Sicherheitsverfahren beim Onlinebanking im Vergleich

Online-Banking - Überweisungen etc. ausführen

TAN VerfahrenTAN-Verfahren im Überblick

Viele Bankkunden nutzen bereits Online-Banking und erledigen ihre Finanzgeschäfte von zu Hause oder Unterwegs - unabhängig von den Öffnungszeiten ihrer Banken. Um z.B. eine Überweisung per Direkt-Banking ausführen zu können, muss man den Auftrag mittels einer TAN (Transaktionsnummer) bestätigen. Für das Generieren einer TAN werden heutzutage viele unterschiedliche Verfahren angeboten.

Wir stellen in diesem Beitrag die wichtigsten Verfahren vor und informieren zusätzlich über die Vor- und Nachteile.

Warum ist die Sicherheit beim Online Banking so wichtig?

Für Betrüger ist das Hacken von Banking Vorgängen sehr lukrativ. Kriminelle entwickeln sogenannte Banking-Trojaner, um sich einen Zugang zum fremden Konto und damit zu fremden Geld zu verschaffen. Daher sollte man sich für ein TAN-Verfahren mit hohen Sicherheitsstandards entscheiden. Zusätzlich sollte man niemals vertrauliche Daten per E-Mail oder Telefon herausgeben auch wenn z.B. eine seriös erscheinende Email des eigenen Kreditinstitutes dazu auffordert.

Als sicher gelten alle Verfahren die einen zweiten Kanal nutzen. So gilt z.B. der Computer, an dem man Onlinebanking mittels einem gängigen Internet-Browser oder über eine Banking-Software ausführt, als 1. Kanal. Die Tan, für das Bestätigen der Transaktion, erhält man dann über den 2. Kanal, etwa per SMS oder push-Nachrichtauf das Mobiltelefon.

Nicht alle Finanzinstitute bieten jedes im Weiteren aufgelistete Verfahren an. Aus diesem Grund haben wir unter jeder Beschreibung die Banken aufgeführt, die das jeweilige Verfahren ihren Kunden bereitstellen.

Die Sicherheits-Verfahren im Überblick

TAN-/ iTAN-Liste

Wenn Sie sich für das Online Banking entscheiden, erhalten Sie von Ihrer Bank (falls keine anderen Verfahren angeboten werden) eine TAN-Liste auf Papier zugeschickt. Nach Eingabe der Überweisungsdaten wird eine TAN zur Ausführung der Transaktion gefordert. Die Nummern auf der TAN-Liste werden der Reihe nach verwendet, wobei bei der iTAN-Liste (mit indizierten TANs) nach einer zufällig vorgegebenen iTAN gefragt wird. Die jeweilige TAN passt immer nur für genau den einen Auftrag in seinem momentanen Zustand (z.B. Uhrzeit, Datum).

iTAN ListeVorteile

→ TAN nur 1x nutzbar ++
→ Nur genau angeforderte iTAN wird akzeptiert ++
TAN-Liste kostenlos +

Nachteile

→ Kein Kanalwechsel (neben PC kein weiteres Gerät involviert) - -
→ Bei Verlust muss Liste sofort gesperrt werden -

Sicherheit: Die Tan-Liste bietet nur einen eingeschränkten Schutz vor Ausspäh-Angriffen. Mehr Sicherheit bietet die iTAN-Liste, aber auch hier haben Kriminelle mittlerweile eine Möglichkeit zur Manipulation gefunden.

Das Hauptproblem beim iTAN-verfahren ist, dass die TANs nicht an eine bestimmte Transaktion gebunden sind. Bei allen folgenden und deutlich fortschrittlicheren TAN-Verfahren werden TANs generiert, die nur wenige Minuten gültig sind und an einen speziellen Auftrag (Überweisung auf Konto XY über Betrag 123€) gebunden sind. Die TAN-Listen werden sicherlich in den nächsten Jahren verschwunden sein.

Aufgrund einiger Sicherheitsbedenken bieten bereits viele Banken keine iTANs mehr an bzw. erlauben dieses Verfahren nur noch für Altkunden.

Banken: Targobank, Comdirect, Norisbank, 1822direkt, HypoVereinsbank, Deutsche Bank, ING Diba, Santander Bank, Wüstenrot

 

chipTAN- oder auch smartTAN-Verfahren

Viele Banken bieten inzwischen das chipTAN-Verfahren an, da es sicherer ist als die bereits erwähnten TAN-/iTAN-Listen. Hier generieren Sie selbst eine Transaktionsnummer mittels eines TAN-Generators und Ihrer EC-Karte. Nach der Eingabe der Auftragsdaten auf der Online-Banking-Seite erscheint eine animierte Grafik auf dem Computerbildschirm. Durch das Abscannen dieser Grafik mittels Fotosensoren auf der Rückseite des Generators werden die Daten ausgelesen und auf dem Display des Gerätes angezeigt. Sobald alle Angaben überprüft und bestätigt wurden, wird die nur für diese Transaktion verwendbare TAN angezeigt.

Durch die Zwei-Wege-Absicherung (Computer und TAN-Generator) wird das Ausspähen von Daten verhindert, da der TAN-Generator unabhängig vom Internet funktioniert. Ein weiterer Pluspunkt dieses Verfahrens ist, dass die kryptische Methode für das Erstellen der TAN nicht im Gerät selbst steckt, sondern auf dem Chip der EC-Karte. Ein erfolgreicher Angriff auf das System ist nicht bekannt, und daher wird dieses Verfahren als sicher eingestuft.

chipTAN GeneratorVorteile

→ TAN nur 1x nutzbar ++
→ Zeitlich-begrenzte Gültigkeit ++
→ 2 Kanäle-Nutzung zur TAN-Generierung (PC und TAN-Generator) ++
→ Auftragsbezogene TAN-Erzeugung (Kontonummer und Überweisungsbetrag beeinflussen TAN) ++
→ TAN-Generator unabhängig vom Internet (keine Verfälschung der Displayanzeige des Generators durch Trojaner/Viren auf dem PC möglich) ++
→ Nochmalige Überprüfung der Daten auf dem Display des Generators möglich ++
→ TAN-Generator ohne EC-Karte nutzlos +
Weltweit nutzbar +

Nachteile

→ Gerät kostenpflichtig (zwischen 15-20€) -
Nur mit griffbereitem Gerät ist Online Banking möglich -
Bei Verlust der EC-Karte kann keine TAN generiert werden -

Sicherheit: Dieses Verfahren bietet sehr große Sicherheit durch die Vereinigung von 3 voneinander unabhängigen Medien - PIN, TAN-Generator und EC-Karte - sowie eine optimale Kontrollmöglichkeit und begrenzte Gültigkeit der TAN. Durch die Nutzung dieses Verfahrens ist man deutlich besser gegen Ausspäh-Angriffe geschützt, als bei der herkömlichen TAN-Liste.

ChipTan gilt als eines der sichersten Verfahren (nur HBCI ist noch sicherer). Leider schränkt der Generator die Mobilität etwas ein. Beim folgenden mTAN Verfahren benötigt man keinen extra Generator, sondern nutz sein Smartphone, um TANs zu erhalten.

Banken: DKB, Consorsbank, Postbank, Skatbank, VW Bank, Wüstenrot, netbank

 

mobileTAN-Verfahren

Dieses Verfahren wird von so gut wie jedem Finanzinstitut zur Online-Banking-Abwicklung angeboten, jedoch ist die Bezeichnung nicht immer einheitlich. Somit versteht man unter smsTAN, mTAN und mobileTAN ein und das selbe Verfahren.

Hier wird der Übertragungskanal SMS genutzt. Wurden die Auftragsdaten online eingegeben, fordert man eine nur für diesen Vorgang nutzbare TAN per SMS an. In dieser SMS können alle wichtigen Daten der Transaktion noch einmal überprüft werden. Wichtig ist, das man immer die Daten in der SMS mit den Angaben z.B auf der Papier-Rechnung überprüft, nicht mit denen auf dem Computerbildschirm. So können mögliche Manipulationen durch Schadprogramme erkannt werden. Mit dem Eintippen der Nummer auf der Online-Banking-Plattform bestätigt man die Richtigkeit der Auftragsdaten und die Transaktion wird durchgeführt.

mobileTAN, smsTAN, mTANVorteile

→ Kanalwechsel (Computer/Tablet, Mobiltelefon) ++
→ Transaktions-Check bevor Ausführung möglich ++
Auftragsbezogene TAN-Generierung (Kontonr., Betrag sowie Datum und Uhrzeit werden mit einbezogen) ++
→ TAN nur 1x nutzbar ++
Zeitlich-begrenzte Gültigkeit ++
→ kein Zusatzgerät oder TAN-Liste wird benötigt +

Nachteile

→ Zum Teil kostenpflichtig (Kosten je SMS) - -
→ mobileTAN nicht beim mobilen Banking (mittels Handy) aus Sicherheitsgründen möglich (-)
→ Nur mit deutschen Mobilfunknummer möglich -
→ Nicht aus dem Ausland nutzbar -
→ Bei Funklöchern nicht nutzbar (Tipp: Bank mit parallel-nutzbaren Alternativen wählen) -

Sicherheit: Beim mobileTan-Verfahren wird ein hoher Sicherheitsgrad durch die Medientrennung erreicht - Transaktionsdaten via Computer und TAN Übermittlung via SMS. Aber leider gab es hier auch schon bereits erfolgreiche Angriffe (siehe z.B. "Eurograbber") und Schäden durch nacherstellte SIM-Karten.

Banken: Commerzbank, Targobank, Comdirect, Norisbank (kostenpflichtig), Consorsbank, 1822 direkt, Postbank, HypoVereinsbank, Skatbank (kostenpflichtig), Deutsche Bank (kostenpflichtig), ING Diba, Wüstenrot, netbank

 

pushTAN

Ohne iTAN-Liste und Zusatzgerät werden Überweisungen einfach und direkt ausgeführt.

Dieses Verfahren kann sowohl an einem Endgerät (Smartphone/Tablet) als auch an einer Kombination aus PC und Smartphone/Tablet genutzt werden. Auf dem mobilen Endgerät muss eine spezielle App der jeweiligen Bank, die meist kostenlos zur Verfügung gestellt wird, installiert sein. Nachdem die Transaktionsdaten entweder im Mobilen-Banking am Smartphone/Tablet oder Direkt-Banking am PC eingetragen wurden, erhält man eine Push-Nachricht auf ein mobiles Endgerät, mit der Information das ein neuer pushTan-Auftrag zur Freigabe vorliegt. Nach Abgleich der übermittelten Daten gibt man die TAN entweder im Mobilen-Banking am Smartphone/Tablet oder Online-Banking am PC ein und bestätigt dadurch die Richtigkeit des Auftrages. Die Transaktion wird ausgeführt.

Weiterentwicklung: Bei iOS Endgeräten mit Touch ID Technologie (ab iPhone 5s) und iOS8 kann die Transaktion mittels Fingerabdruck freigegeben werden. Der Fingerabdruck ersetzt die TAN.

pushTANVorteile

→ Jede TAN wird einzeln generiert ++
→ TAN nur 1x nutzbar ++
→ Kanalwechsel durch Nutzung getrennter Bereiche in App ++
→ Keine SMS, daher entstehen keine Kosten ++
→ Kostenlose App, passwortgeschützt ++
→ Stetige Aktualisierung/Verbesserung der App möglich +
→ Auch beim Mobilen-Banking möglich +
→ Nur mit zuvor registrierten mobilen Endgeräten nutzbar +

Nachteile

→ Bei Funklöchern bzw. keinem Zugang zu WLAN pushTAN nicht nutzbar (Tipp: Bank mit parallel-nutzbaren Alternativen wählen) -

Sicherheit: Durch das Einschleusen von Trojanern auf dem Mobilltelefon wäre auch hier eine Attacke von Kriminellen möglich, aber Experten halten dies für unwahrscheinlich, da die TAN verschlüsselt versendet wird. Dennoch erhöht man seine Sicherheit deutlich, wenn man das Smartphone zur Erzeugung der TANs nutzt und seine Bankgeschäfte an einem anderen Gerät (PC oder Tablet) erledigt.

PushTan gilt auch daher als sehr sicher, da es sehr viele verschiedene Systeme gibt und pushTAN bisher nur wenig genutzt wird. Jede Bank nutzt eine andere pushTAN-App und dazu kommen unterschiedliche Betriebsysteme auf dem Smartphone (z.B. iOS oder Android). Eine Schadsoftware kann nicht alle Kombinationen an unterschiedlichen APPs und Smartphones angreifen. Krimminelle müssten sich mit der Schadsoftware somit auf ein bestimmtes System festlegen (z.B. ING DiBa Kunden mit der Secure APP und iOS (Apple) Version 9). Dieser begränzte "Operkreis" rechtfertigt aus Sicht der Kriminellen vermutlich jedoch keinen hohen Programmieraufwand.

Banken: DKB, ING Diba, HypoVereinsbank

 

photoTAN/ QR-TAN

Nach der Eingabe der Rechnungsdaten am Computer wird bei diesem Verfahren ein farbiger Barcode bzw. schwarz-weißer QR-Code auf dem PC-Bildschirm mittels eines Smartphones oder Lesegerätes abgescannt und durch eine Software in eine TAN Nummer umgewandelt. Ähnlich wie beim chipTAN-Verfahren enthält die angezeigt Grafik alle Transaktionsdaten. Nach dem Scannen können auf dem Display des Smartphones bzw. Lesegerätes die Auftragsdaten noch einmal kontrolliert werden und die angezeigte TAN legitimiert nach Eingabe im Online-Banking Formular die Transaktion.

photoTANVorteile

→ Kanalwechsel ++
→ Auftragsbezogene Erzeugung der TAN ++
→ TAN nur 1x nutzbar ++
→ Smartphone wird zum TAN-Generator +
→ Stetige Aktualisierung/Verbesserung der App möglich +
→ Alternatives Lesegerät (neben Smartphone) erhältlich +
→ Keine Internet- oder Telefonverbindung notwendig +

Nachteile

→ Nicht parallel nutzbar mit iTAN-Verfahren bei Commerzbank -
→ Ohne Smartphone bzw. externes Lesegerät nicht nutzbar -

Sicherheit: Durch die Signatur und die Verschlüsselung der Bank sowie einer unverfälschten Übertragung auf das Smartphone bzw. Lesegerät ist das photoTAN-Verfahren sehr sicher. Aber generell sollte man immer vorsichtig sein, wenn man mit seinem Smartphone sensible Daten austauscht. Am besten nutzt man die PhotoTAN-APP für die Erzeugung der TANs und nutzt diese an einem PC. Die Kanaltrennung (TAN-Erzeugung miitels Smartphone und PC fürs Online-Banking) erhöht die Sicherheit deutlich.

(Ein weiteres Plus an Sicherheit bringt es, wenn man auf ein Lesegerät der Banken zurückgreift. Alle Banken mit photoTAN (bis auf 1822direkt) bieten ihren Kunden extra Lesegeräte für die QR-Codes an. Ein Smartphone kann theoretisch mit Schadsoftware infiltriert werden. bei einem externen Lesegerät ist dies möglich. )

Banken: Commerzbank, Comdirect, Norisbank, 1822 direkt, Deutsche Bank

 

Weitere TAN-Verfahren

HBCI/ FinTS

Homebanking Computer Interface - kurz HBCI - Geräte arbeiten mit einer passwortgeschützten Chipkarte (nicht EC-Karte). Dieses Gerät wird mittels eines USB Anschlusses mit Ihrem Computer verbunden. Zur Nutzung dieses elektronischen Zugangsweges ist eine HBCI-fähige Finanzsoftware (z.B. Starmoney) erforderlich, die kostenpflichtig von den jeweiligen Banken angeboten werden. HBCI-Geräte verwenden eine elektronische Signatur, die mit der persönliche Unterschrift vergleichbar ist. Ohne Eingabe von PIN und TAN können so online Bankgeschäft erledigt werden. Nachdem die Auftragsdaten der Überweisung in die Finanzsoftware eingetragen wurden, wird die Chipkarte in das externe Lesegerät eingesteckt und mittels einer PIN autorisiert. Auf dem Display erscheinen die wichtigsten Auftragsdaten und per Knopfdruck wird der Auftrag bestätigt.

Weiterentwicklung: FinTS - Financial Transaction Services - ist eine Weiterentwicklung des HBCI Standards beim Online-Banking mit einer stärkeren Verschlüsselung. Es soll die jeweilige Bank mit ihren Kunden verbinden und außerdem eine sogenannte Multibankfähigkeit vereinheitlichen. Weiterhin wird die rechtsverbindliche Unterschrift im Online-Banking ermöglicht. Auch ohne HBCI-fähige Banking Software können z.B. Kunden der Deutschen Bank mittels einer chipkartenbasierten Lösung Online-Banking betreiben. Alle Zugangsdaten für Ihr Konto sind auf der Karte gespeichert. Lediglich eine (meist) 6stellige Geheimzahl wird benötigt.

Vorteile

→ Kanalwechsel ++
→ Transaktions-Check vor verbindlicher Bestätigung möglich ++
→ Neue Verschlüsselungstechnologie (sehr hohe Sicherheitsstandards) ++
→ Weltweit Nutzung möglich ++
→ Multibankfähige elektronische Verwaltung aller Konten +
→ Nur noch eine Geheimzahl für alle Online-Banking Vorgänge +
→ Läuft parallel mit anderen TAN-Verfahren +
→ Außer Anschaffungskosten fallen keine weiteren Kosten an +

Nachteile

→ Anschaffungskosten sehr hoch (ab 50€) -
→ Ohne Computer nicht nutzbar -

Sicherheit: Durch mehrere Sicherheitsstufen ist das Verfahren als sehr sicher zu bewerten. Am Sichersten ist HBCI in Kombination mit einer Chipkarte und einem modernen Lesegerät. Laut Experten ist das System nicht "zu knacken". HBCI nur mit PIN und nicht mit Chipkarte bietet nicht die 100%ige Sicherheit.

Banken: Deutsche Bank, Commerzbank, Postbank, ING Diba, Santander Bank

 

Fazit: Alle moderenen TAN-Verfahren (iTAN gehört nicht dazu) gelten als relativ sicher. Bei mTAN gab jedoch es vor einigen Jahren eine regelrechte Welle an Betrugsfällen, da es Betrüger gelungen war SIM-Karten von Kontoinhabern nachzubestellen und sich somit direkt TANs erzeugen zu können. Bei den weiteren Verfahren lag allerdings so gut wie jeder Betrugsfall nicht an der Sicherheit des TAN-Verfahrens, sondern an der Sicherheit des PCs der Kunden oder an der Leichtgläubigkeit.

Daher nutzen Sie einen aktuellen Virenscanner, geben Sie TANs nur bei Aufträgen ein, die auch Sie aufgegeben haben (z.B. nicht bei einer angeblichen Sicherheitsüberprüfung ihrer Bank) und kontrollieren Sie stets die Kontodaten und den Betrag bei einer Überweisung am Bildschirm und auch bei der TAN-Erzeugung (z.B. auf dem Display des Chip-Generators).