Eine gemeinsame Studie von OeNB und A-SIT (Zentrum für sichere Informationstechnologie – Austria) über die Sicherheit im E-Banking empfiehlt, dass Bankkunden statt der PIN/TAN-Verfahren sog. „Zweifaktorautorisierungsverfahren“ für ihre E-Banking-Transaktionen verwenden. Die österreichischen Banken bieten für Kunden, die Wert auf Sicherheit beim E-Banking legen, bereits eine Reihe derartiger Verfahren an.
E-Banking wird in Österreich mittlerweile als unverzichtbare und effiziente Zahlungsmethode angesehen, die sich zunehmender Beliebtheit erfreut. Gleichzeitig wird in den Medien immer wieder über Betrugsfälle bei E-Banking-Transaktionen berichtet. Vor diesem Hintergrund hat die OeNB in einer gemeinsam mit A-SIT (Zentrum für sichere Informationstechnologie – Austria) erstellten Studie die Wirksamkeit der seitens der Banken angebotenen bzw. von den Kunden verwendeten Sicherheitsmechanismen gegenüber den typischerweise beim E-Banking auftretenden Gefahren analysiert.
Nach wie vor verwenden Bankkunden bei E-Banking-Transaktionen gerne einfache PIN/TAN-Verfahren. Diese Verfahren basieren auf bestimmten Transaktionsnummern (TANs, iTANs, etc.), die von den Überweisungsdaten unabhängig sind. Die Sicherheit dieser Verfahren beruht lediglich auf dem Faktor „Wissen von Geheimnissen“, d. h. der Kenntnis eines bestimmten TANs („Einfaktorautorisierungsverfahren“). Potentielle Betrüger können die TANs mit relativ einfachen Mitteln (Phishing Mails, Trojaner usw.) in Erfahrung bringen.
Angesichts dieser Sicherheitsbedenken bieten viele österreichische Banken zusätzlich sog. Zweifaktorautorisierungsverfahren an, die das Sicherheitsniveau deutlich erhöhen. Neben dem „Wissen“ einer geheimen Nummer (der TAN) „besitzen“ E-Banking Nutzer zusätzlich auch ein Gerät, ohne das ein Zahlungsauftrag nicht erfolgreich initiiert werden kann. Typischerweise wird dabei für die Abwicklung des Zahlungsauftrags ein zweiter Berechtigungscode benötigt, der nur wenige Minuten gültig ist und nach Möglichkeit mit dem Zahlungsauftrag verknüpft sein sollte. Dieser wird dem Endkunden von der Bank als SMS zugeschickt oder in einem zusätzlichen Gerät erzeugt, das vom Kunden-PC getrennt ist.
Die größte Sicherheit bieten elektronische Signatur sowie entsprechende TAN-Generatoren. Ein vergleichbar hohes Sicherheitsniveau kann derzeit auch mit den mobilen TAN-Verfahren erreicht werden, bei denen der Kunde eine SMS mit dem Berechtigungscode und den Transaktionsdaten zur Kontrolle erhält. Insbesondere bei Verwendung eines einzigen Gerätes für die Abwicklung der E-Banking Transaktion und den SMS-Empfang ist allerdings bei diesem Verfahren längerfristig aufgrund des möglichen Einsatzes von Schadsoftware von einer Verringerung des Sicherheitsgewinns auszugehen.
Kunden, die beim E-Banking Wert auf Sicherheit legen, sollten daher nicht länger auf die einfachen TAN-Verfahren zurück greifen. Mit den von österreichischen Banken angebotenen Verfahren der elektronischen Signatur, der TAN-Generatoren und der mobilen TAN-Verfahren stehen eine Reihe alternativer Verfahren mit hohem Sicherheitsniveau zur Auswahl.