Online-Banking: Die sicheren und die weniger sicheren Verfahren

Ach, was war das Online-Banking doch früher so einfach. Wollte man eine Überweisung authentifizieren, kramte man die TAN-Liste aus der Schublade, gab eine davon ins Bankprogramm ein und strich sie dann aus, damit man sie nicht versehentlich noch einmal verwenden konnte. Daran hatte auch der böse Hacker seine Freude, denn nicht wenige User speicherten gleich eine ganze TAN-Liste auf dem Computer, und wenn der Kriminelle die hatte, konnte er das Konto leicht leerräumen. Das änderte sich mit dem sogenannten iTAN-Verfahren (das „i“ steht für „indiziert“) nicht, bei dem die Bank im Überweisungsfall mitteilte, welche TAN der Liste man einzugeben habe. Hier ein bisschen Schadsoftware, da ein wenig Mühe und -schwupps- gab einem nicht das Kreditinstitut die Befehle, sondern das Hackerprogramm mit dem Ziel, an die geheime Nummer zu kommen.

Dank der neuen Zahlungsdiensterichtlinie der EU, die seit dem 13. Januar 2018 gültig ist, werden diese ollen TAN-Verfahren spätestens zum September 2019 bei (fast) allen Banken Geschichte sein. Unabhängig davon haben ja diverse Giro-Dienstleister längst auf andere Verfahren umgestellt. Das Problem: Bei jeder Bank gibt es andere TAN-Verfahren. Wobei es grundsätzlich bei der Absicherung von Zahlungen per Transaktionsnummer (TAN) bleibt, denn das hat sich prinzipiell bewährt: Jede Transaktion muss mit einer eindeutigen Nummer bestätigt werden, die nur einmal gilt und meistens nur wenige Sekunden lang gültig bleibt. Zum Beispiel beim SMS-TAN-Verfahren, auch mTAN genannt. Hier fordert der Kontoinhaber während des Überweisungsvorgangs eine TAN an, die ihm per SMS zugeschickt wird. Hört sich gut an, konnte aber von Hackern in der Echtwelt für ihr schlimmes Tun geknackt werden.

Im Trend sind deshalb Verfahren, bei denen die benötigte TAN ad hoc generiert wird. Zusammengefasst kann man sagen: Alle modernen Verfahren dieser Art sind dann sehr sicher, wenn die Übermittlung nicht über das Handy bzw. Smartphone läuft, sondern über ein separates, spezielles Gerät, das mit dem Computer verbunden ist. Einige dieser Verfahren bieten parallel die Möglichkeit, das Smartphone per App zu diesem Gerät zu machen, was aber zulasten der Sicherheit geht. Schauen wir uns die neuen TAN-Verfahren einmal im Einzelnen an:

Sehr sicher: ChipTAN/SmartTAN

Um dieses fast bombensichere Verfahren nutzen zu können, muss es die eigene Bank unterstützen bzw. anbieten. Dann muss man die Bankkarte registrieren und ein passendes Gerät kaufen. In das wird beim Überweisen die Bankkarte gesteckt. Dann fordert man einen Code an, der je nach Institut anders aussehen kann – mal wie ein animierter Barcode, mal wie ein abstraktes Video, mal ähnlich wie ein QR-Code. den scannt man mit dem Generator ab, das daraufhin die TAN generiert und übermittelt. Sollte es zu Übertragungsschwierigkeiten zwischen Computer und Gerät kommen, kann man die Daten der Überweisung auch über die Tastatur am Generator eingeben.

Der überwältigende Vorteil in Sachen Hackerabwehr: Der Generator wird zu keiner Zeit mit dem Computer verbunden, kann also so nicht „abgehört“ werden. Diese handlichen Geräte sind schon seit einiger Zeit am Markt, also bewährt, und kosten zwischen etwa 10 und 16 Euro. Die gute Nachricht: Beinahe alle traditionellen Banken, die Girokonten anbieten, sowie die meisten Direktbanken unterstützen das ChipTAN-Verfahren. Fazit: Uneingeschränkt empfehlenswert.

Mit USB-/Bluetooth-Gerät sehr sicher: BestSign/SealOne

Bei diesem Verfahren dient ein per USB oder Bluetooth mit dem Computer verbundenes Gerät nicht als Generator, sondern quasi als Authentifizierungsmaschine. Hat der Überweisungswillige alle Daten eingegeben und kontrolliert, aktiviert er das Verfahren durch einen Klick. Die entsprechenden Daten werden auf das Gerät übertragen und entweder direkt dort oder in einer separaten Anwendung angezeigt. Nun können sie einfach per Knopfdruck legitimiert werden. Schwachstelle ist prinzipiell die Verbindung zwischen dem Rechner und dem SealOne-Gerät, aber bisher ist noch nicht gelungen, sich dort einzuhacken.

Anders sieht es aus, wenn das Verfahren über eine App auf dem Smartphone läuft. In diesem Fall wird die App durch einen Klick im Online-Banking auf dem Rechner aktiviert. Der User kann die Transaktion nun – je nach den Sicherheitsverfahren des Handys bzw. des Handy-Betriebssystems – per Fingerabdruck oder Face-ID oder wahlweise besonderem Passwort freigeben. Tatsächlich gelang es mit erheblichem Aufwand und unter Laborbedingungen in die Verbindung zu kommen und den Vorgang zu manipulieren. Trotzdem lautet das Fazit: Mit USB-/Bluetooth-Gerät uneingeschränkt, per App mit Abstrichen empfehlenswert.

Mit Lesegerät sehr sicher: PhotoTAN/QR-TAN

Sowohl die Commerzbank (samt comdirect), als auch Deutsche Bank, Postbank und die 1822direkt bieten derzeit das ziemlich spannende PhotoTAN-Verfahren an, bei dem zur Bestätigung einer Zahlung ein buntes Bildchen per Smartphone oder speziellem Lesegerät gescannt werden muss. Die Sicherheit hängt bei diesem Verfahren – ähnlich wie bei BestSign/SealOne – davon ab, ob mit einem externen Scanner oder dem Handy gescannt wird; die Risiken sind exakt dieselben. Diese Devices gibt es zu Preisen zwischen 16 und 24 Euro; der Hersteller Reiner SCT bietet Geräte an, die sowohl im ChipTAN, als auch im PhotoTAN und QR-TAN-Verfahren eingesetzt werden können.

Apropos QR-TAN: Wie der Name vermuten lässt wie dabei kein buntes Bildchen abgescannt, sondern ein handelsüblicher QR-Code. Sicherheitsexperten wenden ein, dass beide Verfahren nur dann halbwegs sicher wären, wäre das „Photo“ bzw. der QR-Code nicht einfach eine Darstellung der TAN mit anderen Mitteln. Tatsächlich wird so eben nicht die Transaktionsnummer übertragen, sondern ein Code, der es dem Gerät bzw. dem Smartphone erlaubt, eine gültige TAN zu generieren. Fazit: Mit Scanner am Rechner uneingeschränkt empfehlenswert, per App mit Abstrichen zu empfehlen.

Mobil oder stationär

Klar ist, dass das bewährte ChipTAN-Verfahren immer noch das sicherste ist. Die anderen Verfahren stehen dem aber in nichts nach, wenn der Nutzer ein externes Gerät verwendet, das die benötigte TAN ebenfalls ad hoc generiert. Nur: Sicher UND mobil ist aber nur das ChipTAN-Verfahren, weil man den Generator notfalls sogar autonom zum Eingeben einer Überweisung bzw. zum Bestätigen einer auf dem Smartphone in der Online-Banking-App eingegebenen Überweisung benutzen kann. Das geht mit den Geräten für die anderen Verfahren nicht, sodass man sie mobil zwangsweise per App benutzen muss. Wie auch immer: Um Größenordnungen sicher als iTAN und mTAN sind die neuen Methoden allemal.