Bundesamt für Sicherheit in der Informationstechnik

Sicherheit im Online-Banking

Inhalt des Dossiers

  1. PIN-/TAN-Verfahren allgemein erklärt
  2. PIN-/TAN-Verfahren mit TAN-Liste
  3. Das mTAN-Verfahren – TAN-Versand per SMS
  4. TAN-Generatoren: Individuelle TAN für jeden Auftrag
  5. Signaturverfahren: Karte statt TAN

Blätterfunktion

Die PIN-/TAN-Verfahren und andere Schutzmaßnahmen

TAN-Generatoren: Individuelle TAN für jeden Auftrag

Um das PIN/TAN-Verfahren sicherer zu machen, geben immer mehr Banken sogenannte TAN-Generatoren aus. Diese Geräte generieren auf Knopfdruck die Transaktionsnummern und zeigen sie auf einem eingebauten Bildschirm an. Ein Nachteil des Verfahrens ist, dass der TAN-Generator griffbereit sein muss, um Online-Banking zu nutzen. Zudem müssen die Kunden einiger Banken den TAN-Generator selbst bezahlen. Zu beachten ist auch, dass die Banken unterschiedliche TAN-Generator-Verfahren anbieten, die zudem je nach Anbieter verschiedene Namen tragen.

eTAN-Verfahren

Der TAN-Generator beim eTAN-Verfahren verfügt über ein Display und ein Ziffernfeld. Um eine Transaktion durchführen zu können, wird Ihnen auf der Banken-Webseite zunächst eine Kontrollnummer angezeigt, die Sie in den TAN-Generator eingeben müssen. Dieser erzeugt dann – unter anderem abhängig von der Uhrzeit und der Empfängernummer – eine TAN, die nur für diese Kontrollnummer und für kurze Zeit gültig ist. Den TAN-Generator erhalten Sie von Ihrer Bank. Je nach Institut können damit Mehrkosten für Sie verbunden sein. Außerdem bieten nicht alle Banken das eTAN-Verfahren an.
Durch die Nutzung dieses Verfahrens sind Sie besser gegen Phishing-Angriffe geschützt, weil eine generierte TAN nur für die passende Kontrollnummer gültig ist – und das auch nur für einen kurzen Zeitraum. Erhöht wird die Sicherheit dadurch, dass anstatt einer Kontrollnummer die Empfängerkontonummer in den Generator eingegeben werden muss. Man-In-The-Middle-Angriffe werden so erschwert.

iTAN-Verfahren

Mehr Sicherheit bietet das iTAN-Verfahren: Auch hier verschickt die Bank eine TAN-Liste auf Papier – die Transaktionsnummern sind aber zusätzlich durchnummeriert. Wenn Sie eine Überweisung durchführen wollen, werden Sie von der Bank aufgefordert, eine bestimmte TAN (zum Beispiel Nummer 17) einzugeben. Die angeforderte TAN ist an diesen bestimmten Auftrag gebunden und kann nicht beliebig verwendet werden. Der Vorteil des iTAN-Verfahrens gegenüber dem normalen TAN-Verfahren liegt darin, dass es im Falle eines erfolgreichen Phishing-Angriffs eine zusätzliche Sicherheitshürde gibt: Ausspionierte Transaktionsnummern nutzen den Online-Kriminellen nichts, wenn sie nicht die dazugehörige laufende Positionsnummer kennen.

Diese zusätzliche Sicherheitshürde führte dazu, dass die Zahl der bekannt gewordenen Phishing-Attacken nach der Einführung des iTAN-Verfahrens bei vielen Banken deutlich sank . Die Kriminellen reagierten aber schnell und entwickelten neue Methoden. Schon 2009 wies das BKA daher darauf hin, dass das iTAN-Verfahren nicht mehr als sicher einzustufen sei [Bundeskriminalamt: Bundeslagebild Cybercrime 2009]. Das liegt daran, dass das iTAN-Verfahren nicht vor so genannten Man-In-The-Middle-Angriffen (siehe auch Artikel "Schadprogramme beim Online-Banking") schützt, bei denen Schadprogramme zum Beispiel die Kontonummer des Empfängers verändern.

iTANplus

Eine Weiterentwicklung des iTAN-Verfahrens ist das sogenannte iTANplus-Verfahren. Bei diesem Verfahren wird nach Übermittlung der Transaktionsdaten auf dem Bildschirm ein Kontrollbild eingeblendet. Dieses sogenannte Captcha zeigt bei einer Überweisung Betrag, Bankleitzahl und Kontonummer des Empfängers, das Geburtsdatum des Kunden sowie die Positionsnummer der angeforderten TAN an. Weil der Nutzer die Transaktionsdaten vor der Überweisung noch einmal überprüfen kann, werden Man-In-The-Middle-Angriffe erschwert.

sm@rtTAN-Verfahren

Beim sm@rtTAN-Verfahren erhalten Sie einen TAN-Generator ohne Ziffernfeld. Damit eine TAN erzeugt wird, müssen Sie Ihre Bankkarte in den Generator schieben. Die generierten TANs sind nicht an eine bestimmte Transaktion gebunden und auch nicht zeitlich eingeschränkt. Sie müssen sich bei Eingabe der TANs lediglich an die Reihenfolge halten, in der Sie die TANs erzeugt haben. Dadurch bietet das Verfahren keinen besonderen Schutz vor Phishing-Angriffen. Auch Man-In-The-Middle-Angriffe werden nicht erschwert, da die TAN nicht auftragsbezogen generiert wird. Das sm@rtTAN-Verfahren ist nicht sehr weit verbreitet.

sm@rtTAN plus / chipTAN manuell

Bei den Verfahren mit den Namen "sm@rtTAN plus" bzw. "chipTAN manuell" erhalten Kunden einen TAN-Generator mit Ziffernfeld und Einschubmöglichkeit für die Bank-/EC-Karte – sie sind also quasi eine Kombination aus eTAN- und sm@artTAN-Verfahren. Wenn Sie am PC oder Smartphone eine Online-Transaktion durchführen, müssen Sie die Bankkarte in den Generator schieben und eine Kontrollnummer eingeben, die das Online-Banking am Bildschirm anzeigt. Zudem müssen Sie die Transaktionsdaten teilweise oder vollständig eingeben – zum Beispiel die Kontonummer und Bankleitzahl des Empfängers sowie den zu überweisenden Betrag.
Aus diesen Informationen erzeugt der Generator nun die TAN. Diese ist nur für den speziellen Auftrag gültig – Betrüger können es nicht für Überweisungen auf andere Konten nutzen. Daher ist dieses Verfahren relativ sicher vor Angriffen durch Phishing- und Man-In-The-Middle-Attacken.

sm@rtTAN optic / chipTAN comfort

Die Eingabe der Kontrollnummer und der Transaktionsdaten ist vergleichsweise umständlich. Um das Verfahren zu vereinfachen, bieten einige Banken TAN-Generatoren an, die die nötigen Daten mithilfe von optischen Sensoren vom Computer-Bildschirm ablesen. Nach Eingabe der Transaktionsdaten erscheint auf dem Bildschirm eine Grafik mit flackernden, schwarzweißen Flächen. Kunden stecken nun ihre Bankkarte in den Generator und halten diesen vor die Grafik auf dem Monitor. Von dort aus werden die Informationen als Lichtsignale an den Generator übertragen, der in seinem Display danach die Kontonummer des Empfängers und den Überweisungsbetrag anzeigt – diese Daten müssen die Nutzer also nicht mehr manuell eingeben.

Nachdem der Kunde die Zahlen kontrolliert und bestätigt hat, errechnet der Generator eine TAN. Dieses Verfahren bietet einen guten Schutz vor Phishing- und Man-In-The-Middle-Angriffen, da Sie die Transaktionsdaten vor der Bestätigung überprüfen können. Wenn Sie beim Blick auf das Display feststellen, dass ein anderes als das gewünschte Empfängerkonto angezeigt wird, können Sie die Übermittlung abbrechen.

photoTAN

Das Verfahren photoTAN funktioniert ähnlich wie sm@rtTAN optic. Auch hier wird dem Kunden das mühsame Abtippen der Transaktionsdaten dadurch erspart, dass diese Informationen optisch vom Bildschirm eingelesen werden. Bei photoTAN flackert hierzu aber nicht der Bildschirm, sondern es wird ein farbiger Barcode angezeigt, der die Daten enthält. Der Kunde benutzt die Kamera seines Smartphones, um diesen Barcode aufzunehmen und sich die Transaktionsdaten auf seinem Smartphone anzeigen zu lassen. Wenn die Transaktionsdaten korrekt sind, gibt der Kunde die vom Smartphone ebenfalls angezeigte TAN in den PC ein und bestätigt damit die Transaktion.

Für die Nutzung mittels Smartphone muss eine kostenlose App auf dem Smartphone installiert werden. Die Stammdaten des Kunden werden bei photoTAN nicht von der Bankkarte eingelesen, sondern einmalig von einem Initialisierungsbrief, den die Bank im Zuge der Anmeldung des Kunden an ihn versendet. Als Alternative zum Smartphone können Kunden auch ein spezielles, von der Bank bereitgestelltes Lesegerät für photoTAN verwenden.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK