Artikel mit Tag tan-bogen

Onlinebanking Sicherungsverfahren: SMS-TAN

Nachdem ich mich ja Anfang diesen Jahres vom iTAN-Bogen verabschiedet habe, möchte ich in dieser kleinen Artikelserie mal die verschiedenen Alternativern bei den Sicherungsverfahren beim Onlinebanking vorstellen und Beleuchten. Hierbei werde ich auf die Funktion, die Vor- und Nachteile und auf die Einsatzmöglichkeiten eingehen. Beginnen werde ich mit dem SMS-TAN-Verfahren. Also los.

Funktionsweise

Beim SMS-TAN-Verfahren registriert der Bankkunde zunächst eine Handynummer für seine Onlinebanking-Kennung. Der grundsätzliche Zugang zum Banking erfolgt über eine PIN-Nummer. Führt der Kunde eine Transaktion aus - zum Beispiel eine Überweisung - sendet die Banking-Anwendung die Daten der Transaktion an das Bankrechenzentrum. Dort wird aus den Eckdaten der Transaktion eine TAN errechnet, die nur für diese Transaktionsdaten und nur für eine kurze Zeitspanne gültig ist. Das Bank-RZ sendet nun eine SMS mit den Eckdaten (Empfängerkontonummer und Betrag) und der TAN an die vom Kunden registrierte Handynummer, der Kunde prüft die Richtigkeit der Eckdaten und führt die Transaktion mit der erhaltenen TAN aus.

Sicherheit

Dadurch, dass das Verfahren zwei unabhängige Kommunikationswege nutzt, sind bei richtiger Anwendung (Prüfen der Eckdaten in der SMS) manipulierende Angriffe - etwa durch Man-In-The-Middle-Attacken - nahezu unmöglich. Auch Phishing macht bei diesem Verfahren keinen Sinn, da eine abgefischte TAN für den Phisher nicht nutzbar ist.

Eine Angriffsmöglichkeit zeigte im Oktober der Banking-Trojaner ZeusS auf. Voraussetzung für einen erfolgreichen Angriff ist neben dem Knacken des Onlinebanking-Zugangs auch die Installation der Trojanersoftware auf dem zugehörigen Handy. Der Aufwand hierfür ist momentan noch nicht lohnend, so dass ein solcher Trojaner "in the wild" noch nicht gesichtet wurde. Insofern bietet das  Verfahren einen hohen Sicherheitsgrad.

Kosten

Während einige Banken die SMS-TAN ohne Zusatzkosten anbieten, berechnen andere entweder geringe Monatspauschalen oder auch geringe Beträge pro SMS. Hier muss man sich bei seinem Kreditinstitut über die jeweiligen Preise informieren.

Einsatzmöglichkeiten

Die SMS-TAN ist ein sehr flexibles Verfahren. Ein Mobiltelefon und einen Standort mit Netzversorgung vorausgesetzt, kann man von überall Onlinebanking-Transaktionen vornehmen. Das Mitführen von Zusatzhardware oder TAN-Listen ist nicht notwendig.

Nicht nutzbar ist das Verfahren mit Smartphone-Anwendungen, da aufgrund des nicht vorhandenen zweiten Kommunikationsweges (Anwendung und SMS auf dem gleichen Gerät) die Sicherheit nicht gewährleistet ist.

Fazit

Das SMS-TAN-Verfahren ist flexibel und kostengünstig und bei korrekter Anwendung sehr sicher. Ich denke, dass dieses Verfahren der Standard für die meisten Benutzer in den nächsten Monaten werden wird.

Gern könnt ihr noch Ergänzungen oder eigene Erfahrungen (vielleicht auch Preise bei eurem Kreditinstitut) in den Kommentaren beisteuern. 

Im nächsten Teil der Serie nehme ich mir dann das ChipTAN-Verfahren mit TAN-Generator vor. 

Tschüss, TAN-Bogen

In diesem Jahr werden sich viele von uns wohl von einem jahrelangen Begleiter beim Onlinebanking mit ihrem Kreditinstitut verabschieden müssen. Seit Beginn des "Homebankings" hat er Millionen Benutzern zur Autorisierung ihrer Zahlungen gedient. Die Rede ist vom guten alten (i)Tan-Bogen. Nach dem langen Wettrüsten zwischen Finanzdienstleistern und Online-Betrügern hat er nun den Krieg verloren. 

In 2011 werden wohl so ziemlich alle Kreditinstitute den Tan-Bogen als Sicherheitsmedium beim Onlinebanking abschaffen und auf Sicherheitsmedien mit zwei Kommunikationswegen umsteigen. Ein Grund, einen kurzen Rückblick auf seine Geschichte zu halten.

Am Anfang war die TAN

In den Anfangszeiten des Onlinebanking waren eine PIN, die den Zugang sicherte und eine Transaktionsnummer (TAN), die die einzelnen Transaktionen sicherte und nur einmal verwendbar war, ein ausreichender Sicherheitsmechanismus. Der Kunde bekam einen Bogen mit einer größeren Anzahl von 6-stelligen Nummern, die er in beliebiger Reihenfolge benutzen konnte.

Ein guter Fang

Nach einiger Zeit kamen merkwürdige Mails massenweise bei den Kunden an. In schlechtem Deutsch und mit massenhaft Rechtschreibfehlern schrieb "die Bank", dass der Kunde sich doch bitte aus Sicherheitsgründen neu autorisieren müsse und auf der im Link angegebenen Adresse doch PIN und eine oder mehrere TANs eingeben möge. Die sogenannte Phishing-Mails hatten das Licht der Welt erblickt. Anfangs mit hohen Erfolgsraten, denn unverständlicherweise fielen mehr Kunden auf die offensichtlichen Fälschungen herein, als man denken würde. Nach einiger Zeit konnte die Kunden soweit sensibilisiert werden, dass Phishing per Mail heutzutage kaum noch eine Rolle spielt.

Trojaner und ihre Pferde

Da die Phishing-Mails nicht mehr richtig funktionierten, setzten die Betrüger zunehmend auf Schadsoftware, die die Webseiten der Banken im Browser manipulierte und so Masken mit Abfragen von einer oder mehreren TAN-Nummern generierten. Das Konzept, das eine TAN für jede beliebige Transaktion verwendet werden konnte, hatte ausgedient.

Auf den Index

Abhilfe schafften die sogenannten indizierten TAN-Bögen. Die TANs auf den Bögen wurden numeriert und bei einer Transaktion wurde jeweils eine bestimmte TAN angefordert. Somit können abgephishte TANs nicht mehr ohne weiteres für eine beliebige Transaktion genutzt werden. Zusätzliche Sicherheit liefern bei einigen Instituten noch grafische Kontrollbilder, die die Transaktionsdaten und das Geburtsdatum des Kunden grafisch bei der Abfrage der TAN im Hintergrund darstellen. Es hat einige Zeit gedauert, bis die ersten Trojaner diese Klippen umschifft hatten. Die heutigen Schadprogramme sind allerdings in der Lage, den Datenstrom zum Kreditinstitut zu manipulieren und im Hintergrund andere Daten zur Bank zu senden, als dem Kunden im Browser dargestellt werden. Da der Kunde fast keine Möglichkeit hat, einen im Hintergrund werkelnden Trojaner zu erkennen, mussten neue Verfahren entwickelt werden, die sich nicht allein auf einen Kommunikationsweg für die Autorisierung einer Transaktion verlassen.

Nimm Zwei

Zwei Verfahren haben sich inzwischen etabliert. Zum einen die SMS-TAN oder MobileTAN. Hierbei wird aus den Transaktionsdaten eine Einmal-TAN errechnet, die dann zusammen mit den Eckdaten der Überweisung (Kontonummer, Bankleitzahl, Betrag) an eine vom Kunden festgelegte Mobiltelefonnummer per SMS gesendet wird. Somit sind Manipulationen am Datenstrom vom Kunden sofort zu erkennen und Phishing macht auch keinen Sinn, da eine TAN nur für die bestimmte Transaktion und für einen sehr kurzen Zeitraum gültig ist.

Das zweite Verfahren ist ein optischer TAN-Generator, der in Verbindung mit der Chipkarte des Kunden und den Eckdaten der Transaktion eine TAN errechnet. Die Daten könne entweder über die Tastatur des Generators eingegeben werden oder über einen sogenannten "Flickercode" vom Leser direkt vom Bildschirm abgelesen werden. Auch bei diesem Verfahren ist durch den zweiten Kommunikationsweg (Eintippen oder physisches Ablesen des Codes vom Bildschirm) eine Manipulation praktisch ausgeschlossen.

Und sie lebten sicher bis...?

Dieser kurze Rückblick zeigt seht gut den ständigen Wettlauf zwischen getroffenen Sicherheitsmaßnahmen und den Versuchen, diese auszuhebeln und zu umgehen. Die ersten Trojaner, die mit einigem Aufwand das Handy manipulieren, welches die TAN-SMS des Kunden empfängt, sind bereits entwickelt. So wird es auch in Zukunft kein Verfahren geben, das für immer zu 100 Prozent sicher sein wird. Es bleibt, als Nutzer von Onlinebanking-Diensten aktuell informiert zu bleiben, Entwicklungsschritte zu neuen sicheren Verfahren schnell mitzumachen und vor allem ein gesundes Mißtrauen zu bewahren, wenn man sich auf dem sensiblen Gebiet der Finanzwelt online bewegt.

In diesem Sinne: Tschüss TAN-Bogen