Sicherungs­verfahren: Pin und Tan tech­nisch über­holt

Die Banken entwickeln ständig neue Sicherungs­verfahren, um Trans­aktionen sicher durchs Internet zu bringen. Teils unterscheiden sie sich von Bank zu Bank. Besonders gängig sind:

Pin/Tan

Das System aus Geheimzahl (Pin) und Trans­aktions­kode (Tan) ist über­holt. Dasselbe gilt für den Nach­folger Pin/iTan, wo der Kunde nicht aus einer langen Tan-Liste eine Zahl wählt, sondern die Bank eine bestimmte Tan, die „indizierte“, aus der Liste verlangt.

iTan plus

Sie wird von Volks- und Raiff­eisen­banken verwendet. Dabei zeigt der Monitor ein Kontroll­bild, das mit einem maschinell kaum lesbaren Raster unterlegt ist, was Trojaneratta­cken erschweren soll. Zusätzlich zeigt es das Geburts­datum des Kunden an.

Tan-Generatoren

Das sind Taschen­rechner-große Geräte, die der Kunde statt einer Tan-Liste erhält. Ältere zeigen auf Knopf­druck eine Tan an. Da sie nicht mehr den Sicher­heits­anforderungen der Banken genügen, gelten sie ebenfalls als über­holt. Bei modernen eTan-plus-Geräten schiebt der Kunde seine Bank­chipkarte, zum Beispiel die Girokarte, in den Generator und erhält eine Tan. In deren Berechnung fließen Betrag und Ziel­konto ein, sodass Kriminelle das Geld nicht auf ein anderes Konto umleiten können. „Selbst wenn der Generator verloren wird, ist Miss­brauch unmöglich, denn alle Authentifizierungs­schlüssel liegen auf der Chipkarte“, so Dr. Waldemar Grudzien vom Bundes­verband deutscher Banken. Geräte mit optischer Schnitt­stelle hält der Kunde vor den Monitor. Über Fotodioden erkennen sie die Darstellung und zeigen eine Tan, die die Trans­aktions­daten einbezieht.

mTan

Die „mobile Tan“ wird von der Bank per SMS aufs Handy des Kunden geschickt. Das gilt als sehr sicher, da zwei Über­tragungs­wege beteiligt sind: Internet und Mobil­funk. Beide zu knacken, ist extrem schwierig. Außerdem fließen in die Tan Daten aus der Trans­aktion ein. Zusätzlich nennt die SMS auch Konto­nummer und Betrag. Wird die mTan nicht verwendet, verfällt sie nach kurzer Zeit. Vorsicht: Wer die Über­weisung nicht am PC eingibt, sondern am Handy, nutzt nur einen Über­tragungsweg. Die Banken weisen deshalb darauf hin, dass Aufträge nicht am Handy einge­geben werden sollen.

HBCI/FinTS

HBCI und die Weiter­entwick­lung FinTS gelten als sehr sicher. Der Kunde braucht dafür einen Kartenleser. Moderne Geräte der Klasse 2 oder 3 haben einen Prozessor und eine eigene Tastatur. Der Nutzer braucht also seine Pin nicht am PC einzugeben. Eine Chipkarte verschlüsselt die Daten. Phishing, Pharming und Trojaner werden abge­wehrt. Trotz der hohen Sicherheit hat sich HBCI/FinTS nicht durch­gesetzt, denn die Software muss auf dem PC installiert werden, was nicht auf allen Rechnern problemlos gelingt.

HBCI+

Einen Rück­schritt bei der Sicherheit bedeutet hingegen HBCIplus, auch HBCI 2.2 oder HBCI Pin/Tan genannt. Hier wird nicht per Chipkarte verschlüsselt, sondern per SSL-Verbindung. Der Kunde braucht weiter Tan-Listen. Ab der Version 3.0 können aber auch Tan-Generatoren oder die mTan mit HCBI/FinTS kombiniert werden.

USB-Stick

Hier wird ein USB-Stick mit integrierter Chipkarte und eigenem Browser an den Computer ange­schlossen. Die Girokarte oder ec-Karte ist nicht nötig, denn ein Chip im Stick trägt alle nötigen Daten. Es gibt auch Sticks mit Tastatur und Anzeige. Das lässt Trojaner­angriffe ins Leere laufen.

Dieser Artikel ist hilfreich. 702 Nutzer finden das hilfreich.