Naja, wir hatten hier an der Uni mal einen Vortrag von einer IT-Sicherheitsfirma über die Schwachstellen in aktuellen Banking-Systemen. Da gibts durchaus Möglichkeiten ohne Phising, die man auch als versierter Nutzer nicht so leicht erkennt. Stichwort Man-in-the-Middle-Attacke
Da reichen ein paar umgebogene DNS-Einträge, damit die echte URL der Bank erscheint. Man hängt sich zwischen User und Bank. Wenn du eine Überweisung tätigst, wird die abgefangen, eine zweite Überweisung an den Auftrag drangehängt oder das Zielkonto verändert, und das an die Bank weitergeschickt. Die Bestätigungsseite zur TAN-Eingabe wird natürlich ebenfalls abgefangen und so verändert, dass sie das bestätigt, was du in Auftrag gegeben hast. Die eingegebene TAN wird dann zur Bank weitergeschickt.
Solche Dinge gehen vergleichsweise unproblematisch und sind durchaus automatisierbar und damit auch für den Otto-Normalverbraucher eine potentielle Gefahr.
Selbst dieses Verfahren mit eigenem Kartenleser, der am Display die Überweisungsdaten vor der TAN-Eingabe anzeigt, ist anscheinend nicht sicher, sobald das System kompromittiert ist, da dann auch die prinzipielle Möglichkeit besteht, die Daten die zum Eingabegerät geschickt werden, zu manipulieren.
Hinderlich ist da nur die SSL-Verschlüsselung, aber wenn man das Zertifikat nicht genau prüft und nur drauf achtet, dass HTTPS verwendet wird, lässt sich auch das aushebeln.
Ganz so aus der Luft gegriffen ist die Gefahr also tatsächlich nicht. Allerdings passiert einem wohl außer Unannehmlichkeiten eher nichts, weil die Banken das Risiko für die Sicherheit ihrer System übernehmen. Wie das allerdings bei einem Trojaner auf dem Rechner aussieht, weiß ich nicht. Das könnte man wohl als grobe Fahrlässigkeit auslegen...