Sicherheitsverfahren beim Onlinebanking im Vergleich

Online-Banking - Überweisungen etc. ausführen

TAN VerfahrenTAN-Verfahren im Überblick

Viele Bankkunden nutzen bereits Online-Banking und erledigen ihre Finanzgeschäfte von zu Hause oder Unterwegs - unabhängig von den Öffnungszeiten ihrer Banken. Um z.B. eine Überweisung per Direkt-Banking ausführen zu können, muss man den Auftrag mittels einer TAN (Transaktionsnummer) bestätigen. Für das Generieren einer TAN werden heutzutage viele unterschiedliche Verfahren angeboten.

Wir stellen in diesem Beitrag die wichtigsten Verfahren vor und informieren zusätzlich über die Vor- und Nachteile.

Warum ist die Sicherheit beim Online Banking so wichtig?

Für Betrüger ist das Hacken von Banking Vorgängen sehr lukrativ. Kriminelle entwickeln sogenannte Banking-Trojaner, um sich einen Zugang zum fremden Konto und damit zu fremden Geld zu verschaffen. Daher sollte man sich für ein TAN-Verfahren mit hohen Sicherheitsstandards entscheiden. Zusätzlich sollte man niemals vertrauliche Daten per E-Mail oder Telefon herausgeben auch wenn z.B. eine seriös erscheinende Email des eigenen Kreditinstitutes dazu auffordert.

Als sicher gelten alle Verfahren die einen zweiten Kanal nutzen. So gilt z.B. der Computer, an dem man Onlinebanking mittels einem gängigen Internet-Browser oder über eine Banking-Software ausführt, als 1. Kanal. Die Tan, für das Bestätigen der Transaktion, erhält man dann über den 2. Kanal, etwa per SMS auf das Mobiltelefon.

Nicht alle Finanzinstitute bieten jedes im Weiteren aufgelistete Verfahren an. Aus diesem Grund haben wir unter jeder Beschreibung die Banken aufgeführt, die das jeweilige Verfahren ihren Kunden bereitstellen.

Die Sicherheits-Verfahren im Überblick

TAN-/ iTAN-Liste

Wenn Sie sich für das Online Banking entscheiden, erhalten Sie von Ihrer Bank (falls keine anderen Verfahren angeboten werden) eine TAN-Liste auf Papier zugeschickt. Nach Eingabe der Überweisungsdaten wird eine TAN zur Ausführung der Transaktion gefordert. Die Nummern auf der TAN-Liste werden der Reihe nach verwendet, wobei bei der iTAN-Liste (mit indizierten TANs) nach einer zufällig vorgegebenen iTAN gefragt wird. Die jeweilige TAN passt immer nur für genau den einen Auftrag in seinem momentanen Zustand (z.B. Uhrzeit, Datum).

iTAN ListeVorteile

→ TAN nur 1x nutzbar ++
→ Nur genau angeforderte iTAN wird akzeptiert ++
TAN-Liste kostenlos +

Nachteile

→ Kein Kanalwechsel (neben PC kein weiteres Gerät involviert) - -
→ Bei Verlust muss Liste sofort gesperrt werden -

Sicherheit: Die Tan-Liste bietet nur einen eingeschränkten Schutz vor Ausspäh-Angriffen. Mehr Sicherheit bietet die iTAN-Liste, aber auch hier haben Kriminelle mittlerweile eine Möglichkeit zur Manipulation gefunden.

Banken: Targobank, Comdirect, Norisbank, DKB, 1822 direkt, HypoVereinsbank, Deutsche Bank, ING Diba, Santander Bank, Wüstenrot, netbank

 

chipTAN- oder auch smartTAN-Verfahren

Viele Banken bieten inzwischen das chipTAN-Verfahren an, da es sicherer ist als die bereits erwähnten TAN-/iTAN-Listen. Hier generieren Sie selbst eine Transaktionsnummer mittels eines TAN-Generators und Ihrer EC-Karte. Nach der Eingabe der Auftragsdaten auf der Online-Banking-Seite erscheint eine animierte Grafik auf dem Computerbildschirm. Durch das Abscannen dieser Grafik mittels Fotosensoren auf der Rückseite des Generators werden die Daten ausgelesen und auf dem Display des Gerätes angezeigt. Sobald alle Angaben überprüft und bestätigt wurden, wird die nur für diese Transaktion verwendbare TAN angezeigt.

Durch die Zwei-Wege-Absicherung (Computer und TAN-Generator) wird das Ausspähen von Daten verhindert, da der TAN-Generator unabhängig vom Internet funktioniert. Ein weiterer Pluspunkt dieses Verfahrens ist, dass die kryptische Methode für das Erstellen der TAN nicht im Gerät selbst steckt, sondern auf dem Chip der EC-Karte. Ein erfolgreicher Angriff auf das System ist nicht bekannt, und daher wird dieses Verfahren als sicher eingestuft.

chipTAN GeneratorVorteile

→ TAN nur 1x nutzbar ++
→ Zeitlich-begrenzte Gültigkeit ++
→ 2 Kanäle-Nutzung zur TAN-Generierung (PC und TAN-Generator) ++
→ Auftragsbezogene TAN-Erzeugung (Kontonummer und Überweisungsbetrag beeinflussen TAN) ++
→ TAN-Generator unabhängig vom Internet (keine Verfälschung der Displayanzeige des Generators durch Trojaner/Viren auf dem PC möglich) ++
→ Nochmalige Überprüfung der Daten auf dem Display des Generators möglich ++
→ TAN-Generator ohne EC-Karte nutzlos +
Weltweit nutzbar +

Nachteile

→ Gerät kostenpflichtig (zwischen 15-20€) -
Nur mit griffbereitem Gerät ist Online Banking möglich -
Bei Verlust der EC-Karte kann keine TAN generiert werden -

Sicherheit: Dieses Verfahren bietet eine größtmögliche Sicherheit durch die Vereinigung von 3 voneinander unabhängigen Medien - PIN, TAN-Generator und EC-Karte - sowie eine optimale Kontrollmöglichkeit und begrenzte Gültigkeit der TAN. Durch die Nutzung dieses Verfahrens ist man besser gegen Ausspäh-Angriffe geschützt, als bei der TAN-Liste.

Banken: DKB, Consorsbank, Postbank, Skatbank, VW Bank, Wüstenrot, netbank

 

mobileTAN-Verfahren

Dieses Verfahren wird von so gut wie jedem Finanzinstitut zur Online-Banking-Abwicklung angeboten, jedoch ist die Bezeichnung nicht immer einheitlich. Somit versteht man unter smsTAN, mTAN und mobileTAN ein und das selbe Verfahren.

Hier wird der Übertragungskanal SMS genutzt. Wurden die Auftragsdaten online eingegeben, fordert man eine nur für diesen Vorgang nutzbare TAN per SMS an. In dieser SMS können alle wichtigen Daten der Transaktion noch einmal überprüft werden. Wichtig ist, das man immer die Daten in der SMS mit den Angaben z.B auf der Papier-Rechnung überprüft, nicht mit denen auf dem Computerbildschirm. So können mögliche Manipulationen durch Schadprogramme erkannt werden. Mit dem Eintippen der Nummer auf der Online-Banking-Plattform bestätigt man die Richtigkeit der Auftragsdaten und die Transaktion wird durchgeführt.

mobileTAN, smsTAN, mTANVorteile

→ Kanalwechsel (Computer/Tablet, Mobiltelefon) ++
→ Transaktions-Check bevor Ausführung möglich ++
Auftragsbezogene TAN-Generierung (Kontonr., Betrag sowie Datum und Uhrzeit werden mit einbezogen) ++
→ TAN nur 1x nutzbar ++
Zeitlich-begrenzte Gültigkeit ++
→ kein Zusatzgerät oder TAN-Liste wird benötigt +

Nachteile

→ Zum Teil kostenpflichtig (Kosten je SMS) - -
→ mobileTAN nicht beim mobilen Banking (mittels Handy) aus Sicherheitsgründen möglich (-)
→ Nur mit deutschen Mobilfunknummer möglich -
→ Nicht aus dem Ausland nutzbar -
→ Bei Funklöchern nicht nutzbar (Tipp: Bank mit parallel-nutzbaren Alternativen wählen) -

Sicherheit: Beim mobileTan-Verfahren wird ein hoher Sicherheitsgrad durch die Medientrennung erreicht - Transaktionsdaten via Computer und TAN Übermittlung via SMS. Aber leider gab es hier auch schon bereits erfolgreiche Angriffe (siehe z.B. "Eurograbber").

Banken: Commerzbank, Targobank, Comdirect, Norisbank (kostenpflichtig), Consorsbank, 1822 direkt, Postbank, HypoVereinsbank, Skatbank (kostenpflichtig), Deutsche Bank (kostenpflichtig), DAB Bank, ING Diba, Wüstenrot, netbank

 

pushTAN

Ohne iTAN-Liste und Zusatzgerät werden Überweisungen einfach und direkt ausgeführt.

Dieses Verfahren kann sowohl an einem Endgerät (Smartphone/Tablet) als auch an einer Kombination aus PC und Smartphone/Tablet genutzt werden. Auf dem mobilen Endgerät muss eine spezielle App der jeweiligen Bank, die meist kostenlos zur Verfügung gestellt wird, installiert sein. Nachdem die Transaktionsdaten entweder im Mobilen-Banking am Smartphone/Tablet oder Direkt-Banking am PC eingetragen wurden, erhält man eine Push-Nachricht auf ein mobiles Endgerät, mit der Information das ein neuer pushTan-Auftrag zur Freigabe vorliegt. Nach Abgleich der übermittelten Daten gibt man die TAN entweder im Mobilen-Banking am Smartphone/Tablet oder Online-Banking am PC ein und bestätigt dadurch die Richtigkeit des Auftrages. Die Transaktion wird ausgeführt.

Weiterentwicklung: Bei iOS Endgeräten mit Touch ID Technologie (ab iPhone 5s) und iOS8 kann die Transaktion mittels Fingerabdruck freigegeben werden. Der Fingerabdruck ersetzt die TAN.

pushTANVorteile

→ Jede TAN wird einzeln generiert ++
→ TAN nur 1x nutzbar ++
→ Kanalwechsel durch Nutzung getrennter Bereiche in App ++
→ Keine SMS, daher entstehen keine Kosten ++
→ Kostenlose App, passwortgeschützt ++
→ Stetige Aktualisierung/Verbesserung der App möglich +
→ Auch beim Mobilen-Banking möglich +
→ Nur mit zuvor registrierten mobilen Endgeräten nutzbar +

Nachteile

→ Bei Funklöchern bzw. keinem Zugang zu WLAN pushTAN nicht nutzbar (Tipp: Bank mit parallel-nutzbaren Alternativen wählen) -

Sicherheit: Durch das Einschleusen von Trojanern auf dem Mobilltelefon wäre auch hier eine Attacke von Kriminellen möglich, aber Experten halten dies für unwahrscheinlich, da die TAN verschlüsselt versendet wird.

Banken: DKB, Postbank, HypoVereinsbank

 

photoTAN/ QR-TAN

Nach der Eingabe der Rechnungsdaten am Computer wird bei diesem Verfahren ein farbiger Barcode bzw. schwarz-weißer QR-Code auf dem PC-Bildschirm mittels eines Smartphones oder Lesegerätes abgescannt und durch eine Software in eine TAN Nummer umgewandelt. Ähnlich wie beim chipTAN-Verfahren enthält die angezeigt Grafik alle Transaktionsdaten. Nach dem Scannen können auf dem Display des Smartphones bzw. Lesegerätes die Auftragsdaten noch einmal kontrolliert werden und die angezeigte TAN legitimiert nach Eingabe im Online-Banking Formular die Transaktion.

photoTANVorteile

→ Kanalwechsel ++
→ Auftragsbezogene Erzeugung der TAN ++
→ TAN nur 1x nutzbar ++
→ Smartphone wird zum TAN-Generator +
→ Stetige Aktualisierung/Verbesserung der App möglich +
→ Alternatives Lesegerät (neben Smartphone) erhältlich +
→ Keine Internet- oder Telefonverbindung notwendig +

Nachteile

→ Nicht parallel nutzbar mit iTAN-Verfahren bei Commerzbank -
→ Ohne Smartphone bzw. externes Lesegerät nicht nutzbar -

Sicherheit: Durch die Signatur und die Verschlüsselung der Bank sowie einer unverfälschten Übertragung auf das Smartphone bzw. Lesegerät ist das photoTAN-Verfahren sehr sicher. Aber generell sollte man immer vorsichtig sein, wenn man mit seinem Smartphone sensible Daten austauscht!

Banken: Commerzbank, Comdirect, Norisbank, 1822 direkt, Deutsche Bank

 

Weitere TAN-Verfahren

HBCI/ FinTS

Homebanking Computer Interface - kurz HBCI - Geräte arbeiten mit einer passwortgeschützten Chipkarte (nicht EC-Karte). Dieses Gerät wird mittels eines USB Anschlusses mit Ihrem Computer verbunden. Zur Nutzung dieses elektronischen Zugangsweges ist eine HBCI-fähige Finanzsoftware (z.B. Starmoney) erforderlich, die kostenpflichtig von den jeweiligen Banken angeboten werden. HBCI-Geräte verwenden eine elektronische Signatur, die mit der persönliche Unterschrift vergleichbar ist. Ohne Eingabe von PIN und TAN können so online Bankgeschäft erledigt werden. Nachdem die Auftragsdaten der Überweisung in die Finanzsoftware eingetragen wurden, wird die Chipkarte in das externe Lesegerät eingesteckt und mittels einer PIN autorisiert. Auf dem Display erscheinen die wichtigsten Auftragsdaten und per Knopfdruck wird der Auftrag bestätigt.

Weiterentwicklung: FinTS - Financial Transaction Services - ist eine Weiterentwicklung des HBCI Standards beim Online-Banking mit einer stärkeren Verschlüsselung. Es soll die jeweilige Bank mit ihren Kunden verbinden und außerdem eine sogenannte Multibankfähigkeit vereinheitlichen. Weiterhin wird die rechtsverbindliche Unterschrift im Online-Banking ermöglicht. Auch ohne HBCI-fähige Banking Software können z.B. Kunden der Deutschen Bank mittels einer chipkartenbasierten Lösung Online-Banking betreiben. Alle Zugangsdaten für Ihr Konto sind auf der Karte gespeichert. Lediglich eine (meist) 6stellige Geheimzahl wird benötigt.

Vorteile

→ Kanalwechsel ++
→ Transaktions-Check vor verbindlicher Bestätigung möglich ++
→ Neue Verschlüsselungstechnologie (sehr hohe Sicherheitsstandards) ++
→ Weltweit Nutzung möglich ++
→ Multibankfähige elektronische Verwaltung aller Konten +
→ Nur noch eine Geheimzahl für alle Online-Banking Vorgänge +
→ Läuft parallel mit anderen TAN-Verfahren +
→ Außer Anschaffungskosten fallen keine weiteren Kosten an +

Nachteile

→ Anschaffungskosten sehr hoch (ab 50€) -
→ Ohne Computer nicht nutzbar -

Sicherheit: Durch mehrere Sicherheitsstufen ist das Verfahren als sehr sicher zu bewerten. Jedoch sollte man immer darauf achten die neueste Verfahrens-Technologie zu verwenden, da es nur eine Frage der Zeit ist bis Kriminelle auch hier angreifen können.

Banken: Deutsche Bank, Commerzbank, Postbank, ING Diba, Santander Bank