Sicherheit von TAN-Verfahren


Während man früher das klassische TAN-Verfahren verwendete, bei dem im gegebenen Online-Formular eine beliebige TAN aus der Liste eingegeben werden konnte, wurde dieses bereits 2005 von vielen Banken, aufgrund der steigenden Zahl der Phishingangriffe, durch das iTAN- Verfahren ersetzt.

Diese Abkürzung steht für die indizierte Transaktionsnummer. Hier kann nicht mehr eine beliebige TAN aus der Liste genutzt werden, sondern der Kunde wird aufgefordert, eine TAN mit einer bestimmten Positionsnummer zu verwenden, die er darüber hinaus in wenigen Minuten eingeben muss. Passiert dies nicht, wird die iTAN dennoch als genutzt gewertet und kann nicht erneut verwendet werden. Genau wie bei der ursprünglichen Form der TAN-Liste wird nach der Entwertung aller Kennwörter, dem Kunden entweder auf Anfrage oder automatisch eine neue Liste zugestellt. Dieses Verfahren steigert deutlich den Schutz vor Hackerangriffen beim Online-Banking. Neben einigen anderen Sicherheitslücken ist der Nachteil im Vergleich zum klassischen TAN-Verfahren allerdings, dass immer die komplette TAN-Liste mitzuführen ist, wo es vorher, gerade bei Reisen o. ä., nur notwendig war, einige der TANs bei sich zu haben.

Und auch die EU positioniert sich jetzt deutlich zum Thema TAN-Liste in Papierform und schafft diese aufgrund mangelnder Sicherheit ab. Nach einer Übergangsfrist bis zum 14. September 2019 soll dieses Verfahrens komplett eingestellt werden.

Viele der Banken teilen dies schon jetzt ihren Kunden mit und versuchen andere Möglichkeiten zu schaffen. Stiftung Warentest prüfte bereits alternative Verfahren zur Authentifizierung im Internet.

SMS-TAN bald abgeschafft?

Auch wenn in den letzten Jahren vermehrt das Verfahren der SMS-TAN, auch Mobile TAN (mTAN) genannt, aufkam, scheint auch dies keine allzu große Zukunft zu haben. Bei diesem Vorgang wird nach der Durchführung einer Überweisung von Seiten der Bank eine SMS mit einer zu nutzenden TAN auf das Festnetz- oder Mobiltelefon des Kunden gesendet. Generell ist hier zu beachten, dass die Nutzung eines Festnetztelefons in diesem Fall deutlich sicherer wäre. Dort ist meist keine Software installiert ist, während die Betriebssysteme der heutigen Smartphones durch gewisse Apps, Viren etc. angreifbar sind. Wird des Weiteren das Online-Banking selbst vom gleichen Gerät aus durchgeführt, birgt auch dies, besonders im Falle eines Verlusts des Smartphones, eine nicht zu unterschätzende Sicherheitslücke. Somit ist noch nicht klar, ob die SMS-TAN den neuen Sicherheitsansprüchen der EU genügt.

Abgesehen davon versenden mehrere Banken die zuvor kostenlose SMS nun nur noch gegen eine Gebühr von neun Cent pro TAN. Einer Klage des Bundesverbands gegen diese Kosten, wurde im Jahre 2017 aber nicht stattgegeben.

TAN-Generator als sicherere Alternative

Als deutlich sicherer und zukunftsrelevanter betrachten die Experten den sogenannten TAN-Generator. Dieser ist ein kleines Lesegerät, dessen Preis normalerweise zwischen 10 und 30 Euro liegt. Einige der Generatoren erzeugen bei Einstecken der Kundenkarte eine temporäre TAN auf Knopfdruck, während andere per Bluetooth oder USB mit dem PC verbunden werden müssen. Ein etwas neueres Verfahren nutzt die Technik des Flickering bei dem nach der Überweisung auf dem Bildschirm des Rechners eine Grafik erscheint, die fünf flackernde Schwarz-Weiß-Streifen beinhaltet. Die chipTAN- (Sparkasse, Postbank) bzw. SmartTAN optic-Generatoren (Volksbank) verfügen neben einem Ziffernfeld und dem Karteneinschub über fünf optische Sensoren, die bei Anhalten der Geräte an den Bildschirm aus der Grafik eine Datenübertragung ermöglichen und somit eine TAN generieren. Der Schutz vor Hackerangriffen ist hier somit deutlich höher als beim Verfahren der SMS-TAN. Allerdings kann es sein, dass die Kunden, die das Online-Banking mehrerer Banken nutzen, sich im Zweifelsfall unterschiedliche Geräte anschaffen müssen.

Ein weiteres einfaches Authentifizierungs-Verfahren bietet die Applandschaft. Mit Hilfe der photoTAN-Methode kann eine Smartphone-App eine mehrfarbige Mosaikgrafik einlesen, entschlüsseln und daraus die benötigte TAN generieren.

Ähnlich funktioniert das Prinzip der QR-TAN, bei dem anstelle der Grafik ein QR-Code gescannt wird. Auch diese beiden Vorgehen gelten bis jetzt als sehr sicher. Das Smartphone bietet außerdem die Möglichkeit eine Überweisung ganz ohne PC durchzuführen, indem beim App-TAN-Verfahren eine App die Überweisung erledigt, während eine andere die zugehörige TAN freigibt. Dieses Verfahren wird als nicht ganz so sicher, aber scheinbar dennoch akzeptabel gehandelt.

Trotz einiger unklarer Zukunftsperspektiven rät die Stiftung Warentest allen Online-Kunden, bereits jetzt auf Neuigkeiten zum geänderten TAN-Verfahren zu achten und besonders die Hinweise der eigenen Bank aufmerksam entgegen zu nehmen.

1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Unsere weiteren News und Berichte über Phishing

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Kontakt

RECHT FREUNDLICH
Feil Rechtsanwaltsgesellschaft mbH
Döhrbruch 62
30559 Hannover

Formular


Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen