21.08.2012, 08:09

Arne Arnold

Sicherheit

Neue TAN-Verfahren bieten besseren Schutz

iTAN: Zum Schutz vor Phishing führten die meisten Banken vor wenigen Jahren das iTAN-Verfahren ein. Beim iTAN-Verfahren bekommt der Bankkunde ebenfalls eine Liste mit TANs. Doch nun sind die Nummern durchnummeriert. Bei einer Überweisung verlangt die Bank eine ganz bestimmte Nummer von dieser Liste. Somit kann eine per Phishing oder Virus erbeutete Nummer nicht für eine andere Überweisung verwendet werden. Wenn Sie selber das iTAN-Verfahren nutzen, ist Ihr Online-Banking sicher. Voraussetzung ist allerdings unbedingt, dass Ihr PC virenfrei ist.
Viren greifen das iTAN-Verfahren an: Kriminelle haben äußerst raffinierte Viren entwickelt, die teilweise auch das iTAN-System knacken können. Diese speziellen Banking-Trojaner führen sogenannte Man-in-the-Browser-Angriffe durch. Sie schleusen ihren Code in den Internet-Browser ein und können so die eigentlich verschlüsselte Kommunikation vom PC zur Webseite der Bank belauschen und manipulieren. Auf diese Weise gelingt es ihnen, eine Überweisung auf ein anderes Konto umzuleiten und auch den Betrag zu erhöhen. Laut Antiviren-Spezialisten waren letztes Jahr vor allem drei Banking-Trojaner aktiv: Sinowal, Spyeye und sein bekannter Vorgänger mit Namen Zeus.
Die 60 besten Gratis-Sicherheitstools

Das mTAN-Verfahren verspricht mehr Sicherheit: Zwar wird das iTAN-Verfahren noch immer von vielen Banken eingesetzt, doch zeigen die raffinierten Banking-Trojaner, dass dieses Verfahren von Dieben geknackt werden kann. Darum bieten die meisten Banken heute zusätzlich oder ersatzweise das mTAN-Verfahren an. Dabei bekommt der Kunde keine TAN-Liste mehr. Stattdessen erhält er die TAN für eine Überweisung per SMS auf sein Handy. Übertragen werden dabei auch der Betrag und die Bankleitzahl des Empfängers. So kann der Nutzer überprüfen, ob die Daten stimmen. Diese mTAN ist nur für jeweils eine Überweisung gültig.

Das System mit der mTAN ist nach heutiger Einschätzung sehr sicher, da die SMS-Verbindung zum Handy ein zweiter, vom PC völlig getrennter Kanal ist. Wenn der PC mit einem Online-Banking-Trojaner verseucht sein sollte, kann dieser zwar die Überweisung dort manipulieren, doch hat er keinen Einfluss auf die SMS-Verbindung. Da der Nutzer dank Display im Handy den Betrag und den Empfänger der Überweisung kontrollieren kann, fällt eine Manipulation sofort auf.

Smartphone-Viren attackieren auch das mTAN-Verfahren: Neuen Systemen der Sicherheitsexperten sind die Kriminellen nur allzu schnell auf der Spur. Bereits in zwei Fällen wurde das mTAN-Verfahren geknackt. Zu den wenigen Schädlingen, die es für Smartphones bisher gibt, zählen auch zwei äußerst unangenehme Banking-Viren: Zitmo und Spitmo für Android-Smartphones haben es auf die mTAN abgesehen. Die Kriminellen haben dabei zunächst die PCs der Opfer mit einem klassischen Banking-Virus verseucht. Dieser zeigt eine Meldung an, die das Opfer überredet, eine vorgeblich nützliche App auf dem Smartphone zu installieren. Tatsächlich handelt es sich aber um die Viren. Glücklicherweise waren beide Attacken lokal und zeitlich sehr begrenzt. Die Gefahr, Opfer einer solchen Attacke zu werden, ist sehr gering.
TAN-Generatoren für sicherstes Online-Banking: Noch eine Stufe sicherer als das mTAN-Verfahren sind TAN-Generatoren. Sie werden von den meisten großen Banken angeboten. Es handelt sich dabei um Geräte mit Display und kleiner Tastatur für die Zahleneingabe. Damit sie eine TAN-Nummer für eine Überweisung ausspucken, ist es erforderlich, Ihre EC-Karte einzustecken. Haben Sie eine Überweisung auf der Internetseite der Online-Bank wie gewohnt fertig ausgefüllt, erscheint ein Leuchtcode auf der Seite. In einem kleinen Bereich tauchen abwechselnd schwarze und weiße Balken auf. Der TAN-Generator hat mehrere Fotozellen eingebaut, die den Wechsel von Schwarz zu Weiß registrieren. Sie halten den Generator einfach vor den Bildschirm und bekommen so von der Bank die Daten der aktuellen Überweisung direkt auf den Generator übertragen. In Ihrem Display können Sie Empfänger und Betrag kontrollieren und bekommen schließlich die nur für diese Überweisung gültige TAN. Sie ist auch nur für kurze Zeit gültig. Der Clou bei den meisten TAN-Generatoren: Das kryptische Verfahren fürs Erstellen der TAN steckt nicht im Gerät, sondern auf dem Chip der EC-Karte. Den Generator können Sie also getrost herumliegen lassen und mit anderen teilen. Die entscheidende Rolle spielt die EC-Karte. Aktuell gelten die TAN-Generatoren als sicher. Ein erfolgreicher Angriff auf das System ist nicht bekannt.

TAN-Generatoren ähneln den älteren HBCI-Geräten. Der große Unterschied: Die HBCI-Geräte sind per Kabel mit dem PC verbunden und benötigen für Windows einen Treiber. Das führte unter Umständen zu Problemen bei der Installation. Auch waren die Preise für die Geräte bei den meisten Banken recht hoch. Entsprechend waren HBCI-Geräte beim Privatnutzer selten. Diese Nachteile gibt es bei den TAN-Generatoren nicht.
Lesen Sie auf der nächsten Seite:
Kommentare zu diesem Artikel (15)
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

Angebote für PC-WELT-Leser
PC-WELT Onlinevideothek

PC-WELT Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Tarifrechner
Der PC-WELT Preisvergleich für DSL, Strom und Gas. Hier können Sie Tarife vergleichen und bequem viel Geld sparen.

PC-WELT Sparberater
Das Addon unterstützt Sie beim Geld sparen, indem es die besten Angebote automatisch während des Surfens sucht.

Telekom Browser 7.0

Telekom Browser 7.0
Jetzt die aktuelle Version 7 mit neuem Design und optimierter Benutzerführung herunterladen!

- Anzeige -
Marktplatz
Amazon

Amazon Preishits
jetzt die Schnäpchen bei den Elektronikartikel ansehen! > mehr

UseNext

10 Jahre UseNeXT
Jetzt zur Geburtstagsaktion anmelden und 100 GB abstauben! > mehr

1453890
Content Management by InterRed