Online-Banking

iTAN, mTAN oder chipTAN - die neuen Methoden im Test

Mit der Targobank verabschiedet sich das letzte namhafte Kreditinstitut von den TAN-Listen der ersten Generation. Hier hatte der Kunde noch die freie Wahl, welche Ziffernfolge er gerne für welche Überweisung verwenden will.

Für Kriminelle war es ein einfaches Spiel: Kaum waren sie im Besitz von Zugangsdaten und Transaktionsnummern (TAN), konnten sie Geld auf ein anderes Konto überweisen. Selbst für TAN-Zufallstreffer war die Wahrscheinlichkeit recht hoch. Mittlerweile setzen die Geldhäuser beim Online-Banking vor allem auf vier Sicherheitsverfahren.

Die iTAN

Das kleine "i" steht für "indiziert", sprich "durchnummeriert". Das ist der Unterschied zum klassischen TAN-Verfahren. Kunden werden hier aufgefordert, eine bestimmte Transaktionsnummer einzugeben - beispielsweise die Nr. 5 oder die Nr. 134. Ein Zufallsgenerator wählt jeweils einen Wert aus. Die TAN gilt nur für diese eine Transaktion.

Bewertung: Mit der iTAN ist eine zusätzliche Sicherheitshürde eingebaut: Selbst wenn Täter diverse Transaktionsnummern eines Bankkunden haben, etwa dank einer fingierten Internetseite, hilft ihnen das nicht weiter. Sie kennen die Positionsnummer auf der TAN-Liste nicht. An seine Grenzen stößt das Verfahren bei Hackerangriffen mittels einer Software, die auf den Rechner geschleust wird. Mit ihrer Hilfe lassen sich Überweisungsdaten austauschen, ohne dass der Kunde es bemerkt. Das Geld landet mit der richtigen, vom Kunden eingegebenen iTAN auf dem falschen Konto.

Die mobileTAN per SMS

Bei dieser Variante sind TAN-Listen überflüssig. Die Kennnummer zur Freigabe einer Überweisung wird per SMS auf das Mobiltelefon geschickt. Sie gilt nur für diese Transaktion und ist auch nur für wenige Minuten gültig. Viele Banken übernehmen die Kosten für die SMS, bei anderen werden auch schon einmal zehn Cent pro Überweisung fällig.

Bewertung: Das Wesentliche an dieser Sicherheitstechnik ist, dass die Zahlung auf einem zweiten Kanal bestätigt wird. Der Computer, an dem der Kunde sitzt, und das Mobiltelefon haben nichts miteinander zu tun. Hackerangriffe bringen sehr viel weniger, solange die Kriminellen nicht auch an das Telefon kommen. Zudem erscheinen auf dem Bildschirm des Handys neben der TAN auch noch zur Kontrolle die komplette Kontonummer des Empfängers und der gewählte Betrag. Stimmt etwas nicht, können Kunden die Transaktion sofort abbrechen. Diese Technik entfaltet natürlich nur dann ihre Wirkung, wenn die Kunden die übermittelten Daten auch wirklich noch einmal abgleichen. Beim Onlinebanking per Mobiltelefon ist der Sicherheitsvorteil weg, dass Computer und Telefon voneinander getrennt sind. Mobile-Banking per mobileTAN macht deshalb keinen Sinn und wird von Banken in der Regel auch nicht angeboten.

Die chipTAN mit Generator

Bei diesem Verfahren, das bei einigen Banken auch smartTAN heißt, erhalten Kunden statt einer TAN-Liste einen TAN-Generator. Dieser sieht aus wie ein kleiner Taschenrechner mit Ziffernfeld und Karteneinschub. Bei der modernsten Generator-Generation sind auf der Rückseite optische Sensoren eingebaut. Nach einer Transaktion hält der Kunde den Generator inklusive eingeschobener Bankkarte an eine flackernde Grafik auf dem Computer-Bildschirm. Nach Empfang der Signale erscheinen im Display des Generators noch einmal Kontonummer, Bankleitzahl und Betrag. Bestätigt der Kunde die Informationen, errechnet der Generator eine nur für diesen Vorgang zu nutzende TAN. Der Generator funktioniert auch in Gegenden mit schwachem Handy-Empfang und im Ausland. Das Gerät kostet bis zu 15 Euro.

Bewertung: Auch diese Technik setzt, wie die mobileTAN, auf die Kanaltrennung zwischen Computer und dem Gerät zur Übermittlung der TAN. Da der Kunde die Transaktionsdaten noch einmal sieht, ist eine Manipulation schwierig. Auch für Smartphones geeignet.

Das HBCI-Verfahren

Dieses schon recht alte Verfahren funktioniert mittels eines Kartenlesegeräts und einer Chipkarte. Hierbei werden die persönlichen Daten mittels spezieller Software zusätzlich verschlüsselt.

Bewertung: Der Kunde ist auf seinen heimischen Computer angewiesen, auf dem das Programm installiert ist. Zudem kosten allein Lesegerät und Chipkarte oft mehr als 50 Euro. Bei Geräten der neuen Generation so gut wie keine Sicherheitsbedenken.