Sicherungsverfahren: Pin und Tan technisch überholt

Die Banken entwickeln ständig neue Sicherungsverfahren, um Transaktionen sicher durchs Internet zu bringen. Teils unterscheiden sie sich von Bank zu Bank. Besonders gängig sind:

Pin/Tan

Onlinebanking Meldung

Das System aus Geheimzahl (Pin) und Transaktionskode (Tan) ist überholt. Dasselbe gilt für den Nachfolger Pin/iTan, wo der Kunde nicht aus einer langen Tan-Liste eine Zahl wählt, sondern die Bank eine bestimmte Tan, die „indizierte“, aus der Liste verlangt.

iTan plus

Sie wird von Volks- und Raiffeisenbanken verwendet. Dabei zeigt der Monitor ein Kontrollbild, das mit einem maschinell kaum lesbaren Raster unterlegt ist, was Trojanerattacken erschweren soll. Zusätzlich zeigt es das Geburtsdatum des Kunden an.

Tan-Generatoren

Onlinebanking Meldung

Das sind Taschenrechner-große Geräte, die der Kunde statt einer Tan-Liste erhält. Ältere zeigen auf Knopfdruck eine Tan an. Da sie nicht mehr den Sicherheitsanforderungen der Banken genügen, gelten sie ebenfalls als überholt. Bei modernen eTan-plus-Geräten schiebt der Kunde seine Bankchipkarte, zum Beispiel die Girokarte, in den Generator und erhält eine Tan. In deren Berechnung fließen Betrag und Zielkonto ein, sodass Kriminelle das Geld nicht auf ein anderes Konto umleiten können. „Selbst wenn der Generator verloren wird, ist Missbrauch unmöglich, denn alle Authentifizierungsschlüssel liegen auf der Chipkarte“, so Dr. Waldemar Grudzien vom Bundesverband deutscher Banken. Geräte mit optischer Schnittstelle hält der Kunde vor den Monitor. Über Fotodioden erkennen sie die Darstellung und zeigen eine Tan, die die Transaktionsdaten einbezieht.

mTan

Onlinebanking Meldung

Die „mobile Tan“ wird von der Bank per SMS aufs Handy des Kunden geschickt. Das gilt als sehr sicher, da zwei Übertragungswege beteiligt sind: Internet und Mobilfunk. Beide zu knacken, ist extrem schwierig. Außerdem fließen in die Tan Daten aus der Transaktion ein. Zusätzlich nennt die SMS auch Kontonummer und Betrag. Wird die mTan nicht verwendet, verfällt sie nach kurzer Zeit. Vorsicht: Wer die Überweisung nicht am PC eingibt, sondern am Handy, nutzt nur einen Übertragungsweg. Die Banken weisen deshalb darauf hin, dass Aufträge nicht am Handy eingegeben werden sollen.

HBCI/FinTS

HBCI und die Weiterentwicklung FinTS gelten als sehr sicher. Der Kunde braucht dafür einen Kartenleser. Moderne Geräte der Klasse 2 oder 3 haben einen Prozessor und eine eigene Tastatur. Der Nutzer braucht also seine Pin nicht am PC einzugeben. Eine Chipkarte verschlüsselt die Daten. Phishing, Pharming und Trojaner werden abgewehrt. Trotz der hohen Sicherheit hat sich HBCI/FinTS nicht durchgesetzt, denn die Software muss auf dem PC installiert werden, was nicht auf allen Rechnern problemlos gelingt.

HBCI+

Einen Rückschritt bei der Sicherheit bedeutet hingegen HBCIplus, auch HBCI 2.2 oder HBCI Pin/Tan genannt. Hier wird nicht per Chipkarte verschlüsselt, sondern per SSL-Verbindung. Der Kunde braucht weiter Tan-Listen. Ab der Version 3.0 können aber auch Tan-Generatoren oder die mTan mit HCBI/FinTS kombiniert werden.

USB-Stick

Hier wird ein USB-Stick mit integrierter Chipkarte und eigenem Browser an den Computer angeschlossen. Die Girokarte oder ec-Karte ist nicht nötig, denn ein Chip im Stick trägt alle nötigen Daten. Es gibt auch Sticks mit Tastatur und Anzeige. Das lässt Trojanerangriffe ins Leere laufen.

Dieser Artikel ist hilfreich. 702 Nutzer finden das hilfreich.