Die TAN-Liste und die modernen Verfahren (Foto: pixabay)

Online-Banking: Die sicheren und die weniger sicheren Verfahren

Ach, was war das Online-Banking doch früher so einfach. Wollte man eine Überweisung authentifizieren, kramte man die TAN-Liste aus der Schublade, gab eine davon ins Bankprogramm ein und strich sie dann aus, damit man sie nicht versehentlich noch einmal verwenden konnte. Daran hatte auch der böse Hacker seine Freude, denn nicht wenige User speicherten gleich eine ganze TAN-Liste auf dem Computer, und wenn der Kriminelle die hatte, konnte er das Konto leicht leerräumen. Das änderte sich mit dem sogenannten iTAN-Verfahren (das „i“ steht für „indiziert“) nicht, bei dem die Bank im Überweisungsfall mitteilte, welche TAN der Liste man einzugeben habe. Hier ein bisschen Schadsoftware, da ein wenig Mühe und -schwupps- gab einem nicht das Kreditinstitut die Befehle, sondern das Hackerprogramm mit dem Ziel, an die geheime Nummer zu kommen.

Dank der neuen Zahlungsdiensterichtlinie der EU, die seit dem 13. Januar 2018 gültig ist, werden diese ollen TAN-Verfahren spätestens zum September 2019 bei (fast) allen Banken Geschichte sein. Unabhängig davon haben ja diverse Giro-Dienstleister längst auf andere Verfahren umgestellt. Das Problem: Bei jeder Bank gibt es andere TAN-Verfahren. Wobei es grundsätzlich bei der Absicherung von Zahlungen per Transaktionsnummer (TAN) bleibt, denn das hat sich prinzipiell bewährt: Jede Transaktion muss mit einer eindeutigen Nummer bestätigt werden, die nur einmal gilt und meistens nur wenige Sekunden lang gültig bleibt. Zum Beispiel beim SMS-TAN-Verfahren, auch mTAN genannt. Hier fordert der Kontoinhaber während des Überweisungsvorgangs eine TAN an, die ihm per SMS zugeschickt wird. Hört sich gut an, konnte aber von Hackern in der Echtwelt für ihr schlimmes Tun geknackt werden.

Im Trend sind deshalb Verfahren, bei denen die benötigte TAN ad hoc generiert wird. Zusammengefasst kann man sagen: Alle modernen Verfahren dieser Art sind dann sehr sicher, wenn die Übermittlung nicht über das Handy bzw. Smartphone läuft, sondern über ein separates, spezielles Gerät, das mit dem Computer verbunden ist. Einige dieser Verfahren bieten parallel die Möglichkeit, das Smartphone per App zu diesem Gerät zu machen, was aber zulasten der Sicherheit geht. Schauen wir uns die neuen TAN-Verfahren einmal im Einzelnen an:

Sehr sicher: ChipTAN/SmartTAN

So geht das ChipTAN-Verfahren (Grafik: Reiner SCT)
So geht das ChipTAN-Verfahren (Grafik: Reiner SCT)
Um dieses fast bombensichere Verfahren nutzen zu können, muss es die eigene Bank unterstützen bzw. anbieten. Dann muss man die Bankkarte registrieren und ein passendes Gerät kaufen. In das wird beim Überweisen die Bankkarte gesteckt. Dann fordert man einen Code an, der je nach Institut anders aussehen kann – mal wie ein animierter Barcode, mal wie ein abstraktes Video, mal ähnlich wie ein QR-Code. den scannt man mit dem Generator ab, das daraufhin die TAN generiert und übermittelt. Sollte es zu Übertragungsschwierigkeiten zwischen Computer und Gerät kommen, kann man die Daten der Überweisung auch über die Tastatur am Generator eingeben.

Der überwältigende Vorteil in Sachen Hackerabwehr: Der Generator wird zu keiner Zeit mit dem Computer verbunden, kann also so nicht „abgehört“ werden. Diese handlichen Geräte sind schon seit einiger Zeit am Markt, also bewährt, und kosten zwischen etwa 10 und 16 Euro. Die gute Nachricht: Beinahe alle traditionellen Banken, die Girokonten anbieten, sowie die meisten Direktbanken unterstützen das ChipTAN-Verfahren. Fazit: Uneingeschränkt empfehlenswert.

Mit USB-/Bluetooth-Gerät sehr sicher: BestSign/SealOne

Ein preiswertes USB-SealOne-Gerät (Foto: SealOne)
Ein preiswertes USB-SealOne-Gerät (Foto: SealOne)
Bei diesem Verfahren dient ein per USB oder Bluetooth mit dem Computer verbundenes Gerät nicht als Generator, sondern quasi als Authentifizierungsmaschine. Hat der Überweisungswillige alle Daten eingegeben und kontrolliert, aktiviert er das Verfahren durch einen Klick. Die entsprechenden Daten werden auf das Gerät übertragen und entweder direkt dort oder in einer separaten Anwendung angezeigt. Nun können sie einfach per Knopfdruck legitimiert werden. Schwachstelle ist prinzipiell die Verbindung zwischen dem Rechner und dem SealOne-Gerät, aber bisher ist noch nicht gelungen, sich dort einzuhacken.

Anders sieht es aus, wenn das Verfahren über eine App auf dem Smartphone läuft. In diesem Fall wird die App durch einen Klick im Online-Banking auf dem Rechner aktiviert. Der User kann die Transaktion nun – je nach den Sicherheitsverfahren des Handys bzw. des Handy-Betriebssystems – per Fingerabdruck oder Face-ID oder wahlweise besonderem Passwort freigeben. Tatsächlich gelang es mit erheblichem Aufwand und unter Laborbedingungen in die Verbindung zu kommen und den Vorgang zu manipulieren. Trotzdem lautet das Fazit: Mit USB-/Bluetooth-Gerät uneingeschränkt, per App mit Abstrichen empfehlenswert.

Mit Lesegerät sehr sicher: PhotoTAN/QR-TAN

So geht das PhotoTAN-Verfahren (Foto: Commerzbank)
So geht das PhotoTAN-Verfahren (Foto: Commerzbank)
Sowohl die Commerzbank (samt comdirect), als auch Deutsche Bank, Postbank und die 1822direkt bieten derzeit das ziemlich spannende PhotoTAN-Verfahren an, bei dem zur Bestätigung einer Zahlung ein buntes Bildchen per Smartphone oder speziellem Lesegerät gescannt werden muss. Die Sicherheit hängt bei diesem Verfahren – ähnlich wie bei BestSign/SealOne – davon ab, ob mit einem externen Scanner oder dem Handy gescannt wird; die Risiken sind exakt dieselben. Diese Devices gibt es zu Preisen zwischen 16 und 24 Euro; der Hersteller Reiner SCT bietet Geräte an, die sowohl im ChipTAN, als auch im PhotoTAN und QR-TAN-Verfahren eingesetzt werden können.

Apropos QR-TAN: Wie der Name vermuten lässt wie dabei kein buntes Bildchen abgescannt, sondern ein handelsüblicher QR-Code. Sicherheitsexperten wenden ein, dass beide Verfahren nur dann halbwegs sicher wären, wäre das „Photo“ bzw. der QR-Code nicht einfach eine Darstellung der TAN mit anderen Mitteln. Tatsächlich wird so eben nicht die Transaktionsnummer übertragen, sondern ein Code, der es dem Gerät bzw. dem Smartphone erlaubt, eine gültige TAN zu generieren. Fazit: Mit Scanner am Rechner uneingeschränkt empfehlenswert, per App mit Abstrichen zu empfehlen.

Mobil oder stationär

Klar ist, dass das bewährte ChipTAN-Verfahren immer noch das sicherste ist. Die anderen Verfahren stehen dem aber in nichts nach, wenn der Nutzer ein externes Gerät verwendet, das die benötigte TAN ebenfalls ad hoc generiert. Nur: Sicher UND mobil ist aber nur das ChipTAN-Verfahren, weil man den Generator notfalls sogar autonom zum Eingeben einer Überweisung bzw. zum Bestätigen einer auf dem Smartphone in der Online-Banking-App eingegebenen Überweisung benutzen kann. Das geht mit den Geräten für die anderen Verfahren nicht, sodass man sie mobil zwangsweise per App benutzen muss. Wie auch immer: Um Größenordnungen sicher als iTAN und mTAN sind die neuen Methoden allemal.

2 Gedanken zu „Online-Banking: Die sicheren und die weniger sicheren Verfahren“

  1. Hallo zusammen,
    wir haben bei der Postbank mit einem SealOne-Gerät gearbeitet.
    Zunächst war es eine sehr schöne Sache, bis sich Probleme mit dem Display einstellten. Es wurde nach und nach immer schwächer. Man kann jetzt die Anzeige nicht mehr lesen und muss die Transaktionen „blind“ bestätigen.

    Der Kundendienst beruft sich auf die gesetzliche Gewährleistung, wir sollen ein neues Gerät kaufen.
    Hier handelt es sich offenbar um die „geplante Obsoleszenz“, die Unternehmen immer wiederkehrende Umsätze garantiert, wenn man billige Bauteile verwendet und die Geräte nach der Gewährleistung kaputt gehen.

    Natürlich werden wir kein neues Gerät dort kaufen. Wir wechseln jetzt die Bank, wo mit anderen Sicherheitssystemen gearbeitet wird. Die Verwendung von SealOne-Geräten können wir nicht empfehlen.

  2. Die Transaktionen laufen nicht mehr über die Postbank direkt, sondern über die Firma Seal One, die lediglich mit 600000€ für Schäden haftet. Das benötigte Gerät muss der Kunde selbst kaufen und bei der Firma Seal One registrieren. Der Treiber des Gerätes läuft im Hintergrund und versucht permanent Verbindung zu mehreren Servern im Internet herzustellen. Die Postbank gibt keine Informationen herraus, welche Daten dabei übermittelt werden. Das ist zur Verwaltung eines Girokontos völlig inakzeptabel. Die Nutzung des Chip – TAN – Verfahrens war rückwirkungsfrei, da der Generator weder eine Verbindung zum PC noch zum Internet hatte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert