< Onlinebanking Sicherungsverfahren: SMS-TAN | Die Sache mit der Macht >

Onlinebanking Sicherungsverfahren: Chip-TAN

Weiter geht es mit meiner kleinen Serie über die verschiedenen Sicherungsverfahren beim Onlinebanking. Heute geht es um das Chip-TAN-Verfahren, bei dem ein separater TAN-Generator verwendet wird.

Funktionsweise

Beim Chip-TAN-Verfahren (bei den Volks- und Raiffeisenbanken auch Smart-TAN genannt) benötigt man zur Erzeugung der TAN ein kleines Zusatzgerät, einen TAN-Generator. Der TAN-Generator ist mit einem Display, einer Zahlentastatur und teilweise auch mit einem optischen Sensor zum Auslesen eines "Flicker-Codes" ausgestattet.

Um die TAN zu erzeugen, benötigt der TAN-Generator einen Chip mit Seccos-Betriebssystem, wie er zum Beispiel auf den herkömmlichen Bankkarten (ehemals EC-Karten) fast aller Bankkunden vorhanden ist. Als erstes wird also der Onlinebanking-Zugang  mit einer Chipkarte des Kunden verbunden.

Der generelle Zugang erfolgt wieder über eine PIN-Nummer. Führt der Kunde eine Transaktion aus, werden die Daten der Transaktion zum Rechenzentrum gesendet. Das RZ erkennt, das der Kunde am Chip-TAN-Verfahren teilnimmt und lässt die Onlinebanking-Anwendung einen sogenannten Flicker-Code ausgeben. Der Flicker-Code besteht aus einer Reihe von schwarz und weiß blinkenden Kästchen. Der Kunde steckt nun seine Chipkarte in den TAN-Generator und hält diesen mit dem optischen Sensor vor den Flicker-Code. Jetzt werden die Eckdaten der Transaktion (Empfängerkontonummer und Betrag) an den Generator übertragen. Alternativ können die Eckdaten auch manuell über die Tastatur des Generators eingegeben werden. Die Eckdaten werden am Display des TAN-Generators angezeigt und müssen vom Kunden auf Richtigkeit geprüft werden. Der TAN-Generator errechnet eine TAN, die wiederum nur für diese Transaktion und für eine begrenzte Zeit gültig ist. Mit dieser TAN kann der Kunde dann die Transaktion autorisieren.

Eine Demo, die einen Transaktionsvorgang praktisch aussieht, kann man zum Beispiel auf der Homepage von Kobil anschauen, einem Hersteller von TAN-Generatoren.

Sicherheit

Beim Chip-TAN-Verfahren werden zwei voneinander Kommunikationswege benutzt. Eine gültige TAN kann nur mit dem unabhängigen TAN-Generator und der für den Onlinezugang freigeschalteten Chipkarte erzeugt werden. Bei richtiger Anwendung durch den Kunden (Kontrolle der Transaktionseckdaten auf dem Display des Generators), ist eine Manipulation der Transaktionsdaten durch einen Trojaner ausgeschlossen und Phishing wirkungslos.

Eine Schwachstelle war bis vor kurzem, das die Eckdaten bei der Ausführung einer Sammel-Transaktion nicht eindeutig auf dem TAN-Generator angezeigt wurden. Es wurden lediglich der Betrag und die Anzahl der Transaktionen angezeigt, was den Austausch der Kontonummern möglich machte, ohne das der Kunde das kontrollieren konnte. Die neue Sicherheitsspezifikation fordert, das Kontrollsummen der Empfängerkontonummern angezeigt werden, so dass auch diese Lücke nicht mehr ausgenutzt werden kann.

Das Chip-TAN-Verfahren bietet also bei richtiger Anwendung eine sehr hohe Sicherheit, Angriffsmethoden gegen die neueste Version des Verfahrens sind zur Zeit nicht bekannt.

Kosten

Die Anschaffungskosten für einen TAN-Generator liegen um die 10 Euro, eventuell werden die Kosten von den Kreditinstituten ganz oder teilweise übernommen, hier muss man wieder bei seinem Kreditinstitut nachfragen. Laufende Kosten entstehen nicht.

Einsatzmöglichkeiten

Das Chip-TAN-Verfahren ist flexibel und kann auch mobil gut eingesetzt werden. Die Nutzung ist sowohl beim Browserbanking als auch bei der Benutzung von Finanzsoftware möglich.  Die Benutzung ist auch auf Smartphones möglich. Allerdings muss der Kunde den TAN-Generator und seine Chipkarte immer mitführen, um auch von unterwegs Transaktionen ausführen zu können.

Fazit

Das Chip-TAN-Verfahren ist sehr sicher und flexibel, allerdings ist die Bedienung des TAN-Generators nicht ganz einfach und erklärungsintensiv. Ob sich das Verfahren in der Breite gegen die anderen Verfahren durchsetzen kann, werden die nächsten Monate zeigen.

Im nächsten Teil der Serie werde ich das Signaturverfahren mit einem HBCI-Schlüssel auf Datenträger vorstellen.

1. Teil: SMS-TAN

Trackbacks

Trackback-URL für diesen Eintrag

Dieser Link ist nicht aktiv. Er enthält die Trackback-URI zu diesem Eintrag. Sie können diese URI benutzen, um Ping- und Trackbacks von Ihrem eigenen Blog zu diesem Eintrag zu schicken. Um den Link zu kopieren, klicken Sie ihn mit der rechten Maustaste an und wählen "Verknüpfung kopieren" im Internet Explorer oder "Linkadresse kopieren" in Mozilla/Firefox.

reiner_sct am : reiner_sct via Twitter

"reiner_sct via Twitter" vollständig lesen
Onlinebanking Sicherungsverfahren: Chip-TAN: http://tinyurl.com/6bv8jhc

Hommel-Net Weblog am : Onlinebanking-Sicherungsverfahren: HBCI-Kennung

"Onlinebanking-Sicherungsverfahren: HBCI-Kennung" vollständig lesen
Hier kommt der nächste Teil der Serie über die verschiedenen Sicherungsverfahren beim Onlinebanking. Die ersten beiden Teile sind unten im Artikel verlinkt. Heute geht es um die HBCI-Kennung, die auf einem Datenträger gespeichert ist, nicht auf einer HBCI

Hommel-Net Weblog am : Ein TAN-Generator für mehrere Banken

"Ein TAN-Generator für mehrere Banken" vollständig lesen
Jetzt hat man erfolgreich sein Onlinebanking auf das neue ChipTAN/SmartTAN-Verfahren umgestellt und fragt sich als Kunde mit mehreren Bankverbindungen, ob man den erworbenen TAN-Generator wohl auch für andere Banken nutzen kann. Kommt drauf an. Die Spez

Hommel-Net Weblog am : Gegenlicht

"Gegenlicht" vollständig lesen
Diese Woche hatte ich einen interessanten Supportfall mit einem Kunden, der das Smart-TAN-Verfahren mit TAN-Generator benutzt. Sein Leser konnte partout den Flickercode vom Bildschirm nicht einlesen. Nach einigen erfolglosen Versuchen via Telefon, durch

blog.hommel-net.de am : PingBack

Keine Einträge vorhanden

Hommel-Net Weblog am : Onlinebanking Transaktionen an mobilen Geräten absichern

"Onlinebanking Transaktionen an mobilen Geräten absichern" vollständig lesen
Die meisten Banken in Deutschland haben inzwischen die statischen TAN- oder iTAN-Listen abgeschafft und sind auf sicherere Verfahren mit einem zweiten Kommunikationsweg umgestiegen. Dazu gehören neben dem HBCI-Banking via Chipkarte oder Schlüsseldatei die

blog.hommel-net.de am : PingBack

Keine Einträge vorhanden

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Petra am :

Wie sieht es heute aus? ChipTAN immer noch das sicherste? Grüße Petra

Mario Hommel am :

ChipTan ist tatsächlich immer noch das einzige Verfahren, für das es keine technische Angriffsmöglichkeit auf das Verfahren selbst gibt. Es bleibt natürlich immer noch die Gefahr eines Phishing-Angriffs, z.B. durch einen kompromittierten Browser. Hier ist immer noch die Masche "Testüberweisung" oder "Rücküberweisung" üblich, bei der der Angegriffene quasi "freiwillig" eine Tan erzeugt und eingibt, weil ihm falsche Tatsachen vorgespiegelt werden.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.