Welche TAN-Verfahren sind am sichersten?

Online-Banking verbreitet sich zunehmend: Kunden können bequem von zu Hause aus oder mobil Transaktionen tätigen, in diesem Vorteil liegt der wesentliche Grund für diesen Trend. Banken bieten mit zwei Verfahren auch einen wirksamen Schutz gegen Missbrauch: Mit einer persönlichen PIN gelangen Kunden in ihren Account. Jede Überweisung und andere Aufgaben müssen sie zudem mit einer ein Mal gültigen Transaktionsnummer (TAN) bestätigen. Bei diesem zweiten Sicherheitsmechanismus haben sich unterschiedliche Varianten etabliert doch welches TAN-Verfahren ist am sichersten?

Die klassische TAN-Liste

Bild TAN-Verfahren

In einer TAN-Liste finden sie Transaktioncodes die Sie bei einer Online-Überweisung angeben müssen

Als erstes Verfahren in der Geschichte des Online-Banking hatten Banken die TAN-Liste eingeführt. Kunden erhielten eine Liste mit einer bestimmten Anzahl an TANs, jede Nummer konnten sie für eine Transaktion verwenden. Die Reihenfolge spielte keine Rolle, sie konnten wahllos eine TAN nutzen. Dieses Verfahren gilt mittlerweile als überholt. Institute ersetzten es mit iTAN-Listen, mit indizierten TANs. Sie nummerieren die TANs durch, im Online-Banking müssen User die aufgerufene TAN-Nummer eintippen. Das steigert die Sicherheit. Bei einer Liste mit 50 oder 100 TANs ohne Nummerierung kann es durchaus sein, dass Kriminelle die richtige TAN erraten. Mit iTANs wäre das ein enorm großer Zufall. Inzwischen setzen viele Banken auf modernere Systeme wie mobile TANs, dennoch halten einige Institute an iTAN-Listen fest. Aus sicherheitstechnischen Gründen erweist sich das als unproblematisch: Wenn Kunden auf ihre Liste aufpassen, besteht kaum Gefahr. In der Handhabung existiert aber ein wichtiger Nachteil: Vergessen Kunden auf einer Reise ihre iTAN-Liste, können sie keine Transaktionen vornehmen.

mobileTAN: Versand per SMS

TAN-Verfahren

Beim mobileTAN kriegen sie einen Transaktionscode auf Ihr Handy geschickt

Ein neueres Verfahren stellen die mobileTANs (mTANs) dar. Kunden geben ihre Mobilfunknummer an, mit einem auf das Handy gesandten Code identifizieren sie sich. So gewährleisten die Banken, dass der Kunde auch tatsächlich Inhaber der jeweiligen Nummer ist. Anschließend erhalten Verbraucher bei jeder Transaktion eine TAN innerhalb weniger Sekunden auf ihr mobiles Gerät geschickt. Diese geben sie dann im Online-Banking ein. Da jede TAN jeweils einzeln erzeugt wird, handelt es sich grundsätzlich um ein sicheres Verfahren. Erwähnung verdient auch, dass Kunden keine Liste auf Reisen mit sich führen müssen. Das Handy haben sie dagegen meist zur Hand. Allerdings gibt es bei diesem Verfahren gewisse Risiken: So versuchen Kriminelle mithilfe von Trojanern oder Hacking die kompletten Daten auszuspähen, sowohl die Zugangsdaten des Online-Bankings als auch des Mobilfunkbetreibers. Erlangen sie den Zugang, können sie eine zweite SIM-Karte auf ihre eigene Adresse bestellen und eine TAN generieren. Auch der Diebstahl des Handys kann zu einer illegalen Abbuchung führen, wenn Verbrecher zugleich über die PIN verfügen. Ein Nachteil bei manchen Instituten: Sie verlangen für den Versand von SMS Gebühren.

TAN-Generatoren: Separate Geräte zum Generieren von TANs

TAN-Verfahren

Einen TAN-Generator kriegen Sie meist gegen Geld von Ihrer Bank gestellt

Einige Banken haben sich für TAN-Generatoren entschieden, mit denen Kunden zu Hause die TANs erzeugen.Dafür müssen sie ihre EC-Karte in das Gerät einführen. Die genauen Verfahren differieren: Die einen Geräte zeigen sofort nach der PIN-Eingabe TANs an. Bei anderen Generatoren müssen Kunden zusätzliche Angaben tätigen, zum Beispiel den Vorgang mit der Kontonummer des Empfängers verifizieren. Das kann einen umständlichen Aufwand bedeuten. Als Nachteil ist auch zu nennen, dass die meisten Institute eine einmalige Gebühr für diese Generatoren verlangen. In puncto Sicherheit überzeugen sie jedoch, sofern niemand Drittes in den Besitz des Generators, der EC-Karte und der PIN für das Online-Banking gelangt.

photo-TANs: Verschlüsselter Versand

TAN-Verfahren

Die Funktionsweise des photoTAN ähnelt dem mobileTAN

Bei diesem Verfahren generieren User ebenfalls für jede Transaktion eine einmalige TAN, die photo-TANs ähneln den mTANs. Die Übermittlung erfolgt aber nicht per SMS, sondern verschlüsselt mittels App. Das erhöht die Sicherheit. Eine Gefahr liegt darin, wenn sich Schadsoftware auf dem Smartphone und gegebenenfalls auch auf dem Rechner eingenistet hat.

pushTANs: Das neueste TAN-Verfahren als sicherste Lösung?

Mit pushTANs haben die Sparkassen eine neue Technologie eingeführt. Sie versprechen damit ein besonders hohes Maß an Sicherheit. Kunden können Transaktionen ausschließlich mit ihrem Smartphone durchführen. Auch dieses Verfahren basiert auf einer App, der Datentransfer geschieht verschlüsselt. Ein Forscher der Uni Erlangen hatte aber bereits im Herbst 2015 dieses Verfahren erfolgreich gehackt. Die Sparkassen schlossen angeblich die Sicherheitslücke, bei dem öffentlichen Chaos Communcation Congress im Dezember in Hamburg manipulierte der Wissenschaftler die App aber erneut. Er änderte das Empfängerkonto und die Summe, ohne dass das Nutzer merken. Sie führen ihre Überweisung durch, überweisen aber einen höheren Betrag an ein anderes Konto. Dieses Beispiel zeigt: Scheinbar sicherere Verfahren auf elektronischem Weg müssen nicht sicherer sein.

Risiken minimieren: So erhöhen Sie die Sicherheit

Kommt es zu unberechtigten Abbuchungen von Bankkonten, liegt das meist nicht an Sicherheitslücken bei den unterschiedlichen TAN-Verfahren. Stattdessen gehen die betroffenen Kunden vielfach zu leichtsinnig mit dem Online-Banking um. Sie sollten zum Beispiel niemals leichtfertig ihre sensiblen Daten außerhalb der Log-in-Seite der jeweiligen Bank angeben. Kriminelle verschicken unter anderem E-Mails im Namen von Instituten und fordern für eine angebliche Sicherheitsabfrage die PIN und eine TAN. Dabei handelt es sich stets um Kriminalität, Banken verlangen diese Daten nie per E-Mail. Eine weitere Gefahr besteht im Phishing mittels gefälschter Homepages. Es macht sich eine Seite auf, welche dem eigentlichen Online-Banking zum Verwechseln ähnlich sieht. Die eingegebenen Daten gelangen nicht zur Bank, sondern zu Kriminellen, die damit sofort eine Abbuchung tätigen. Dieses Risiko lässt sich mit einer aktuellen Anti-Viren-Software meiden. Auch außerhalb des Internets drohen Gefahren: Kunden sollten eine TAN-Liste nicht zusammen mit der PIN aufbewahren, ansonsten verfügen Einbrecher gegebenenfalls über beides. Die PIN sollten Verbraucher entweder woanders deponieren oder am besten auswendig lernen. Bei der Nutzung von mobileTANs sollten Kunden weder im Handy noch im Geldbeutel die PIN hinterlegen, Diebe könnten das zum illegalen Abbuchen missbrauchen. Verlieren Besitzer ihr Handy oder wird es gestohlen, sollten sie die Nummer für das TAN-Verfahren sofort sperren. Ebenfalls wichtig: Bei einigen Banken können Kunden die vorgegebene PIN durch ein persönliches Passwort ersetzen, dieses sollte die Kriterien für ein sicheres Passwort erfüllen. TAN-Verfahren

 

Bildquellen:

Bild 1 : Pixabay.com / stevepb

Bild 2 : by McZusatz, via Wikimedia Commons

Bild 3 : by Eigener Scan, via Wikimedia Commons

Bild 4 : by M0tty, via Wikimedia Commons

Bild 5 : by Calypso10, via Wikimedia Commons

Über 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.