Drucken
24.06.2011, 15:39 Uhr | t-online.de
Viele Banken ersetzen das alte iTAN-Verfahren gegen das neuere ChipTAN-Verfahren (Foto: Postbank).
Online-Banking mit einer TAN-Liste - diese Zeiten neigen sich dem Ende. Als Reaktion auf die stark gestiegene Zahl von Phishing-Attacken verabschieden sich zurzeit immer mehr Banken vom TAN-Verfahren und stellen auf ein sicheres Verfahren um. Kunden erhalten mehr Sicherheit bei Bankgeschäften, müssen sich aber an ein neues Prozedere gewöhnen. Viele Banken bieten zudem mehrere Verfahren an und überlassen dem Kunden die Entscheidung – chipTAN oder mTAN-Verfahren. Wir klären, was hinter diesen Technologen steckt und wo Vorteile oder auch Nachteile liegen.
Das Absichern von Online-Banking-Angeboten gleicht für die Geldinstitute einem Wettlauf mit Online-Kriminellen. Zuerst gab es die TAN-Liste, ein System, das sich schnell als verwundbar für Phishing-Taktiken erwies. Deshalb haben die Banken dieses Verfahren in Deutschland mittlerweile komplett durch das iTAN-Verfahren ersetzt, doch auch dieses Verfahren gilt schon seit längerem als verwundbar: Entweder fragen Phisher mittlerweile neben den TAN-Nummern auch die Index-Ziffern der iTAN-Liste ab und erhalten mit etwas Glück genau die, nach der er vom System gefragt wird. Oder sie verlassen sich auf ausgefeilte Methoden wie die des Man-in-the-middle-Angriffs. Dabei schaltet sich ein zuvor auf dem Computer des Opfers installierter Trojaner zwischen Kunde und Banking-System, sobald der Kunde eine Überweisung ausführen will. Während für den Kunden alles normal aussieht, übermittelt er mit seinen Eingaben jedoch alle benötigten Daten samt für diese Transaktion passender TAN an den kriminellen Urheber des Trojaners. Der kann dann einfach die Summe der Überweisung ändern und als Ziel eines seiner eigenen Konten wählen – fertig ist der digitale Raubzug. Genau diese Hacker-Methode soll das chipTAN-Verfahren unterbinden.
Beim chipTAN-Verfahren kommt ein elektronischer TAN-Generator zum Einsatz, ein Gerät, das wie ein kleiner Taschenrechner mit Kartenslot aussieht. Dieser TAN-Gernerator erzeugt für jede Transaktion eine eigene Transaktionsnummer (TAN). Im Fall der Postbank und vielen anderen Banken läuft das Verfahren wie folgt ab: Der Kunde gibt die Überweisungsdaten auf seinem Computer ein, anschließend erscheint eine animierte Grafik auf dem Bildschirm. Er führt nun die Karte in das Lesegerät ein und hält es vor den Bildschirm. Über integrierte Fotosensoren liest das Gerät die Auftragsdaten ein. Nachdem der Kunde die Daten verglichen und bestätigt hat, erzeugt der Generator die TAN und zeigt sie in seinem Display an. Zum Schluss gibt der Kunde die TAN über die PC-Tastatur ein und bestätigt so den Auftrag. Sollte es zu Problemen beim Scannen kommen, lassen sich sämtliche Daten auch über die Tastatur des TAN-Generators eingeben.
Wie sicher sind iTAN, mTan und chipTAN? zum Video
Vorteil des chipTAN-Verfahrens ist die deutlich verbesserte Sicherheit: Bisherige Hacker-Angriffe wehrt es erfolgreich ab. Ein Man-in-the-middle-Angriff wird so unmöglich – würde ein Hacker Zielkonto und Betrag ändern, würde die generierte TAN nicht mehr zu der Transaktion passen, das Online-Banking-System würde sie ablehnen. Auch Verlust und Diebstahl von Karte oder TAN-Generator bleiben ohne Risiko. Sobald eine Karte gesperrt ist, kann sie keine TAN mehr generieren. Hunderprozentige Sicherheit bietet allerdings auch das chipTAN-Verfahren nicht. Ein Risiko besteht bei Sammelüberweisungen. Aus Platzgründen werden die Zielkonten, auf die das Geld überwiesen wird, anders als bei einer Einzelüberweisung nicht angezeigt. Der Kunde weiß also bei einer Sammelüberweisung nicht, welche Transaktion er bestätigt. Ein weiterer Nachteil dieses Verfahrens ist der manuelle Aufwand. Der Kunde benötigt für jede Aktion Bankkarte und chipTAN-Generator. Für den chipTAN-Generator muss er je nach Geldinstut einige Euro Schutzgebühr bezahlen.
Analog zum chipTAN-Verfahren bieten zahlreiche Banken auch das so genannte mTAN-Verfahren an, auch als Mobil-TAN- oder sms-TAN-Verfahren bezeichnet. Dabei hinterlegt der Kunde seine Handy-Nummer bei seiner Bank. Will er eine Online-Überweisung starten, übermittelt die Bank ihm per SMS eine speziell für diese Transaktion gültige TAN. Die ist nur zeitlich begrenzt einsetzbar und gilt nur für die online eingegebenen Zielkonto-Daten und den angegebenen Betrag. Erst wenn der Kunde die per SMS übermittelte TAN eingibt, führt die Bank die Überweisung aus. Ähnlich wie das chipTAN-Verfahren sind klassische Man-in-the-Middle-Angriffe auf diese Weise unmöglich. Die Hacker müssten sich nicht nur zwischen Bank und Computer des Kunden einschalten, sondern auch die SMS mit der TAN abfangen, manipulieren und an den Kunden weiterleiten. Das ist sehr aufwändig, aber nicht unmöglich. So tauchte im Herbst 2010 eine Variante des Zeus-Trojaners auf, der mTAN vom Smartphone abfängt.
Innovative, cloud-basierte Techno- logie mit bewährtem Virenschutz. Bewährter Rundum-Schutz - egal ob Privat, bei der Arbeit, Online-Banking oder -Shopping oder sozialen Netzwerken. weiter zum Angebot
Eine weitere Möglichkeit zum Schutz vor Hacker-Angriffen beim Online-Banking bietet Banking-Software wie das Banking-Paket der Telekom oder Alternativen wie das kommerzielle Programm WISO Mein Geld 2011. Diese Software arbeitet getrennt vom Browser und ist damit nicht anfällig für klassische Trojaner-Angriffe, die auf Browser-Lücken basieren. Alle Bankgeschäfte laufen über eine verschlüsselte Verbindung zwischen der Bank und der Software. Zusätzliche Sicherheitsmaßnahmen wie eine Autorisierung des Kunden über seine Bankkarte oder eine Chipkarte per HBCI werden ebenfalls unterstützt und sollen Kriminelle wirksam aussperren. Dabei meldet sich der Bankkunde nicht mehr online über seinen Browser sondern in der Banking-Software per spezieller Zugangskarte an. Phishing-Angriffe werden damit nutzlos.
Für Kunden, die auf chipTAN oder mTAN wechseln und bei der bisherigen Liste in Papierform bleiben wollen, empfehlen Sicherheitsexperten die Verwendung einer so genannten Live-CD für alle Bankgeschäfte. Dabei startet der Kunde ein eigenes, nicht veränderbares System von einem optischen Datenträger. Möglich wären hier etwa die kostenlos verfügbaren Linux-Live-CDs eines Derivats wie Ubuntu. Weil sich hier kein Trojaner installieren kann, bleiben auch hier Man-in-the-middle-Attacken ausgeschlossen. Dafür muss der Kunde jedoch seinen Computer für jedes Bankgeschäft neu starten. Außerdem muss er an einem Computer sitzen, den er für einen Start von CD konfigurieren kann. Wie Sie sich ein solches abgeschottetes System einrichten lässt, erklärt Ihnen der Ratgeber "Sicheres Homebanking" des PC Magazins (kostenpflichtiger Download). Für klassische Phishing-Angriffe bleibt er jedoch auch mit dieser hausgemachten Sicherungsmethode verwundbar.
Hundertprozentige Sicherheit gibt es nicht, doch mit modernen Verfahren lässt sich das Risiko beim Online-Banking gering halten. Egal ob Sie sich für chipTAN, mTAN oder den Einsatz einer Banking-Software entscheiden - all diese Verfahren sind dem iTAN-Verfahren vorzuziehen.
Ratgeber - Online-Banking: Mehr Sicherheit bei Internet-Bankgeschäften
t-online.de
(187)
Gerd schrieb:
am 2. März 2012 um 10:32:28
(1) 
(0)
TAN-Geneartor
Hallo Kurzsichtiger,
ich selber bin blind und nutze auch das Chip-Tan verfahren. Beim Sparkassen-Shop gab es dafür extrag
ein spezial Gerät mit Sprachausgabe und ohne Optik. Dabei muss man Konto -Nr und Betrag von Hand eingeben. Erst danach erhält man die Tan. Arbeite seit Weihnachten damit ohne Probleme.
Das Gerät hat so um die 60 Euro gekostet.
mehr
Kommentar melden
Kurzsichtig schrieb:
am 27. Februar 2012 um 12:59:55
(11) (9)
TAN-Generator
Bin selbst kurzsichtig und es ist mir unmöglich den Generator am Bildschirm abzulesen. ZUmal der Generator erst garnicht
funktioniert, wenn die Bildschirmlupe unter Win7 läuft. Denke mal, dass geht nicht nur mir so. Mail-Anfrage bei der Bank nach Alternativen blieb unbeantwortet. Bleibt also die teurere Software-Lösung. Und ein Bankwechsel, wenn da nicht bald doch noch eine Antwort kommt.
mehr
Kommentar melden
Andreas schrieb:
am 5. Februar 2012 um 12:44:32
(22) (0)
Helligkeit des Bildschirms ändern!?
@klapebi, das ist schwachsinn, man muss bei der Grafik die auf dem Monitor erscheint schauen, dass die
Pfeile genau mit denen vom Generator übereinstimmen, die Fotosensoren müssen waagerecht zum Monitor stehen, und in einem sehr geringen abstand, ich würde sagen etwa
mehr
Kommentar melden
Bitte füllen Sie alle Felder aus.
Sie sind der Meinung, dass dieser Kommentar anstößige Inhalte enthält.
Die Spezialkollektion für jede Kör-
perform: perfekt für Business und Freizeit. zum XXL-Special
Extravagante und schicke Damen-
mode für die neue Saison: jetzt online bestellen. von WENZ
Edle Design-Möbel, die Platz sparen und Stauraum bieten - jetzt günstig!
von FASHION FOR HOME
Internet Explorer 9: Flotter Seiten- aufbau bei voller Sicherheit. mehr
Neues Oberklassen-Smartphone mit 4,7-Zoll-Display. zum Video
