Onlinebanking: Von mTAN und chipTAN
Reiner SCT, Hersteller von Geräten zur Chipkartenverarbeitung, hat vor einigen Tagen 5.555 TAN-Generatoren verschenkt. Ich hatte Glück und habe rechtzeitig teilgenommen, sodass ich noch einen bekommen habe.
Da der TAN-Generator nun vor mir liegt, nehme ich das als Anlass, ein wenig über die verschiedenen (üblichen) TAN-Systeme zu schreiben. Im Wikipedia-Artikel steht das alles sehr ausführlich, aber hier jetzt in aller Kürze und mit meiner persönlichen Meinung dazu.
Reiner SCT tanJackWas ist die TAN überhaupt?
Die TAN (Transaktionsnummer) ist eine Sicherungsfunktion beim Onlinebanking. Zu jeder Transaktion (z.B. Überweisung) muss der Benutzer neben seinem normalen Login auch eine TAN eingeben. Dadurch soll verhindert werden, dass Dritte Geld abheben können, nachdem sie die Login-Daten erfahren haben.
TAN-Liste
Bei diesem klassischen Verfahren bekommt der Benutzer von seiner Bank eine Liste von TANs, gedruckt auf Papier. Bei jeder Transaktion gibt er die nächste TAN an und streicht sie dann durch. Überspringt er welche, verfallen alle vorherigen. Das Verfahren basiert darauf, dass sowohl Bank als auch Benutzer die gleiche Liste haben.
Der Vorteil ist, dass es sehr kostengünstig für die Bank ist. Mehr gibt es eigentlich nicht.
Dafür gibt es umso mehr Nachteile: Die TANs sind nicht an eine bestimmte Transaktion gebunden, eine TAN kann für jeden beliebigen Empfänger genutzt werden. So kann über klassisches Phishing eine TAN erspäht und für die eigene Überweisung genutzt werden. Außerdem muss man immer die TAN-Liste dabei haben, sodass sie ggf. leichter gestohlen werden kann.
Aufgrund dieser Nachteile wird die TAN-Liste schon seit vielen Jahren nicht mehr eingesetzt.
iTAN
Die iTAN hatte damals die klassische TAN-Liste abgelöst. Noch immer handelt es sich dabei um einen Ausdruck mit TANs, allerdings besitzt jede TAN einen Index. Bei einer Transaktion wird dem Benutzer eine dieser Nummern genannt und er muss die dazu passende TAN eingeben.
Dieses Verfahren bietet einen etwas besseren Schutz gegen Phishing, hat aber fast alle weiteren Nachteile. Die Liste kann geklaut werden und über einen Man-in-the-middle-Angriff kann die TAN für eine ungewollte Transaktion erfragt werden (Angreifer führt Überweisung aus, reicht die Nummer an den Benutzer weiter, der gibt die passende TAN in dem Glauben ein, dass er eine eigene Überweisung durchführt).
Erschreckenderweise wird dieses Verfahren immer noch von vielen Banken angeboten und auch von vielen Benutzern benutzt.
mTAN
Auch smsTAN genannt. Bei der Transaktion wird dem Benutzer eine SMS geschickt, in welcher die Empfänger-Kontonummer sowie die dazu passende TAN steht. Die Handynummer muss dafür zuvor bei der Bank hinterlegt werden, was oftmals per Post und Unterschrift des Kunden geschieht.
Jede TAN ist an diese eine Transaktion gebunden. Der Angreifer hat so keine Möglichkeit, eine TAN zu erbeuten und diese zu missbrauchen. Der Benutzer kann die Kontonummer mit dem echten Empfänger vergleichen, sodass Man-in-the-middle-Angriffe erschwert werden. Außerdem braucht man unterwegs keine TAN-Liste dabeizuhaben.
Obwohl dieses Verfahren relativ sicher erscheint, gibt es einige Angriffsmöglichkeiten. Der Angreifer kann das Handy stehlen oder sich eine zweite SIM-Karte bestellen und so die SMS empfangen. Zudem kann ein Angriff auf das GSM-Netz erfolgen, was allerdings umfangreiche Kenntnisse erfordert. Smartphones bieten zudem die Möglichkeit, über Malware die SMS abzufangen und an den Angreifer weiterzuleiten. Eine weitere Möglichkeit ist das Hinzufügen einer weiterer Nummer bei der Bank. Dazu muss lediglich die Unterschrift gefälscht werden. Ein kleinerer Nachteil ist außerdem, dass man bei der Verwendung von mTAN kein Onlinebanking vom Smartphone aus machen kann. Auch entstehen bei einigen Banken zusätzliche Kosten für den Versand der SMS.
Bislang habe ich immer dieses Verfahren eingesetzt, welches bei meinem Konto bei der Sparkasse kostenlos ist. Man ist unabhängig von Geräten und Listen, das Smartphone ist sowieso meistens dabei. Es hat einen guten Kompromiss zwischen Komfort und Sicherheit.
chipTAN
Vom Prinzip her ähnlich wie mTAN, allerdings wird kein Handynetz gebraucht. Man steckt seine Bankkarte in einen kleinen Generator, drückt auf einen Knopf und hält ihn an den Bildschirm, auf dem eine kleine Grafik flackert. Darüber werden die Informationen an den Generator übertragen, welcher dann über die Karte eine TAN generiert und zusammen mit der Empfänger-Kontonummer anzeigt. In früheren Versionen bzw. wenn der Code nicht erkannt ist, kann man die Daten auch per Hand über die Tasten eingeben.
Diese Methode ist im Vergleich die sicherste (solange man die Kontonummer vergleicht), da die TAN lokal erzeugt wird und sie so niemand abgreifen kann. Ein Angreifer kann nur Transaktionen ausführen, wenn er auch im Besitz der Bankkarte ist. Deswegen kann man das chipTAN-Verfahren auch für mobiles Banking auf dem Smartphone nutzen.
Der einzige richtige Nachteil ist, dass man sich ein weiteres Gerät anschaffen und es auch immer dabei haben muss.
Da ich jetzt Dank der Valentinsaktion von Reiner SCT im Besitz eines Generators bin, werde ich demnächst auf das Verfahren umsteigen und dann diesen Beitrag aktualisieren.