Laut der Analyse gibt es immer noch Banken, die nur das einfache Pin-Tan-Verfahren anbieten. Dabei müssen sich Kunden mit einer persönlichen Identifikationsnummer (Pin) legitimieren und jeden einzelnen Auftrag mit einer Transaktionsnummer (Tan) bestätigen. Die Tan entnehmen Kunden einer Liste, die sie von der Bank bekommen. Sie ist an keinen bestimmten Auftrag gebunden. Dieses unsichere Verfahren setzen unter anderem Citibank und Readybank ein.
Nach dem heutigen Stand der Technik ist das iTan-Verfahren ebenfalls nur eingeschränkt sicher. Dabei gibt die Bank vor, mit welcher Tan von der Liste eine Überweisung freigegeben wird. Betrüger müssten folglich mehrere Tan erbeuten, damit die Richtige dabei ist.
Der Untersuchung zufolge ist das Home Banking Computer Interface (HBCI) zurzeit das sicherste Verfahren für Online-Banking. Es stellt sicher, dass die Daten unverändert dort ankommen, wo sie hinsollen und dass kein Fremder die Daten anzapfen kann.
HBCI wird nur von der Hälfte der Befragten angeboten. Der Grund: Das Verfahren ist sehr umständlich. Um es nutzen zu können, brauchen die Kunden eine Diskette oder Chipkarte sowie ein Lesegerät. Sie können Bankgeschäfte dann nur von dem Rechner aus durchführen, an den das entsprechende Lesegerät angeschlossen ist.
Besser Pin-Tan-Verfahren
Mittlerweile gibt es aber auch verbesserte Pin-Tan-Verfahren, mit denen Online-Banking sicher ist. Dazu gehören eTan, eTan Plus und mTan. Beim eTan-Verfahren erhält der Kunde von der Bank eine Pin und ein elektronisches Gerät. Der Tan-Generator ist nicht viel größer als ein kleiner Taschenrechner. Er generiert für jeden Auftrag eine Tan, so können Betrüger sie nicht einfach stehlen. Bei mTan dagegen sendet das Finanzinstitut die Transaktionsnummer auf das Handy des Kunden.
Das Ergebnis zeigt, dass es trotz aller Vorsichtsmaßnahmen Betrügern gelingt per Internet ein Konto leer zuräumen. Nicht immer haftet dann die Bank. Sie fordert von den Kunden die Sorgfaltspflichten einzuhalten. Das ist in den Allgemeinen Geschäfts- und Sonderbedingungen geregelt. So sollen Kunden unter anderem Pin und Tan nicht elektronisch speichern oder in anderer Form notieren.
Für den Test untersuchte Finanztest das Online-Banking-Verfahren von 20 Banken.