Handelsblatt App
Jetzt 4 Wochen für 1 €
Alle Inhalte in einer App
Betrüger setzen den Instituten zufolge auf immer ausgefallenere Maschen. Andere Banken verlangen bei Umstellungen auch mindestens achtstellige PINs.
Volksbank
Die Volks- und Raiffeisenbanken fordern bestimmte Kundinnen und Kunden auf, ihre Passworte für das Onlinebanking (PIN) komplizierter zu machen. Generell gelten lange Passworte als sicherer.
Bild: IMAGO/Michael Gstettenbauer
Frankfurt Die Volks- und Raiffeisenbanken wollen, dass ein Teil ihrer Kundinnen und Kunden die eigenen Passwörter für das Onlinebanking sicherer macht. So soll die entsprechende Onlinebanking-PIN möglichst länger und komplizierter werden.
„Die VR-Banken fordern alle betroffenen Kunden auf, ihre PIN zu ändern, wenn sie nicht dem aktuellen Sicherheitsstandard entspricht“, teilte der IT-Dienstleister der rund 730 Genossenschaftsbanken, Atruvia, auf Anfrage mit. Um wie viele Kunden es geht, gab die IT-Firma nicht preis.
Der aktuelle Standard sieht Atruvia zufolge vor, dass die Passwörter mindestens acht Zeichen haben, nur aus Zahlen bestehen oder mindestens einen Großbuchstaben und eine Ziffer aufweisen. Der Sicherheitsaspekt sei ein wesentliches Argument für den Schritt. Die älteren PIN-Formate machten Kunden für Angriffe im Cyberraum anfälliger.
„Wir erleben, dass Cybercrimeangriffe seit Jahren immer stärker genutzt werden, um an sensible Daten zu gelangen“, stellte der IT-Dienstleister fest. Betrüger würden auf immer ausgefallenere Maschen setzen, Passwortsicherheit sei deshalb ein wichtiger Aspekt beim Schutz von Daten.
So gibt es beispielsweise Hackerangriffe, bei denen Passwörter geknackt werden, indem automatisch in kurzer Zeit viele verschiedene Kombinationen von Zahlen und Buchstaben ausprobiert werden. Je länger das Passwort, desto mehr Zeit braucht ein Rechner, um einen Treffer zu landen.
Um ein solches Vorgehen zu verhindern, rät die Verbraucherzentrale Rheinland-Pfalz dazu, dass ein Passwort bestimmte Qualitätsanforderung erfüllt und immer nur für einen Zugang genutzt wird. Dabei ergebe es auch durchaus Sinn, dass ein Passwort mindestens acht Zeichen lang und zusätzlich noch verschiedene Zeichenarten enthalte, weil diese Zeichenkombinationen schwerer zu knacken seien, erklärt Andrea Steinbach, Expertin der Verbraucherzentrale. „Das ist tatsächlich schon mal ein erster Schritt zu mehr Passwortsicherheit.“
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt für Passwörter das Motto an: „Je länger, desto besser. Ein gutes Passwort sollte mindestens acht Zeichen lang sein.“ Es empfiehlt ebenso, ein Passwort immer nur für einen Zugang zu nutzen.
>> Lesen Sie hier mehr: Das große Geschäft mit dem gefälschten Ich
Die Sicherheitsexperten verweisen darauf, dass auch ein sogenannter zweiter Faktor die Sicherheit beim Login erhöht, „Zwei-Faktor-Authentifizierung“ nennt sich dieser Extraschutz. Beim Onlinebanking muss man in der Regel alle 90 Tage einen solchen zweiten Faktor, eine Transaktionsnummer (TAN), beim Einloggen eingeben und zudem jeweils zur Bestätigung einer Transaktion.
Beim Onlinebanking gibt es verschiedene Sicherheitsverfahren. Einige Geldhäuser bieten weiterhin SMS-TAN an, während sich Volksbanken und Sparkassen im vergangenen Jahr davon verabschiedeten. Verstärkt genutzt wird heute das App-basierte Push-TAN-Verfahren, daneben gibt es Photo-TAN und Chip-TAN. Das Chip-TAN-Verfahren, für das Kunden einen sogenannten TAN-Generator benötigen, gilt als besonders sicher.
Die Genossenschaftsbanken nennen noch einen technischen Grund für die Aufforderung, die Passworte anzupassen: So würden verschiedene PIN-Formate einen hohen Wartungsaufwand verursachen. Daher wolle man alle Onlinebanking-PINs auf einen Standard umstellen, heißt es bei Atruvia.
Bei anderen Banken sind achtstellige Passworte für neue Kundinnen und Kunden vorgesehen sowie für den Fall, dass Kunden die PIN-Änderung wollen. Die Postbank, die zur Deutschen Bank gehört, verweist auf die interne IT-Migration: Im neuen Onlinebanking, auf das alle Kunden umgestellt würden, „ist bereits die Änderung beziehungsweise Neuvergabe von achtstelligen Passwörtern vorgegeben, sobald der Kunde sein Passwort ändern möchte“. Im Onlinebanking der Deutschen Bank sei diese Umstellung ebenfalls geplant.
Auch bei der Commerzbank müssen neue Kunden ein achtstelliges Passwort verwenden. Die Anforderung gilt auch für diejenigen, die ein neues Passwort erhalten oder ein bestehendes ändern wollen, so die Bank.
Den Sparkassen, die Marktführer im Geschäft mit privaten Kundinnen und Kunden sind, reichen hingegen fünf Zeichen als Mindestlänge für Passwörter im Onlinebanking. Aber: Auch ihr IT-Dienstleister, Finanz Informatik, empfiehlt mindestens acht Ziffern. Er hält ein fünfstelliges Passwort jedoch nicht für per se unsicher, „da ja bei dreimaliger Fehleingabe eine Sperre erfolgt“.
Bei einer anderen Art von Cyberangriff helfen komplizierte Passwörter indes nicht. Mit immer ausgefeilteren Methoden versuchen Betrüger, Zugangsdaten oder Geheimnummern abzufangen. Sie locken Verbraucherinnen und Verbraucher dabei auf fingierte Internetseiten, die beispielsweise denen einer Bank sehr ähnlich sehen – mit der Aufforderung, Passworte einzugeben. „Phishing“ nennt sich dieser Versuch, mit geklauten Identitätsdaten Geld zu ergaunern. Phishing setzt sich aus „password“ und „fishing“ zusammen, auf Deutsch sinngemäß „nach Passwörtern angeln“.
Laut BSI betrafen im vergangenen Jahr 90 Prozent der Spam-Mails mit Betrugscharakter „Finance-Phishing“, also Bankgeschäfte. „Sie zielten einzig darauf ab, Zugangsdaten zum Onlinebanking abzugreifen.“
Dem BSI seien Fälle bekannt, bei denen in einem ersten Schritt mittels Phishing Bankzugangsdaten ergaunert und in einem zweiten Schritt mittels Social Engineering auch die Zwei-Faktor-Authentisierung ausgehebelt worden seien. Unter Vortäuschung beispielsweise einer angeblichen Kontosperrung oder dubioser Kontobewegungen würden Kunden durch die Betrüger aufgefordert, ihre Identität zu bestätigen oder das Konto angeblich wieder freizuschalten, indem sie die zuvor erhaltende TAN herausrücken. Die Täter nutzen die TAN dem BSI zufolge dann für eine vorher versteckt ausgelöste Transaktion, beispielsweise eine Banküberweisung. Ein Übersicht zu aktuellen Phishing-Angriffen bietet die Verbraucherzentrale Nordrhein-Westfalen.
Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.
Auf tippen, dann „Zum Startbildschirm“ hinzufügen.
×