Verfahren und Techniken

PIN/TAN-Verfahren (unsicher)

Vor allem beim elektronischen Banking mit dem Internetbrowser wird von den Banken das PIN/TAN-Verfahren verwendet. Hierbei loggt man sich ins eigene Konto bei der Bankzumeist mit der Kontonummer als Benutzerkennung und mit einer persönlichen Indentifikationsnummer (PIN) als Passwort ein. Damit kann man dann jedoch nur Informationen des Kontos abrufen, beispielsweise Kontostand, Umsätze und Kontoauszüge. Um etwa Geld zu überweisen oder Änderungen der persönlichen Daten vorzunehmen, wird eine nur einmal gültige Transaktionsnummer (TAN) benötigt. Per Briefpost erhält man von der Bank eine Liste mit diesen Nummern. Die Einfachheit dieser Methode birgt gleichzeitig die Gefahr in sich, dass kriminelle Dritte diese Daten durch simples Phishing erhalten und sich damit dann am Konto bedienen. Die Banken setzen daher auf neuere Verfahren wie iTAN und eTAN, die etwas mehr Sicherheit bieten.

iTAN, iTANplus (bedingt sicher)

Das Prinzip des Einloggens und des Auslösens einer Transaktion ähnelt dem PIN/TAN-Verfahren. Allerdings kann beim iTAN-Verfahren (indizierte TAN) nun keine x-beliebige TAN mehr aus der vorhandenen TAN-Liste verwendet werden. Vielmehr fordert der Bankrechner eine ganz bestimmte TAN aus dieser Liste zur Bestätigung der Aktion an. Mit dieser Methode ist der Missbrauch durch Phishing zwar schwieriger geworden, aber dennoch möglich. Einige Banken setzen daher auf iTANplus. Hierbei erscheint vor Eingabe der iTAN eine vom Bankrechner erzeugte Grafik am Bildschirm, die neben sämtlichen Transaktionsdaten zusätzlich auch das Geburtsdatum des Kontoinhabers sowie die Angabe einer zufällig gewählten TAN aus der iTAN-Liste enthält. Die einzugebende TAN erscheint in der Grafik verschleiert, sodass diese zwar von einem Menschen erkannt wird, von einem Computer jedoch nicht. Erst wenn man alle Daten überprüft hat, das Geburtsdatum stimmt und auch die TAN mit der in der Liste übereinstimmt, wird die TAN eingegeben und die Transaktion ausgelöst. Eine eventuelle Manipulation wird damit zwar sehr schwer, kann jedoch nicht ausgeschlossen werden. Daher wird iTAN bis zum nächsten Jahr zugunsten sicherer Verfahren von den Banken aufgegeben.

TAN, sm@art-TAN (bedingt sicher)

Einen etwas anderen Weg verfolgt das eTAN-Verfahren. Hier bekommt man statt der TAN-Liste ein elektronisches Gerät, einen sogenannten TAN-Generator. Vor der Transaktion sendet der Bankrechner eine Kontrollnummer. Diese gibt man über die Tastatur des TAN-Generators ein, worauf dieser eine TAN erzeugt, mit der die Transaktion bestätigt wird. Auch hier gibt es die Möglichkeit des Spionierens, beispielsweise durch Trojaner. Beim sm@rt-TAN-Verfahren wird ebenfall ein TAN-Generator verwendet, der allerdings keine Zifferntastatur besitzt. Mithilfe der Bankkarte erzeugt dieses Gerät auf Knopfdruck die benötigten TANs. Das Gerät selbst ist nicht personalisiert. Die Erzeugung der TANs ist einzig von der Bankkarte abhängig. Ein möglicher Missbrauch wäre möglich, wenn zusätzlich die PIN bekannt ist.

smsTAN/Mobile TAN (sicher)

Bei Verwendung des mTAN-Verfahrens (Mobile TAN oder auch smsTAN genannt) wird das Mobiltelefon als zusätzlicher Informationskanal genutzt. Bevor eine Transaktion ausgeführt werden kann, sendet die Bank per SMS eine nur einmal gültige sowie zeitlich begrenzt gültige TAN an das Handy des Banking-Nutzers. Sobald er diese empfangen hat, muss er damit den Auftrag bestätigen. Das Verfahren gilt derzeit als sicher. Selbst bei Diebstahl oder Verlust des Handys, muss ein möglicher Betrüger zusätzlich zur TAN noch die PIN kennen, um sich am Konto des Opfers bedienen zu können. Mit der steigenden Beliebtheit der Smartphones, sind allerdings zukünftig Sicherheitsprobleme bei diesem Verfahren zu erwarten.

HBCI (sicher)

HBCI steht für Home Banking Computer Interface. Voraussetzung ist ein Kartenlesegerät und eine HBCI-Karte, die im Aussehen einer EC-Karte gleicht. Damit werden die Transaktionsdaten verschlüsselt an die Bank übertragen. Der Verschlüsselungscode wird aus einem auf der HBCI-Karte gespeicherten Geheimschlüssel und durch Eingabe einer PIN erzeugt. Der Schwachpunkt liegt dabei bei der Eingabe der PIN. Das könnte unter Umständen beispielsweise durch sogenanntes Keylogging geschehen. Daher sollte man nur Kartenleser nutzen, die der Klasse 2 oder höher entsprechen. Hier kann die PIN anstatt über die PC-Tastatur über die eigene Tastatur eingegeben werden. Noch sicherer wird das HBCI-Verfahren, wenn ein Kartenleser mit dem sogenannten Secoder-Standard verwendet wird. Hier werden die Transaktionsdaten vor dem Senden zur Kontrolle am eigenen Display gezeigt. Stimmt alles, kann man den Auftrag sicher an die Bank übertragen.

chipTAN/sm@artTAN optic (sicher)

Dieses Verfahren ist auch als chipTAN comfort bekannt. Es ist also egal, wie man es auch nennt. Wenn Ihnen eines der beiden Verfahren angeboten wird, handelt es sich bei beiden um exakt das gleiche Prinzip. Hiebei setzt man auf optische Erkennung. Mitunter wird es daher auch als "Flickering" bezeichnet, was so viel wie blinken oder flackern bedeutet. Neben einer Bankkarte wird hierfür ein TANGenerator benötigt, der zusätzlich einen optischen Sensor besitzt. Am Bildschirm ist zunächst wie gewohnt die Überweisung vorzubereiten. Nach dem Absenden erzeugt der Bankrechner einen sogenannten "kryptographischen Container". Dabei handelt es sich um eine Grafik, die an den Absender zurückgeschickt wird und am Bildschirm für den Betrachter als fünf weiße flackernde Striche wahrgenommen werden. Nun muss der optische Sensor des TAN-Generators so vor den Bildschirm gehalten werden, dass er diese "Flackergrafik" erfassen kann. Auf diesem Weg erhält man nun in verschlüsselter Form die Überweisungsdaten, die nach der Erkennung und Decodierung am Display des Generators erscheinen. Jetzt gilt es, diese Daten mit den tatsächlich eingegebenen auf Übereinstimmung zu prüfen. Sind diese korrekt, erzeugt der Generator nach der Bestätigung eine TAN. Diese Nummer funktioniert dann nur für exakt diese Transaktionsdaten. Das optische Verfahren ist für den Nutzer zwar ein wenig aufwändig, gilt dafür jedoch als sehr sicher.