Vergleich zum Privatkundensegment verzichten viele Banken auf die kostenfreie Kontoführung bei Geschäftskunden, weshalb der Vergleich hier mehr als sinnvoll ist.

Sicherheit – Risiken beim Online-Banking

Aus Sicht von Unternehmern hat das Online-Banking erhebliche Vorteile – nicht nur vor dem Hintergrund der Kosten. Allerdings muss jedem Geschäftskunden klar sein, dass mit dem Banking übers Internet auch gewisse Gefahren verbunden sind. Die Tatsache, dass an dieser Stelle mit erheblichen Summen gearbeitet wird, wirkt für Kriminelle verlockend. Grundsätzlich können Onlinebetrüger an drei potenziellen Gefahrenstellen ansetzen:

  • durch das Eindringen in die IT der Bank
  • der Datenübermittlung
  • beim Unternehmen selbst.

Aufgrund der aktuellen Verschlüsselungsstandards sowie des Aufwands, den Banken zum Schutz ihrer Systeme betreiben, sind die beiden erstgenannten Risikobereiche eher zu vernachlässigen. Aus Sicht der Geschäftskunden geht die größte Gefahr von Angriffen auf die eigene IT aus, da Attacken vor dem verschlüsselten Versand der Banknachrichten für Kriminelle am einfachsten sind.

Neben dem Risiko durch Onlinekriminelle geht ein gewisses Gefahrenpotenzial auch von eigenen Mitarbeitern aus. Betrug und Unterschlagung sind Probleme im unternehmerischen Alltag, die oft von Beschäftigten ausgehen. Ein möglicher Ansatzpunkt in der Vorbeugung wäre hier das Vier-Augen-Prinzip. Wie lässt sich aber den technischen Risiken begegnen.

Phishing, Trojaner und Co.

Wer als Unternehmer auf das Online-Banking nicht verzichten, es Kriminellen aber so schwer wie möglich machen will, muss deren Strategien kennen. In der Regel wird versucht, mithilfe von Phishing oder Schadsoftware an relevante Daten für das Online-Banking zu gelangen. Dabei lassen Onlinebetrüger inzwischen teilweise ein hohes professionelles Niveau erkennen. Das Thema Phishing zielt in erster Linie darauf ab, Informationen wie Konto- oder Kreditkartennummern, PIN-Nummern oder Ähnliches abzugreifen.

Um ans Ziel zu kommen, werden E-Mails verschickt, als deren Absender die Hausbank suggeriert wird. Hinsichtlich des Inhalts nutzen Kriminelle verschiedene Ansatzpunkte, angefangen von der EU-weiten SEPA-Umstellung bis hin zu vermeintlichen Problemen mit dem Online-Banking. Das Ziel der E-Mails ist aber fast immer ähnlich – der Geschäftskunde soll auf präparierten Seiten seine Daten eingeben.

Trojaner und Spyware haben ein ganz ähnliches Ziel – die Kontodaten des Unternehmers – gehen aber einen anderen Weg. Es handelt sich hier um kleine Programme, die im Hintergrund aktiviert werden und zum Beispiel die aufgerufenen Seiten und Tastatureingaben protokollieren. Beide Programmvarianten sind so entwickelt, dass die abgegriffenen Daten an die Onlinebetrüger verschickt werden.

Schutzmaßnahmen gegen Online-Kriminelle

Unternehmen und Selbständige sind den Angriffen der Online-Kriminellen über Phishing und Trojaner nicht schutzlos ausgeliefert. Das Einhalten gewisser Grundregeln hilft dabei, die Risiken zu minimieren. Dazu gehört unter anderem:

  • das Nutzen entsprechender Schutzprogramme (Antivirensoftware mit Live-Protect-Funktion)
  • das Meiden nicht vertrauenswürdiger Webseiten
  • das Löschen von E-Mails, die zur Eingabe sensibler Informationen aufrufen
  • ein Verzicht auf das Öffnen der Anhänge von Mails unbekannter Absender
  • Schulungen aller Mitarbeiter, die in entsprechend sensiblen Bereichen tätig sind.

 

TAN-Verfahren – welche gibt es und was ist sicher?

Durch das Online-Banking lassen sich unternehmensbezogene Bankgeschäfte schnell und unkompliziert erledigen. Ein wesentliches Sicherheitselement, das Banken hier einbauen, um die einzelnen Geschäftsvorfälle zu verifizieren, ist die Transaktionsnummer. Entweder aus einer mehrstelligen Zahlenkombination oder Zahlen und Buchstaben bestehend, sorgt erst die TAN dafür, dass Bankgeschäfte online abgewickelt werden können.

Aufgrund ihrer Bedeutung gehört die TAN – neben der PIN – zu den Informationen, die Kriminelle abzugreifen versuchen. Das anfangs geltende Prinzip jede TAN für jeden Geschäftsvorgang gelten zu lassen, wird inzwischen als veraltet und unsicher angesehen. Um Angriffe zu erschweren, setzen Banken heute auf verschiedene Konzepte.

iTAN-Verfahren: Hierbei wird jeder Transaktionsnummer eine Indexnummer zugeordnet. Für den Abschluss eines Geschäftsfalls gibt die Bank die Indexnummer vor. Nur die Eingabe der richtigen TAN wird als gültig anerkannt. Kriminelle haben darauf reagiert und fragen mehrere Indexnummern ab. Zudem ist das iTAN-Verfahren anfällig für den sogenannten Man-in-the-middle Angriff.
mTAN-Verfahren: Die mobile TAN setzt auf eine Kanaltrennung. Als Geschäftskunde erhält man die für den betreffenden Geschäftsfall generierte Transaktionsnummer in Form einer SMS auf die hinterlegte Mobilfunknummer. Auf diese Weise werden Man-in-the-middle Angriffe erschwert. Zudem entfällt hier das Arbeiten mit einer vorgefertigten TAN-Liste. Kriminelle können allerdings durch einen kombinierten Angriff auf PC und Mobiltelefon das mTAN-Verfahren aushebeln.
Generator-TAN: Hier wird die Transaktionsnummer durch einen Generator individuell beim Bankkunden erzeugt. Dabei werden von den Banken verschiedene Verfahren und Geräte benutzt, um den TAN-Code zu erzeugen. Gängig ist beispielsweise die Verwendung von Uhrzeit und Kontonummer als Hilfsmittel oder ein Hinzuziehen der Bankkarte zur TAN-Generierung. Aufgrund der zusätzlichen Hardware und den damit verbundenen Kosten sowie unterschiedlichen Standards hat sich das Verfahren aktuell noch nicht flächendeckend durchgesetzt.
QR-TAN/photo-TAN: Beide Methoden der TAN-Erzeugung arbeiten mit optischen Verfahren und unter Zuhilfenahme des Mobiltelefons, mit dem der optische Code ausgelesen werden kann. Beide Varianten sind noch relativ neu und werden nur von wenigen Banken angeboten.
Ausgehend von den aktuell zur Verfügung stehenden TAN-Verfahren können mTAN und Generator-TAN als ausreichend sicher für den Einsatz durch Geschäftskunden angesehen werden. Allerdings entstehen hier mitunter zusätzliche Kosten. Einerseits ist die Hardware in Form des TAN-Generators zu beschaffen. Auf der anderen Seite erheben diverse Banken für den Versand der TAN-SMS Gebühren.

Welches Verfahren letztlich zum Einsatz kommt, entscheidet sich aber auch daran, ob die Hausbank alle Methoden anbietet oder den Zugang für Geschäftskunden beispielsweise auf iTAN und mTAN beschränkt.

Sicheres Online-Banking für Geschäftskunden

Unternehmer und Selbständige sind an der einfachen, schnellen, sicheren und kostengünstigen Erledigung ihrer Bankgeschäfte interessiert. Im Hinblick auf die Einfachheit und Geschwindigkeit, mit der sich Geschäftsvorfälle abwickeln lassen, ist das Online-Banking unschlagbar. Um ein hohes Maß an Sicherheit zu erreichen und auch die Kosten im überschaubaren Rahmen zu halten, müssen Geschäftskunden selbst aktiv werden. Es kann nicht nur darum gehen, sich für ein günstiges TAN-Verfahren zu entscheiden. Vielmehr muss abgewogen werden, welcher Sicherheitsstandard das Minimum darstellt und wie sich Sicherheit im Online-Banking durch das eigene Verhalten und das der Mitarbeiter erreichen lässt. Nur so kann Banking aus dem Büro unkompliziert, sicher und schnell sein


Über den Autor Kilian Fromeyer

Kilian Fromeyer ist Geschäftsführer der Aslander & Fromeyer Vergleichsportale GmbH, die unter anderem das Portal Vergleichen.net betreibt und interessierten Besuchern bei Fragen rund um die Themen Finanzen und Versicherungen per Telefon, E-Mail oder Live-Chat gerne zur Verfügung steht. Neben seiner Position als Geschäftsführer ist Kilian Fromeyer bedingt durch langjährige Erfahrung im Finanzbereich in beratender Funktion tätig

0Kommentare

Es wurde bisher noch kein Kommentar verfasst. Starten Sie die Diskussion!