Bundesamt für Sicherheit in der Informationstechnik

Sicherheit im Online-Banking

Inhalt des Dossiers

  1. PIN-/TAN-Verfahren allgemein erklärt
  2. PIN-/TAN-Verfahren mit TAN-Liste
  3. Das mTAN-Verfahren – TAN-Versand per SMS
  4. TAN-Generatoren: Individuelle TAN für jeden Auftrag
  5. Signaturverfahren: Karte statt TAN

Blätterfunktion

Die PIN-/TAN-Verfahren und andere Schutzmaßnahmen

PIN-/TAN-Verfahren mit TAN-Liste

Um sicherzustellen, dass nur Sie auf Ihr Konto zugreifen können, setzen die Banken schon seit vielen Jahren das PIN/TAN-Verfahren ein. Die unterschiedlichen PIN/TAN-Verfahren bieten einen unterschiedlichen Schutz.

Das klassische PIN/TAN-Verfahren

Beim klassischen PIN/TAN-Verfahren verschickt die Bank eine auf Papier gedruckte TAN-Liste per Post. Wenn Online-Banking-Nutzer eine Transaktion durchführen wollen, können Sie eine beliebige TAN aus der Liste verwenden. Dabei kann jede TAN nur einmal verwendet werden.

Dieses klassische Verfahren bietet nur einen eingeschränkten Schutz vor Phishing-Angriffen (siehe auch Artikel "Online-Banking: Sicherheitsrisiken" Phishing. Wenn Kriminelle Kontodaten, PIN und TANs ausspioniert haben, können sie ungehindert Geld abheben und auf ihre Konten überweisen.

iTAN-Verfahren

Mehr Sicherheit bietet das iTAN-Verfahren: Auch hier verschickt die Bank eine TAN-Liste auf Papier – die Transaktionsnummern sind aber zusätzlich durchnummeriert. Wenn Sie eine Überweisung durchführen wollen, werden Sie von der Bank aufgefordert, eine bestimmte TAN (zum Beispiel Nummer 17) einzugeben. Die angeforderte TAN ist an diesen bestimmten Auftrag gebunden und kann nicht beliebig verwendet werden. Der Vorteil des iTAN-Verfahrens gegenüber dem normalen TAN-Verfahren liegt darin, dass es im Falle eines erfolgreichen Phishing-Angriffs eine zusätzliche Sicherheitshürde gibt: Ausspionierte Transaktionsnummern nutzen den Online-Kriminellen nichts, wenn sie nicht die dazugehörige laufende Positionsnummer kennen.

Diese zusätzliche Sicherheitshürde führte dazu, dass die Zahl der bekannt gewordenen Phishing-Attacken nach der Einführung des iTAN-Verfahrens bei vielen Banken deutlich sank . Die Kriminellen reagierten aber schnell und entwickelten neue Methoden. Schon 2009 wies das BKA daher darauf hin, dass das iTAN-Verfahren nicht mehr als sicher einzustufen sei [Bundeskriminalamt: Bundeslagebild Cybercrime 2009]. Das liegt daran, dass das iTAN-Verfahren nicht vor so genannten Man-In-The-Middle-Angriffen (siehe auch Artikel "Schadprogramme beim Online-Banking") schützt, bei denen Schadprogramme zum Beispiel die Kontonummer des Empfängers verändern.

iTANplus

Eine Weiterentwicklung des iTAN-Verfahrens ist das sogenannte iTANplus-Verfahren. Bei diesem Verfahren wird nach Übermittlung der Transaktionsdaten auf dem Bildschirm ein Kontrollbild eingeblendet. Dieses sogenannte Captcha zeigt bei einer Überweisung Betrag, Bankleitzahl und Kontonummer des Empfängers, das Geburtsdatum des Kunden sowie die Positionsnummer der angeforderten TAN an. Weil der Nutzer die Transaktionsdaten vor der Überweisung noch einmal überprüfen kann, werden Man-In-The-Middle-Angriffe erschwert.