Serie: Sicher Online-Shoppen Teil 6: Von Pins und Tans

Online-Banking zu jeder Tages- und Nachtzeit von zuhause aus ist einerseits praktisch. Andererseits müssen wir uns mit den unterschiedlich aufwändigen Sicherheitstechniken beschäftigen, die sich die Geldinstitute ausgedacht haben. Schon bei der Anmeldung zum Online-Banking muss man darauf achten, dass sie nur über einen SSL-Zugang erfolgt (siehe Teil 3)

Die Anmeldung zum Online-Banking erfolgt meistens über Persönliche Identifikationsnummern (PIN) und Transaktionsnummern (TAN). Das sichere Passwort haben wir in Teil 1 unserer Serie beschrieben. Das Bundesamt für Sicherheit in der Informationstechnik hat die aktuell auf dem Bankmarkt üblichen TAN-Verfahren eingeschätzt:

Von gestern: TAN

Das ursprüngliche Standard-TAN-Verfahren ist kaum noch im Einsatz. Wer dieses noch nutzt sollte sich dringend nach einem neuen Verfahren bei seiner Bank erkundigen. Bei dieser Methode kann der Nutzer sich frei aus einer Liste eine TAN aussuchen. Das ist heute gefährlich. Denn wenn erst einmal Kontodaten und TAN-Liste ausspioniert wurden, haben Kriminelle ungehinderten Zugriff auf das Konto.

Mit Listen: iTAN

Deshalb wurde das iTAN-Verfahren entwickelt. Hier sind die TANs durchnummeriert und werden durch einen Zufallsgenerator bei einer Transaktion auf dem dazugehörigen Konto abgerufen. Sollten Computer-Kriminelle die Kontodaten irgendwie ausspioniert haben, bildet dieses Verfahren eine zusätzliche Hürde für sie, weil jede TAN an eine bestimmte Positionsnummer gebunden ist. Dazu würden sie aber die TAN-Liste brauchen, die per Post versandt wird.

Eine Weiterentwicklung ist wiederum das iTANplus-Verfahren. Hier wird nach der Übermittlung des Auftrages ein Kontrollfeld, ein sogenanntes Captcha, erzeugt. Hier stehen die Angaben zum Bankgeschäft, das Geburtsdatum des Kunden und die Positionsnummer der angeforderten TAN. So können die Daten noch einmal geprüft werden, bevor sie mit der angegebenen TAN frei geschaltet werden.

Mit Handy: mTan

Beim mTAN-Verfahren werden SMS genutzt. Für jede Transaktion wird eine TAN auf das Handy geschickt. Es liegt also keine TAN-Liste vor. Oft sind diese TANs nur für einen begrenzten Zeitraum nutzbar. Da das Online-Banking selbst und die Übertragung der TAN auf zwei unterschiedlichen Medien erfolgt, kann ein Krimineller keine Transaktion auf einem Konto ausführen, solange er nicht im Besitz des dazugehörigen Handys ist. Aber Vorsicht: Dieses Verfahren ist nur mit den inzwischen veralteten Handys sicher. In Zeiten der Smartphones ist es überholt. Hier erfolgt die Übertragung von Bankgeschäft und TAN nämlich auf demselben Weg.

Mit Generator: eTAN

Manche Geldinstitute arbeiten inzwischen mit sogenannten TAN-Generatoren, die man meist für eine einmalige Gebühr kaufen muss. Das kleine, etwa zigarettenschachtelgroße Gerät erzeugt auf Knopfdruck eine TAN, die für einen begrenzten Zeitraum gültig ist. Beim eTAN-Verfahren bekommt der Kunde auf dem Computer eine Kontrollnummer angezeigt, die er in den Generator eingeben muss. Erst dann wird eine TAN vom Generator erzeugt, die nur kurze Zeit gültig ist.

Mit und ohne Tasten: sm@rtTan

sm@rtTAN-Verfahren bedeutet, dass der Generator kein Ziffernfeld hat. Um eine TAN zu bekommen, muss die Scheckkarte in den Generator gesteckt werden. Diese Verfahren bietet keinen guten Schutz vor Eingriffen durch Computer-Hacker. Ähnlich arbeiten sm@rtTAN-plus- und die chipTAN-manuell-Verfahren. Der Generator hat in beiden fällen ein Ziffernfeld. Die Scheckkarte wird auch hier in den Generator gesteckt. Bei der Transaktion wird vom Banksystem dann ein Code erzeugt, der nach Einschub der Scheckkarte in den Generator eingegeben werden muss. Außerdem sind weitere Daten des Bankgeschäftes einzugeben. Aus diesen Informationen wird eine TAN erzeugt, die nur für diesen einen Auftrag Gültigkeit hat.

Am Bildschirm: sm@rtTAN-optic und chipTAN-comfort

Neben Ziffernfeld und Karteneinschub sind auf der Rückseite des Generators optische Sensoren angebracht. Sobald die Daten zum Bankgeschäft am Computer eingegeben sind, erscheint auf dem Bildschirm eine Grafik. Der Generator, mit eingesteckter Karte, muss nun an den Bildschirm gehalten werden, um die Informationen zu lesen. Der Überweisungsbetrag wird danach im Display des Generators angezeigt. Erst nach Bestätigung wird die TAN erzeugt. Dies gilt zur Zeit als relativ sicheres Verfahren, hat aber einen großen Nachteil: Einige Generatoren können sich nicht auf unterschiedliche Bildschirm- und Schriftgrößen einstellen und geben somit ständig Fehlermeldungen aus.

Stand der Technik: Signaturverfahren

Das Signaturverfahren bietet im Moment nach Ansicht der Experten den höchsten Sicherheitsstandard. Allerdings setzt es voraus, dass der Kunde eine eigene Finanzsoftware und ein Signaturkartenlesegerät besitzt. Dann sind die TAN überflüssig. Das Bankgeschäft wird einfach in der speziellen Finanzsoftware vorbereitet. Dann wird in das Signaturkartenlesegerät mit der eingesteckten Karte eine festgelegte PIN eingegeben. Danach wird die Transaktion sofort legitimiert und verschlüsselt. Bei der Bank werden die Daten und die digitale Unterschrift überprüft. Erst wenn hier eine Bestätigung erfolgt, wird der Auftrag ausgeführt.

Achtung: Phishing

Ein wichtiger Hinweis gilt für alle, die Geldgeschäfte über das Internet abwickeln: Antworten Sie niemals auf E-Mails, in denen Sie aufgefordert werden, Kontodaten, Passwörter, PINs etc. auf Websites einzugeben. Dabei handelt es sich immer um Betrugsversuche (Phishing). Darüber informiert fifty2go in einem weiteren Teil der Serie.

Ruth Hoffmann (Text)

Diverse Banken (Fotos)

Informationen: www.polizei-beratung.de und www.bsi-fuer-buerger.de

Kontakt: thomas.kittler@polizei.nrw.de oder unter 0202 / 284-18 15.

 

Print Friendly, PDF & Email

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Sind Sie ein Mensch? *