Bundesamt für Sicherheit in der Informationstechnik

Sicherheit im Online-Banking

Inhalt des Dossiers

  1. PIN-/TAN-Verfahren allgemein erklärt
  2. PIN-/TAN-Verfahren mit TAN-Liste
  3. Das mTAN-Verfahren – TAN-Versand per SMS
  4. TAN-Generatoren: Individuelle TAN für jeden Auftrag
  5. Signaturverfahren: Karte statt TAN

Blätterfunktion

Die PIN-/TAN-Verfahren und andere Schutzmaßnahmen

Das mTAN-Verfahren – TAN-Versand per SMS

Das mTAN-Verfahren (auch "mobileTAN" oder "smsTAN" genannt) ist eine Alternative zu klassischen TAN-Verfahren für alle Anwender, die ein Mobiltelefon besitzen. Nutzer dieses Verfahrens bekommen keine TAN-Liste auf Papier zugeschickt. Stattdessen verschickt die Bank nach Aufforderung durch den Anwender bei jeder Überweisung eine "mobile TAN" per SMS auf das vorher registrierte Mobilgerät des Kunden.

Das mTan-Verfahren ist zwar praktisch und benutzerfreundlich, birgt aber leider auch einige Risiken. Unter Umständen können Kriminelle die zur Authentifizierung verschickten SMS-Nachrichten abfangen oder umleiten. So besteht die Gefahr, dass die in der SMS enthaltene TAN missbraucht wird.

Erschwert wird ein solcher Angriff durch das sogenannte Dynamic Linking. Dabei fließen in die Erzeugung der TAN auch die Überweisungsdaten ein, so dass weder der Betrag noch das Ziel-Konto nachträglich verändert werden können. Das dadurch tatsächlich erreichte Schutzniveau ist allerdings von der Qualität der TAN-Erzeugung abhängig.

Das BSI empfiehlt daher, auf den Einsatz von mTAN-Verfahren zu verzichten.


Vorsichtsmaßnahmen beim Einsatz von mTAN-Verfahren

Sollten Sie mTAN dennoch nutzen wollen, beachten Sie folgende Sicherheitsempfehlungen:

In der SMS sollten neben der TAN auch die Kontonummer des Empfängers sowie der Überweisungsbetrag stehen. Diese sollten Sie vor Eingabe der TAN prüfen. Sollten hier Unstimmigkeiten bestehen, brechen Sie die Transaktion im Zweifel ab und setzen Sie sich mit Ihrer Bank in Verbindung.

Online-Banking und die Übermittlung der TAN erfolgen auf verschiedenen Übertragungswegen. Hat ein Angreifer den PC infiltriert, kann er keine Transaktionen ausführen, solange er nicht auch gleichzeitig Zugriff auf das Mobiltelefon hat. Beachten Sie aber, dass dieser Sicherheitsvorteil beim Online-Banking mit dem Smartphone nicht gegeben ist. Außerdem greifen Internet-Kriminelle das mTAN-Verfahren verstärkt an. Dass sowohl das mobile Gerät als auch der PC mit Schadsoftware infiziert sind, ist also inzwischen nicht mehr auszuschließen. Siehe hierzu Pressemitteilung des BSI aus 2011. Mittlerweile tauchen immer mehr Trojaner für Smartphones auf. Zusätzlich versuchen Internet-Kriminelle, das System der verschiedenen Übertragungswege zu überlisten: Zunächst wird dabei der Rechner infiziert, um den Nutzer dann im Anschluss aufzufordern ein angebliches Zertifikat oder Update für das mTAN-Verfahren auf seinem Mobilgerät zu installieren. Wer diesen Aufforderungen folgt, installiert sich ein Schadprogramm, welches den Angreifern Tür und Tor öffnet. Gehen Sie auf solche Forderungen nicht ein und wenden Sie sich im Zweifel zunächst an Ihre Bank.

Sie sollten zudem beachten: Bei einigen Banken sind die TAN-SMS nicht kostenlos.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK