TAN-Verfahren beim Online Banking

Die Kriminalität im Internet steigt mit jedem Tag: Cyberkriminelle richten inzwischen riesige finanzielle Schäden an, da kann nicht einmal der Umsatz im Drogenhandel in Deutschland noch mithalten. (vgl. Focus Money. Nr. 19/ April 2014) 

Sicheres Online Banking mit dem richtigen TAN-Verfahren

 TAN-Liste mit abgestrichener TANIm Zeitalter des rasanten technischen Wandels, vor allem mit den zunehmenden Möglichkeiten im Bereich des Online Banking, müssen entsprechende Sicherheitsmaßnahmen bzw. Verschlüsselungstechniken geschaffen werden, die derartige Datenübertragungen vor Cyberkriminellen unzugänglich machen. Dazu zählt das TAN-Verfahren. Die TAN – Transaktionsnummer – besteht aus mehreren Zahlen. Der Einsatz des TAN-Verfahrens beim Online Banking dient der Authentifizierung einer Kundenverfügung und ersetzt im eigentlichen Sinne eine Unterschrift. TAN-Verfahren kommen z. B. bei

  • der Einrichtung, Änderung oder Löschung eines Daudaserauftrages,
  • der Ausführung einer Überweisung oder
  • der Änderung personengebundener Daten des Online Bank-Accounts

zum Einsatz.

Anstieg der Cyberkriminalität versus gesunkene Aufklärungsrate

Mangels technischer und personeller Investitionen ist es der deutschen Polizei momentan kaum möglich, die Rate der Internet-Kriminalität zu senken bzw. adäquat zu bekämpfen. „Glaubt man Erfahrungswerten der Gewerkschaft der Polizei, ist heute die Wahrscheinlichkeit, Opfer einer Straftat im World Wide Web zu werden, nicht geringer als jene, in Wohnungseinbrüche oder Körperverletzungen involviert zu werden.“ (S. 77, Focus Money. Nr. 19/ April 2014) Aus diesem Grund erfahren sichere Datenverschlüsselung bzw. Sicherungssysteme eine immer wichtigere Bedeutung, damit Cyberkriminellen auf lange Sicht das Handwerk gelegt wird. Der eigene Umgang mit vertraulichen Daten und die Einhaltung verschiedener Sicherheitsregeln spielen daneben natürlich eine ebenso wichtige Rolle.

Statistik: Für wie sicher halten sie Online Banking? | Statista Mehr Statistiken finden Sie bei Statista

Welche TAN-Technologie bietet nun das höchste Maß an Sicherheit?

Zu den derzeit sichersten TAN-Verfahren zählen jene, die einen zweiten Kanal für das Online Banking nutzen. Dabei ist der erste Kanal i. d. R. der Computer, von welchem über eine Banking Software oder den Internet-Browser das Online-Banking ausgeführt wird. Auf dem zweiten Kanal erhält der Online Banker schließlich die angeforderte TAN per SMS auf dem Handy bzw. Smartphone.

Das MobileTAN-Verfahren

Die aktuell beliebteste Verschlüsselungstechnologie der Online Banker in Deutschland ist die MobileTAN, auch mTAN- oder smsTAN genannt. Leider gilt aber auch dieses TAN-Verfahren nicht als absolut unbezwingbar. Die IT-Behörde European Network and Information Security Agency (ENISA) bewertete die mTAN als „zu anfällig“ (S. 78, Focus Money, Nr. 19/ April 2014).

!! Im Jahr 2012 konnten anhand des mTAN-Verfahrens mehr als 30 Millionen Euro ergaunert werden!!

Mehr zum mTAN-Verfahren!

Schockierende statitsische Erhebung zu Betrugserfahrungen im Internet im Jahr 2019

Das chip- oder smartTAN-Verfahren

Weniger verbreitet, dafür als wesentlich sicherer eingestuft, wird das chipTAN-Verfahren. Auch unter der Bezeichnung smartTAN zu finden. Es ist aufwendiger als das mTAN-Verfahren: Ein TAN-Generator mit Display und Tastatur wird benötigt, der von den Banken nur selten kostenfrei für Kunden zur Verfügung gestellt wird.

Mehr zum chipTAN-Verfahren

Das HBCI-Verfahren

Neben diesen beiden erwähnten TAN-Verfahren gibt es eine noch „bessere Lösung“ für ein sicheres Online Banking: Das HBCI-Banking – das Home Banking Computer Interface.

Mehr zum HBCI-Verfahren

Das iTAN-Verfahren

Daneben kommen weitere TAN-Verfahren zum Einsatz. Die meisten werden nach und nach an Bedeutung verlieren bzw. im Zuge des rasanten technischen Fortschrittes als nicht mehr sicher genug eingestuft werden. Ein Beispiel an dieser Stelle, stellt das iTAN-Verfahren dar – das indizierte TAN-Verfahren. Es fand über einen langen Zeitraum verbreitete Anwendung im Online Banking und gehört zu den ältesten bzw. ersten TAN-Verfahren. Heute zählt es zu den Unsichersten, da die Ausführung nicht auftragsgebunden stattfindet. Zudem handelt es sich um eine papiergebundene TAN-Liste, die schneller in falsche Hände gerät und leichter für Dritte einsehbar ist als andere TAN-Verfahren.

Mehr zum iTAN-Verfahren 

Weitere TAN-Verfahren im Online Banking sind die TAN-Verfahren

Vor-und Nachteile der unterschiedlichen TAN-Verfahren

TAN-VerfahrenVorteileNachteile
iTAN
  • im Vergleich zu den restlichen TAN-Verfahren gibt es keine nennenswerten Vorteile beim iTAN-Verfahren
  • aktuell: unsicherstes TAN-Verfahren
  • TAN-Erzeugung ist nicht auftragsgebunden
  • TAN-Liste ist nicht weiter verschlüsselt
  • Nutzung nur eines Kommunikationsmediums
eTAN
  • erhöhte Sicherheit bei Pishing-Emails
  • kein vereinfachter Zugriff für Dritte
  • Erzeugung: elektronisch durch TAN-Generator
  • vor Generierung der TAN-Nummer wird Kontrollnummer eingegeben
  • Bereitstellung des TAN-Generators
  • Überweisungen von unterwegs sind ohne den TAN-Generator nicht möglich
mobile TANm (sms-/mTAN)
  • Sicherheit vor Pishing-Attacken bzw. Trojanern
  • uneinheitliche Einführung bei Banken: manchmal erhalten nur Neukunden die Möglichkeit zum mTAN-Verfahren
  • TAN-Erzeugung: auftragsgebunden
  • Bereitstellung eines Handys
  • bei manchen Geldinstituten sind smsTAN kostenpflichtig
  • Online Banking und TAN-Zusendung über das gleiche Handy kann schwierig werden
  • bei Handyverlust/ -diebstahl: Gefahr
photoTAN
  • keine Kosten im Vergleich zu m-/chipTAN-Verfahren
  • zu verwendende Geräte nicht verbunden
  • noch nicht ausgereift … ist „noch Zukunftsmusik“
  • aufwendig
  • Voraussetzung: funktionierende Handy-Kamera
chip-/smartTAN
  • uneinheitliche Einführung bei Banken: manchmal erhalten nur Neukunden die Möglichkeit zum mTAN-Verfahren
  • Erwerb eines TAN-Generators als Voraussetzung
  • Codes und TANs nur einmal gültig
  • TAN-Erzeugung: auftragsgebunden
  • größere Sicherheit von Cyber-Attacken
qrTAN
  • TAN-Eingabe entfällt, d. h. hoher Komfort
  • 2 Kanäle zur Kommunikationsübertragung
  • hoher Sicherheitsstandard
  • 2 Geräte benötigt (PC oder Tablet und Smartphone)
  • Smartphone jedoch Voraussetzung
  • Installation einer APP
HBCI
  • Online Banking wird multibankfähig à Verwendung bei verschiedenen Banken
  • Datenverschlüsselung über externes Speichermedium oder Chipkarte
  • keine direkte Datenverarbeitung im Internet, sondern in geschützter Bankenzone
  • höchste Sicherheitsstufe
  • Voraussetzung: komplette HBCI-Ausstattung: spezielle HBCI-Chipkarte, HBCI-Kartenleser, HBCI-Software
  • hohe Anschaffungskosten
  • wird noch nicht einheitlich von allen Banken vertreten

Welches TAN-Verfahren ist das richtige für mich?

In den meisten Fällen entscheiden sich Bankkunden nicht vordergründig wegen eines vorgegebenen TAN-Verfahrens für oder gegen ein Kreditinstitut. Andere Konditionen spielen dabei eine wichtigere Rolle. Vor allem bei Filialbanken mag das Online Banking momentan noch keine gewichtige Rolle spielen. Bei Direktbanken sieht das schon anders aus. Kunden von Direktbanken können ausschließlich über Online Banking ihre Bankaufträge versenden. Sicherheit und Schutz haben somit speziell für diese Banken oberste Priorität.

Wichtig ist, dass der Online Banker das von ihm genutzte TAN-Verfahren versteht, so dass er die Anforderungen und Sicherheitsmaßnahmen der Bank auch tatsächlich sorgfältig befolgen kann.

Sicherheitsempfehlung zum Online BankingEmpfehlungen zur Sicherheit beim Online Banking

Um die Wahrscheinlichkeit Opfer eines Cyber-Anschlags zu werden zu minimieren, gilt es, gewisse Sicherheitsvorkehrungen einzuhalten. Unsere Redaktion hat für den Leser die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik in Bonn zusammengefasst:

Zugangsdaten …

… als auch eventuelle iTan-Listen sollten stets an einem sicheren Ort verwahrt werden! • Im Internet sollten weder Kontodaten, noch TANs weitergegeben werden. • Auch wenn es sich um den eigenen PC oder das Smartphone handelt, sollten keine Konto- bzw. Bankdaten auf den Geräten gespeichert werden. • Pishing-Emails sollten generell ignoriert werden.

Übertragung von Daten …

… im Internet zum Kreditinstitut sollte stets verschlüsselt stattfinden!

  • Achten Sie auf die Browserzeile! Richtig wäre https:// und nicht http://.
  • Die W-Lan-Verbindung sollte verschlüsselt sein. Der heutige Standard entspricht Wi-Fi Protected Access 2.

Limit bei Überweisungen …

… aus eigener Sicherheit sollten tägliche Überweisungslimits festgelegt werden. Betrügern wird so das Handwerk gelegt, unbefugt hohe Geldsummen vom Konto abzubuchen. Kontobewegungen kontrollieren … … bestenfalls in kurzen Intervallen. Bei fraglichen Transaktionen, könnten Kontoauszüge manipuliert worden sein. In diesem Fall sollte umgehend Kontakt mit der zuständigen Bank aufgenommen werden.

Online Banking an öffentlichen Plätzen …

… vermeiden! Geht das aber nicht, sollten • Online Banker in Internet-Cafes unbedingt Sitzungen schließen und dafür den Button „Abmelden“ verwenden! • Nach getätigter Schließung und Abmeldung von Accounts sollte der Zwischenspeicher des zuvor genutzten Desktops kontrolliert werden.

Fazit

Mit der Zunahme von Direktbanken, die ihre Geschäfte lediglich über Onlineplattformen im Netz tätigen, ist das Bedürfnis nach verstärkten Sicherheitsmaßnahmen in der Gesellschaft (und natürlich auch bei den Kreditinstituten) enorm gewachsen. Der einzig verbliebene Kommunikationsweg für Kunden von Direktbanken zu ihren Kreditinstituten Kontakt herzustellen, läuft fast ausschließlich über das Internet bzw. den telefonischen Service. Überweisungen, Daueraufträge, die Anpassung des Kreditkartenlimits etc. laufen ausschließlich online ab und die elektronische Auftragsbestätigung schließlich über die vorgestellten TAN-Verfahren. So wird zum Schutz des Kunden und seiner Kontodaten bzw. zum Schutz des Online-Bankgeschäfts beständig an der Sicherheit von TAN-Verfahren oder anderen Datenverschlüsselungssystemen gearbeitet.

So existieren derzeit mehr als nur ein sicheres TAN-Verfahren. Das weit aus Sicherste ist aktuell das HBCI-Verfahren, wobei auf eine TAN-Verwendung schon gänzlich verzichtet wird. Daneben existieren TAN-Verfahren, die den Gebrauch eines Generators oder Handys voraussetzen. Aus Sicherheitsgründen sollte der Kunde auf die Anschaffung eines solchen Gerätes nicht verzichten. Nachteil der neuen Sicherheit beim TAN-Verfahren sind natürlich die damit verbundenen Kosten. SmsTAN bzw. mTAN sind nur für wenige Bankkunden kostenfrei. In anderen Fällen werden darauf Gebühren in Höhe von circa 10 Cent pro SMS erhoben.

Eines ist jedoch gewiss: Alle TAN-Verfahren, und damit meinen wir wirklich ALLE TAN-Verfahren, sind sicherer als das (bereits in die Jahre gekommene) iTAN-Verfahren. Lassen Sie sich vor den damit verbundenen Kosten nicht gleich abschrecken, sondern wägen Sie ab! Sicherheit ist eben nicht ganz kostenlos. Vor allem denken Sie daran, dass Sie einen großen Teil zur Sicherheit Ihrer eigenen Daten beitragen können, in dem Sie wichtigsten Sicherheitsregeln im Auge behalten und diesen sorgfältig nachgehen.

Autor: DH