iTAN, SmartTan, mTAN: Was ist sicher?

01.08.11  16:30 | Artikel: 953204 | Proteus Fach-Artikel

iTAN, SmartTan, mTAN: Was ist sicher?Derzeit stellen viele Banken Ihre Verfahren für das Online-Banking um. Als Endkunde hört man da iTAN, SmartTan, mTan oder andere Bezeichnungen, ohne vielleicht wirklich zu wissen, was denn nun sicher ist oder nicht. Eine kurze Zusammenfassung in die aktuellen Techniken soll dem Kunden ermöglichen selbst zu entscheiden, welches Verfahren für ihn das richtige ist.

Neuigkeiten in den Online-Banking-Verfahren der verschiedenen Banken gibt es andauernd. Das ist auch durchaus gut so, dass die Banken am Ball bleiben. Denn potentielle Angreifer warten an jeder Ecke um unschuldigen Bankkunden das Geld aus der Tasche zu ziehen. Deshalb werden immer effektivere Verfahren entwickelt , um es Hackern und Betrügern wesentlich zu erschweren, an das Geld der Bankkunden zu kommen.

Das der Kunde dabei auch zu einem gewissen Maß umlernen muss ist klar. Denn ohne Verständnis beim Kunden, ist so manches Verfahren eher obsolet, wie die Vergangenheit zeigte. So sehen sich viele Kunden heute noch nicht als klassische Zielgruppe. Tatsächlich ist aber potentiell jeder gefährdet. Vor allem derjenige, der kein Verständnis für die neuen Verfahren aufbringt und auf sein Glück vertraut. Ist das Kind dann erst mal in den Brunnen gefallen, sprich das Geld weg, wird den Banken meist mangelnde Aufklärung vorgeworfen. Wer liest denn schon die Infoseiten der Banken oder die AGBs? Durchaus eine sonnvolle Lektüre.

Online-Banking hat eine lange Geschichte. So stellte die BW-Bank, die damals noch unter dem Namen Landesgirokasse firmierte, schon Mitte der 80er im ehemaligen Bildschirmtext (BTX) ihren Kunden ein entsprechendes Angebot zur Verfügung, um Zahlungen elektronisch abzuwickeln. Heute erledigen 44 % der Deutschen - das entspricht mehr als 27 Millionen Kunden - Ihre Bankgeschäfte online, wie das Mannheimer ipos-Institut im Auftrag des Bankenverbandes im März diesen Jahres über eine repräsentative Umfrage feststellte.

Seit den Anfängen hat sich vieles verändert. Allerdings hat sich die gebräuchlichste Art der elektronischen Form der Unterschrift bis noch vor ein paar Jahren gehalten: die TAN-Liste. Diese Transaktionsliste (TAN-Liste) war ein Stück Papier, auf dem eine Reihe von 6-stelligen Zahlen gedruckt waren. Wollte man eine Überweisung ausführen, so musste man eine dieser Nummern ins System eintippen, um damit den Auftrag zu bestätigen. Bei dieser Methode war es noch egal, welche Nummer der Liste verwendet wurde.

Aus Sicherheitsgründen haben die Banken dann die Reihenfolge der TANs vorgeschrieben bzw. das System hat eine zufällige Nummer ausgewählt, die dann eingegeben werden musste. Damit war die iTAN, die indizierte TAN, erfunden, ein System, das bis heute Bestand hat.

In den letzten Jahren wurden allerdings ein paar neue Verfahren entwickelt, die alle mehr oder weniger am Markt erfolgreich waren. Derzeit gibt es knapp 30 verschiedene Verfahren, von denen viele jedoch kaum zum Einsatz kommen.

Die gängigen und neueren Verfahren, wie HBCI, mTAN, SmartTan, SmartTan Plus und eTAN-Plus sollte man jedoch - wenigstens rudimentär - kennen.


Homebanking Computer Interface (HBCI)

Proteus Solutions News: HBCI-Terminal (www.reiner-sct.com)Das HBCI-Verfahren nutzt ein kleines Computer-Terminal, welches mit dem PC verbunden werden muss. Es kommt in den Varianten HBCI-1 und HBCI-2 zum Einsatz, wobei das HBI-2-Verfahren als wesentlich sicherer einzustufen ist, da hier am Gerät eine Tastatur vorhanden ist. Bei beiden Verfahren muss der Kunde seine Bankkarte in das Gerät stecken, bei der Variante 2 zusätzlich den PIN der verwendeten Karte eingeben.

Das Verfahren hat jedoch den Nachteil, dass das Terminal immer mit dem PC verbunden werden muss. Ein Wechsel zu einem anderen Rechner ist somit immer mit einem gewissen Auswand verbunden. Auch wurde in der Vergangenheit (September 2001 und Mai 2005) bewiesen, dass es mit Hilfe von Trojanern möglich ist, das Verfahren zu manipulieren.

Zudem sind oder waren die Geräte im Einzelfall recht teuer in der Anschaffung.


SmartTan und SmartTan Plus

Proteus Solutions News: SmartTAN Plus Card Reader (www.vasco.com)Beide Verfahren nutzen ein Terminal, den sogenannten Generator, in der Größe eines kleinen handlichen Taschenrechners und beide Systeme benötigen eine entsprechende Bankkarte, die in den Generator eingesteckt wird. Auch hier unterscheidet sich die 2. Variante, also die Plus-Variante durch eine Tastatur.
Das SmartTan Plus Verfahren wird derzeit bei vielen Danken bis zum Jahresende eingeführt. Es gilt als hochgradig sicher, da es durch Trojaner nicht manipulierbar ist.

Bei diesem Verfahren generiert das Miniterminal bei einer Überweisung aus den eingegebenen Buchungsdaten einen einmaligen TAN, der dann ins System eingegeben werden muss. Bei Geräten mit besserer Ausstattung ist ein integriertes Lesegerät für Bildschirmcodes enthalten, so das die Daten für die Transaktion direkt vom Bildschirm gescannt werden können. Somit entfällt das manuelle Eingeben und damit ein Medienbruch, der Fehler erzeugen kann.

Der Generator ist bei jeder Bank nutzbar, die das SmartTAN Plus-Verfahren anbieten. Damit benötigt man nicht für jeden Online-Banking-Zugang ein eigenes Gerät. Für die Nutzung muss allerdings pro Zugang für das Online-Banking eine entsprechende Bankkarte mit Chip vorhanden sein.

Das Gerät ist deshalb übertragbar, weil die eigentlich TAN nicht vom Generator erzeugt wird sondern von der Chipkarte. Ähnlich wie bei SIM-Karten von Mobiltelefonen steckt hinter dem Chip ein kleiner eigenständiger Rechner. Der Generator als Hardware fungiert damit nur als Anzeigegerät.

Durch den recht niedrigen Preis, bei vielen Banken wird der Generator für 10 Euro angeboten, und die hohe Sicherheit des Verfahrens wird sich dieses vermutlich in den nächsten Jahren großflächig etablieren, sofern keine Sicherheitslücken durch fortschreitende Techniken bekannt werden.


eTAN-Plus

Proteus Solutions News: eTAN-Generator (www.bw-bank.de)Das eTAN-Plus-Verfahren ist schon ein wenig älter, gilt jedoch bis heute als ein Verfahren mit hoher Sicherheit und ist durch Trojaner nicht manipulierbar. Im Dezember 2006 hat die BW-Bank dieses Verfahren eingeführt. Hierbei erhält der Kunde ebenso ein Mini-Gerät, das allerdings ohne Chipkarte auskommt.

Die Geräte werden personalisiert, so das dieses nur für einen Online-Zugang verwendet werden kann. Ebenso wie beim Smart-TAN Plus-Verfahren werden Daten der Transaktion - in diesem Falle die Kontonummer - für die Generierung der TAN benötigt. Diese muss von Hand am Gerät eingegeben werden. Die erzeugte TAN ist dann auch zeitlich beschränkt und läuft bei Nichtverwendung ab.

Mit diesem Verfahren steht die BW-Bank in der Vorreiter-Rolle. Auch ohne Chipkarte, der Wechsel auf diese kostet den Kunden ja auch jährlich eine Gebühr, bietet diese Variante eine sehr hohe Sicherheit.

Einziger Nachteil: Bei mehreren separaten Zugängen zu Konten der BW-Bank sollte verschiedene Generatoren entsprechend gekennzeichnet werden, damit eine Verwechselung ausgeschlossen ist.


mTAN oder mobileTAN

Proteus Solutions News: HTC SmartPhone (www.htc.com)Die Versendung von mobilen TANs ist in den letzten Jahren ziemlich in Mode gekommen. Da mittlerweile nahezu jeder Bundesbürger ein Mobiltelefon ständig dabei hat, ist es ein optimales Medium für das Online-Banking, das ja ein hohes Maß an Sicherheit durch die Trennung von TAN-Erzeugung und Banking-Website bekommt.

Bei diesem Verfahren wird nach Eingabe aller Transaktionsdaten von Server der Bank eine TAN generiert und an ein vorher registriertes Mobiltelefon versendet. Der Versand dauert dabei nur wenige Sekunden und die erhaltene TAN ist nur ein paar Minuten lang gültig.

Die Registrierung des Telefons kann dabei im ersten Schritt online erfolgen. Die finale Freischaltung erfolgt jedoch über die Eingabe eines PINs, der mit der normalen Post versendet wird. Auch hier ist eine Trennung über zwei verschiedene Medien zwanghaft notwendig.

Bei der mobilen Lösung ist darauf noch mal explizit hinzuweisen. Nur durch die Trennung bei den verschiedenen Verfahren ist sicher gestellt, dass Trojaner oder Angreifer nicht beide Medien kompromittieren. Deshalb ist das Verwenden des mTAN-Verfahrens auf Smartphones nicht nur bedenklich sondern per AGB von den Banken sogar verboten. Nutzt man die Banking-Seite auf dem Mobiltelefon und erhält danach einen mTAN per SMS, so erfolgt die Übertragung auf das gleiche Medium. Damit wird die gesamte Transaktion kompromittierbar.

Proteus Solutions News: Diagramm Entwicklung Online-Banking-Nutzer Detuschland 2000-2011

Lesen Sie auch:
Sicherer Umgang mit Kreditkarten - neue Sicherheitslücken aufgedeckt

____________




Autor: Björn-Lars Kuhn

Journalist bdfjBjörn-Lars Kuhn ist einer der Inhaber der Proteus Solutions GbR, Buchautor, Datenschutzbeauftragter (IHK), Fachjournalist (bdfj) in den Bereichen Datenschutz, Netzpolitik und Erneuerbare Energien und Redakteur dieser Nachrichtenseite.



Themenbereiche:

Datenschutz | Sicherheit | TopFachTipps

Schlagworte:

Online-Banking (22) | TAN (6) | SmartTAN (2) | mTAN (2) | Verfahren (7) | Sicherheit (143)