TAN-Verfahren beim Online Banking
Die Kriminalität im Internet steigt mit jedem Tag: Cyberkriminelle richten inzwischen riesige finanzielle Schäden an, da kann nicht einmal der Umsatz im Drogenhandel in Deutschland noch mithalten. (vgl. Focus Money. Nr. 19/ April 2014)
Sicheres Online Banking mit dem richtigen TAN-Verfahren
Im Zeitalter des rasanten technischen Wandels, vor allem mit den zunehmenden Möglichkeiten im Bereich des Online Banking, müssen entsprechende Sicherheitsmaßnahmen bzw. Verschlüsselungstechniken geschaffen werden, die derartige Datenübertragungen vor Cyberkriminellen unzugänglich machen. Dazu zählt das TAN-Verfahren. Die TAN – Transaktionsnummer – besteht aus mehreren Zahlen. Der Einsatz des TAN-Verfahrens beim Online Banking dient der Authentifizierung einer Kundenverfügung und ersetzt im eigentlichen Sinne eine Unterschrift. TAN-Verfahren kommen z. B. bei
- der Einrichtung, Änderung oder Löschung eines Daudaserauftrages,
- der Ausführung einer Überweisung oder
- der Änderung personengebundener Daten des Online Bank-Accounts
zum Einsatz.
Anstieg der Cyberkriminalität versus gesunkene Aufklärungsrate
Mangels technischer und personeller Investitionen ist es der deutschen Polizei momentan kaum möglich, die Rate der Internet-Kriminalität zu senken bzw. adäquat zu bekämpfen. „Glaubt man Erfahrungswerten der Gewerkschaft der Polizei, ist heute die Wahrscheinlichkeit, Opfer einer Straftat im World Wide Web zu werden, nicht geringer als jene, in Wohnungseinbrüche oder Körperverletzungen involviert zu werden.“ (S. 77, Focus Money. Nr. 19/ April 2014) Aus diesem Grund erfahren sichere Datenverschlüsselung bzw. Sicherungssysteme eine immer wichtigere Bedeutung, damit Cyberkriminellen auf lange Sicht das Handwerk gelegt wird. Der eigene Umgang mit vertraulichen Daten und die Einhaltung verschiedener Sicherheitsregeln spielen daneben natürlich eine ebenso wichtige Rolle.
Mehr Statistiken finden Sie bei Statista
Welche TAN-Technologie bietet nun das höchste Maß an Sicherheit?
Zu den derzeit sichersten TAN-Verfahren zählen jene, die einen zweiten Kanal für das Online Banking nutzen. Dabei ist der erste Kanal i. d. R. der Computer, von welchem über eine Banking Software oder den Internet-Browser das Online-Banking ausgeführt wird. Auf dem zweiten Kanal erhält der Online Banker schließlich die angeforderte TAN per SMS auf dem Handy bzw. Smartphone.
Das MobileTAN-Verfahren
Die aktuell beliebteste Verschlüsselungstechnologie der Online Banker in Deutschland ist die MobileTAN, auch mTAN- oder smsTAN genannt. Leider gilt aber auch dieses TAN-Verfahren nicht als absolut unbezwingbar. Die IT-Behörde European Network and Information Security Agency (ENISA) bewertete die mTAN als „zu anfällig“ (S. 78, Focus Money, Nr. 19/ April 2014).
Das chip- oder smartTAN-Verfahren
Weniger verbreitet, dafür als wesentlich sicherer eingestuft, wird das chipTAN-Verfahren. Auch unter der Bezeichnung smartTAN zu finden. Es ist aufwendiger als das mTAN-Verfahren: Ein TAN-Generator mit Display und Tastatur wird benötigt, der von den Banken nur selten kostenfrei für Kunden zur Verfügung gestellt wird.
Das HBCI-Verfahren
Neben diesen beiden erwähnten TAN-Verfahren gibt es eine noch „bessere Lösung“ für ein sicheres Online Banking: Das HBCI-Banking – das Home Banking Computer Interface.
Das iTAN-Verfahren
Daneben kommen weitere TAN-Verfahren zum Einsatz. Die meisten werden nach und nach an Bedeutung verlieren bzw. im Zuge des rasanten technischen Fortschrittes als nicht mehr sicher genug eingestuft werden. Ein Beispiel an dieser Stelle, stellt das iTAN-Verfahren dar – das indizierte TAN-Verfahren. Es fand über einen langen Zeitraum verbreitete Anwendung im Online Banking und gehört zu den ältesten bzw. ersten TAN-Verfahren. Heute zählt es zu den Unsichersten, da die Ausführung nicht auftragsgebunden stattfindet. Zudem handelt es sich um eine papiergebundene TAN-Liste, die schneller in falsche Hände gerät und leichter für Dritte einsehbar ist als andere TAN-Verfahren.
Weitere TAN-Verfahren im Online Banking sind die TAN-Verfahren
- ohne Bankkarte wie das eTAN-Verfahren,
- das smartTAN-Verfahren (auch mit optischer Übertragung) sowie
- das TAN-Verfahren mit Bild – die photoTAN bzw.
- mit einer Flickr-Grafik für das qr-TAN-Verfahren.
Vor-und Nachteile der unterschiedlichen TAN-Verfahren
TAN-Verfahren | Vorteile | Nachteile |
---|---|---|
iTAN |
|
|
eTAN |
|
|
mobile TANm (sms-/mTAN) |
|
|
photoTAN |
|
|
chip-/smartTAN |
|
|
qrTAN |
|
|
HBCI |
|
|
Welches TAN-Verfahren ist das richtige für mich?
In den meisten Fällen entscheiden sich Bankkunden nicht vordergründig wegen eines vorgegebenen TAN-Verfahrens für oder gegen ein Kreditinstitut. Andere Konditionen spielen dabei eine wichtigere Rolle. Vor allem bei Filialbanken mag das Online Banking momentan noch keine gewichtige Rolle spielen. Bei Direktbanken sieht das schon anders aus. Kunden von Direktbanken können ausschließlich über Online Banking ihre Bankaufträge versenden. Sicherheit und Schutz haben somit speziell für diese Banken oberste Priorität.
Empfehlungen zur Sicherheit beim Online Banking
Um die Wahrscheinlichkeit Opfer eines Cyber-Anschlags zu werden zu minimieren, gilt es, gewisse Sicherheitsvorkehrungen einzuhalten. Unsere Redaktion hat für den Leser die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik in Bonn zusammengefasst:
Zugangsdaten …
… als auch eventuelle iTan-Listen sollten stets an einem sicheren Ort verwahrt werden! • Im Internet sollten weder Kontodaten, noch TANs weitergegeben werden. • Auch wenn es sich um den eigenen PC oder das Smartphone handelt, sollten keine Konto- bzw. Bankdaten auf den Geräten gespeichert werden. • Pishing-Emails sollten generell ignoriert werden.
Übertragung von Daten …
… im Internet zum Kreditinstitut sollte stets verschlüsselt stattfinden!
- Achten Sie auf die Browserzeile! Richtig wäre https:// und nicht http://.
- Die W-Lan-Verbindung sollte verschlüsselt sein. Der heutige Standard entspricht Wi-Fi Protected Access 2.
Limit bei Überweisungen …
… aus eigener Sicherheit sollten tägliche Überweisungslimits festgelegt werden. Betrügern wird so das Handwerk gelegt, unbefugt hohe Geldsummen vom Konto abzubuchen. Kontobewegungen kontrollieren … … bestenfalls in kurzen Intervallen. Bei fraglichen Transaktionen, könnten Kontoauszüge manipuliert worden sein. In diesem Fall sollte umgehend Kontakt mit der zuständigen Bank aufgenommen werden.
Online Banking an öffentlichen Plätzen …
… vermeiden! Geht das aber nicht, sollten • Online Banker in Internet-Cafes unbedingt Sitzungen schließen und dafür den Button „Abmelden“ verwenden! • Nach getätigter Schließung und Abmeldung von Accounts sollte der Zwischenspeicher des zuvor genutzten Desktops kontrolliert werden.
Fazit
Mit der Zunahme von Direktbanken, die ihre Geschäfte lediglich über Onlineplattformen im Netz tätigen, ist das Bedürfnis nach verstärkten Sicherheitsmaßnahmen in der Gesellschaft (und natürlich auch bei den Kreditinstituten) enorm gewachsen. Der einzig verbliebene Kommunikationsweg für Kunden von Direktbanken zu ihren Kreditinstituten Kontakt herzustellen, läuft fast ausschließlich über das Internet bzw. den telefonischen Service. Überweisungen, Daueraufträge, die Anpassung des Kreditkartenlimits etc. laufen ausschließlich online ab und die elektronische Auftragsbestätigung schließlich über die vorgestellten TAN-Verfahren. So wird zum Schutz des Kunden und seiner Kontodaten bzw. zum Schutz des Online-Bankgeschäfts beständig an der Sicherheit von TAN-Verfahren oder anderen Datenverschlüsselungssystemen gearbeitet.
So existieren derzeit mehr als nur ein sicheres TAN-Verfahren. Das weit aus Sicherste ist aktuell das HBCI-Verfahren, wobei auf eine TAN-Verwendung schon gänzlich verzichtet wird. Daneben existieren TAN-Verfahren, die den Gebrauch eines Generators oder Handys voraussetzen. Aus Sicherheitsgründen sollte der Kunde auf die Anschaffung eines solchen Gerätes nicht verzichten. Nachteil der neuen Sicherheit beim TAN-Verfahren sind natürlich die damit verbundenen Kosten. SmsTAN bzw. mTAN sind nur für wenige Bankkunden kostenfrei. In anderen Fällen werden darauf Gebühren in Höhe von circa 10 Cent pro SMS erhoben.
Eines ist jedoch gewiss: Alle TAN-Verfahren, und damit meinen wir wirklich ALLE TAN-Verfahren, sind sicherer als das (bereits in die Jahre gekommene) iTAN-Verfahren. Lassen Sie sich vor den damit verbundenen Kosten nicht gleich abschrecken, sondern wägen Sie ab! Sicherheit ist eben nicht ganz kostenlos. Vor allem denken Sie daran, dass Sie einen großen Teil zur Sicherheit Ihrer eigenen Daten beitragen können, in dem Sie wichtigsten Sicherheitsregeln im Auge behalten und diesen sorgfältig nachgehen.
Autor: DH