Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit >

chipTAN, mTAN, smsTAN, iTAN: Online-Banking-Verfahren im Vergleich

chipTAN und mTAN:  

Online-Banking-Verfahren im Vergleich

24.06.2011, 15:39 Uhr | t-online.de

chipTAN, mTAN, smsTAN, iTAN: Online-Banking-Verfahren im Vergleich. Viele Banken ersetzen das alte iTAN-Verfahren gegen das neuere ChipTAN-Verfahren (Foto: Postbank).

Viele Banken ersetzen das alte iTAN-Verfahren gegen das neuere ChipTAN-Verfahren (Foto: Postbank).

Online-Banking mit einer TAN-Liste – diese Zeiten sind vorbei. Als Reaktion auf die stark gestiegene Zahl von Phishing-Attacken verabschieden sich zurzeit immer mehr Banken vom alten TAN-Verfahren und stellen auf ein sicheres Verfahren um. Kunden erhalten mehr Sicherheit bei Bankgeschäften, müssen sich aber an ein neues Prozedere gewöhnen. Viele Banken bieten zudem mehrere Verfahren an und überlassen dem Kunden die Entscheidung – chipTAN oder mTAN-Verfahren. Wir klären, was hinter diesen Technologen steckt und wo Vorteile oder auch Nachteile liegen.

Das Absichern von Online-Banking-Angeboten gleicht für die Geldinstitute einem Wettlauf mit Online-Kriminellen. Zuerst gab es die TAN-Liste, ein System, das sich schnell als verwundbar für Phishing-Taktiken erwies. Deshalb haben die Banken dieses Verfahren in Deutschland mittlerweile komplett durch das iTAN-Verfahren ersetzt, doch auch dieses Verfahren gilt schon seit längerem als verwundbar: Entweder fragen Phisher mittlerweile neben den TAN-Nummern auch die Index-Ziffern der iTAN-Liste ab und erhalten mit etwas Glück genau die, nach der er vom System gefragt wird.

Oder sie verlassen sich auf ausgefeilte Methoden wie die des "Man-in-the-middle-Angriffs". Dabei schaltet sich ein zuvor auf dem Computer des Opfers installierter Trojaner zwischen Kunde und Banking-System, sobald der Kunde eine Überweisung ausführen will. Während für den Kunden alles normal aussieht, übermittelt er mit seinen Eingaben jedoch alle benötigten Daten samt für diese Transaktion passender TAN an den kriminellen Urheber des Trojaners. Der kann dann einfach die Summe der Überweisung ändern und als Ziel eines seiner eigenen Konten wählen – fertig ist der digitale Raubzug. Genau diese Hacker-Methode soll das chipTAN-Verfahren unterbinden.

chipTAN: mit Bankkarte und Lesegerät

Beim chipTAN-Verfahren kommt ein elektronischer TAN-Generator zum Einsatz, ein Gerät, das wie ein kleiner Taschenrechner mit Kartenslot aussieht. Dieser TAN-Gernerator erzeugt für jede Transaktion eine eigene Transaktionsnummer (TAN). Im Fall der Postbank und vielen anderen Banken läuft das Verfahren wie folgt ab: Der Kunde gibt die Überweisungsdaten auf seinem Computer ein, anschließend erscheint eine animierte Grafik auf dem Bildschirm. Er führt nun die Karte in das Lesegerät ein und hält es vor den Bildschirm.

Über integrierte Fotosensoren liest das Gerät die Auftragsdaten ein. Nachdem der Kunde die Daten verglichen und bestätigt hat, erzeugt der Generator die TAN und zeigt sie in seinem Display an. Zum Schluss gibt der Kunde die TAN über die PC-Tastatur ein und bestätigt so den Auftrag. Sollte es zu Problemen beim Scannen kommen, lassen sich sämtliche Daten auch über die Tastatur des TAN-Generators eingeben.

Vorteil des chipTAN-Verfahrens ist die deutlich verbesserte Sicherheit: Bisherige Hacker-Angriffe wehrt es erfolgreich ab. Ein Man-in-the-middle-Angriff wird so unmöglich – würde ein Hacker Zielkonto und Betrag ändern, würde die generierte TAN nicht mehr zu der Transaktion passen, das Online-Banking-System würde sie ablehnen. Auch Verlust und Diebstahl von Karte oder TAN-Generator bleiben ohne Risiko. Sobald eine Karte gesperrt ist, kann sie keine TAN mehr generieren.

Hunderprozentige Sicherheit bietet allerdings auch das chipTAN-Verfahren nicht. Ein Risiko besteht bei Sammelüberweisungen. Aus Platzgründen werden die Zielkonten, auf die das Geld überwiesen wird, anders als bei einer Einzelüberweisung nicht angezeigt. Der Kunde weiß also bei einer Sammelüberweisung nicht, welche Transaktion er bestätigt. Ein weiterer Nachteil dieses Verfahrens ist der manuelle Aufwand. Der Kunde benötigt für jede Aktion Bankkarte und chipTAN-Generator. Für den chipTAN-Generator muss er je nach Geldinstut einige Euro Schutzgebühr bezahlen.

mTAN (smsTAN): Mobiler Schutz gegen Online-Kriminelle

Analog zum chipTAN-Verfahren bieten zahlreiche Banken auch das so genannte mTAN-Verfahren an, auch als Mobil-TAN- oder sms-TAN-Verfahren bezeichnet. Dabei hinterlegt der Kunde seine Handy-Nummer bei seiner Bank. Will er eine Online-Überweisung starten, übermittelt die Bank ihm per SMS eine speziell für diese Transaktion gültige TAN.

Die ist nur zeitlich begrenzt einsetzbar und gilt nur für die online eingegebenen Zielkonto-Daten und den angegebenen Betrag. Erst wenn der Kunde die per SMS übermittelte TAN eingibt, führt die Bank die Überweisung aus. Ähnlich wie das chipTAN-Verfahren sind klassische Man-in-the-Middle-Angriffe auf diese Weise unmöglich.

Die Hacker müssten sich nicht nur zwischen Bank und Computer des Kunden einschalten, sondern auch die SMS mit der TAN abfangen, manipulieren und an den Kunden weiterleiten. Das ist sehr aufwändig, aber nicht unmöglich. So tauchte im Herbst 2010 eine Variante des Zeus-Trojaners auf, der mTAN vom Smartphone abfängt.

Banking-Software: Komfortabler Schutz

Eine weitere Möglichkeit zum Schutz vor Hacker-Angriffen beim Online-Banking bietet Banking-Software. Solche Programme arbeiten getrennt vom Browser und sind damit nicht anfällig für klassische Trojaner-Angriffe, die auf Browser-Lücken basieren. Alle Bankgeschäfte laufen über eine verschlüsselte Verbindung zwischen der Bank und der Software.

Zusätzliche Sicherheitsmaßnahmen wie eine Autorisierung des Kunden über seine Bankkarte oder eine Chipkarte per HBCI werden ebenfalls unterstützt und sollen Kriminelle wirksam aussperren. Dabei meldet sich der Bankkunde nicht mehr online über seinen Browser sondern in der Banking-Software per spezieller Zugangskarte an. Phishing-Angriffe werden damit nutzlos.

Für Kunden, die auf chipTAN oder mTAN wechseln und bei der bisherigen Liste in Papierform bleiben wollen, empfehlen Sicherheitsexperten die Verwendung einer so genannten Live-CD für alle Bankgeschäfte. Dabei startet der Kunde ein eigenes, nicht veränderbares System von einem optischen Datenträger. Möglich wären hier etwa die kostenlos verfügbaren Linux-Live-CDs eines Derivats wie Ubuntu. Weil sich hier kein Trojaner installieren kann, bleiben auch hier Man-in-the-middle-Attacken ausgeschlossen.

Dafür muss der Kunde jedoch seinen Computer für jedes Bankgeschäft neu starten. Außerdem muss er an einem Computer sitzen, den er für einen Start von CD konfigurieren kann. Für klassische Phishing-Angriffe bleibt er jedoch auch mit dieser hausgemachten Sicherungsmethode verwundbar.

Fazit: Alles ist besser als iTAN

Hundertprozentige Sicherheit gibt es nicht, doch mit modernen Verfahren lässt sich das Risiko beim Online-Banking gering halten. Egal ob Sie sich für chipTAN, mTAN oder den Einsatz einer Banking-Software entscheiden - all diese Verfahren sind dem iTAN-Verfahren vorzuziehen.

Liebe Leserinnen und Leser,

Leider können wir Ihnen nicht zu  allen Artikeln einen Kommentarbereich zur Verfügung stellen. Mehr dazu erfahren Sie in der Stellungnahme der Chefredaktion.

Eine Übersicht der aktuellen Leserdebatten finden Sie hier.

Gerne können Sie auch auf Facebook und Twitter zu unseren Artikeln diskutieren.

Ihr Community-Team

Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre E-Mail-Adresse an. Vielen Dank für Ihre Mitteilung.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail

Anzeige
Erstellen Sie jetzt 100 Visiten- karten schon ab 9,99 €
von vistaprint.de
myToysbonprix.deOTTOUlla Popkenamazon.deLIDLBabistadouglas.deBAUR
Mehr zum Thema
Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit

shopping-portal