Sicherheit Online-Banking: TAN-Verfahren im Vergleich
Jede Transaktion beim Online-Banking, wie z.B. eine Überweisung, muss mit einer TAN (Transaktionsnummer) bestätigt werden. Leider kommt es immer wieder zu Betrugsfällen, bei denen Kriminelle auf unterschiedlichen Wege an TANs gelangt sind und mittels dieser die Konten der Betroffenen plündern. Wir zeigen Ihnen daher welche TAN-Verfahren von deutschen Banken angeboten werden und wie sicher diese sind. Außerdem geben wir allgemeine Tipps, wie man sich vor Betrug beim Online-Banking schützen kann und seine Sicherheit erhöht. |
Banken und die von ihnen angebotenen TAN-Verfahren
In der folgenden Tabelle stellen wir die bekanntesten Deutschen Banken und die von ihnen angebotenen TAN-Verfahren vor. Wir haben die TAN-Verfahren je nach ihrer vermeintlichen Sicherheit sortiert. Die von der Sicherheit her am schlechtesten bewertete Tan-Liste wurde inzwischen abgeschafft. Die einzelnen TAN-Verfahren und auch die Sortierung erklären wir weiter unten. Mit einem Klick auf das jeweilige TAN-Verfahren (z.B. chipTAN) gelangen Sie direkt zu der Erklärung und den Sicherheitshinweisen.
Bei HBCI bzw. FinTS ist die höchste Sicherheit nur bei der Verwendung mit Chipkarte und nicht nur mit PIN gegeben, was leider nicht alle Banken ihren Kunden anbieten.
Bank | mTAN | pushTAN | eTAN | photo-/QRTAN | chipTAN | HBCI / FinTS |
---|---|---|---|---|---|---|
Sicherheit: | geht | gut | gut | gut | sehr gut | perfekt |
√ (0,09€ je TAN-SMS) | √ (Lesegerät optional 24,90€)
| √ (nur mit Pin) | ||||
√ | √ (Lesegerät optional 29,90€) | √ (mit Pin oder Chipkarte) | ||||
√ | ||||||
√ (0,09€ je TAN-SMS) | √ | √ (mit Pin oder Chipkarte) | ||||
√ (0,10€ je TAN-SMS) | √ (Lesegerät ab 9,90€) | √ (mit Pin oder Chipkarte) | ||||
√ (TAN2go) | √ | √ (mit Pin oder Chipkarte) | ||||
√ | ||||||
√ | √ (29€ für PhotoTAN Lesegerät) | √ (mit Pin oder Chipkarte) | ||||
√ (Secure-APP für mobile Banking) | √ (32€ für PhotoTAN Lesegerät) | √ (nur mit Pin) | ||||
√ | ||||||
√ | √ (Secure-APP für mobile Banking) | √ (nur mit Pin) | ||||
√ (0,09€ je TAN-SMS) | √ (Lesegerät optional 14,90€) | √ (nur mit Pin) | ||||
√ | √ | √ (Lesegerät ab 12,90€) | √ (nur mit Pin) | |||
√ | √ | √ (mit Pin oder Chipkarte) | ||||
√ | √ (nicht für mobile Banking) | √ | ||||
√ (TAN Generator "Bankey" kostenlos) | ||||||
√ (TAN Generator "TAN Box" 15€) | √ (TAN Generator "TAN Box" 15€) | |||||
√ (0,09€ je TAN-SMS) | √ (1822tan+) | √ (bisher nur mit Smartphone) | √ (mit Pin oder Chipkarte) (Chipkarte kostet 1,42€ im Monat!!!) | |||
Sicherheit: | geht | gut | gut | gut | sehr gut | perfekt |
Welche TAN-Verfahren werden angeboten?
In unsere Tabelle werden alle aktuell verfügbaren TAN-Verfahren abgebildet. Bei der einen oder anderen Bank hat das jeweilige Sicherheitsverfahren einen anderen Namen erhalten (z.B. TAN-Box bei Wüstenrot statt chipTan), aber die Technik ist im Großen und Ganzen dieselbe. Weiter unten (oder hier) finden Sie einen direkten Vergleich der jeweiligen TAN-Verfahren. Im Folgenden stellen wir die einzelnen Verfahren etwas detaillierter vor und gehen auf eventuelle Bedenken an die Sicherheit und zum Teil auf bereits erfolgreich durchgeführte Betrugsfälle ein.
Was ist eine TAN- bzw. iTan-Liste und wo liegen die Gefahren?
Tan-Listen gehören inzwischen der Vergangenheit an. Keine Bank bietet Neukunden mehr eine Tan-Liste oder das iTAN Verfahren an. Dieses TAN-Verfahren findet sich allerdings zum Teil noch bei einigen Bestandskunden, die noch nicht auf ein sichereres TAN-verfahren umgestellt haben.
Das erste eingeführte TAN-Verfahren war die TAN-Liste, die aus einer Liste mit Transaktionsnummern (TAN) besteht. Nachdem man sich im Onlinebanking mittels seiner PIN eingeloggt hat, kann jeder Auftrag (z.B. eine Überweisung) mit einer beliebigen TAN auf der Liste bestätigt werden. Dieses Verfahren ist sehr unsicher und wird inzwischen nicht mehr angeboten, da ein Betrüger nur die PIN und eine beliebige TAN der Liste kennen muss, um eine Überweisung auf ein fremdes Konto tätigen zu können.
Beim etwas fortschrittlicheren iTAN-Verfahren sind die TAN Nummern durchnummeriert. Zur Bestätigung eines Auftrags wird nicht nach einer beliebigen, sondern nach einer speziellen TAN gefragt. Kunden werden z.B. aufgefordert die TAN Nummer 75 von ihrer Liste einzugeben. Ein Angreifer, der nicht gerade diese TAN abgefangen hat, kann somit keinen Schaden anrichten.
Dennoch ist die Sicherheit des iTAN-Verfahrens nicht mehr zeitgemäß und es kommt immer wieder zu Betrugsfällen. Dies liegt allerdings nicht an einer generellen Unsicherheit des iTAN-Verfahrens, sondern eher an einem zu laschen Umgang mit der PC-Sicherheit durch den Kunden. Außerdem haben die TAN-Listen den Nachteil, dass die einzelnen TANs nicht erst für eine bestimmte Zahlung generiert werden, sondern bereits vorab existieren und für jeden beliebigen Auftrag verwendet werden können.
Beispiele für mögliche Angriffe (beim iTAN-Verfahren):
- Social Enginering: Betrüger treten mit den Kontoinhabern in Kontakt (z.B. per Telefon) und versuchen unter diversen Vorwänden an die PIN und TANs zu kommen. Häufig geben sich die Betrüger als Mitarbeiter der jeweiligen Bank aus. Teilweise haben die Betrüger bereits Zugang zum Girokonto (PIN ist z.B. über einen Trojaner oder eine Pfishing-Mail in ihre Hände gefallen), können somit durch viele Detailinformationen als angeblicher Bankmitarbeiter überzeugen und benötigen nur noch eine spezielle TAN, um eine Überweisung ausführen zu können.
- Phishing-E-Mails: Phishing Mails sind E-Mails in denen Verbraucher aufgefordert werden auf einen Link zu klicken. Über diesen Link gelangen sie zu einem Formular in dem sie ihre PIN und / oder TAN(s) eingeben sollen. Häufig "gaukeln" die E-Mails vor von der Bank des Verbrauchers versendet worden zu sein. In vielen Fällen handelt es sich angeblich um eine "Sicherheitsüberprüfung" oder ein ähnliches Anliegen der Bank. Die E-Mails und auch die Formulare bzw. Fakeseiten auf die man über den Link gelangt, sind in den letzten Jahren deutlich professioneller geworden.
- Trojaner: Über infizierte Mail-Anhänge oder durch den Besuch infizierter Internetseiten, die z.B. durch einen Link aus einer Phishing-Mail angesteuert werden sollen, kann es zur Installation von Schadsoftware auf dem PC kommen. Betrüger können dann je nach Schadsoftware z.B. alle Tastatureingaben und somit auch die PIN-Eingabe mitlesen (Keylogger). Andere Schadsoftware sorgt dagegen dafür, dass man beim Besuch der Internetseite seiner Bank unbemerkt auf eine in vielen Fällen täuschend echte Nachbildung dieser Seite weitergeleitet wird. Auf dieser von den Betrügern erstellten Seite wird man dann um die Eingabe seiner PIN und TAN gebeten.
Wie man man seine Sicherheit im Online-Banking deutlich erhöhen kann und worauf man unbedingt achten sollte, erfahren Sie am Ende des Artikels (bzw. über den Link hier).
Banken die noch iTan (an Neukunden) anbieten:
Was ist mobileTan und wie funktioniert das Sicherheitsverfahren?
Bei mobileTAN (auch smsTAN oder mTAN) erhält ein Kunde seine TAN als SMS auf sein Handy geschickt. Direkt nach der Eingabe der Zahlungsinformationen im Online-Banking kann der Verbraucher die Zusendung einer TAN-SMS auswählen. Die erhaltene TAN muss zur Bestätigung des Zahlungsauftrages beim Online-Banking eingegeben werden.
Durch die Nutzung zwei von einander unabhängigen Geräten (Handy und PC) erhöht man die Sicherheit. Das Mobiltelefon funktioniert dabei über das Mobilfunknetzwerk und die Internetverbindung für das Online-Banking über das Festnetz. Außerdem werden in der SMS die Daten zum Zahlungsauftrag mitgeschickt. Die Kontonummer des Empfängers und auch der beabsichtigte Überweisungsbetrag werden in der SMS genannt und können überprüft werden. Des Weiteren sind die mTANs nur kurzfristig gültig. Wird die zugeschickte TAN nicht genutzt, verfällt diese bereits nach wenigen Minuten.
Das mobileTAN-Verfahren ist aufgrund seiner Bequemlichkeit sehr beliebt. Ihr Handy haben die meisten Leute ständig dabei und können somit auch ohne die Mitnahme ihrer iTan-Liste oder eines TAN-Generators unterwegs TANs erzeugen und Überweisungen tätigen. Dennoch gab es bereits Fälle, bei denen es zu Betrugsfällen gekommen ist.
Beispiele für mögliche Angriffe beim mTAN-Verfahren:
Aufgrund der Übersendung der TAN auf das Handy des Bankkunden und der Anzeige der Empfängerdaten bei der TAN-SMS werden viele beim iTAN-Verfahren mögliche Betrugsszenarien erschwert bzw. unmöglich gemacht. Schadsoftware müsste beim mTAN-Verfahren nicht nur den PC, sondern ebenfalls das Smartphone infizieren, um an PIN und TAN zu kommen.
Betrüger gingen daher in der Vergangenheit einen anderen Weg. Ist ein PC infiziert und sind die Kriminellen an PIN und Kontonummer gekommen, wird gezielt nach dem Mobilfunkanbieter des Kunden (z.B. über einen online Kontoauszug) gesucht. Anschließend wird versucht beim Telefonanbieter eine neue SIM-Karte zu bestellen, die dann aber an eine Adresse geschickt werden soll, auf die die Betrüger Zugriff haben. Mobilfunkanbieter sind inzwischen darüber informiert, was eine SIM-Karte in den falschen Händen für Schäden anrichten kann, dennoch kommt es immer wieder zu derartigen Fällen (z.B. Artikel bei sueddeutsche.de hier).
Sind die Betrüger in Besitz der SIM-Karte, können sie sich selber mTANs zuschicken lassen. Die TANs werden in Form einer SMS aufs Handy übersandt und diese können ohne die Eingabe eines weiteren Passwortes gelesen werden.
BSI rät auf das mTAN-Verfahren zu verzichten
In 2017 riet das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf die Nutzung von SMS-TANs zu verzichten. Der Hinweis bezog sich auf eine Schwachstelle in den Mobilfunknetzen, die inzwischen allerdings von allen Mobilfunkbetreibern behoben worden sein soll. Dennoch zeigt sich, dass das Abfangen einer (TAN)SMS technisch möglich ist und von Betrügern ausgenutzt werden kann, um Überweisungen vom Kundenkonto zu tätigen.
TAN-Verfahren, die einen TAN Generator nutzen oder die TAN zumindest verschlüsselt übermitteln (pushTan) sollten bevorzugt werden, wenn man seine Sicherheit beim Online-Banking erhöhen möchte.
Banken die das mTAN-Verfahren anbieten: Comdirect, Consorsbank, Targobank, Postbank, 1822 direkt, Commerzbank, Norisbank, HypoVereinsbank, netbank, ING, Deutsche Bank, Skatbank, Fidor Bank
Wie funktioniert das pushTAN-Verfahren und ist es sicher?
pushTAN ist ein App-basiertes TAN Verfahren und kann nur mit einem Smartphones bzw. Tablet genutzt werden. Um pushTAN nutzen zu können, muss man sich eine spezielle PushTAN-APP seiner Bank auf seinem Smartphone installieren. Bei der ING heißt diese APP z.B. "SmartSecure". Über die APP werden einen bei Bedarf über eine verschlüsselte Internetverbindung TANs als push-Nachrichten, also nicht in Form einer SMS, auf das Handy geschickt. Genau wie beim mTan-Verfahren sind die pushTans nur für kurze Zeit und nur für einen bestimmten Zahlungsauftrag gültig. Die Überweisungsdaten werden in der push-Nachricht angezeigt und können somit vor der Ausführung überprüft werden.
Die erhöhte Sicherheit im Vergleich mit den SMS-TANs besteht darin, dass die push-Nachrichten über eine verschlüsselte Internetverbindung verschickt werden. Außerdem lässt sich die Push-APP nur über eine PIN starten. Beim mTAN-Verfahren gehen die SMSs dagegen direkt auf dem Handy ein und können genutzt werden, wenn Kriminelle Zugriff auf das Gerät haben oder sich eine SIM-Karte erschleichen konnten (s.o. bei mögliche Angriffe).
Das pushTan-Verfahren gilt als bequem und sehr sicher, wenn man sich mit seinem Smartphone oder Tablet nur seine TANs erstellen lässt (wie beim mTAN Verfahren), für seine Bankgeschäfte jedoch ein anderes Gerät wie z.B. einen PC oder ein anderes Tablet nutzt. Die Nutzung zweier unterschiedlicher Geräte erhöht die Sicherheit bei jedem TAN-Verfahren enorm.
PushTAN und mobileBanking
Als angreifbar gilt die PushTAN-APP jedoch in Kombination mit dem mobileBanking, also dem Erledigen seiner Bankgeschäfte vom Smartphone aus. Nutzt man auf nur einem Gerät seine BankingAPP und zusätzlich noch die pushTAN-APP, müssten Betrüger nur ein Gerät unter ihre Kontrolle bringen, um finanzielle Schäden anrichten zu können. Dies klingt dennoch deutlich einfacher als es ist. Beide APPs müssten von den Angreifern gehackt werden.
Dennoch wurde das pushTan-Verfahren bereits von einem Informatiker geknackt, auch wenn dieser Hack laut Expertenmeinung nur aufgrund der genauen Kenntnis über das Smartphone, das genutzte Betriebssystem und die Version der pushTAN-APP möglich war.
Mögliche Angriffe beim pushTAN-Verfahren:
Beim PushTAN-Verfahren sind bisher keine "echten" Betrugsfälle bekannt. Einen Student der Informatik gelang es jedoch das System zu hacken (siehe Artikel bei Spiegel.de). Allerdings war dieser Hack nur möglich, da der Student über einen längeren Zeitraum Zugriff auf das Smartphone (sein eigenes) hatte und somit das genutzte Betriebssystem, den Handytyp und auch die Version der pushTAN-APP kannte.
Aufgrund der Vielzahl an unterschiedlichen Kombinationen von Smartphones, Versionen von Betriebssystemen und unterschiedlichen pushTAN-APPs (jede Bank nutzt ja eine andere APP) wird es für Hacker unmöglich sein einen flächendeckenden Angriff durchzuführen. Spezielle Angriffe auf z.B. iphone Nutzer mit dem Betriebssystem iOS 9 und der pushTAN App der DKB sind für Cyberkrimminelle vermutlich bisher nicht lohnend. Auch Cyberkrimminelle rechnen wie Unternehmer und kalkulieren, ob ein möglicher Angriff die teils sehr aufwendige Programmierung einer speziellen Schadsoftware überhaupt wieder "einspielen" kann. Zu Bedenken gilt jedoch, dass pushTAN bisher von den wenigsten Kunden genutzt wird. Verbreitet sich das Verfahren stark weiter, werden auch mögliche Angriffe auf dieses System für Kriminelle interessanter.
Die größte Sicherheit hat man daher nur, wenn man nicht pushAPP und Banking-APP auf einem Gerät (Smartphone oder Tablet) nutzt, sondern die pushTANs für das Online-Banking an einem anderen Gerät nutzt und das Smartphone somit nicht für seine Bankgeschäfte, sondern nur zum erstellen der TANs gebraucht. Die Kanaltrennung erschwert dann jedoch die Nutzung von pushTAN fürs mobile Baking.
Wie funktioniert photoTAN bzw. QR-TAN und wie sicher ist es?
Beim photoTAN oder auch QRTAN genannten Verfahren wird Kunden nach der Eingabe eines Zahlungsauftrags ein kryptographisches Bild angezeigt. Diese Bild sieht wie ein farbiger QR-Code (daher z.T. die Bezeichnung QR-TAN) aus. Mit seinem Smartphone und einer vorher installierten APP der Bank oder einem speziellen Lesegerät lässt sich dieser Code in eine TAN umwandeln. Außerdem werden die Zahlungsinformationen wie z.B. die IBAN und der Betrag auf dem Smartphone angezeigt. Die erzeugte TAN ist nur für den angezeigten Zahlungsauftrag gültig.
Durch die Kanaltrennung (Onlinebanking am PC und Smartphone zum Auslesen des Bildes) wird die Sicherheit erhöht. Sicherheitsexperten empfehlen jedoch lieber eins der angebotenen Lesegeräte und nicht sein Smartphone zu nutzen, da die Smartphones theoretisch angreifbar sind. Das Sicherheitsverfahren ähnelt somit dem SmartTAN-Verfahren sehr.
Nachteile und mögliche Angriffe beim photoTAN-Verfahren:
PhotoTAN gilt als sicher, wenn man einen PC oder ein anderes Gerät fürs Online-Banking nutzt und ein externes Lesegerät und nicht sein Smartphone zum Auslesen der Bilder verwendet. Nutzt man sein Smartphone für die Entschlüsselung, macht man sich theoretisch angreifbar.
Kritisch sehen Experten jedoch das Verfahren, wenn man keine unterschiedlichen Geräte nutzt und somit keine Zwei-Faktor-Authentifizierung hat. Führt man seine Bankgeschäfte zum Beispiel über sein Smartphone aus und scannt die Bilder zwecks Generierung der TANs ebenfalls über dieses Gerät, können Kriminelle Zugriff erlangen. Voraussetzung für einen Angriff ist immer, dass das Smartphone bereits mit Schadsoftware infiziert wurde. Auf vielen Android-Systemen gefundene Schadsoftware wie z.B. „Godless“ oder „Hummingbad“ zeigt, dass Viren und Trojaner auf Smartphones inzwischen Wirklichkeit sind.
Einen umfangreicherer Artikel über die genauen Angriffsmöglichkeiten bei photoTAN, die aktuell eher noch theoretischer Natur sind, findet sich auf golem.de
In der Tabelle weiter oben erwähnen wir, ob von der jeweiligen Bank eigene Lesegeräte angeboten werden und was diese kosten.
Banken: Deutsche Bank, 1822direkt, Comdirect, Norisbank, 1822direkt
TAN Verfahren mit TAN-Generator (kein Smartphone)
Die folgenden TAN-Verfahren funktionieren nur mit einem extra Gerät, dass für die Erzeugung der TANs benötigt wird. Beim weiter oben vorgestellten photoTAN Verfahren kann auch ein Smartphone als Lesegerät gewählt werden. Bei den folgenden Verfahren ist dagegen ein TAN-Generator verpflichtend, was aufgrund der erzwungenen Kanaltrennung ein besonderes Maß an Sicherheit gewährleistet. Die Bankgeschäfte werden am PC oder mittels Smartphone ausgeführt und ein nicht mit dem Internet verbundener TAN-Generator ist für die Berechnung der auftragsbezogenen Transaktionsnummern zuständig.
eTAN: TANs mit einem speziellen Generator erzeugen
Beim eTAN-Verfahren werden mittels eines speziellen TAN-Generators TANs erzeugt.
Es existieren unterschiedliche Systeme, aber in der Regel muss ein Teil der Auftragsdaten (z.B. die Kontonummer bei einer Überweisung) oder eine im Online-Banking angezeigte Kontrollnummer über die Tastatur des Geräts eingegeben werden. Der TAN-Generator errechnet dann eine PIN, die nur für den jeweiligen Auftrag Gültigkeit besitzt. Die Parameter für die Berechnung sind u.a. die Zeit, Teile der Kontonummer des Empfängers bzw. die Kontrollnummer und die Seriennummer des Geräts. Der Bankrechner kennt die Berechnungsformel des Generators des Kunden und kann die TAN-Berechnung nachbilden. Kommt der Rechner der Bank bei seiner Berechnung auf die selbe Nummer, wird der Auftrag ausgeführt. Für Angreifer ist die Berechnung (eigentlich) nicht nachvollziehbar ohne den Generator vor Ort auslesen zu können.
Im Gegensatz zu ChipTAN benötigt man beim normalen eTAN-Verfahren keine EC-Karte mit Chip, dafür sind die TAN-Generatoren (bei den meisten Banken) an ein spezielles Girokonto gebunden und können bei Verlust sogar gesperrt werden. (Eine Variation ist eTAN plus. Bei eTAN plus wird eine Bankkarte mit Chip benötigt, was die Sicherheit weiter erhöht. Dieses Verfahren kann man somit als eine Art ChipTAN-Verfahren bezeichnen, welches wir weiter unten vorstellen).
Einige Banken verschenken die TAN-Generatoren an ihre Kunden und bei anderen Banken und Sparkassen zahlt man einmalig zwischen 5€ und 20€, wenn man einen Generator erhalten möchte (siehe Tabelle oben).
Banken: Consorsbank, VW Bank
ChipTAN-Verfahren: TAN Generator + Bankkarte mit Chip
Beim ChipTAN-Verfahren (auch SmartTAN und andere Bezeichnungen) funktioniert die TAN-Erzeugung über einen TAN-Generator. Ein TAN-Generator sieht aus wie ein kleiner Taschenrechner und verfügt über ein Display und eine kleine Tastatur. Ein ChipTAN Generator verfügt zusätzlich noch über einen kleinen Einschub, in den die eigene Bankkarte mit Chip gesteckt wird. Auf dem Chip der Bankkarte sind für die Berechnung benötigte Sicherheitsschlüssel gespeichert.
Die Lesegeräte sind normalerweise an keine Bank oder ein spezielles Konto gebunden und dienen nur der Berechnung der TAN. Durch die Notwendigkeit die eigene EC-Karte in das Gerät zu stecken, wird die Sicherheit der TAN-Erzeugung noch weiter erhöht.
Die meisten Banken und Sparkassen bieten ihren Kunden eigene Lesegeräte an. Wir haben die Preise der angebotenen ChipTAN-Generatoren in der Tabelle genannt.
Wie erzeugt man TANs mit dem Generator?
Möchte man eine Überweisung oder einen anderen Auftrag im Online-Banking aufgeben, kann man sich über den TAN-Generator eine auftragsspezifische Transaktionsnummer erzeugen lassen. Dazu wird ein "Flackerbild" auf dem PC angezeigt. Der Generator verfügt über mehrere optische Sensoren auf der Rückseite. Hält man den Generator in einigen Zentimeter Entfernung vor den PC Bildschirm, kann der TAN-Generator das Flackern (die Lichtsignale) in Daten umwandeln. Übertragen werden z.B. die Kontonummer des Empfängers und der Überweisungsbetrag. Diese Daten werden auf dem Display des Generators angezeigt und können kontrolliert werden.
Anschließend berechnet der Generator eine TAN, was dem Ablauf beim eTAN-Verfahren ähnelt. Allerdings wird bei der Berechnung auf den Sicherheitsschlüssel von der Chipkarte und nicht auf den des eTAN-Generators zurückgegriffen. Die erzeugte TAN ist anschließend nur für den angezeigten Auftrag gültig ist.
(Es gibt auch TAN-Verfahren, bei denen der Kartenchip benötigt wird und bei denen kein "Flackerbild" ausgelesen werden muss, wie z.B. bei eTAN plus. ChipTAN muss also nicht zwingend ein optisches Verfahren mit den "Flackerbildern" sein. Die Bilder erhöhen jedoch den Komfort, da keine Daten beim Generator eingetippt werden müssen, sondern direkt aus dem Bild ausgelesen werden. )
Banken: DKB, Postbank, Wüstenrot
Mögliche Gefahren und Angriffsmöglichkeiten bei Sicherheitsverfahren mit TAN-Generator
Ein nicht mit dem Netz(werk) verbundener TAN Generator erhöht die Sicherheit enorm. Die Technik ist eigentlich nicht zu überwinden und gerade beim ChipTAN Verfahren können nicht alle beteiligten Komponenten (PC, Generator und EC Karte) infiltriert werden. Leider muss man selbst bei der Nutzung eines TAN-Generators einige Sicherheitsaspekte beachten, die allerdings bei sämtlichen anderen Möglichkeiten der TAN-Erzeugung ebenfalls zu beachten sind.
Unter anderem wird bei spiegel.de ausführlich geschildert, wie mit einem ChipTAN-Trojaner Kontoinhaber bestohlen werden sollen. Dazu wird zuerst der PC der Kontoinhaber mit einem Trojaner infiziert. Die Zugangsdaten (PIN und Kontonummer) fallen auf diese Weise bereits in die Hände der Hacker. Anschließend sorgt der Trojaner dafür, dass beim Aufrufen der Internetseite der eigenen Bank eine Weiterleitung auf eine echt aussehende Fakeseite erfolgt. Aufgrund der vorhandenen Zugangsdaten kann sogar der Login-Bereich glaubhaft und mit den entsprechenden Kontoständen nachgebildet werden. Um an eine gültige TAN zu gelangen, wird der Kontoinhaber zur Überprüfung des ChipTAN-Geräts aufgefordert. Mit der durch den Kunden erzeugten und am Bildschirm eingetippten TAN, können die Hacker eine Überweisung auf ihr Konto durchführen. Anschließend ist es sogar möglich das Umsatzbild (der Kontoinhaber gelangt ja nicht mehr auf die echte Internetseite seiner Bank) so zu manipulieren, dass der Kunde keine Abbuchung auf seinem Konto erkennt und annimmt, die Eingabe der TAN galt tatsächlich einer Sicherheitsüberprüfung.
Solche Betrugsfälle sind zu verhindern, wenn man immer die Transaktionsdaten (Kontonummer und Betrag) auf seinem Lesegerät überprüft. Außerdem sollte man jede Aufforderung einer TAN Eingabe anzweifeln, selbst wenn diese als "Sicherheitsüberprüfung" durch die eigene Bank angepriesen wird. Eine TAN wird nur benötigt, wenn man selber einen Auftrag aufgeben möchte. Bei Zweifeln sollte man lieber einmal zu viel als zu wenig Rücksprache mit seiner Bank halten und diese am besten telefonisch (oder persönlich vor Ort) kontaktieren.
(Der o.g. Angriff ist für Hacker aufwendig und nur bei arglosen Opfern möglich. Zum einen muss der eigene PC mit einem Trojaner infiziert sein und die Hacker müssen einen Klon der eigenen Bankseite erstellt haben. Außerdem gelingt der Betrug nur, wenn man die Transaktionsdaten auf seinem TAN-Generator nicht überprüft. Es wird immer die zu überweisende Summe und das Empfängerkonto angezeigt. Stimmt hier etwas nicht, sollte keine TAN eingegeben und die Hausbank kontaktiert werden. Außerdem sollte man regelmäßig seinen PC mit einer aktuellen Virensoftware überprüfen lassen, damit Hacker erst gar nicht Zugriff auf Kontostände haben.)
Die Sicherheit beim Onlinebanking erhöhen
Die Technik der meisten modernen TAN-Verfahren ist ausreichend. Betrugsfälle entstehen in der Regel nur dadurch, dass Bankkunden ihre PC Sicherheit vernachlässigen und sich einen Trojaner einfangen. Durch die Schadsoftware können Kriminelle an die Zugangsdaten (Kontonummer und PIN) zum Onlinebanking gelangen. Haben sie Zugriff auf das Konto fallen andere Betrugsmaschen leichter (z.B. das Vorspielen ein Bankmitarbeiter zu sein, da man ja die Nutzerdaten und genauen Kontoumsätze kennt).
Allerdings können Kriminelle selbst bei einem infizierten PC nicht direkt Überweisungen ausführen. Nutzt man ein zweites Gerät für die TAN-Erzeugung (Handy bei mTAN oder oder TAN-Generator) müssten die Betrüger ebenfalls dieses Gerät mit Schadsoftware infiziert haben, was bei einem TAN-Generator nicht möglich ist, da dieser nicht mit dem Internet verbunden ist.
Schäden entstehen anschließend so gut wie immer nur dadurch, dass die Kontoinhaber sich für eine TAN-Eingabe überzeugen lassen und nicht die angezeigten Empfängerdaten auf dem Display des TAN-Generators oder auf dem Handy Bildschirm (bei mTAN oder pushTAN) überprüfen.
Einfache Verhaltensregeln, um die Sicherheit zu erhöhen:
- Einen aktuellen Virenscanner installieren und diesen regelmäßig ausführen (Wann haben Sie zum letzten Mal Ihren PC auf Schadsoftware überprüft?)
- Keine Mailanhänge in E-Mails von Ihnen unbekannten Absendern öffnen
- Auf keine Links in Mails klicken, wenn diese von unbekannten Absendern kommen oder die Mails "merkwürdig" erscheinen (Z.B. wenn Sie in einer scheinbar von einem Bekannten / Freund kommende Mail aufgefordert werden auf einen Link zu klicken. Die E-Mail ist z.B. in einer Fremdsprache geschrieben oder passt nicht zum normalen Mailkontakt)
- Niemals eine TAN an eine andere Person herausgeben oder irgendwo eingeben (z.B. bei einer angeblichen Sicherheitsüberprüfung durch die Bank oder einer angeblich zwingenden erneuten Freischaltung für Onlinebanking), wenn es sich nicht um einen von Ihnen aufgegeben Auftrag handelt.
- Immer die Auftragsdaten vor der Eingabe der erzeugten TAN überprüfen und zwar nicht nur am PC Bildschirm, sondern ebenfalls beim TAN-Erzeuger (Generator, Smartphone).
- Wachsam bleiben und bei Zweifeln lieber einmal zu oft bei der eigenen Bank anrufen, bevor man einen Zahlungsauftrag per TAN bestätigt.
- (Einen extra PC bzw. ein Tablet nur für Bankgeschäfte und nicht fürs "Surfen" im Internet nutzen)
Den maximalen Schutz erreicht man nur, wenn man auf das Onlinebanking verzichtet und stattdessen Homebanking mit einer speziellen Software nutzt. Wir stellen HBCI im Folgenden vor und gehen auf die Vorteile (Sicherheit, Komfort bei Bankgeschäften) und auch auf die Nachteile (Kosten, geringe Mobilität) kurz ein. Als Alternative können wir bereits vorab ChipTan empfehlen.
mobile Banking: TAN Verfahren und Sicherheit
Wer unbedingt von unterwegs aus Bankgeschäfte erledigen möchte, sollte am besten photoTAN oder pushTAN nutzen und auch bei seinem Smartphone einige Sicherheitsaspekte beachten:
- Kein Jailbrack durchführen! (schaltet gesperrte Funktionen frei und ermöglicht die Installation fremder Software)
- Apps nur aus sichern Quellen (google Play oder APP Store) installieren, wobei iPhones generell sicherer sind als Smartphones mit Android
- Auf die Nutzung von Cloud-Speicher (z.B. dropbox) verzichten bzw. genau kontrollieren, welche Daten / Programme aufs Smartphone geladen werden
- Systemupdates immer schnellstmöglich ausführen! (Google bzw. Apple schließen erkannte Sicherheitslücken regelmäßig per Update)
- Neues Smartphone anschaffen, wenn die neuste Version des Betriebssystem nicht mehr auf dem Gerät lauffähig ist.
- (Virenscanner installieren und nutzen)
Was ist HBCI bzw. FinTS und wie sicher ist es?
HBCI (Homebanking Computer Interface) ist ein von der Deutschen Kreditwirtschaft (Verband der Deutschen Banken und Sparkassen) entwickelter Standard fürs electronic Banking.
Im Jahre 2002 wurde HBCI in FinTS umbenannt und erweitert, allerdings hat sich der Begriff HBCI gehalten. HBCI kann man nur mit einer speziellen Homebanking Software nutzen (z.B. "Starmoney" oder "WISO mein Geld"). Im Gegensatz zum Online-Banking wird also nicht die Internetseite der Bank über den Browser (z.B. firefox, google chrome, internet explorer) angesteuert, sondern es wird eine Verbindung direkt zum Bankrechner aufgebaut und die Kontoinformationen übermittelt. Aufgrund des gemeinsamen Standards der Banken und Sparkassen können Kunden über ihre Homebanking-software Konten (z.B. Tagesgeld und Girokonto) unterschiedlicher Banken abfragen und verwalten.
HBCI kann ohne zusätzliche Hardware genutzt werden (mit PIN und TAN) oder mit einem speziellen Lesegerät und einer Chipkarte. Nutzt man ein Lesegerät mit dem von der Deutschen Kreditwirtschaft entwickelten Secoder-Standard, gilt das System laut IT-Experten als nicht hackbar.
Wer Kunde bei mehreren Banken ist, wird die einfache Verwaltung seiner Konten über nur eine Software zu schätzen wissen. Außerdem kann man sicher sein, dass man das Höchstmaß an Sicherheit für seine Bankgeschäfte hat. Allerdings ist man mit einer Homebanking-software nicht besonders mobil. Für seine Bankgeschäfte benötigt man einen PC + Software, Passwörter, sein Lesegerät und die Chipkarte, was man außer Haus nicht dabei haben wird.
Die erhöhte Sicherheit wird nicht nur durch eine ausgefeilte Verschlüsselungstechnologie und einer speziellen Chipkarte nebst Lesegerät erreicht, sondern auch durch die Nutzung einer Bankingsoftware. Durch die Finanzsoftware laufen die Bankgeschäfte nicht mehr über einen Browser (Firefox, Mozilla, Internet Explorer u.a.), der sich durch Schadsoftware manipulieren lässt. Umleitungen auf Fakeseiten und die üblichen anderen Tricks sind somit nicht mehr möglich.
(Leider bieten bei weitem nicht alle Banken HBCI mit Chipkarte an. Laut Expertenmeinungen soll es auch daran liegen, dass einigen Banken die Nutzung von Bankingsoftware ein Dorn im Auge ist. Muss der Kunde zum Einloggen die Internetseite der Bank direkt ansteuern, kann leichter Werbung für die eigenen Produkte eingeblendet werden. Nutzt ein Kunde dagegen Software wie z.B. Starmoney stehen die Kontostände und Umsätze im Vordergrund. Die normale Internetseite (und die Werbung der jeweiligen Bank) bekommt der Kunde nicht mehr zu sehen. (Werbe)Nachrichten der Bank erhält man selbstverständlich weiterhin, nämlich direkt in sein Postfach.)
Banken (HbCI mit Chipkarte): DKB, 1822direkt, Commerzbank, HypoVereinsbank, Deutsche Bank, Skatbank,
TAN-Verfahren im direkten Vergleich
In der Tabelle vergleichen wir die erhältlichen TAN-Verfahren plus HBCI nach diversen Merkmalen. Neben dem Sicherheitsaspekt vergleichen wir auch die Bequemlichkeit und die Mobiltauglichkeit des jeweiligen Sicherheitsverfahrens.
Faktoren | TAN-/iTAN-Liste | mobileTAN | pushTAN | eTAN | photo-/QRTAN | chipTAN | HBCI/FinTS |
---|---|---|---|---|---|---|---|
benötigte Hilfsmittel | PC + Papierliste | PC / Tablet + Mobiltelefon | Smartphone/Tablet | TAN-Generator | Smartphone/Tablet bzw. externes Lesegerät | EC-Karte + TAN-Generator | PC + Chipkartenlesegerät + Chipkarte |
einmalige TAN Nutzung | √ | √ | √ | √ | √ | √ | Keine TAN |
zeiltich begrenzte Gültigkeit | √ | √ | √ | √ | √ | √ | |
Transaktionscheck | √ | √ | √ | √ | √ | √ | |
Auftragsbezogene TAN-Erzeugung | √ | √ | √ | √ | √ | Keine TAN | |
Kanalwechsel | √ | √ andere APP | √ | √ | √ | √ | |
PIN/Passwort geschützt | √ | √ | √ | √ | √ | √ | √ |
Kosten | 0€ | 0€ bzw. ca. 0,10€ je SMS | 0€ | teilweise Anschaffungskosten für Generator | 0€ | einmalige Anschaffungskosten Lesegerät (ca. 10€ bis 20€) | einmalige Anschaffungskosten Software (ca. 50€) und Lesegerät (ca. 50€) |
Mobile-Banking geeignet? | eher nein | bedingt | ja | ja, aber unbequem | ja | kaum | Nein |
Probleme und Nachteile? | Sicherheit | Funklöcher Handyverlust Betrugsfälle durch nacherstellte SIM-Karten | Internetverbindung Verlust des Handys | Generator Verlust Banking nur mit Generator | EC-Karten Verlust | Verlust Chipkarte Höhere Kosten als bei ChipTAN und Co überhaupt nicht mobil | |
Sicherheitsstufe: | mittel | noch gut | gut | gut | gut | sehr gut | perfekt |