So funktionieren PIN und TAN beim Online-Banking

Die TAN Liste ist noch weit verbreitet aber eigentlich veraltetBeim Online-Banking wird schon seit Jahren ein Sicherheitsverfahren genutzt, das auf eine 2-Faktor-Authentifizierung mit persönlicher Identifikationsnummer (PIN) und Transaktionsnummer basiert (TAN). Dabei waren die Banken bemüht, die Sicherheitsrisiken immer mehr einzuschränken.

Dass dies noch nicht vollends gelungen ist, beweisen die zahlreichen Methoden, die die Banken ihren Kunden anbieten. Noch immer hat sich kein einheitlicher Weg durchgesetzt, um die Bankgeschäfte über das Internet abzuwickeln.Trotzdem erweist sich Online-Banking mit hoher Wahrscheinlichkeit als sichere Angelegenheit, wenn der Verbraucher die Sicherheitshinweise der Bank beachtet. Ein Restrisiko ist allerdings noch immer nicht ganz auszuschließen. Dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) zufolge, wickelten 2012 knapp 30 Millionen Deutsche ihre Bankgeschäfte über das Internet ab. Auch die Rechtslage ist eindeutig. Bei Missbrauch der Bankdaten ohne Verschulden des Kontoinhabers muss die Bank den Schaden ersetzen.

Welches PIN-/TAN-Verfahren ist das Richtige?

Den Zugriff auf das Benutzerkonto mit all seinen Funktionen erreicht der Verbraucher durch die PIN. Diese muss nicht ausschließlich numerisch sein. Der Benutzer kann diese in der Regel selbst bestimmen und aus einer beliebigen Zeichenkombination zusammensetzen. Als zusätzliches Hindernis für den Missbrauch der sensiblen Daten verlangen einige Banken neben der PIN eine weitere Kombination, die nur per Mausklick eingegeben werden kann. Das erschwert Kriminellen den Zugriff für den Fall, dass die PIN bereits ausgespäht wurde.
Nach dem Einloggen kann der Bankkunde in der Regel den Kontostand und die Umsätze einsehen. Für jede Transaktion wird jedoch eine Transaktionsnummer benötigt. Dies ist meist eine sechsstellige Ziffer, kann aber auch alphanumerisch sein. Sie gilt als virtuelle Unterschrift des Bankauftrages. Erst, wenn PIN und TAN übereinstimmen, führt die Bank den Auftrag aus. Wie sicher das PIN-/TAN-Verfahren der jeweiligen Bank ist, hängt unter anderem auch vom Übertragungsweg der TAN ab. Hier kann der Verbraucher nach den Kriterien Handhabung, Komfort und Sicherheit wählen, welches Verfahren er bevorzugt.

Die klassische TAN-Liste

Die SMS TAN macht banking einfach und sicherHier wird von der Bank eine auf Papier gedruckte Liste mit TAN-Nummern per Post verschickt. Dieses Verfahren gilt jedoch als veraltet und nicht sicher, weil die TAN nicht auftragsgebunden ist. Eine Weiterentwicklung ist das iTAN-Verfahren mit indizierten TAN-Nummern. Auch hier wird von der Bank eine Liste mit TAN-Nummern verschickt, die allerdings noch einmal durchnummeriert sind. Möchte der Kunde eine Transaktion ausführen, muss er eine bestimmte TAN aus der Liste eingeben. Diese Art der TAN-Erzeugung gilt als unsicher, weil der Übertragungsweg ausschließlich das Internet ist. Schadsoftware auf dem Computer ist in der Lage, Kontonummer und Auftragssumme zu ändern und das Geld umzuleiten. Da Banken in der Regel mehrere Verfahren zur TAN-Übertragung anbieten, sollten Verbraucher auf ein sichereres Verfahren umsteigen.

smsTAN, mTAN und mobileTAN

Bei dieser Methode erfolgt die TAN-Übertragung über das Mobiltelefon des Kunden per SMS. Bei der Registrierung zum Online-Banking muss also zusätzlich noch eine Rufnummer des Mobilteletons angegeben werden. Die SMS, die bei jedem Buchungsvorgang versendet wird, enthält nicht nur die TAN, sondern auch Angaben zum Buchungsvorgang. Zudem hat die TAN nur eine kurze Gültigkeit. Das macht dieses Verfahren noch sicherer. Der Vorteil dieser Methode ist, dass die Bankgeschäfte jederzeit und überall per Computer und SMS-Handy erledigt werden können. Allerdings sollten dabei folgende Sicherheitshinweise beachtet werden:

  • Der Verlust des Mobiltelefons als TAN-Empfänger sollte umgehend der Bank und gegebenenfalls auch der Polizei gemeldet werden.
  • Zur Wahrung der zwei Wege bei der TAN-Übertragung sollte niemals ein internetfähiges Handy gleichzeitig für Online-Banking und TAN-Empfang benutzt werden.
  • Der Inhalt der SMS mit den auftragsbezogenen Daten sollte unbedingt mit der auszuführenden Transaktion verglichen werden.
  • Die beim Online-Banking hinterlegte Telefonnummer sollte in regelmäßigen Abständen auf ihre Richtigkeit überprüft werden.
  • Der Kunde sollte sich zudem bei seiner Bank darüber informieren, welche konkreten Maßnahmen bei der Nutzung dieses Verfahrens erwartet werden.

TAN-Generatoren

Der TAN Generator bietet Komfort und SicherheitDer Vorteil der TAN-Übertragung per TAN-Generator liegt darin, dass dieser weder über das Internet noch über das Mobilfunknetz angegriffen werden kann. Das macht diese Methode nahezu perfekt bezüglich der Sicherheit, solange das Gerät oder die Bankkarte nicht verloren geht. Auch hier sollte im Falle des Verlusts von TAN-Generator oder Bankkarte umgehend die Bank informiert werden.

Je nach Bank kommen verschiedene Modelle zum Einsatz. Es gibt TAN-Generatoren mit Ziffernblock, über den Kontonummer und Auftragssumme eingegeben werden können. Andere Modelle verwenden ein integriertes Kartenlesegerät für die EC-Karte oder Sensoren, die in der Lage sind, ein Grafikbild am Bildschirm einzulesen.

photo-TAN und QR-TAN

phototan_comdirectDiese Methoden sind die jüngsten Ergebnisse bei der Entwicklung des Online-Banking. Beim photoTAN-Verfahren wird auf dem Bildschirm verschlüsselt ein mehrfarbiges Mosaikbild angezeigt, das mit einer speziellen Smartphone-App entschlüsselt werden kann. Die Comdirect Bank bietet dieses Verfahren schon an. Das QR-TAN-Verfahren funktioniert ähnlich. Auch hier werden die Transaktionsdaten mithilfe eines QR-Codes verschlüsselt. Dabei steht QR für „Quick Response“, schnelle Antwort. Beide Verfahren gelten als relativ sicher, weil die Übertragung über zwei Wege eingehalten wird. Für die Entschlüsselung des Bildes per Smartphone-App ist keine Internetverbindung erforderlich.

Welche Methode ein Bankkunde für seine Online-Geschäfte auch verwendet, einige grundlegende Sicherheitshinweise sollten immer beachtet werden:

  • verschlüsselte Kommunikation beim Online-Banking
  • Verschlüsselung der WLAN-Verbindung
  • permanentes Prüfen der Echtheit der Bankwebseite
  • Online-Banking sollte möglichst nicht von öffentlich zugänglichen Computern aus betrieben werden
  • Sofortiges Sperren des Online-Zugangs bei verdächtigen Kontobewegungen
  • Ignorieren von Phishing-Mails
  • Regelmäßiges Überprüfen der Kontobewegungen

Sicherheit beim Online-Banking

Die TAN-Verfahren sind ein Baustein im Sicherungskonzept beim Online-Banking. Der Artikel: „Sicherheit beim Online-Banking“ gibt weitere Informationen für jeden, der seine Bankgeschäfte sicher und bequem abwickeln möchte.

Bildquelle:

© Bernd Leitner – Fotolia.com; © Christian Maurer – Fotolia.com; © comdirect bank; © apops – Fotolia.com

Hier schreibt Thomas Gödert

Online-Redakteur Finanzen. Arbeitet seit 2012 bei BergMedia.net. Thomas Gödert ist auch auf Google+ und Twitter aktiv.
Kategorie: Girokonto

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.