Wissenswertes zu TAN-Verfahren So ist Ihr Onlinebanking gesichert

Sie wickeln Überweisungen online ab? Dann nutzen Sie wohl auch ein sogenanntes TAN-Verfahren. Zwischen den Angeboten der Banken gibt es deutliche Unterschiede. Sechs Fragen und Antworten.

Online-Banking
imago

Online-Banking


Was sind TAN-Verfahren?

Wenn man von einer TAN spricht, meint man in der Regel eine Transaktionsnummer - ein einmalig einsetzbares Kennwort, mit dem sich beim Online-Banking unter anderem eine Überweisung freigeben lässt. TANs sollen beispielsweise sicherstellen, dass jemand, der sich den Zugang zu einem Bankkonto erschleicht - etwa, indem er die Pin zum Einloggen mitschneidet - nicht einfach beliebig Geld auf andere Konten überweisen kann.

Eine TAN ist also eine zusätzliche Absicherung, dass die Person, die Online-Banking betreibt, tatsächlich die ist, für die das System sie hält. Für die Übermittlung der TAN an den Kunden gibt es verschiedene Wege, man spricht hier von TAN-Verfahren.

Welche TAN-Verfahren sind in Deutschland im Einsatz?

Anfragen von Ende 2016 bei den elf wichtigsten Privatkunden-Banken mit Girokonto-Angeboten zeigten: Alle großen Banken bieten ihren Kunden mehrere Verfahren zur Auswahl, in der Regel drei bis vier. Manche Verfahren gibt es bei mehreren Banken, einige nur bei einzelnen Anbietern. Klare Vorgaben, auf welches Verfahren Kunden setzen sollten, macht keine der Banken. Zu groß scheint die Angst, Kunden zu verlieren, wenn man sie zum Wechsel auf ein neues ungewohntes oder aufwändiger erscheinendes Verfahren drängt.

Einige Banken wie die Commerzbank oder die Comdirect empfehlen immerhin explizit das sogenannte PhotoTAN-Verfahren, bei dem ein farbiger Barcode auf dem Computerbildschirm mit einem Smartphone oder Lesegerät gescannt wird. Auch die Deutsche Bank wirbt für das Verfahren, das sie 2015 eingeführt hat. Wie im Herbst 2016 bekannt wurde, ist es den Sicherheitsforschern Vincent Haupert und Tilo Müller allerdings bereits gelungen, das PhotoTAN-Verfahren unter bestimmten Voraussetzungen zu knacken.

Obwohl alle Banken eine modernere Alternative zur Papiervariante bieten, haben einige bis heute auch noch iTAN-Listen im Einsatz, wenn auch teilweise nur noch für Bestandskunden. Das iTAN-Verfahren basiert auf einer durchnummerierten Liste von TANs, von denen etwa bei einer Überweisung eine bestimmte abgefragt wird.

iTAN-Listen gelten als Auslaufmodell, da es bei ihnen vor allem im Kontext von Phishing-Angriffen vergleichsweise häufig zu Betrugsfällen kommt. Klassische TAN-Listen, bei denen die Nummern der Reihe nach abgefragt werden, gibt es heute eigentlich nicht mehr.

Welches Verfahren ist am beliebtesten?

Besonders populär ist in Deutschland das sogenannte SMS-TAN-Verfahren, auch mTAN-Verfahren genannt. Dabei schickt die Bank die für eine Onlineüberweisung nötige TAN per SMS an das Handy des Kunden. Banken wie die Postbank, die Haspa (Hamburger Sparkasse), die ING-DiBa und die Unicredit, zu der die HypoVereinsbank gehört, gaben auf die Nachfrage Ende 2016 an, dass die meisten ihrer Kunden auf dieses Verfahren setzen.

Sicherheitsexperte Vincent Haupert, der auch schon das pushTAN-Verfahren der Sparkasse aushebeln konnte, sagt zum mTAN-Verfahren, es sei unbedenklicher gewesen, als Handys noch keine Mehrzweckgeräte waren. Dadurch, dass Mobiltelefone mit dem Internet verbunden seien - und so vom Spezial- zum Mehrzweckgerät wurden -, sei es für Hacker leichter geworden, Zugriff auf die Daten auf dem Smartphone zu bekommen. Zudem ließen sich SMS mit einem gewissen Aufwand abfangen.

Welche Verfahren gelten als sicher?

Obwohl Haupert das PhotoTAN-Verfahren selbst geknackt hat: Der Experte sagt, Angriffe wie der von ihm testweise durchgeführte seien noch eher selten, da sie aufwändig seien und nur wenige Menschen das PhotoTAN-Verfahren nutzen. Aus diesem Grund dürfte PhotoTAN zum Beispiel im Vergleich mit dem SMS-TAN-Verfahren, auf das es schon spektakuläre Angriffe gab, noch immer die bessere Wahl sein.

Für die mit Blick auf die Sicherheit beste Wahl hält Haupert TAN-Verfahren, die auf dezidierte Hardware setzen. Das bedeutet: Verfahren, die zum Beispiel einen Computer oder ein Smartphone mit einem Extra-Gerät fürs Online-Banking verbinden, etwa einem TAN-Generator oder einem Lesegerät. Haupert sagt, er selbst habe immer ein ChipTAN-Lesegerät dabei.

Mehr zum Thema bei SPIEGEL Plus

SPIEGEL ONLINE sagte er schon 2015: "Man sollte immer auf eine Zwei-Faktor-Authentifizierung setzen, also zwei getrennte Geräte benutzen, denn es ist immer davon auszugehen, dass einer der beiden Faktoren schon kompromittiert ist." Das heißt: Man muss davon ausgehen, dass Betrüger entweder die Zugangsdaten zum Online-Banking-Account haben oder Zugriff auf das Handy. In einem Gastbeitrag für SPIEGEL ONLINE warnte Haupert Ende 2016 vor einer Aufweichung des Zwei-Faktor-Prinzips, vor allem im Zuge des Bankings per Smartphone.

TAN-Generatoren beziehungsweise TAN-Lesegeräte sind mittlerweile dünn und handlich und kosten nur einmalig Geld. Die Deutsche Bank etwa bietet online PhotoTAN-Lesegeräte für 14,90 Euro inklusive Versand an, die Postbank empfiehlt verschiedene TAN-Generatoren ab 12,90 Euro.

Was passiert, wenn die TAN-Absicherung versagt?

In einigen Fällen wird die Bank den Schaden des Kunden übernehmen, sofern der Kunde nicht grob fahrlässig gehandelt hat. Das geschieht manchmal schon aus Imagegründen. "Banken leben von ihrem guten Ruf und ihrer Vertrauenswürdigkeit", sagt Sicherheitsexperte Martin Rösler vom Security-Unternehmen Trend Micro.

Anders als viele andere Banken wirbt die Commerzbank, die auf ihrer Website die Verfahren PhotoTAN und mobileTAN hervorhebt, explizit mit einer "Sicherheits-Garantie" für ihre Kunden. In einer Erklärung dazu heißt es, die Bank biete mit ihren TAN-Verfahren "größtmögliche Sicherheit": "Sollte dennoch einmal etwas passieren, erstatten wir Ihnen den entstandenen Schaden. Voraussetzungen für Sie: Sie haben den Schaden nicht vorsätzlich herbeigeführt, informieren uns sofort über den Schaden und erstatten Strafanzeige bei der Polizei. Sie unterstützen uns aktiv bei der Aufklärung."

Setzen sich bald biometrische TAN-Verfahren durch?

In Zeiten von Fingerabdruckscannern im Smartphone wäre es nicht abwegig, auch TAN-Verfahren mit Biometrie zu kombinieren. Praktisch hätten solche Verfahren aber Schwachstellen, die andere Verfahren nicht haben. Die größte: Wenn der Fingerabdruck einmal kopiert wurde und sich fortan duplizieren lässt, ist das Verfahren dauerhaft unsicher. Anders als eine aus Ziffern bestehende TAN lässt sich der eigene Fingerabdruck schließlich nicht einfach durch einen neuen ersetzen.

Lesetipp aus dem Archiv

mbö/gru



insgesamt 31 Beiträge
Alle Kommentare öffnen
Seite 1
scxy 27.02.2017
1. TAN-Listen unsicher?
Ich verstehe nicht, was an TAN-Listen besonders unsicher sein soll gegenüber der Übermittlung einer SMS zum Beispiel. Was ich physisch in der Hand halte, darauf kann kein Fremder Zugriff haben, der nicht bei mir oder bei der Bank eingebrochen ist. Im zweiten Fall ist das auch virtuell möglich, aber es betrifft mich nicht und es ist ebenso in allen anderen Fällen möglich. Ich nutze für verschiedene Konten verschiedene Verfahren, aber die mTAN erscheint mir am riskantesten.
friedel99 27.02.2017
2. Frage
Frage eines Laien: Würde das SMS Verfahren sicherer sein, wenn man ein zweites Mobiltelefon (nicht Smartphone) ausschließlich für den Empfang der TAN's verwenden würde?
no__comment 27.02.2017
3. PhotoTAN ist bequem und sicher
Sofern man die Banking-App (bzw. den Browser) und die PhotoTAN-App auf zwei verschiedenen Geräten hat (z.b. Banking auf dem Rechner oder Tablet und PhotoTAN-App auf dem Smartphone) ist es bequem, sicher und kostenlos.
ulrich_loose 27.02.2017
4. Wirklich sicher
ist aus meiner Sicht nur das Chipkarten HBCI mit entsprechendem Lesegerät. Alles Andere ist und bleibt der Unart geschuldet, in irgendwelchen Webbrowsern und Smartphones seine Bankgeschäfte erledigen zu können. Genau darauf basiert auch die angebliche "Unsicherheit" von iTans die als Einmalpassworte definitionsgemäß absolut sicher sind. Phishing bedeutet ja, dass man Nutzer dazu verleitet mit falschen Webseiten ein solches Einmalpasswort zu entlocken. Das Problem ist also nicht die Liste, sondern die nicht vorhandene eigenständige Software.
Bueckstueck 27.02.2017
5. Nicht ganz richtig
"Die größte: Wenn der Fingerabdruck einmal kopiert wurde und sich fortan duplizieren lässt, ist das Verfahren dauerhaft unsicher. Anders als eine aus Ziffern bestehende TAN lässt sich der eigene Fingerabdruck schließlich nicht einfach durch einen neuen ersetzen." Die meisten Menschen haben 10 Finger - und alle haben einen unterschiedlichen Fingerabdruck. Man hat also 10 Versuche bevor diese Methode dauerhaft nicht mehr sicher ist. :P
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.