SPIEGEL ONLINE

SPIEGEL ONLINE

27. Februar 2017, 06:03 Uhr

Wissenswertes zu TAN-Verfahren

So ist Ihr Onlinebanking gesichert

Sie wickeln Überweisungen online ab? Dann nutzen Sie wohl auch ein sogenanntes TAN-Verfahren. Zwischen den Angeboten der Banken gibt es deutliche Unterschiede. Sechs Fragen und Antworten.

Was sind TAN-Verfahren?

Wenn man von einer TAN spricht, meint man in der Regel eine Transaktionsnummer - ein einmalig einsetzbares Kennwort, mit dem sich beim Online-Banking unter anderem eine Überweisung freigeben lässt. TANs sollen beispielsweise sicherstellen, dass jemand, der sich den Zugang zu einem Bankkonto erschleicht - etwa, indem er die Pin zum Einloggen mitschneidet - nicht einfach beliebig Geld auf andere Konten überweisen kann.

Eine TAN ist also eine zusätzliche Absicherung, dass die Person, die Online-Banking betreibt, tatsächlich die ist, für die das System sie hält. Für die Übermittlung der TAN an den Kunden gibt es verschiedene Wege, man spricht hier von TAN-Verfahren.

Welche TAN-Verfahren sind in Deutschland im Einsatz?

Anfragen von Ende 2016 bei den elf wichtigsten Privatkunden-Banken mit Girokonto-Angeboten zeigten: Alle großen Banken bieten ihren Kunden mehrere Verfahren zur Auswahl, in der Regel drei bis vier. Manche Verfahren gibt es bei mehreren Banken, einige nur bei einzelnen Anbietern. Klare Vorgaben, auf welches Verfahren Kunden setzen sollten, macht keine der Banken. Zu groß scheint die Angst, Kunden zu verlieren, wenn man sie zum Wechsel auf ein neues ungewohntes oder aufwändiger erscheinendes Verfahren drängt.

Einige Banken wie die Commerzbank oder die Comdirect empfehlen immerhin explizit das sogenannte PhotoTAN-Verfahren, bei dem ein farbiger Barcode auf dem Computerbildschirm mit einem Smartphone oder Lesegerät gescannt wird. Auch die Deutsche Bank wirbt für das Verfahren, das sie 2015 eingeführt hat. Wie im Herbst 2016 bekannt wurde, ist es den Sicherheitsforschern Vincent Haupert und Tilo Müller allerdings bereits gelungen, das PhotoTAN-Verfahren unter bestimmten Voraussetzungen zu knacken.

Obwohl alle Banken eine modernere Alternative zur Papiervariante bieten, haben einige bis heute auch noch iTAN-Listen im Einsatz, wenn auch teilweise nur noch für Bestandskunden. Das iTAN-Verfahren basiert auf einer durchnummerierten Liste von TANs, von denen etwa bei einer Überweisung eine bestimmte abgefragt wird.

iTAN-Listen gelten als Auslaufmodell, da es bei ihnen vor allem im Kontext von Phishing-Angriffen vergleichsweise häufig zu Betrugsfällen kommt. Klassische TAN-Listen, bei denen die Nummern der Reihe nach abgefragt werden, gibt es heute eigentlich nicht mehr.

Welches Verfahren ist am beliebtesten?

Besonders populär ist in Deutschland das sogenannte SMS-TAN-Verfahren, auch mTAN-Verfahren genannt. Dabei schickt die Bank die für eine Onlineüberweisung nötige TAN per SMS an das Handy des Kunden. Banken wie die Postbank, die Haspa (Hamburger Sparkasse), die ING-DiBa und die Unicredit, zu der die HypoVereinsbank gehört, gaben auf die Nachfrage Ende 2016 an, dass die meisten ihrer Kunden auf dieses Verfahren setzen.

Sicherheitsexperte Vincent Haupert, der auch schon das pushTAN-Verfahren der Sparkasse aushebeln konnte, sagt zum mTAN-Verfahren, es sei unbedenklicher gewesen, als Handys noch keine Mehrzweckgeräte waren. Dadurch, dass Mobiltelefone mit dem Internet verbunden seien - und so vom Spezial- zum Mehrzweckgerät wurden -, sei es für Hacker leichter geworden, Zugriff auf die Daten auf dem Smartphone zu bekommen. Zudem ließen sich SMS mit einem gewissen Aufwand abfangen.

Welche Verfahren gelten als sicher?

Obwohl Haupert das PhotoTAN-Verfahren selbst geknackt hat: Der Experte sagt, Angriffe wie der von ihm testweise durchgeführte seien noch eher selten, da sie aufwändig seien und nur wenige Menschen das PhotoTAN-Verfahren nutzen. Aus diesem Grund dürfte PhotoTAN zum Beispiel im Vergleich mit dem SMS-TAN-Verfahren, auf das es schon spektakuläre Angriffe gab, noch immer die bessere Wahl sein.

Für die mit Blick auf die Sicherheit beste Wahl hält Haupert TAN-Verfahren, die auf dezidierte Hardware setzen. Das bedeutet: Verfahren, die zum Beispiel einen Computer oder ein Smartphone mit einem Extra-Gerät fürs Online-Banking verbinden, etwa einem TAN-Generator oder einem Lesegerät. Haupert sagt, er selbst habe immer ein ChipTAN-Lesegerät dabei.

SPIEGEL ONLINE sagte er schon 2015: "Man sollte immer auf eine Zwei-Faktor-Authentifizierung setzen, also zwei getrennte Geräte benutzen, denn es ist immer davon auszugehen, dass einer der beiden Faktoren schon kompromittiert ist." Das heißt: Man muss davon ausgehen, dass Betrüger entweder die Zugangsdaten zum Online-Banking-Account haben oder Zugriff auf das Handy. In einem Gastbeitrag für SPIEGEL ONLINE warnte Haupert Ende 2016 vor einer Aufweichung des Zwei-Faktor-Prinzips, vor allem im Zuge des Bankings per Smartphone.

TAN-Generatoren beziehungsweise TAN-Lesegeräte sind mittlerweile dünn und handlich und kosten nur einmalig Geld. Die Deutsche Bank etwa bietet online PhotoTAN-Lesegeräte für 14,90 Euro inklusive Versand an, die Postbank empfiehlt verschiedene TAN-Generatoren ab 12,90 Euro.

Was passiert, wenn die TAN-Absicherung versagt?

In einigen Fällen wird die Bank den Schaden des Kunden übernehmen, sofern der Kunde nicht grob fahrlässig gehandelt hat. Das geschieht manchmal schon aus Imagegründen. "Banken leben von ihrem guten Ruf und ihrer Vertrauenswürdigkeit", sagt Sicherheitsexperte Martin Rösler vom Security-Unternehmen Trend Micro.

Anders als viele andere Banken wirbt die Commerzbank, die auf ihrer Website die Verfahren PhotoTAN und mobileTAN hervorhebt, explizit mit einer "Sicherheits-Garantie" für ihre Kunden. In einer Erklärung dazu heißt es, die Bank biete mit ihren TAN-Verfahren "größtmögliche Sicherheit": "Sollte dennoch einmal etwas passieren, erstatten wir Ihnen den entstandenen Schaden. Voraussetzungen für Sie: Sie haben den Schaden nicht vorsätzlich herbeigeführt, informieren uns sofort über den Schaden und erstatten Strafanzeige bei der Polizei. Sie unterstützen uns aktiv bei der Aufklärung."

Setzen sich bald biometrische TAN-Verfahren durch?

In Zeiten von Fingerabdruckscannern im Smartphone wäre es nicht abwegig, auch TAN-Verfahren mit Biometrie zu kombinieren. Praktisch hätten solche Verfahren aber Schwachstellen, die andere Verfahren nicht haben. Die größte: Wenn der Fingerabdruck einmal kopiert wurde und sich fortan duplizieren lässt, ist das Verfahren dauerhaft unsicher. Anders als eine aus Ziffern bestehende TAN lässt sich der eigene Fingerabdruck schließlich nicht einfach durch einen neuen ersetzen.

mbö/gru

URL:


© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung