Suchen

eTAN, iTAN, mTAN: Welche denn nun?

Hintergrundartikel

Autor:

Patrick Stewin

Zur Bestätigung einer Überweisung beim Online-Banking werden Transaktionsnummern (TAN) eingesetzt. Zur Verwaltung dieser sensiblen Einmalpasswörter gibt es verschiedene Systeme. In der folgenden Übersicht der verbreitetsten TAN-Systeme zeigen wir Ihnen, welche Eigenschaften welches TAN-System hat.

Die verschiedenen TAN-Verfahren sind unterschiedlich sicher gegenüber Angriffen wie zum Beispiel Phishing. Alle TAN-Verfahren lassen sich in zwei Kategorien einteilen: die Kategorie der statischen TAN-Verfahren und die der dynamischen TAN-Verfahren.

Eine statische TAN liegt Ihnen als Kunde bereits vor, zum Beipiel auf einer TAN-Liste. Das heißt, statische TANs besitzen Sie bereits bevor Sie eine Überweisung (auch Transaktion genannt) durchführen. Eine dynamische TAN wird erst generiert, wenn Sie eine Überweisung beauftragen. Sie erhalten eine solche TAN also erst, wenn Sie sie wirklich benötigen.

Die dynamischen TAN-Verfahren weisen bessere Sicherheitsmerkmale auf. Um eine TAN jedoch dynamisch zu erstellen, wird spezielle Hardware benötigt. Diese verursacht im Vergleich mit den statischen TAN-Varianten zusätzliche Kosten.

Die statischen TAN-Verfahren

Zu den statischen TAN-Verfahren zählen die klassischen sowie die indizierten TANs. Beim klassischen TAN-Verfahren bekommen Sie als Bankkunde eine TAN-Liste zugeschickt. Diese Liste sollten Sie sorgfältig aufbewahren. Eine TAN benutzen Sie, um zum Beispiel eine Überweisungen zu bestätigen. Sie können jede TAN genau einmal verwenden. Sie müssen den Überblick behalten, welche TAN Sie bereits benutzt haben. Sie können dazu die jeweils benutzte TAN durchstreichen. Rechtzeitig bevor Sie alle TANs der Liste verbraucht haben, müssen Sie bei Ihrer Bank eine neue TAN-Liste beantragen, wenn die Bank Ihnen keine neue TAN-Liste automatisch zuschickt.

Die indizierte TAN (iTAN) ist eine Erweiterung der klassischen TAN bei der die TANs auf der Liste durchnummeriert sind. Dadurch kann die Bank Sie auffordern, eine bestimmte TAN einzugeben. Betrügern wird es somit erschwert Schaden anzurichten. Es nützt ihnen nichts, wenn sie zum Beispiel durch einen Phishing-Angriff eine TAN ergaunern, da die Bank bei der nächsten Überweisung nach einer ganz anderen TAN fragen wird. Bei diesem Verfahren müssen Sie nicht festhalten, welche TAN Sie bereits verwendet haben, da von der Bank jede TAN genau einmal abgefragt wird.

Für die iTAN gibt es ebenfalls eine um weitere Sicherheitsmerkmale erweitere Variante: das iTANplus-Verfahren. Hier wird die zu bestätigende Überweisung in Form eines Bildes angezeigt. Die Überweisungsdaten sind weiterhin als Zahlen sichtbar, obwohl sie technisch in einem Bild dargestellt werden. Im Bildhintergrund befindet sich zusätzlich das Geburtsdatum des Kunden. Das Datum ist in aller Regel nur Ihnen und Ihrer Bank bekannt. Ein Angreifer müsste sehr schnell und sehr gut raten oder Sie ganz gezielt ausspioniert haben, um einen Betrug während des Bestätigungsvorgangs durchzuführen.

Mit Hilfe des Datums kann zusätzlich überprüft werden, ob Sie diese Überweisung ausführen. Sämtliche Daten auf dem Bild dienen Ihnen zur Kontrolle. Sie sollten diese Daten sorgfältig überprüfen: Stimmen Kontonummer und Bankleitzahl? Stimmt Ihr Geburtsdatum? Stimmt der Betrag? Diese Überprüfung ist nicht nur von Nutzen, um eigene Tippfehler zu identifizieren. Einige auf dem heimischen Computer eingeschleuste Schadsoftware ist darauf ausgerichtet, die eingegebenen Überweisungsdaten zu manipulieren. Überprüfen Sie beim iTANplus-Verfahren die Angaben nicht genau, bestätigen Sie unter Umständen mit Ihrer TAN eine Überweisung, die Sie so nicht tätigen wollten.

Zur weiteren Steigerung der Sicherheit senden viele Banken dem Kunden nach der TAN-Eingabe eine Bestätigungsnummer (BEN) zu. Pro TAN gibt es genau eine BEN. Die angezeigte BEN sollten Sie als Kunde mit der BEN hinter der von Ihnen eingegebene TAN auf Ihrer TAN-Liste vergleichen. Dieser zusätzliche Sicherheitsvorteil gegenüber der klassischen TAN dient dem frühzeitigen Erkennen möglicher Phishing-Angriffe. Sobald Sie bemerken, dass die BEN nicht übereinstimmen, können Sie umgehend Ihre Bank anrufen und eventuell einen Betrugsfall rechtzeitig vereiteln.

Die dynamischen TAN-Verfahren

Bei den TAN-Verfahren mobile TAN (mTAN), sm@rt-TAN-Generator, BW-Bank-TAN-Generator (eTAN) oder Sm@rtTAN-Plus-Generator kommen weitere Sicherheitsaspekte zum Einsatz. Gemeinsam haben sie, dass die TAN erst im Rahmen des Bestätigungsvorgangs einer Überweisung dynamisch erstellt wird.

Der Ablauf ist grundsätzlich folgender: Sie füllen ein Onlineformular für die Überweisung aus und erhalten im Anschluss eine Bestätigungsseite mit den Details zur geplanten Überweisung. Zur Bestätigung geben Sie hier die dynamisch generierte TAN ein. Erst nach Eingabe der richtigen TAN wird die Überweisung ausgeführt. Die dynamisch generierte TAN ist dabei zeitlich an den Überweisungsvorgang gekoppelt.

Diese zeitliche Kopplung erschwert es Betrügern, gestohlene TANs einzusetzen. Denn diese sind nur für einen sehr kurzen Zeitraum, das heißt ein paar Minuten nach Erstellung, gültig. Das bedeutet aber auch, dass Sie als Kunde für jede Überweisung kurzfristig eine dynamische TAN von Ihrer Bank erhalten müssen. Dies erfolgt mit Hilfe von zusätzlichen Geräten, wodurch sich die oben genannten Verfahren unterscheiden.

Beim mTAN-Verfahren benötigen Sie als Kunde ein Mobiltelefon. Die TAN wird von der Bank via SMS an Ihr Handy gesendet. Der sm@rt-TAN-Generator nutzt Ihre Maestro-Karte und ein entsprechendes Kartenlesegerät. Aus den Sicherheitsinformationen der Karte werden TANs in einer bestimmten Reihenfolge erstellt. Die Sicherheitsinformationen Ihrer Karte sind auch Ihrer Bank bekannt, wodurch Ihre Bank die von Ihnen eingegebene TAN überprüfen kann. Ähnlich funktioniert der BW-Bank-TAN-Generator oder Sm@rtTAN-Plus-Generator. Diese werden ebenfalls durch ein zusätzliches Gerät realisiert. Die TANs werden dort mit Hilfe eines geheimen Schlüssels durch ein sehr kompliziertes Verfahren generiert.

Bei der mTAN sowie dem BW-Bank-TAN-Generator bzw. Sm@rtTAN-Plus-Generator sind die erstellten TANs nur für einen kurzen Zeitraum und nur für eine Bestätigung auf das Empfängerkonto für den angegebenen Betrag zu einer bestimmten Uhrzeit gültig.

Fazit

Die folgende Tabelle fasst alle vorgestellten TAN-Verfahren zusammen:

TAN-Verfahren	Auslieferung zum Bankkunden*	Zusätzliche Hardware	Zusätzliche Sicherheitsaspekte
TAN	statisch	nein	0
iTAN	statisch	nein	1:Indizierung
iTAN/BEN	statisch	nein	2:Indizierung,Bestätigungsnummer
iTANplus	statisch	nein	2:Indizierung,Geburtsdatum im Bildhintergrund
iTANplus/BEN	statisch	nein	3:Indizierung,Geburtsdatum im Bildhintergrund, Bestätigungsnummer
sm@rt-TAN	dynamisch	ja	2:dynamische Erstellung,Besitz der Maestro-Karte und Wissen der Karten-PIN (2-Faktor-Authentifizierung)
eTAN	dynamisch	ja	3:dynamische Erstellung,kurze Gültigkeit,Bindung an genau eine Transaktion
Sm@rtTAN-Plus	dynamisch	ja	3:dynamische Erstellung,kurze Gültigkeit,Bindung an genau eine Transaktion
mTAN	dynamisch	(ja)**	4:dynamische Erstellung,kurze Gültigkeit,Bindung an genau eine Transaktion,Besitz des Mobiltelefons (ggf. Wissen der PIN)

*Die dynamische TAN-Erstellung gilt als sicherer, verursacht aber durch benötigte Hardware zusätzliche Kosten.
**Das Mobiltelefon ist oftmals beim Kunden vorhanden. Vergleich relevanter TAN-Verfahren

Sicherheitsexperten stufen die klassische TAN mittlerweise als unsicher ein. Betrüger haben mit diesem Verfahren viel Erfahung sammeln können und Angriffe entwickelt, um solche TANs zu entwenden. Bankkunden müssen sehr viel beachten, wenn sie die klassische TAN sicher einsetzen wollen. Von daher wird der Einsatz der klassischen TAN für das Online-Banking nicht mehr empfohlen.

Die iTAN-Verfahren gelten als deutlich sicherer im Vergleich zum klassischen TAN-Verfahren. Einige Betrugsfälle haben aber gezeigt, dass auch die iTAN-Verfahren nicht unverwundbar sind.

Wenn Sie die iTAN-Verfahren in Kombination mit einer PIN sorgfältig anwenden, haben Betrüger wenig Chancen. Das PIN/TAN-Verfahren gilt in der Praxis bei richtiger Anwendung als sicher.

Am sichersten gelten bisher die dynamischen TAN-Verfahren.

Artikel

Bankgeschäfte von zu Hause – Einstieg ins sichere Online-Banking

Als Bankkunde können Sie Ihre Geschäfte bequem von zu Hause aus erledigen. Dazu muss Ihr Computer aber sicher eingestellt sein.

Unterschiede bei Chipkartenlesegeräten für das Online-Banking

Wenn es um's Geld geht, sollte die Sicherheit so hoch wie möglich sein. Mit Chipkarten kann Online-Banking sicherer sein. Wer sich für eine Chipkartenlösung entschieden hat, benötigt ein entsprechendes Chipkartenlesegerät. Diese unterscheiden sich aber nicht nur in ihrer Verarbeitung und der beigelegten Software. Bei Chipkartenlesegeräten gibt es unterschiedliche Sicherheitsklassen.

Online-Banking: Wie Sie Gefahren meiden

Wenn Sie von der Bank bereitgestellte Geräte wie Geldautomaten, Kontoauszugsdrucker oder Überweisungsterminals benutzen, kümmert sich die Bank um deren Sicherheit. Beim Online-Banking sind Sie selbst für die Sicherheit des genutzten Computers verantwortlich. Wenn Sie durch Schadprogramme auf Ihrem Computer Geld verlieren, dann könnte die Bank Sie in die Pflicht nehmen.

Anleitungen

Online-Banking mit dem Browser

Online-Banking mit dem Browser gilt als flexible Möglichkeit, um Bankgeschäfte über das Internet zu erledigen. Als meist genutzte Online-Banking-Lösung gerät es auch immer wieder ins Visier von Betrügern. Diese versuchen, Unachtsamkeiten von Bankkunden auszunutzen, um sich Zugang zu Bankkonten zu verschaffen. Bei richtiger Anwendung ist Online-Banking mit dem Browser trotzdem recht sicher.

Der Weg zum Online-Banking

Sie wollen Online-Banking nutzen und Sie haben sich für ein bestimmtes Online-Banking-Verfahren entschieden? Dann führt der nächste Weg zu Ihrer Bank.

Sicherer Umgang mit TANs

Diese Checkliste zeigt Ihnen, was ein sicherer Umgang mit Ihren Transaktionsnummern (TANs) bedeutet.

Externes

BSI für Bürger: Online-Banking

Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Thema Online Banking. Behandelt werden Sicherheitsrisiken, Sicherheitstechniken sowie Sicherheitsmaßnahmen.

Bundesverband deutscher Banken: PIN-TAN-Verfahren - zwei Nummern für mehr Sicherheit

Kurze Einführungzum PIN/TAN-Verfahren vom Bundesverband deutscher Banken.

Heise c't: Zahl oder Karte - Sicherer Zugriff aufs Online-Konto

Vorstellung von TAN- sowie Chipkartensystemen für das Online-Banking von Daniel Bachfeld veröffentlicht im c't magazin 17/08 des Heise Zeitschriften Verlags.

Optimal Banking Media: HBCI oder TAN? Welche Bank bietet was an?

Eine Tabelle der Firma Optimal Banking Media, in der Banken und ihre Datenübertragungsstandards übersichtlich dargestellt werden. (19.10.2009)

Stiftung Warentest: Sicherheit beim Onlinebanking: Noch immer nicht Standard

Stiftung Warentest testete 20 Banken auf die Sicherheit ihrer Online-Banking-Verfahren. Der Artikel wurde in der Zeitschrift Finanztest 01/2007 veröffentlicht.

Universität Tübingen: Trojanersichere Online Accounts

Auf dieser Webseite stellt Bernd Borchert vom Arbeitsbereich für Theoretische Informatik/Formale Sprachen des Wilhelm-Schickard-Institut für Informatik der Eberhard Karls Universität Tübingen "trojanersichere" Verfahren vor, die auch für Online-Banking entwickelt und untersucht werden. (19.12.2009)

Bernd Borchert (Univ. Tübingen): Online Banking Verfahren

Auf dieser Webseite stellt Bernd Borchert vom Arbeitsbereich für Theoretische Informatik/Formale Sprachen des Wilhelm-Schickard-Institut für Informatik der Eberhard Karls Universität Tübingen "Trojaner-sichere" Verfahren mit "Trojaner-unsicheren" Verfahren. (16.11.2009)

Datenschutzhinweis | Impressum | Kontakt

Benutzeranmeldung

Suchen

eTAN, iTAN, mTAN: Welche denn nun?

Die statischen TAN-Verfahren

Die dynamischen TAN-Verfahren

Fazit

Tags

Artikel

Anleitungen

Externes

Unsere Themen

Archive

Projektkontext