Mobile-TAN und Chip-TAN
Recht alt ist das SMS- oder auch Mobile-TAN genannte Verfahren. Hier wird dem Nutzer eine TAN per Mobilfunk übermittelt. Problematisch an dem Verfahren ist, dass der SMS-Verkehr nicht abhörsicher ist. Erfolgreiche Angriffe, meist auf wohlhabende Kunden, gab es in der Vergangenheit schon. Dazu kommt auch hier das Problem, dass gerade die SMS-TAN eventuell auf dem Gerät ankommt, mit dem Banking betrieben wird. Einige Banken, wie etwa die Sparda-Bank, verlangen vom Kunden dann, zwei Geräte zu verwenden.
Zu den wohl sichersten Verfahren gehört das Chip-TAN-Verfahren mit Hilfe eines separaten Nummerngenerators. Das ist zwar recht alt, aber bewährt. Eine Neuerung ist die Umbenennung in Smart-TAN plus. Als zusätzliches Sicherheitselement dient hier die Debitkarte des jeweiligen Kontos, die eingesteckt werden muss. Das kann eine Girocard, Maestro-Card oder V-Pay-Karte sein. EC-Karten werden nicht unterstützt, denn die gibt es nicht mehr.
HBCI: großer Aufwand, aber für Profis
Ebenfalls als sehr sicher gilt das Banking per HBCI. Auch hier wird ein Kartenlesegerät verwendet, das aber an einen Rechner angeschlossen werden muss. Der Aufwand ist vergleichsweise hoch und damit vor allem für Anwender interessant, die viel mit Überweisungen arbeiten müssen.
Keine gute Idee sind dauerhaft gültige TAN. Hier vergibt der Nutzer im Prinzip einmalig ein Passwort, das nur Transaktionen erlaubt. So handhaben dies beispielsweise N26 und die Targobank (EasyTAN). Der Nutzer meldet sich erst in der Banking-App an, startet eine Überweisung und gibt dann das Transaktionspasswort an. Das ist in erster Linie komfortabel. Wer auf sein Geld Wert legt, sollte davon aber die Finger lassen oder es vielleicht nur bei unwichtigen Zweitkonten machen, über die lediglich Kleinbeträge verwaltet werden. Das iTAN-Verfahren würden wir als deutlich sicherer einschätzen.
Einen weiteren Überblick über TAN-Verfahren bietet das Bundesamt für Sicherheit in der Informationstechnik, aber auch diese Liste ist nicht vollständig. So fehlt etwa das Bestsign-Verfahren, das mitunter mit sehr besonderer Hardware arbeitet. Hier fehlt uns die Erfahrung.
In jedem Fall sollten die Nutzer die Gefahr nicht unterschätzen. Angreifer, die sich bisher auf Social Engineering und das Abgreifen von Papiertransaktionsnummern spezialisiert haben, werden sicherlich nicht einfach ein lukratives kriminelles Feld aufgeben. Sie werden sich weiterentwickeln und neue Angriffsmethoden entwickeln. Alternativ könnten komplexere Angriffe, wie auf das SMS-TAN-Verfahren, populärer werden. Auch Angriffe auf Kunden, die faktisch mit festgelegten TA-Nummern arbeiten, können wir uns vorstellen. Zumal die Social-Engineering-Angriffe immer ausgefeilter werden.
Die Linkliste auf der folgenden Seite erhebt keinen Anspruch auf Vollständigkeit. Nach Möglichkeit haben wir die TAN- oder PIN-Verfahren herausgesucht, die die jeweiligen Banken unterstützen. Mitunter steht nicht jedes Verfahren jedem Kunden zur Verfügung.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Online-Banking: In 150 Tagen verlieren die TAN-Zettel ihre Gültigkeit | Linkliste zu den TAN-Verfahren von Banken in Deutschland |
Naja, ich habe jetzt herausgefunden, dass es wohl zwei verschiedene Foto-TAN-Verfahren...
Wer kein Handy hat, kann auch keine mTAN empfangen. Wer kein Handy braucht, der hat...
Interessant! Bei meinem ist es so, dass er beim Einschalten (=Karte reinstecken) auch...
MITM sagt dir anscheinend nichts.
Ich nutze bei einer Sparkasse jetzt schon seit bald 10 Jahren Chip-TAN. Und dort muss...