0800 - 24 24 123 Hilfe und Kontakt
Telefonische Expertenberatung
Sie sind hier:

Sicherheit beim TAN-Verfahren: Auch Bankkunden sind gefordert

29.11.2013 - 17:00

Spätestens seit in jüngster Zeit mehrere Betrugsfälle in Zusammenhang mit dem mTAN-Verfahren bekannt geworden sind, wird wieder verstärkt über die Sicherheit beim Online-Banking diskutiert. Auf dem Markt gibt es inzwischen eine Vielzahl verschiedener TAN-Verfahren, die jeweils spezifische Vor- und Nachteile aufweisen. Wie sicher ein System letztlich ist, hängt allerdings auch vom Benutzer ab: Im Falle aller Verfahren gibt es Hinweise, die Bankkunden befolgen sollten.

Die weiße Weste hat Flecken bekommen: Lange Zeit galt das mTAN Verfahren (mobilTAN-Verfahren) als sicheres System beim Online-Banking – doch vor wenigen Wochen wurden gleich mehrere Betrugsfälle in Zusammenhang mit dem System publik. In einigen Fällen erbeuteten die Betrüger sogar Beträge im sechsstelligen Bereich.

Das mTAN-Verfahren ist inzwischen weit verbreitet und funktioniert wie folgt: Wenn ein Bankkunde eine Transaktion in Auftrag gibt, wird ihm per Kurzmitteilung eine TAN-Nummer an die Mobilfunknummer gesendet, die er bei der Bank hinterlegt hat. Ebenfalls in der Mitteilung finden sich auch nochmals die Auftragsdaten sowie Datum und Uhrzeit. Der Kunde überprüft nach Erhalt der SMS die Daten und gibt die TAN anschließend in die Online-Banking-Maske ein, um die Transaktion zu bestätigen. Ein Vorteil des Verfahrens besteht darin, dass zwei unterschiedliche Geräte zum Einsatz kommen, was den Schutz vor Angriffen durch Betrüger erhöht. Zudem ist die jeweilige TAN ausschließlich für die betreffende Transaktion verwendbar und verliert nach wenigen Minuten ihre Gültigkeit. Darüber hinaus ist der Kunde flexibel und kann – sofern er sein Handy dabei hat – von verschiedenen Orten aus Transaktionen durchführen.

Einige Mobilfunkanbieter haben auf die Betrugsfälle reagiert

Für alle TAN-Verfahren, die beim Online- Banking zur Anwendung kommen, gibt es Sicherheitshinweise zu beachten.
Wie konnte das Verfahren in den betreffenden Fällen dennoch unterlaufen werden? Die Betrüger spähten zunächst den Computer der Bankkunden aus und gelangten so an dessen Zugangsdaten für das Online-Banking und Mobilfunkdaten. Anschließend besorgten sie sich beim Mobilfunkanbieter des Kunden eine zweite SIM-Karte und ließen seine Nummer darauf umleiten. Daraufhin erhielten sie alle an den Kunden gerichteten SMS und damit auch die TAN-Nummern beim Online-Banking.

Einige Mobilfunkanbieter haben inzwischen reagiert und die Regelungen für den Versand zusätzlicher SIM-Karten verschärft. Bankkunden sollten ihrerseits grundsätzlich darauf achten, nicht nur die Schutzprogramme auf dem Computer, sondern auch die entsprechende Software auf dem Smartphone regelmäßig zu aktualisieren. Zudem sollte ein Kunde ihm unbekannte Updates nicht installieren und Aufforderungen zur Eingabe von TANs außerhalb eines Transaktionsvorgangs nicht nachkommen. Im Zweifel bietet es sich an, Kontakt mit der Bank aufzunehmen.

iTAN-Verfahren: Die TAN-Liste muss sicher verwahrt werden

Ebenfalls von vielen Banken angeboten wird das iTAN-Verfahren (indiziertes TAN-Verfahren). Hierbei wird dem Kunden von der Bank per Post eine Liste mit TAN-Nummern zugeschickt. Anders als beim herkömmlichen TAN-Verfahren, das inzwischen kaum noch zum Einsatz kommt, sind die Nummern bei der iTAN-Methode durch Indexnummern gekennzeichnet. Im Verlauf einer Transaktion wird der Kunde dann aufgefordert, eine bestimmte TAN-Nummer einzugeben. Auf diese Weise bestätigt er den Vorgang.

Die Sicherheit wurde durch die Abfrage einer bestimmten TAN erhöht – eine große Gefahr bleibt aber bestehen: Gelangt die Liste in die Hände von Betrügern, die den Computer des Kunden bereits ausgespäht haben, verfügen sie über alle notwendigen Daten, um Überweisungen auf ein beliebiges Konto vorzunehmen. Kunden sollten die Liste deshalb an einem sicheren Ort aufbewahren. Auch hier gilt: Werden TANs außerhalb eines Online-Banking-Vorgangs abgefragt, sollte dem nicht nachgekommen werden.

Mehr Sicherheit durch ein externes Gerät

Eine alternative Möglichkeit ist das chipTAN-Verfahren. Hierbei kommt ein externes Gerät – ein TAN-Generator – in Verbindung mit einer Chipkarte (meist der EC-Karte) zum Einsatz. Der Bankkunde steckt die Karte in das Gerät und gibt hier die Daten für die Transaktion ein. Anschließend erhält er eine TAN für den betreffenden Vorgang. Da ein externes Gerät und eine Chipkarte zum Einsatz kommen, kann eine Ausspähung des Computers durch Betrüger weniger Schaden anrichten. Um Überweisungen von unterwegs tätigen zu können, muss der Kunde das Gerät allerdings mit sich führen.

Beim HBCI-Verfahren (Homebanking Computer Interafce-Verfahren) werden ebenfalls ein externes Lesegerät und eine Chipkarte verwendet. Auf der durch einen PIN geschützten Karte ist ein Schlüssel gespeichert, der als digitale Unterschrift für Aufträge dient. Der Kunde bestätigt damit die Transaktion – erst wenn sie auf diese Weise „signiert“ ist, wird sie von der Bank durchgeführt. Ein erheblicher Vorzug dieses Modells besteht darin, dass der Karte entscheidende Bedeutung zukommt und diese zusätzlich noch durch eine PIN geschützt ist. Zudem können die Daten auf dem Display des Geräts nochmals kontrolliert werden. Jedoch ist darauf zu achten, dass die PIN nicht in der Nähe der Chipkarte aufbewahrt wird.

Das photoTAN-Verfahren ist eine bildbasierte Methode, in deren Rahmen vor einer Transaktion eine Grafik auf dem Bildschirm des Computers angezeigt wird. Diese scannt der Kunde mit einer auf seinem Smartphone installierten App ab – dadurch wird ihm die TAN angezeigt, die er anschließend verwenden kann. Bei diesem System kommen also ebenfalls zwei Geräte zum Einsatz, zudem werden die Daten verschlüsselt übertragen. Allerdings sollten auch hier entsprechende Sicherheitsvorkehrungen auf dem Smartphone getroffen werden. Zudem ist zu Kontrollzwecken von Bedeutung, dass der abzuscannende Code nicht nur die TAN, sondern auch die anderen Transaktionsdaten, wie den Empfänger, enthält. Damit kann der Kunde nochmals überprüfen, ob sich die TAN auch tatsächlich auf die entsprechende Transaktion bezieht.

Ein neues System: das Push-TAN-Verfahren

Auch beim Push-TAN-Verfahren, bei dem es sich um ein vergleichsweise neues System handelt, wird ein Smartphone benötigt. Anders als bei der photoTAN-Methode wird hier allerdings eine App verwendet, mit der TANs generiert werden können: Nachdem ein Kunde einen Online-Banking-Vorgang in Auftrag gegeben hat, prüft er in der entsprechenden App den Auftrag und fragt eine TAN ab, die er dann in die Maske am Computer eingeben kann. Hierbei werden ebenfalls zwei Geräte verwendet – zudem ist die TAN nur für den betreffenden Vorgang gültig. Allerdings sollten die Transaktionsdaten in der App nochmals überprüft werden. Des Weiteren ist auch hier besonders darauf zu achten, dass das Smartphone durch eine entsprechende Software geschützt ist.

Bleibt die Frage, an wem der Schaden im Betrugsfall hängen bleibt. Grundsätzlich haftet der Bankkunde nur für Schäden bis zu einem Betrag von maximal 150 Euro. Kann die Bank allerdings nachweisen, dass der Kunde grob fahrlässig gehandelt hat, also beispielsweise Passwörter oder TANs weitergegeben hat, haftet er selbst. Um den Schaden im Betrugsfall von vornherein gering zu halten, bietet sich indes die Einrichtung eines Limits für Überweisungen an.

(bb)

Weitere Artikel: