Online-Banking mit Photo-TAN und QR-TAN

Unsichere und sichere TANs im Online-Banking

von - 26.06.2013
Früher besuchte der Kunde mit dem Browser die Webseite seiner Bank. Nachdem er sich mit Kontonummer und PIN (Persönliche Identifikationsnummer) angemeldet hatte, konnte er Überweisungen vornehmen.

TAN-Verfahren

Methode

Zusätzliches Gerät

Chip-TAN

Code flackert im Browser

Lesegerät

mTAN

SMS mit TAN

Handy

Photo-TAN

Farbige Grafik im Browser

Smartphone oder Lesegerät

QR-TAN

QR-Code im Browser

Smartphone
Sichere Verfahren erstellen TANs, die nur für die geplante Überweisung gültig sind. Zur Ermittlung oder Übertragung der TAN verwenden sieneben dem Browser auf dem PC immer ein zusätzliches Gerät.
Jede Finanztransaktion musste er anschließend mit einer TAN (Transaktionsnummer) autorisieren, die von einer TAN-Liste auf Papier stammte.
Dieses Verfahren schützte jedoch nicht sicher vor Trojanern, weil jede TAN für beliebige Überweisungen genutzt werden konnte. Banking-Trojaner wie Sinowal konnten die übertragenen Daten abfangen, die Anzeige im Browser manipulieren und selbstständig Beträge mit der TAN überweisen, die der Nutzer eingegeben hatte.
Moderne Verfahren verwenden deswegen TANs, die mit einer bestimmten Überweisung verknüpft sind und die nur mit dieser einen Transaktion funktionieren. Die Bank berechnet für jede Überweisung eine neue TAN, die sie verbunden mit einer kurzen Zusammenfassung an den Kunden übermittelt. Der Kunde sieht die Zusammenfassung der Daten und kann sie prüfen, um anschließend die TAN im Browser einzugeben und seine Überweisung zu autorisieren.
Die Übertragung der TAN zum Kunden sollte nicht über das Gerät erfolgen, auf dem die eigentliche Überweisung durchgeführt wird. Ein zweiter Kommunikationsweg ist nötig.

Zweiter Kommunikationsweg

Verknüpfte TAN: Eine TAN ist erst dann sicher, wenn sie nur mit einer bestimmten Überweisung funktioniert
Verknüpfte TAN: Eine TAN ist erst dann sicher, wenn sie nur mit einer bestimmten Überweisung funktioniert
Um die einmal gültige TAN zum Kunden zu übertragen, die dieser zur Freigabe seiner Überweisung benötigt, setzen die Banken auf moderne Zweiwege-Verfahren.
Der bekannteste Weg ist das mTAN-Verfahren, bei dem die Bank dem Kunden eine SMS mit einer kurzen Zusammenfassung der Überweisung und einer für einen kurzen Zeitraum gültigen TAN auf sein Handy schickt.
Durch die zwei getrennten Kommunikationswege kann kein Trojaner Überweisungen manipulieren – vorausgesetzt, der Kunde überprüft auch wirklich die im Lesegerät oder auf dem Smartphone zusammengefassten Überweisungsinformationen.

Sonderfall Push-TAN

Ein Sonderfall ist das von der Star Finanz GmbH angekündigte Push-TAN-Verfahren. Soweit bisher bekannt, soll bei diesem Verfahren „ein und dasselbe mobile Gerät“ zum Einsatz kommen. Das klassische Zweiwege-Verfahren würde hier also wegfallen.
Ob sich dieses System wirklich bewährt, muss sich noch zeigen. Auf Nachfrage wollte Star Finanz keine weiteren Informationen über Push-TAN preisgeben, weil sich das System noch in der Testphase befinde.
Seite
  1. Teil: Online-Banking mit Photo-TAN und QR-TAN
  2. Teil: Unsichere und sichere TANs im Online-Banking
  3. Teil: Neue TAN-Verfahren — Photo-TAN & QR-TAN
  4. Teil: Bewährte TAN-Verfahren — mTAN & Chip-TAN
Verwandte Themen

Mehr zum Thema