chipTAN und mTAN
Online-Banking wird mittlerweile von Millionen Bundesbürgern genutzt, doch noch immer gibt es viele Skeptiker. Wir haben uns die verschiedenen TAN-Verfahren beim Online-Banking genauer angesehen und analysieren die Sicherheitslage.
Wer Online-Banking betreiben will, erhält nach einer Freischaltung durch die Bank die Möglichkeit zwischen verschiedenen TAN-Verfahren zu wählen. Aktuell werden vor allem die beiden Optionen mobileTAN (mTAN) sowie chipTAN genutzt.
Darüber hinaus existiert noch das sogenannte iTAN, welches jedoch nicht mehr genutzt wird. Wieso iTAN nicht mehr genutzt wird, erfahren Sie in diesem Artikel.
Welche TAN-Verfahren gibt es?
Bei der Vielzahl an TAN-Verfahren fällt es schwer, den Überblick zu behalten. Wir zeigen Ihnen kurz die drei bekannten TAN-Verfahren und deren charakteristisches Merkmal auf.
- iTAN: Vorgefertigte TAN-Nummern auf einem Transaktionsbogen. Gilt als unsicher und wird nicht mehr genutzt.
- mTAN: Zuteilung einer TAN über das Mobiltelefon.
- chipTAN: Zuteilung einer TAN über die EC-Karte sowie einen TAN-Generator
Wie funktionieren die jeweiligen TAN-Verfahren?
Die genannten TAN-Verfahren funktionieren auf unterschiedliche Weise. Nachfolgend finden Sie eine Beschreibung:
iTAN: Beim iTAN-Verfahren erhalten Sie als Kunde einen „TAN-Bogen“ von Ihrer Bank. Dabei handelt es sich um ein Schriftstück, auf dem mehrere TANs stehen. Während des Transaktionsvorgangs werden Sie gebeten, die TAN aus einer bestimmten Spalte einzugeben.
mTAN: Das mobileTAN-Verfahren (primär mTAN) greift auf Ihr Mobiltelefon zurück. Sobald Sie eine Transaktion durchführen wollen, wird die TAN-Nummer an Ihr zuvor registriertes Mobiltelefon verschickt. Nur wenn Sie im Besitz des Logins zum Online-Banking sowie Ihres Mobiltelefons sind, lässt sich eine Transaktion durchführen.
chipTAN: Beim chipTAN-Verfahren benötigen Sie Ihre EC-Karte sowie einen TAN-Generator. In diesen TAN-Generator führen Sie Ihre EC-Karte ein und wählen im Anschluss die Funktion, mit der Sie eine TAN erzeugen wollen.
Nun müssen Sie den Generator an den Monitor Ihres PCs halten. Bei einer Überweisung findet sich ein „flackerndes“ Bild. Dieses beinhaltet codiert die Transaktionsdaten. Das Kartenlesegerät liest diese aus und gleicht Sie mit Ihrer EC-Karte ab. Im Anschluss wird daraus die TAN generiert.
Wie sicher sind die jeweiligen TAN-Verfahren?
Viele Kunden fürchten Online-Banking aufgrund vermeintlicher oder tatsächlicher Sicherheitsmängel. Dabei sind die Verfahren ausgeklügelt und häufig für lange Zeit nicht angreifbar.
In den meisten Fällen ist es sogar der Kunde selbst, der durch leichtgläubiges Verhalten einen Schaden herbeiführt. Wie sicher sind die unterschiedlichen TAN-Verfahren sind, erfahren Sie hier:
- iTAN: Das iTAN-Verfahren wird zwischenzeitlich von keiner Bank mehr angeboten, da es als äußerst unsicher gilt. Kriminelle konnten durch das „Abgreifen“ von TANs ohne größere Probleme Transaktionen durchführen.
- mTAN: Das mTAN-Verfahren galt lange Zeit neben dem chipTAN-Verfahren als die sicherste Methode, da hier zusätzlich zum Login ins Online-Banking auch noch das registrierte Mobiltelefon in Reichweite sein muss. Nur die Verknüpfung beider Komponenten ermöglicht eine Transaktion.
- chipTAN: Das chipTAN-Verfahren gilt neben mTAN ebenfalls als sicherste Methode, da die TANs hier individuell auf Basis der Überweisungsdaten generiert werden. Da die Chip-Generatoren sämtliche Überweisungsdetails nochmal anzeigen, ist auch das „unterjubeln“ falscher Daten am PC-Bildschirm ausschließbar.
Wie schütze ich mich vor Phishing und Missbrauch?
Selbst das sicherste TAN-Verfahren nützt wenig gegen immer raffiniertere Kriminelle. In vielen Fällen ist nämlich nicht das TAN-Verfahren die Schwachstelle, sondern der Nutzer.
Es gibt jedoch einige Möglichkeiten, um sich vor Phishing, also dem Diebstahl wichtiger Daten wie Online-Login oder TAN, zu schützen:
- Aktuelle TAN-Verfahren nutzen: Greifen Sie unter allen Umständen zu modernen TAN-Verfahren. Sollten Sie tatsächlich noch bei einer Bank sein, die Ihnen iTAN andreht, sollten Sie schnell upgraden. Greifen Sie zu mTAN oder chipTAN.
- Online-Banking nur daheim: Sie müssen mehrere Überweisungen durchführen und es eilt? Warten Sie dennoch bis Sie zu Hause sind. Transaktionen im Unternehmen oder in einem Internet-Café mit offenem WLAN durchzuführen birgt unabschätzbare Risiken. In den eigenen vier Wänden sind diese weit geringer.
- Achten Sie auf Ihre Daten: Was immer Sie auch tun, gehen Sie unbedingt sorgsam mit Ihren Bankdaten um. Verraten Sie niemandem Ihre PIN oder sonstige Login-Daten zu Ihrem Online-Banking-Account. Wenn Sie Ihr Geburtsdatum oder sonstige einfach zu merkende Kennwörter verwenden, versuchen Sie diese geheim zu halten.
- PC-Software aktuell halten: Egal ob Firewall, Virenscanner oder Browser. Halten Sie Ihre Software zu jeder Zeit aktuell. Nur so können Sie sicherstellen, dass Dritte nicht über eine technische Sicherheitslücke in Ihrem PC Schaden anrichten.
- Seien Sie misstrauisch: Vor allem dieser Tipp ist mitunter der wertvollste überhaupt. Seien Sie zu jeder Zeit misstrauisch, wenn es um Ihr Online-Banking geht. Wenn Sie ein komisches Gefühl haben, brechen Sie den Banking-Vorgang lieber ab. Wenden Sie sich bei Fragen an Ihre Bank.
- Arbeiten Sie „händisch“: Wenn Sie das Online-Banking-Portal Ihrer Bank aufrufen, sollten Sie das per Hand erledigen. Verzichten Sie auf Lesezeichen oder dergleichen, da diese manipuliert werden können. Klicken Sie auch niemals auf Links in E-Mails oder auf Webseiten, die vorgaukeln zu Ihrer Bank zu führen.
- Speichern Sie nichts: PIN, Banking-Zugangscode und vieles mehr fordern die Nutzer zu Höchstleistungen auf. Der Weg diese Daten im Browser zu speichern scheint bequem. Er ist jedoch brandgefährlich. Stellen Sie sich nur für einen Augenblick vor, eine Dritte Person bekommt Ihren PC in die Hände und surft zum Online-Banking Ihrer Bank.
Sollte ich mich bei Betrugsversuchen an die Polizei wenden?
Auch wenn es naheliegend scheint, bei Merkwürdigkeiten beim Online-Banking die Polizei zu informieren, sollten Sie erst einmal ruhig durchatmen.
In vielen Fällen ist die Polizei leider machtlos. Die Drahtzieher der Betrügereien sitzen anonym in einem fernen Land.
Solange Ihnen kein Schaden entstanden ist, sollten Sie dankbar sein. Sie können zwar auch bei versuchtem Betrug eine Anzeige erstatten, doch zuvor sollten Sie immer Ihre Bank konsultieren.
Eventuell wird gerade versucht die Kunden in einem bestimmten Einzugsgebiet zu fassen? Dann kann Ihre Bank die Kunden explizit warnen.
Ist Ihnen bereits Geld abhanden gekommen, empfiehlt sich eine Anzeige unbedingt. Machen Sie sich jedoch bereits jetzt klar: Ihr Geld werden Sie wahrscheinlich nicht wiedersehen.
Lange Zeit war ungeklärt, ob Bank-Kunden für Schäden durch Phishing haften.
Grundsätzlich haften Kunden für die durch zum Beispiel Phishing-Mails entstandenen Schäden selbst. Jedoch nur dann, wenn Sie fahrlässig gehandelt haben und der Vorfall vor dem 30. Oktober 2009 eingetreten ist.
Durch eine Gesetzesänderung ab diesem Datum muss ein Kunde grob fahrlässig handeln, um für die Phishing-Schäden die Haftung zu tragen. Dies ist in den meisten Fällen und aufgrund der neuen TAN-Verfahren sehr schwierig.
Was ist der Trojaner „Eurograbber“?
Bei Eurograbber handelt es sich um einen Trojaner, der das mTAN-Verfahren aushebelt. Die Vorgehensweise der Software ist dabei bedenklich raffiniert und bestätigt, wie wichtig ein Virenschutz ist.
Eurograbber schleuste Schadsoftware auf dem heimischen PC sowie dem Mobiltelefon ein. Sobald die Bankdaten ermitteln waren, wurden Transaktionen in die Wege geleitet. Die verschickten mTAN-Nummern landeten jedoch nicht auf dem eigenen Mobiltelefon.
Sie wurden von dort direkt an Dritte weitergeleitet, die nun mit den Bankdaten und der TAN eine Transaktion durchführen konnten.
Der Schaden durch Eurograbber wird auf rund 36 Millionen Euro geschätzt. Durch Eurograbber ist das mTAN-Verfahren stark in Verruf geraten und wird mitunter als nicht mehr sicher eingestuft.
Wissenswertes über Online-Banking
- Bundesweit nutzen über 27 Millionen Bundesbürger Online-Banking.
- Für Phishing-Schäden haften Kunden nur bei grober Fahrlässigkeit.
- Das gegenwärtig sicherste TAN-Verfahren ist chipTAN.
- Die meisten Online-Banking Kunden sind zwischen 30 und 40 Jahre alt – stehen also mitten im Berufsleben.
- Private Banken haben eine höhere Zahl an Online-Banking-Kunden.
- Das mTAN-Verfahren wurde durch Eurograbber erstmals ausgetrickst. Der Schaden lag bei 36 Millionen Euro.
- Online-Banking ist in Deutschland nur mäßig beliebt. Die Bundesrepublik liegt knapp über dem EU-Durchschnitt. Am beliebtesten ist Online-Banking in Norwegen.
- Per Online-Banking lassen sich nicht nur Überweisungen vornehmen. Auch Daueraufträge oder dergleichen lassen sich anlegen.