Sicherheit

Neue Sicherheitsverfahren sollen Online-Banking sicherer machen

Gedruckte TAN-Liste wird zur Rarität
Von dpa / Thorsten Neuhetzki
Kommentare (1577)
AAA
Teilen

Vor 30 Jahren fand die Weltpremiere des Online-Bankings in Deutschland statt. Die Verbraucherbank AG in Düsseldorf bot damals privaten Bankkunden im Bildschirmtext (BTX) der Bundespost die Möglichkeit, Geld online zu überweisen. Damals schon benötigten die Verbraucher für den Geldtransfer eine Transaktionsnummer (TAN), die zuvor per Einschreiben in einer Liste an den Kontoinhaber verschickt wurde. Seit dieser Zeit sichern TANs in Kombination mit der PIN, der geheimen Zugangsnummer, das elektronische Banking ab.

Externe Geräte sollen TANs sicher machenExterne Geräte sollen TANs beim Onlinebanking sicher machen Nun aber scheinen die Tage der gedruckten TAN-Listen gezählt. Immer wieder gelang es Online-Kriminellen, die TAN-Nummern abzufischen. Das einfache TAN-Verfahren wird ohnehin kaum noch verwendet. Hier konnte sich der Kontoinhaber eine beliebige Transaktionsnummer aus der Liste aussuchen. Aber auch das iTAN-Verfahren, bei dem Kunden die TAN auf einer bestimmten Position der indizierten Liste eingeben müssen, wurde immer wieder angegriffen.

2900 Fälle von "Phishing", bei denen Transaktionsnummern ausgespäht wurden, verzeichnete das Bundeskriminalamt verzeichnete im Jahr 2009. In diesem Jahr soll sich die Zahl der Attacken fast verdoppelt haben. Nun erwägen die Verantwortlichen einiger Banken, in absehbarer Zeit Abschied von ausgedruckten TAN-Listen zu nehmen. "Das bisherige iTAN-Verfahren mit der Papierliste läuft aus und wird spätestens ab Mitte 2011 nicht mehr eingesetzt", sagt beispielsweise Postbank-Sprecher Jürgen Ebert. Bei den Volksbanken wurden die iTANs auch schon abgeschafft.

Selbst die mTAN kann abgefangen werden

Bereits heute bieten zahlreiche Banken ihren Kunden an, sich die TANs als SMS auf das Handy schicken zu lassen (mTAN oder mobileTAN). Dazu muss die Mobiltelefonnummer mit dem Konto verknüpft werden. Dieses Verfahren gilt als sichererer als die herkömmliche TAN oder iTAN auf Papier, weil mit der SMS ein zweiter Übertragungskanal die Geldüberweisung absichert.

Ganz sicher ist das Verfahren allerdings auch nicht. Für Smartphone-Betriebssysteme wie Symbian oder Blackberry von RIM bereits Schadprogramme aufgetaucht, mit denen diese TAN-SMS abgefangen oder auf Handys von Betrügern umgeleitet werden können. Experten den Einsatz der mTAN daher nur auf geschützten Smartphones oder einfachen Handys, die nicht mit dem Internet verbunden sind.

Zahlreiche Volks- und Raiffeisenbanken, viele Sparkassen und die Postbank bieten ein weiteres Verfahren an, um auf sicherem Weg eine Transaktionsnummer zu übermitteln. "sm@rtTAN" nennt sich das von den Volksbanken eingeführte, das nun von anderen Banken als "ChipTAN" bezeichnet wird. Hier nutzt der Kunde zwei voneinander getrennte Geräte - so wie bei der mobileTAN. Die Eingabe der Überweisungsdaten erfolgt am Computer, die Anzeige der Daten an einem TAN-Generator, der auf den ersten Blick aussieht wie ein Taschenrechner.

In dieses kleine Gerät wird die EC-Karte des Kunden gesteckt. Dann erst kann eine gültige TAN erstellet werden. "Betrüger haben somit keine Chance, gleichzeitig beide Geräte für ihre Zwecke zu manipulieren", sagt Postbank-Sprecher Ebert. "Das ChipTAN-Verfahren empfiehlt sich zum Beispiel für Kunden, die kein Mobiltelefon besitzen oder mobile Bankgeschäfte erledigen."

Chip-basierte TAN-Systeme gelten als sicher

Bei einer Komfort-Variante des Chip-TAN-Geräts, die rund 15 Euro kostet, muss der Anwender die Daten der Überweisung nicht parallel auf dem TAN-Generator eintippen, sondern kann sie sich am Bildschirm des PCs über Lichtsignale übertragen lassen. Fünf Lichtsensoren an der Rückseite des TAN-Generators nehmen dabei die Informationen in der flackernden Grafik auf dem PC-Monitor auf.

Auf dem Display des TAN-Generators werden dann die Empfängerkontonummer und der Überweisungsbetrag angezeigt. Diese müssen vom User bestätigt werden. Der TAN-Generator errechnet dann die richtige TAN für die Überweisung.

Das Chip-TAN-Verfahren gilt unter Experten für einzelne Online-Überweisungen als sehr sicher. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) befürwortet das System - neben dem aufwendigeren HBCI-Verfahren. "Grundsätzlich zu empfehlen sind Hardware-basierte Lösungen wie HBCI-Chipkarte oder TAN-Generator, da hierbei die kryptographischen Schlüssel sicher auf einer speziellen Plattform gespeichert werden", sagt BSI-Sprecher Tim Griese. Durch die Nutzung zusätzlicher Sicherheits-Hardware werde Online-Banking auch weniger anfällig gegen Angriffe wie das Abfangen von Passwörtern oder Phishing.

Teilen