Verfahren im Online-Banking
Zur Nutzung von Online-Banking gibt es mittlerweile eine Reihe unterschiedlichster TAN-Verfahren. Meistens bieten Banken mehrere Verfahren an, zwischen denen der Kunde sich entscheiden kann. Seit 2019 gilt auch in Deutschland die EU-Zahlungsrichtlinie PSD II und machte unter anderem die Zwei-Faktor-Authentifizierung verpflichtend. Dadurch gibt es mittlerweile die unterschiedlichsten Namen für teilweise identische Verfahren, sodass Verwechselungsgefahr besteht. Aber welche Verfahren haben sich bis jetzt durchgesetzt und auf welchen Grundlagen funktionieren sie? Und wie sicher ist die Nutzung von mobilen TAN-Verfahren überhaupt?
Überblick über Verfahren im Online-Banking
Verfahren | ChipTAN manuell | ChipTAN optisch | ChipTAN USB | ChipTAN Bluetooth | mTAN | pushTAN | photoTAN | HBCI-Chipkarte | HBCI-Schlüsseldatei | EBICS |
---|---|---|---|---|---|---|---|---|---|---|
Online-Banking am Rechner | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Online-Banking mit mobilen Endgerät | x | ✓ | x | ✓ | ✓ | ✓ | ✓ | x | x | x |
Kartenlesegerät notwendig | ✓ | ✓ | ✓ | ✓ | x | x | x | ✓ | x | x |
Nummernblock notwendig | ✓ | x | x | x | x | x | x | x | x | x |
Mobiles Endgerät notwendig | x | x | x | x | ✓ | ✓ | ✓ | x | x | x |
Kamerafunktion notwendig | x | x | x | x | x | x | ✓ | x | x | x |
Speichermedium mit Schlüsseldatei notwendig | x | x | x | x | x | x | x | x | ✓ | ✓ |
Datenübertragung per Kabel | ✓ | x | ✓ | x | x | x | x | ✓ | ✓ | ✓ |
Datenübertragung per WLAN | x | x | x | x | x | ✓ | x | ✓ | x | x |
Datenübertragung per Mobilfunk | x | x | x | ✓ | ✓ | x | x | x | x | x |
Zwei-Kanal-Prinzip umgehbar | x | x | x | x | ✓ | ✓ | x | x | x | x |
Kosten pro TAN | x | x | x | x | ✓ | x | x | x | x | x |
Massenaufträge abwickelbar | x | x | x | x | x | x | x | x | x | ✓ |
Vier-Augen-Prinzip für Aufträge | x | x | x | x | x | x | x | x | x | ✓ |
Für Privatkunden | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | x |
Viele nutzen Online-Banking aufgrund der größeren Flexibilität. Zahlungsvorgänge können rund um die Uhr getätigt werden und Nutzer sparen sich den Weg zur Filiale. Durch die Nutzung des Internets besteht grundsätzlich die Möglichkeit, dass auf Online-Konten durch Dritte zugegriffen wird, falls der Computer nicht ausreichend geschützt ist. Mit speziellen Online-Banking-Verfahren versuchen Banken, den Zahlungsverkehr so sicher wie möglich zu gestalten. Die Mehrzahl der Banken verwendet ein System aus PIN und TAN: Bankkunden loggen sich mit ihrer PIN bei ihrem Konto ein und müssen daraufhin für die Bestätigung von Zahlungen eine Transaktionsnummer, die TAN, eingeben. Mit diesem Passwort wird der Zahlungsvorgang rechtskräftigt, er ersetzt demnach die Unterschrift des Kunden. Unterschiede bestehen in den jeweiligen Anwendungen und Sicherheitsstandards für die Verwendung der Transaktionsnummern.
Banken beschränken sich in der Regel nicht auf ein TAN-System und überlassen es den Kunden, für welches Online-Verfahren sie sich entscheiden. Auch werden regelmäßig neue Verfahren eingeführt oder etablierte Verfahren im Laufe der Zeit verbessert, um die Sicherheit der Transaktionen zu erhöhen. In jedem Fall müssen Kunden unabhängig vom Verfahren auf einen sicheren Umgang beim Online-Banking achten, um Angriffen wie Phishing zu entgehen. Selbst das sicherste Verfahren kann keinen Schutz geben, wenn die PIN der Bankkunden kompromittiert ist.
Achtung!
Bevor Bankkunden auf die Nutzung von Online-Banking übergehen, müssen sie sicher stellen, dass ihr Computer sicher vor äußeren Zugriffen ist. Die Speicherung von wichtigen Bankdaten sollte immer im Zusammenspiel mit einem sicheren Passwort erfolgen. Passwörter sollten getrennt vom Computer und den anderen Verfikationsmedien wie z.B. der Bankkarte ausbewahrt werden.
TAN
Die Abkürzung TAN steht für Transaktionsnummer. Bei einer TAN handelt es sich um ein einmaliges Passwort, das sich jeweils nur für eine Transaktion nutzen lässt.
ChipTAN-Verfahren
ChipTAN-Verfahren basieren auf TAN-Generatoren, die für die gewünschte Transaktion eine eigene TAN generieren. Diese wird dann an die Bank gesendet, wo sie mit einer auf dieselbe Weise generierten TAN verglichen wird. Stimmt die TAN mit der von der Bank erzeugten Nummer überein, wird die Transaktion ausgeführt. Je nach Modell muss eventuell auch die zugehörige Bankkarte in den Generator gesteckt werden.
Das Erzeugen der TAN erfolgt basierend auf verschiedenen Variablen, z.B. Uhrzeit, Auftragsdaten oder dem Chip der Bankkarte. Nutzer werden vor dem Generieren der TAN aufgefordert, die Transaktionsdaten zu überprüfen. Stimmt z.B. der Betrag der Überweisung nicht überein, liegt ein Phishingversuch vor. Der Nutzer kann den Vorgang abbrechen und Sicherheitsmängel beheben.
ChipTAN-Verfahren lassen sich außerdem nach dem Übertragungsweg der Daten unterteilen:
- manuell: Auftragsdaten wie z.B. Kontonummer des Empfängers oder BLZ werden in den Generator eingetippt.
- optisch: Die angegebenen Überweisungsdaten werden als Grafik verschlüsselt und z.B. als Flickergrafik oder QR-Code vom TAN-Generator gescannt
- USB: Der TAN-Generator wird direkt per USB an den Computer angeschlossen und erhält so die nötigen Daten. Daraufhin erzeugt er mittels Bankkarte die TAN und sendet diese mittels USB-Anschluss an die Bank.
- Bluetooth: Auch hier wird die TAN durch Bankkarte und Überweisungsdaten generiert. Danach erfolgt die Übertragung per Bluetooth, wodurch auch Online Banking mittels mobilen Endgeräten möglich ist. Auch PCs können teilweise Bluetoothübertragungen empfangen.
Insgesamt sind alle diese Verfahren sehr sicher, vorausgesetzt, dass Nutzer den Abgleich der Daten gründlich vornehmen. Eine sichere, getrennte Verwahrung des TAN-Generators und der Bankkarte wird ebenso empfohlen. Ein Nachteil ist jedoch, dass TAN-Generatoren nicht kostenlos von Banken bereitgestellt werden, sondern von den Kunden selbst erworben werden müssen.
Bei folgenden Verfahren handelt es sich um chipTAN-Verfahren:
- Sm@rt-TAN, Sm@rt-TAN plus, Sm@rt-TAN photo, Sm@rt-TAN optic
- eTAN, eTAN plus
- chipTAN QR, chipTAN grafisch, chipTAN manuell, chipTAN USB, chipTAN Bluetooth, chipTAN komfort
- bluetoothTAN
- Digipass
- Bankey
mTAN
Bei der mobilen TAN, kurz mTAN, kommt das Handy bei Online-Banking-Transaktionen zum Einsatz. Daher trägt die mobile TAN auch die Bezeichnung smsTAN. Wenn Bankkunden alle Daten für die Überweisung eingegeben und bestätigt haben, erhalten sie innerhalb weniger Sekunden eine SMS. In der die Empfängerkontonummer und eine entsprechende TAN für die Bestätigung der Überweisung enthalten ist. Die in der SMS angegebene TAN ist nur für diese Transaktion verwendbar und deren Gültigkeit begrenzt.
Kostenlos ist dieses Verfahren nicht für alle Kunden, denn einige Banken berechnen dafür häufig Gebühren. Auch wenn es sich nur um einige Cent pro Überweisung handelt, könnte die Summe sich bei hohem Transaktionsvolumen durchaus als schmerzlich erweisen. Aber vor allem die Banken selbst profitieren von diesem Geschäftsmodell.
Durch die zwei getrennten Kanäle galt das Verfahren lange als sehr sicher. Jedoch ist die Übertragung per SMS angreifbar. Erstens werden die Daten unverschlüsselt verschickt. So kann z.B. die SIM-Karte eines Handys geklont und so die SMS abgefangen werden – ein typischer Man-in-ihe-Middle-Angriff. Dies kann etwas ausgeglichen werden, indem die erzeugte TAN an den jeweiligen Empfänger und den Betrag gekoppelt wird. Insgesamt wird dieses Verfahren oft durch pushTAN abgelöst.
Bezeichnungen für mTAN-Verfahren:
- mobileTAN
- mTAN
- smsTAN
pushTAN
Um einen sicheren Kanal für die Datenübertragung zu gewähren, bieten viele Banken eine App an. Nachdem Kunden das Verfahren aktiviert haben, müssen sie zunächst die App herunterladen und einen Zugang anlegen. Durch Angabe der Kontonummer verknüpft man den Account danach mit dem entsprechenden Bankkonto. Der Ablauf eines Überweisungsauftrags gestaltet sich dann folgenderweise: Der Kunde gibt die nötigen Daten per Online-Banking an die Bank. Diese fordert diesen dann auf, sich in die App einzuloggen. Dort werden nochmals die Auftragsdaten zur Überprüfung angezeigt. Zuletzt erhält der Kunde entweder eine TAN, die wie üblich online eingegeben werden muss, oder er kann gleich per Knopfdruck den Auftrag in der App freischalten. Der zweite Weg wird auch als „pushTAN 2.0“ bezeichnet.
Neben der einfachen Benutzung ist die Nutzung für Kunden auch mit keinen weiteren Gebühren verbunden. Allerdings wird für verschiedene Banken, solange diese nicht gemeinsam eine App entwickelt haben, jeweils eine neue App nötig.
Weiterhin nachteilig beim pushTAN-Verfahren ist die Voraussetzung eines mobilen Gerätes. Besonders bei älteren Personen ist dies unter Umständen nicht vorhanden oder kann nicht souverän bedient werden. Das Verfahren ist insgesamt sicher, jedoch ist es essentiell, dass das Online-Banking nicht auf dem Gerät erfolgt, auf dem die App installiert ist. Es besteht sonst kein echter zweiter Kanal und außerdem brauchen Hacker nur in ein Gerät eindringen, um vollen Zugang zum Konto zu erhalten.
Namen für pushTAN und pushTAN-Apps:
- pushTAN, pushTAN 2.0
- appTAN
- S-pushTAN (Sparkassen)
- VR SecureGo plus (VR-Banken)
- TAN2go (DKB)
- SpardaSecureApp (Sparda-Banken)
- Secure TAN
- BestSign (Postbank)
- activeTAN
- multiTAN (HSBC)
- easyTAN (Targobank)
- apoTAN (Deutsche Apotheker- und Ärztebank
- 1822TAN+ (1822direkt)
- BW-pushTAN-App (BW-Bank)
- Banking to go App (ING)
- VR-SecureSIGN-App
- PrivatSecure-App
- SantanderSign (Santander Bank)
- UB-TAN
photoTAN
Das photoTAN-Verfahren ist dem chipTAN-Verfahren nicht unähnlich. Auch hier gibt der Kunde beim Online-Banking die gewünschten Überweisungsdaten ein und danach werden die Daten für die Übermittlung der TAN als Bilddatei verschlüsselt. Anstatt mit einem TAN-Generator wird der Code jedoch mit einer App auf dem Smartphone gescannt. Nach der Entschlüsselung prüfen Nutzer erneut die Überweisungsdaten bevor sie die generierte TAN eintragen.
Eine weitere Nutzungsmöglichkeit ist auch die Rechnungsstellung per QR-Code oder Grafik. So kann z.B. auf einer Rechnung ein Code abgedruckt werden, welchen Kunden dann einfach scannen und zur Überweisung freigeben können.
Durch den Verzicht auf einen TAN-Generator ist das Verfahren mit keinen weiteren Kosten verbunden. Auch die Möglichkeit, Überweisungsdaten einfach auszulesen statt selbst einzutippen zu müssen, ist positiv. Wie bei dem pushTAN-Verfahren wird auch hier für jede Bank eine andere App benötigt.
Auch die möglichen Probleme ähneln den der pushTAN. Online-Banking-App und photoTAN-App sollten nicht auf dem selben Gerät genutzt werden, da durch den fehlenden zweiten Kanal keine starke Kundenauthentifizierung stattfindet. Wie bei allen Verfahren sollten die Überweisungsdaten vor Eingabe der TAN nochmals von den Nutzern geprüft werden. Auch ist die Bedienung mittels Smartphone für ältere Generationen erschwert.
Bezeichnungen für das photoTAN-Verfahren:
- photoTAN
- QR-TAN, QR-TAN+
- Girocode
Alternativen zu TAN-Verfahren
Obwohl Transaktionsnummern am besten bekannt sind, gibt es noch andere Möglichkeiten der Verifikation. Diese Sicherheitsverfahren basieren auf von der Deutschen Kreditwirtschaft beschlossenen Standards.
FinTS (ehemals HBCI)
FinTS (Financial Transaction Services) ist die Bezeichnung für den Homebankingstandard. Die Verifikationsverfahren werden nach der vorherigen Bezeichnung auch HBCI-Verfahren genannt. Hier gibt es neben PIN/TAN-Verfahren zwei weitere Ausweismöglichkeiten:
HBCI-Chipkarte: Auch bekannt als Smart-Card oder Signaturkarte. Nach Eingabe im Computer wird der Auftrag an ein Chipkartenlesegerät geschickt, in das die Chipkarte gesteckt wird. Diese ist mit einer PIN gesichert. Nach der Bestätigung des Codes signiert und verschlüsselt der Chip der Chipkarte die Daten. Diese werden der Bank übermittelt, welche die Daten entschlüsselt und die Signatur überprüft. Danach führt sie den Auftrag aus. Da der Schlüssel nur auf der Chipkarte und innerhalb der Bank gespeichert ist, ist dieses Verfahren sehr sicher. Es fallen jedoch Kosten für ein Lesegerät an.
HBCI-Schlüsseldatei: Auch HBCI-Sicherheitsdatei genannt. Anstatt mittels Chipkarte wird die Signatur mit einer Schlüsseldatei erzeugt, die meist durch eine PIN geschützt ist. Der Schlüssel besteht aus einem privaten und einem öffentlichen Teil. Mit dem privaten Teil werden Daten verschlüsselt, während der öffentliche Teil diese überprüfen kann, ohne den privaten Teil des Schlüssels zu kennen. Schlüsseldateien können z.B. auf einem USB-Stick oder einer tragbaren Festplatte gespeichert werden. Da die Datei jedoch kopiert werden kann, wird diese Verschlüsselung nur noch als bedingt sicher bewertet.
EBICS
EBICS (Electronic Banking Internet Communication Standard) ist als Electronic-Banking-Standard für Firmen vorgesehen. Die Abwicklung von Zahlungsverkehr mittels dieses Standards lässt auch eine hohe Auftragszahl und Massenaufträge zu. Während kleinere Unternehmen auch FinTS verwenden können, ist EBICS ausschließlich Geschäftskunden vorbehalten.
Von der Bank aus wird ein EBICS-Zugang angelegt, auf den durch eine Software mit EBICS-Modul zugegriffen werden kann. Der Zugang eines Unternehmens kann dabei von mehreren Nutzern mit jeweils eigenen Zugangsdaten benutzt werden. Die Verschlüsselung durch elektronische Signaturen wird wie bei der HBCI-Schlüsseldatei mit dem privaten Schlüsselteil vollzogen und dem öffentlichen Teil geprüft. Es ist außerdem möglich, Schlüssel so einzurichten, dass erst durch Signaturen von mehreren Teilnehmern Aufträge autorisiert werden.
Ehemalige TAN-Verfahren
Über die Jahre hinweg sind verschiedene Verfahren außer Gebrauch gekommen, da sie sich als nicht sicher erwiesen haben. Hier erklären wir die obsoleten Verfahren und warum sie sich als unzuverlässig gezeigt haben.
TAN-Listen
Zu Beginn des Online-Banking verwendeten viele Banken für die Bestätigung finanzieller Transaktionen TAN-Listen. Kunden erhielten bei der Eröffnung eines Online Kontos eine TAN-Liste mit mehreren Nummern, von denen sie eine beliebige TAN bei jeder Überweisung oder Lastschrift einsetzen mussten. Die Eingabe der Nummer gilt sozusagen als Unterschrift. Kurz vor dem Aufbrauchen aller TANS erhielten die Kunden eine neue Liste per Post.
Das Verfahren zeigte sich als angreifbar gegenüber Phishing-Versuchen. Kriminelle versuchten an die Daten heranzukommen, in dem sie gefälschte E-Mails schickten, in denen Bankkunden die Aufforderung zur Angabe der TAN-Listen erhielten. Sie entwickelten dafür spezielle gefälschte Internetseiten, die das Logo des Bankinstituts enthielten und daher tatsächlich den Eindruck erweckten, als kämen sie von der Bank. Aus dem TAN-System entwickelte sich daraufhin das iTAN-Verfahren.
iTAN
Das Verfahren iTAN funktioniert wie das Online-Banking mit TAN. Allerdings kommen hier sogenannte indizierte Transaktionsnummern zum Einsatz. Wenn Kunden einen Auftrag, zum Beispiel eine Überweisung durch eine Nummer bestätigen möchten, können sie nicht mehr wie vorher eine beliebige TAN eingeben, sondern erhalten die Aufforderung, von ihrer Liste eine bestimmte Ziffernfolge einer bestimmtem Position anzugeben. Bankkunden erhielten also nach wie vor die üblichen TAN-Listen, allerdings mit durchnummerierten Zahlenfolgen. Um die Sicherheit des Verfahrens weiter zu erhöhen, hatten Kunden für die Eingabe der TAN nur wenig Zeit. Falls sie sich vertippten oder aus Versehen eine andere TAN verwendeten, kam es zwar nicht zu einer Bestätigung des Auftrags, aber die TAN galt im Banksystem als verbraucht. Trotz der erhöhten Sicherheit, zeigte sich beim iTAN, dass es gegen Hackerangriffe anfällig war.
Hacker nutzen zwei Systeme, um an die iTANs zu gelangen. Während des Online-Banking erscheint ein Formular, in dem Bankkunden TANs und dazugehörige Indexierungen angeben sollen. Die Schadsoftware kann auch Indexierungen vorgeben und Kunden müssen die entsprechenden Nummern angeben. Der zweite Versuch trägt die Bezeichnung Man-in-the-middle-Angriff. Die Schadsoftware registriert, wenn Kunden eine Überweisung tätigen wollen und tauscht, ohne dass es Nutzer bemerken, die Überweisungsdaten im Hintergrund aus. Nach der Bestätigung mit der iTAN erfolgt die Überweisung an den Hacker. Die fehlgeleitete Überweisung ist als solche am PC nicht erkennbar. Im Kontensaldo erscheint die normale Abbuchung mit dem vom Nutzer angegebenen Empfänger.
iTAN BEN
Beim Verfahren iTAN BEN handelt es sich um ein iTAN-Vorgang mit Bestätigungsnummer. Kunden geben wie beim normalen iTAN nach der Aufforderung des Banksystems eine indexierte Nummer an, um die Überweisung zu bestätigen. Mit Hilfe der Bestätigungsnummer quittiert die Bank den Auftragseingang. Der Bankenrechner prüft sofort, ob die BEN mit der TAN übereinstimmt. Sollte sie nicht übereinstimmen, kann die Bank davon ausgehen, dass die Kommunikation mit einem Betrug zusammenhängt. Falls ein Angriff durch Man-in-the-middle hier erfolgreich sein soll, muss er fast in Echtzeit zur Bestätigung erfolgen. Die Bank erkennt demnach Angriffe durch Pharming oder Phishing, indem keine korrekten Bestätigungsnummern zurückkommen. Kunden bemerken die fehlgeschlagene Transaktion sofort und können die Bank kontaktieren um den Zugang zu sperren.
iTAN Plus
Um Angriffe durch Man-in-the-middle bei iTAN zu verringern, gab es eine Erweiterung in Form von iTAN Plus. Es erschwerte die Angriffe, verhinderte sie jedoch nicht. Bei iTAN Plus sehen Bankkunden vor der iTAN-Eingabe ein Kontrollbild. In diesem Bild erscheinen alle Daten der Transaktion in einer Übersicht. Darüber hinaus enthält das Kontrollbild das Geburtsdatum des Kunden, in Form eines digitalen Wasserzeichens. Dieses Datum ist dem Angreifer nicht bekannt und er kann demnach auch keine vollständige Manipulation des Bildes vornehmen. Allerdings zeigt das Verfahren mit iTAN Plus Nachteile bei der Ergonomie. Das Kontrollbild ist durch die Sicherheitsmaßnahmen schlechter zu entziffern im Vergleich zur Aufforderung, die iTAN einzugeben.
Das Ende der iTAN-Verfahren
Spätestens mit der Einführung von PSD II war es um iTAN-Verfahren geschehen. Dem Anspruch, für jede Transaktion eine TAN neu zu generieren, wurde keines der Verfahren gerecht. Daher wurden diese grundsätzlich als nicht sicher genug eingestuft und von anderen Verfahren abgelöst.
Weiterführende Links:
- Die EU-Zahlungsrichtlinie PSD II
- Zwei-Faktor-Authentifizierung
- Starke Kundenauthentifizierung nach Regulierungsstandards der Europäischen Bankenaufsicht
- mTAN und pushTAN – das nette Zusatzgeschäft der Banken
- Das HBCI-Banking beim Online-Girobanking
- Das Online-Banking
- Online-Banking-Software im Test
- Banking-Apps im Test