Sicherheit

Neue TAN-Verfahren bieten besseren Schutz

Dienstag den 21.08.2012 um 08:09 Uhr

von Arne Arnold

iTAN: Zum Schutz vor Phishing führten die meisten Banken vor wenigen Jahren das iTAN-Verfahren ein. Beim iTAN-Verfahren bekommt der Bankkunde ebenfalls eine Liste mit TANs. Doch nun sind die Nummern durchnummeriert. Bei einer Überweisung verlangt die Bank eine ganz bestimmte Nummer von dieser Liste. Somit kann eine per Phishing oder Virus erbeutete Nummer nicht für eine andere Überweisung verwendet werden. Wenn Sie selber das iTAN-Verfahren nutzen, ist Ihr Online-Banking sicher. Voraussetzung ist allerdings unbedingt, dass Ihr PC virenfrei ist.

Beim mTAN-/SMS-TAN-Verfahren bekommen Sie eine TAN auf Ihr
Handy gesendet und können Empfänger und Betrag
kontrollieren.
Vergrößern Beim mTAN-/SMS-TAN-Verfahren bekommen Sie eine TAN auf Ihr Handy gesendet und können Empfänger und Betrag kontrollieren.

Viren greifen das iTAN-Verfahren an: Kriminelle haben äußerst raffinierte Viren entwickelt, die teilweise auch das iTAN-System knacken können. Diese speziellen Banking-Trojaner führen sogenannte Man-in-the-Browser-Angriffe durch. Sie schleusen ihren Code in den Internet-Browser ein und können so die eigentlich verschlüsselte Kommunikation vom PC zur Webseite der Bank belauschen und manipulieren. Auf diese Weise gelingt es ihnen, eine Überweisung auf ein anderes Konto umzuleiten und auch den Betrag zu erhöhen. Laut Antiviren-Spezialisten waren letztes Jahr vor allem drei Banking-Trojaner aktiv: Sinowal, Spyeye und sein bekannter Vorgänger mit Namen Zeus.



Das mTAN-Verfahren verspricht mehr Sicherheit: Zwar wird das iTAN-Verfahren noch immer von vielen Banken eingesetzt, doch zeigen die raffinierten Banking-Trojaner, dass dieses Verfahren von Dieben geknackt werden kann. Darum bieten die meisten Banken heute zusätzlich oder ersatzweise das mTAN-Verfahren an. Dabei bekommt der Kunde keine TAN-Liste mehr. Stattdessen erhält er die TAN für eine Überweisung per SMS auf sein Handy. Übertragen werden dabei auch der Betrag und die Bankleitzahl des Empfängers. So kann der Nutzer überprüfen, ob die Daten stimmen. Diese mTAN ist nur für jeweils eine Überweisung gültig.

Das System mit der mTAN ist nach heutiger Einschätzung sehr sicher, da die SMS-Verbindung zum Handy ein zweiter, vom PC völlig getrennter Kanal ist. Wenn der PC mit einem Online-Banking-Trojaner verseucht sein sollte, kann dieser zwar die Überweisung dort manipulieren, doch hat er keinen Einfluss auf die SMS-Verbindung. Da der Nutzer dank Display im Handy den Betrag und den Empfänger der Überweisung kontrollieren kann, fällt eine Manipulation sofort auf.

Smartphone-Viren attackieren auch das mTAN-Verfahren: Neuen Systemen der Sicherheitsexperten sind die Kriminellen nur allzu schnell auf der Spur. Bereits in zwei Fällen wurde das mTAN-Verfahren geknackt. Zu den wenigen Schädlingen, die es für Smartphones bisher gibt, zählen auch zwei äußerst unangenehme Banking-Viren: Zitmo und Spitmo für Android-Smartphones haben es auf die mTAN abgesehen. Die Kriminellen haben dabei zunächst die PCs der Opfer mit einem klassischen Banking-Virus verseucht. Dieser zeigt eine Meldung an, die das Opfer überredet, eine vorgeblich nützliche App auf dem Smartphone zu installieren. Tatsächlich handelt es sich aber um die Viren. Glücklicherweise waren beide Attacken lokal und zeitlich sehr begrenzt. Die Gefahr, Opfer einer solchen Attacke zu werden, ist sehr gering.


TAN-Generatoren erzeugen für eine Überweisung die passende
TAN. Sie funktionieren erst, wenn Sie Ihre EC-Karte in das Gerät
stecken.
Vergrößern TAN-Generatoren erzeugen für eine Überweisung die passende TAN. Sie funktionieren erst, wenn Sie Ihre EC-Karte in das Gerät stecken.

TAN-Generatoren für sicherstes Online-Banking: Noch eine Stufe sicherer als das mTAN-Verfahren sind TAN-Generatoren. Sie werden von den meisten großen Banken angeboten. Es handelt sich dabei um Geräte mit Display und kleiner Tastatur für die Zahleneingabe. Damit sie eine TAN-Nummer für eine Überweisung ausspucken, ist es erforderlich, Ihre EC-Karte einzustecken. Haben Sie eine Überweisung auf der Internetseite der Online-Bank wie gewohnt fertig ausgefüllt, erscheint ein Leuchtcode auf der Seite. In einem kleinen Bereich tauchen abwechselnd schwarze und weiße Balken auf. Der TAN-Generator hat mehrere Fotozellen eingebaut, die den Wechsel von Schwarz zu Weiß registrieren. Sie halten den Generator einfach vor den Bildschirm und bekommen so von der Bank die Daten der aktuellen Überweisung direkt auf den Generator übertragen. In Ihrem Display können Sie Empfänger und Betrag kontrollieren und bekommen schließlich die nur für diese Überweisung gültige TAN. Sie ist auch nur für kurze Zeit gültig. Der Clou bei den meisten TAN-Generatoren: Das kryptische Verfahren fürs Erstellen der TAN steckt nicht im Gerät, sondern auf dem Chip der EC-Karte. Den Generator können Sie also getrost herumliegen lassen und mit anderen teilen. Die entscheidende Rolle spielt die EC-Karte. Aktuell gelten die TAN-Generatoren als sicher. Ein erfolgreicher Angriff auf das System ist nicht bekannt.

TAN-Generatoren ähneln den älteren HBCI-Geräten. Der große Unterschied: Die HBCI-Geräte sind per Kabel mit dem PC verbunden und benötigen für Windows einen Treiber. Das führte unter Umständen zu Problemen bei der Installation. Auch waren die Preise für die Geräte bei den meisten Banken recht hoch. Entsprechend waren HBCI-Geräte beim Privatnutzer selten. Diese Nachteile gibt es bei den TAN-Generatoren nicht.

Dienstag den 21.08.2012 um 08:09 Uhr

von Arne Arnold

Kommentieren Kommentare zu diesem Artikel (15)
  • hans10 12:07 | 28.10.2012

    Zitat: kalweit
    Das sollte bei allen Geräten der Fall sein. Ich behaupte mal, 90% der Nutzer klicken das nur genervt durch.


    ... und damit liegt das Risiko beim Nutzer und nicht bei der Bank.

    Gegen Dummheit gibt es bis heute noch kein Medikament.

    Antwort schreiben
  • kalweit 12:01 | 28.10.2012

    Zitat: hans10
    bekommt man erst die TAN-Nummer, nachdem


    Das sollte bei allen Geräten der Fall sein. Ich behaupte mal, 90% der Nutzer klicken das nur genervt durch.

    Antwort schreiben
  • magiceye04 11:54 | 28.10.2012

    Man hat es auch nicht für möglich gehalten, dass die EC-Karten-Lesegeräte an der Supermarktkasse lediglich durch Anschluß ans LAN-Kabel oder sogar über WLAN einfach mal zur Herausgabe der Kartendaten+PIN überredet werden können.
    Technisch ist grundsätzlich erstmal ALLES möglich.
    In der Regel ist es nur der Aufwand, der sich nicht lohnt, weil es noch Millionen Kunden mit deutlich unsichereren Verfahren gibt. Aber wenn sich die heute als sicher geltenden Verfahren erst mal flächendeckend durchgesetzt werden, dann werden auch die irgendwann geknackt.

    Antwort schreiben
  • kalweit 11:50 | 28.10.2012

    Zitat: hbrand
    Ich sehe hier absolut keine technische Möglichkeit


    Das hat man von allen Verfahren davor auch behauptet. Es ist nur eine Frage der Zeit, bis sich eine Lücke findet. Das Problem ist auch nicht die potentielle Lücke, sondern der fest zementierte Glaube, dass nicht sein kann was nicht sein darf.

    Antwort schreiben
  • hans10 11:50 | 28.10.2012

    Zitat: magiceye04
    ... Werden auf dem TAN-Generator der Postbank denn alle Überweisungsdaten angezeigt, so dass man überprüfen kann, ob die TAN auch wirklich für die gewünschte Überweisung genutzt wird? ....


    ... beim TAN-Generator der Volksbank (Smart-TAN) bekommt man erst die TAN-Nummer,
    nachdem die Abfragen des Tangenerators (Kontonummer, Bankleitzahl und Betrag) bestätigt wurden.

    Antwort schreiben
1453683