Mobile-TAN und Chip-TAN

Recht alt ist das SMS- oder auch Mobile-TAN genannte Verfahren. Hier wird dem Nutzer eine TAN per Mobilfunk übermittelt. Problematisch an dem Verfahren ist, dass der SMS-Verkehr nicht abhörsicher ist. Erfolgreiche Angriffe, meist auf wohlhabende Kunden, gab es in der Vergangenheit schon. Dazu kommt auch hier das Problem, dass gerade die SMS-TAN eventuell auf dem Gerät ankommt, mit dem Banking betrieben wird. Einige Banken, wie etwa die Sparda-Bank, verlangen vom Kunden dann, zwei Geräte zu verwenden.

Stellenmarkt

1. Limbach Gruppe SE, Heidelberg
2. XENIOS AG, Reutlingen

Zu den wohl sichersten Verfahren gehört das Chip-TAN-Verfahren mit Hilfe eines separaten Nummerngenerators. Das ist zwar recht alt, aber bewährt. Eine Neuerung ist die Umbenennung in Smart-TAN plus. Als zusätzliches Sicherheitselement dient hier die Debitkarte des jeweiligen Kontos, die eingesteckt werden muss. Das kann eine Girocard, Maestro-Card oder V-Pay-Karte sein. EC-Karten werden nicht unterstützt, denn die gibt es nicht mehr.

HBCI: großer Aufwand, aber für Profis

Ebenfalls als sehr sicher gilt das Banking per HBCI. Auch hier wird ein Kartenlesegerät verwendet, das aber an einen Rechner angeschlossen werden muss. Der Aufwand ist vergleichsweise hoch und damit vor allem für Anwender interessant, die viel mit Überweisungen arbeiten müssen.

Keine gute Idee sind dauerhaft gültige TAN. Hier vergibt der Nutzer im Prinzip einmalig ein Passwort, das nur Transaktionen erlaubt. So handhaben dies beispielsweise N26 und die Targobank (EasyTAN). Der Nutzer meldet sich erst in der Banking-App an, startet eine Überweisung und gibt dann das Transaktionspasswort an. Das ist in erster Linie komfortabel. Wer auf sein Geld Wert legt, sollte davon aber die Finger lassen oder es vielleicht nur bei unwichtigen Zweitkonten machen, über die lediglich Kleinbeträge verwaltet werden. Das iTAN-Verfahren würden wir als deutlich sicherer einschätzen.

Einen weiteren Überblick über TAN-Verfahren bietet das Bundesamt für Sicherheit in der Informationstechnik, aber auch diese Liste ist nicht vollständig. So fehlt etwa das Bestsign-Verfahren, das mitunter mit sehr besonderer Hardware arbeitet. Hier fehlt uns die Erfahrung.

In jedem Fall sollten die Nutzer die Gefahr nicht unterschätzen. Angreifer, die sich bisher auf Social Engineering und das Abgreifen von Papiertransaktionsnummern spezialisiert haben, werden sicherlich nicht einfach ein lukratives kriminelles Feld aufgeben. Sie werden sich weiterentwickeln und neue Angriffsmethoden entwickeln. Alternativ könnten komplexere Angriffe, wie auf das SMS-TAN-Verfahren, populärer werden. Auch Angriffe auf Kunden, die faktisch mit festgelegten TA-Nummern arbeiten, können wir uns vorstellen. Zumal die Social-Engineering-Angriffe immer ausgefeilter werden.

Die Linkliste auf der folgenden Seite erhebt keinen Anspruch auf Vollständigkeit. Nach Möglichkeit haben wir die TAN- oder PIN-Verfahren herausgesucht, die die jeweiligen Banken unterstützen. Mitunter steht nicht jedes Verfahren jedem Kunden zur Verfügung.