Online-Banking: So sicher sind die TAN-Verfahren wirklich!

21. Januar 2016 - 10:34 Uhr

mTAN-Verfahren von Kriminellen ausgehebelt

Betrüger konnten das mTAN-Verfahren aushebeln und über eine Million Euro erbeuten. Das als sicher geltende mTAN-Verfahren wurde dabei sehr aufwändig ausgetrickst: Über den Einsatz von Spionagesoftware und das Erschleichen von SIM-Karten konnten die Kriminellen auf die Konten von Bankkunden zugreifen und hohe Beträge überweisen.

Die Verbrecher nutzten zwei Schwachstellen aus: Den schlecht gesicherten heimischen Computer und den offenbar laxen Umgang der Telekom mit SIM-Karten. Die Betrüger hatten sich als Händler getarnt und Ersatz-SIM-Karten für bestimmte Mobilnummern bei der Telekom angefordert.

Da ein Verzicht auf Online-Banking keine echte Alternative ist, stellen wir Ihnen die unterschiedlichen Sicherheitsverfahren der Banken vor und zeigen, welcher Schutz besonders sicher ist.

So sicher sind die TAN-Verfahren

iTAN

Bei diesem Verfahren schickt Ihnen die Bank eine Liste mit durchnummerierten Transaktionsnummern (TAN) zu. Für jeden Auftrag erhält man eine Zahl, die man auf der Liste suchen muss. Hinter der Zahl befindet sich die iTAN, mit der man den Auftrag aktivieren kann. Die iTAN ist bei vielen Banken nur einige Minuten lang gültig und nur einmal verwendbar. Außerdem kann man über seinen Kundenzugang nachsehen, welche iTAN bereits verbraucht wurden und welche noch gültig sind.

Über Phishing-Mails versuchen immer wieder Betrüger, an Bank- und TAN-Daten heranzukommen. Das Verfahren hat sich bewährt, gilt aber als nicht ganz sicher.

mTAN, smsTAN, mobilTAN

Das mTAN-Verfahren galt bislang als besonders sicher, da zwei Endgeräte benutzt werden: Am Computer wird der Auftrag an die Bank eingegeben und die gültige TAN wird per SMS auf das Handy geschickt. Die mTAN ist nur wenige Minuten gültig.

Erfolgreiche Betrugsversuche haben gezeigt, dass das Verfahren nicht sicher ist.

pushTAN

Über eine passwortgeschützte App kann eine TAN erzeugt werden. Dazu ist natürlich ein Smartphone oder Tablet notwendig.

Smartphone-Trojaner könnten die App angreifen und Daten abgreifen. Das Risiko ist gering, besteht aber.

photoTAN

Nachdem der Auftrag eingegeben wurde, erscheint auf der TAN-Eingabeseite der Bank eine farbige Seite. Diese Grafik muss mit der einer speziellen photoTAN-App über die Kamera des Smartphones oder Tablets eingescannt werden. Die Grafik erscheint in der App und wird entschlüsselt. Danach werden die Auftragsdetails angezeigt und eine TAN zur Autorisierung. Erledigen Sie Ihre Bankgeschäfte auf ihrem mobilen Endgerät, dann tauschen die Bank-App und die photoTAN-App alle notwendigen Informationen aus.

Auch hier stellt die App ein Sicherheitsrisiko dar. Es gibt aber auch spezielle Geräte, die das Bild auslesen können. Dann ist das Verfahren sicher.

ChipTAN

Beim ChipTan-Verfahren müssen Sie Ihre Bankkarte in ein kleines elektronisches Gerät schieben, um eine TAN-Nummer zu generieren. Diesen TAN-Generator erhalten Sie direkt bei der Bank oder im Handel, die Kosten liegen bei rund zehn Euro. Die TAN kann am kleinen Kästchen manuell oder mit einer animierten Grafik am Bildschirm erzeugt werden. Beim manuellen Verfahren müssen die Daten über die Tastatur des TAN-Generators eingegeben werden. Da die Tastatur ziemlich klein ist und die Zahlenreihen lang, ist das eine teilweise fummelige Angelegenheit. Bequemer ist das optische Verfahren. Dabei wird der TAN-Generator einfach vor einer animierten Grafik am Bildschirm gehalten. Die Informationen werden auf den TAN-Generator übertragen und müssen nur bestätigt werden.

Das TAN-Verfahren gilt als ziemlich sicher und wird auch von den meisten Banken angeboten.

HBCI

Das HBCI-Verfahren (Home Banking Computer Interface) gilt als besonders sicher, benötigt aber zusätzliche Hard- und Software. Der zertifizierte Chipkartenleser (ab 50 Euro) muss an den Computer angeschlossen werden. Außerdem benötigen Sie eine spezielle HBCI-Karte von der Bank und eine persönliche HBCI-Geheimzahl. Die Aufträge werden nicht über die Onlineseite der Bank bearbeitet, sondern über eine Banksoftware auf dem Computer. Da die PIN über den Chipkartenleser eingegeben wird, kann Spionagesoftware auf dem eigenen Computer die persönlichen Daten nicht ausspähen. Eine TAN wird bei dem Verfahren nicht mehr benötigt.

HBCI wird von Sicherheitsexperten als besonders sicher eingestuft. Allerdings bieten nicht alle Banken das Verfahren an.

Neben den verschiedenen Sicherheitsverfahren der Bank gilt es, den eigenen Computer vor dem Zugriff Dritter zu schützen. Dazu sollte man einen Virenscanner installieren, der den Befall von Trojaner oder Viren erkennt. Außerdem sollte man Mails aufmerksam lesen und keine Anhänge von einem unbekannten Absender öffnen.