Verfahren von Online-Banking
Zur Nutzung von Online-Banking gibt es mittlerweile eine Reihe unterschiedlichster TAN-Verfahren, zwischen denen der Kunde mehr oder weniger frei auswählen kann. Während sich einige TAN-Verfahren nur kurze Zeit gehalten haben, scheinen andere wiederum sehr sicher zu sein. Aber welche Verfahren haben sich bis jetzt durchgesetzt und von welchen ist eher abzusehen? Und wie steht es mit der Nutzung von mobilen TAN-Verfahren: Kann das überhaupt sicher sein?
Überblick über Verfahren im Online-Banking
Viele nutzen Online-Banking aufgrund der größeren Flexibilität. Wer seine Bankgeschäfte vom heimischen Computer aus tätigt, muss sich nicht an die Öffnungszeiten der Geldinstitute halten und spart sich den Weg zur Filiale. Allerdings hält der im Internet getätigte Zahlungsverkehr einige Risiken bereit. Da beim Online-Banking keine Unterschriften wie beim Ausfüllen einer Überweisung in der Bank möglich sind, müssen die Geldinstitute auf andere Verfahren zurückgreifen, um Zahlungen zu bestätigen. Außerdem benötigen Nutzer eine PIN, um sich bei ihrem Online-Konto einzuloggen. Durch die Nutzung des Internets besteht grundsätzlich die Möglichkeit, auf Online-Konten zuzugreifen, falls der Computer nicht ausreichend geschützt ist. Daher kommt es regelmäßig zu Angriffen durch Internetkriminelle. Mit speziellen Online-Banking-Verfahren versuchen Banken, den Zahlungsverkehr so sicher wie möglich zu gestalten. Die Mehrzahl der Banken verwendet ein System aus PIN und TAN: Bankkunden loggen sich mit ihrer PIN bei ihrem Konto ein und müssen daraufhin für die Bestätigung von Zahlungen eine Transaktionsnummer, die TAN, eingeben. Mit diesem Passwort wird der Zahlungsvorgang rechtskräftigt, er ersetzt demnach die Unterschrift des Kunden. Unterschiede bestehen in den jeweiligen Anwendungen und Sicherheitsstandards für die Verwendung der Transaktionsnummern.
Banken beschränken sich in der Regel nicht auf ein TAN-System und überlassen es den Kunden, für welches Online-Verfahren sie sich entscheiden, viele der Verfahren unterlagen im Laufe der Zeit Modifikationen, um die Sicherheit der Transaktionen zu erhöhen. In jedem Fall müssen Kunden unabhängig vom Verfahren auf einen sicheren Umgang beim Online-Banking achten, um Angriffen wie Phishing zu entgehen. Internetkriminelle, die Zugang zur PIN der Bankkunden erhalten, haben leichtes Spiel beim Beeinflussen einer Finanztransaktion. Die Speicherung von wichtigen Bankdaten sollte immer im Zusammenspiel mit einem sicheren Passwort erfolgen. Bevor Bankkunden jedoch auf die Nutzung von Online-Banking übergehen, müssen sie sicher stellen, dass ihr Computer sicher vor äußeren Zugriffen ist, selbst wenn sie ein als äußerst sich eingestuftes Verfahren nutzen.
TAN
Die Abkürzung TAN steht für Transaktionsnummer. Bei der TAN handelt es sich um ein einmaliges Passwort, das sich jeweils nur für eine Transaktion nutzen lässt. Zu Beginn des Online-Banking verwendeten viele Banken für die Bestätigung finanzieller Transaktionen TAN-Listen. Kunden erhielten bei der Eröffnung eines Online Kontos eine TAN-Liste mit mehreren Nummern, von denen sie eine beliebige TAN bei jeder Überweisung oder Lastschrift einsetzen mussten. Die Eingabe der Nummer gilt sozusagen als Unterschrift. Kurz vor dem Aufbrauchen aller TANS erhielten die Kunden eine neue Liste per Post. Heutzutage bietet kaum ein Kreditinstitut dieses Verfahren an. Das Verfahren zeigte sich als angreifbar gegenüber Phishing-Versuchen. Kriminelle versuchten an die Daten heranzukommen, in dem sie gefälschte E-Mails schickten, in denen Bankkunden die Aufforderung zur Angabe der TAN-Listen erhielten. Sie entwickelten dafür spezielle gefälschte Internetseiten, die das Logo des Bankinstituts enthielten und daher tatsächlich den Eindruck erweckten, als kämen sie von der Bank. Viele Banken suchten daraufhin nach einem Weg, das Verfahren sicherer zu gestalten. Aus dem TAN-System entwickelte sich schließlich das iTAN-Verfahren.
iTAN
Das Verfahren iTAN funktioniert wie das Online-Banking mit TAN. Allerdings kommen hier sogenannte indizierte Transaktionsnummern zum Einsatz. Wenn Kunden eine Auftrag, zum Beispiel eine Überweisung durch eine Nummer bestätigen möchten, können sie nicht mehr wie vorher eine beliebige TAN eingeben, sondern erhalten die Aufforderung, von ihrer Liste eine bestimmte Ziffernfolge einer bestimmtem Position anzugeben. Bankkunden erhielten also nach wie vor die üblichen TAN-Listen, allerdings mit durchnummerierten Zahlenfolgen. Um die Sicherheit des Verfahrens weiter zu erhöhen, hatten Kunden für die Eingabe der TAN nur wenig Zeit. Falls sie sich vertippten oder aus Versehen eine andere TAN verwendeten, kam es zwar nicht zu einer Bestätigung des Auftrags, aber die TAN galt im Banksystem als verbraucht. Trotz der erhöhten Sicherheit, zeigte sich beim iTAN, dass es gegen Hackerangriffe anfällig war.
Hacker nutzen zwei Systeme, um an die iTANs zu gelangen. Während des Online-Banking erscheint ein Formular, in dem Bankkunden TANs und dazugehörige Indexierungen angeben sollen. Die Schadsoftware kann auch Indexierungen vorgeben und Kunden müssen die entsprechenden Nummern angeben. Der zweite Versuch trägt die Bezeichnung Man-in-the-middle-Angriff. Die Schadsoftware registriert, wenn Kunden eine Überweisung tätigen wollen und tauscht, ohne dass es Nutzer bemerken, die Überweisungsdaten im Hintergrund aus. Nach der Bestätigung mit der iTAN erfolgt die Überweisung an den Hacker. Die fehlgeleitete Überweisung ist als solche am PC nicht erkennbar. Im Kontensaldo erscheint die normale Abbuchung mit dem vom Nutzer angegebenen Empfänger.
Das iTAN Verfahren ist für die Nutzung unterwegs ungeeignet. Im Urlaub müssen Bankkunden ihre gesamte iTAN-Liste mitführen, da es nicht vorhersagbar ist, welche Nummer das Banksystem verlangt. Die Liste lässt sich schwer tarnen. Beim normalen TAN-Verfahren konnten Nutzer zumindest einige Nummern herausschreiben, zum Beispiel ins Adressbuch. Ohne die zugehörige PIN sind allerdings durch Diebe keine ungewollten Überweisungen möglich. Die erhöhten Sicherheitsvorkehrungen machen die iTAN zwar weniger anfällig im Vergleich zur TAN, das Bundeskriminalamt berichtete jedoch 2008 von fast 2000 erfolgreichen Fällen von Pishing beim iTAN-Verfahren. Ursache waren zumeist eingeschleuste Trojaner.
iTAN BEN
Beim Verfahren iTAN BEN handelt es sich um ein iTAN-Vorgang mit Bestätigungsnummer. Kunden geben wie beim normalen iTAN nach der Aufforderung des Banksystems eine indexierte Nummer an, um die Überweisung zu bestätigen. Mit Hilfe der Bestätigungsnummer quittiert die Bank den Auftragseingang. Der Bankenrechner prüft sofort, ob die BEN mit der TAN übereinstimmt. Sollte sie nicht übereinstimmen, kann die Bank davon ausgehen, dass die Kommunikation mit einem Betrug zusammenhängt. Falls ein Angriff durch Man-in-the-middle hier erfolgreich sein soll, muss er fast in Echtzeit zur Bestätigung erfolgen. Die Bank erkennt demnach Angriffe durch Pharming oder Phishing, indem keine korrekten Bestätigungsnummern zurückkommen. Kunden bemerken die fehlgeschlagene Transaktion sofort und können die Bank kontaktieren um den Zugang zu sperren.
iTAN Plus
Um Angriffe durch Man-in-the-middle bei iTAN zu verringern, gab es eine Erweiterung in Form von iTAN Plus. Es erschwerte die Angriffe, verhinderte sie jedoch nicht. Bei iTAN Plus sehen Bankkunden vor der iTAN-Eingabe ein Kontrollbild. In diesem Bild erscheinen alle Daten der Transaktion in einer Übersicht. Darüber hinaus enthält das Kontrollbild das Geburtsdatum des Kunden, in Form eines digitalen Wasserzeichens. Dieses Datum ist dem Angreifer nicht bekannt und er kann demnach auch keine vollständige Manipulation des Bildes vornehmen. Allerdings zeigt das Verfahren mit iTAN Plus Nachteile bei der Ergonomie. Das Kontrollbild ist durch die Sicherheitsmaßnahmen schlechter zu entziffern im Vergleich zur Aufforderung, die iTAN einzugeben.
Smart-TAN
Beim Smart-TAN Verfahren benötigen Bankkunden einen TAN-Generator, der auf elektronischem Weg TANs erzeugt. Den benötigten Generator erhalten Kunden bei der Eröffnung des Online-Kontos von der Bank. Er besitzt beim Smart-TAN keine Zifferntasten. Um TANs erzeugen zu können, müssen Nutzer ihre Bankkarte in das Gerät einstecken, durch einen Knopfdruck erscheint auf dem Display eine TAN. Beim Online-Banking kann die Eingabe dieser TANs nur der Reihe nach erfolgen, das heißt, Nutzer können zwar mehrere Nummern generieren, aber für ihre Überweisung nur die letzte erzeugte Ziffernfolge zur Bestätigung der Überweisung nutzen. Aller vorher erzeugten Nummern sind ungültig. Die Bank ist in der Lage, jede TAN mit Hilfe der Kundenkarte zu überprüfen. Für die Generierung benötigt das Gerät den Chip der Kundenkarte. Mit dem Generator kann jeder durch Einstecken der Kundenkarte TANs generieren, er ist nicht an einen Bankkunden gebunden und daher nicht individualisiert. Daher haben Diebe die Möglichkeit, mit einer Karte auf jedem beliebigen TAN-Generator TANs zu erzeugen. Um sie benutzen zu können, benötigen sie jedoch nach wie vor die PIN für das Online-Banking. Die Gefahr von ungewollten Abbuchungen ist damit gering. Dennoch zeigen Tests, dass Smart-TAN anfällig für Man-in-the-middle-Angriffe oder für Phishing ist. Die TANs sind für jede Transaktion nutzbar, da sie nicht an bestimmte Aufträge gebunden sind.
Smart-TAN Plus
Eine Erweiterung von Smart-TAN stellt das Verfahren Smart-TAN Plus dar. Wie beim ersten Verfahren, erhalten Kunden von ihrem Kreditinstitut einen TAN-Generator. Er besitzt beim Smart-TAN Plus jedoch ein Ziffernfeld. Bei diesem Generator lassen sie wieder verschiedene Karten verschiedener Kreditinstitute einsetzen. Nach der Eingabe der notwendigen Daten für eine Überweisung erscheint auf dem Portal des Online-Banking ein Startcode. Danach müssen Kunden ihre Bankkarte in den TAN-Generator einstecken und den Code mit Hilfe des Ziffernfeldes eintippen und bestätigen. Einige Banken haben das System derart eingerichtet, dass vor der Bestätigung am TAN-Gerator die Eingabe der Zielkontonummer oder des Geldbetrages erfolgen muss. Nach der Bestätigung errechnet der Generator eine TAN, die nur für diesen Auftrag verwendbar ist. Nach der Eingabe der TAN erfolgt die Überweisungsbestätigung. Das Verfahren Smart-TAN Plus ist vor Angriffen in Form von Phishing oder Man-in-the-middle geschützt, da ein Vergleich zwischen den Daten beim Online-Portal und den Daten im Generator erfolgt. Wie beim Smart-TAN lassen sich mit den Geräten mit jeder Karte TANs erzielen. Allerdings wird weiterhin die PIN für Transaktionen benötigt. Beim Sperren der Karte lehnt das Kreditinstitut mit der Karte generierte TANs ab.
eTAN
Das erste Kreditinstitut, welches das eTAN-Verfahren eingeführt hat, war 2006 die BW Bank. Wie bei Smart-TAN und Smart-TAN Plus müssen Bankkunden zunächst von ihrem Kreditinstitut einen TAN-Generator kaufen. Dieser Generator erzeugt mit einem geheimen Schlüssel sowie einer aktuellen Uhrzeit und der Empfänger-Kontonummer einen TAN, die nur für eine bestimmte Zeit gilt. Die Eingabe der Kontonummer des Empfängers muss über das Ziffernfeld des Generators erfolgen. Die TAN können sie daraufhin wie gewohnt für die Überweisung einsetzen. Das Verfahren eTAN ist vor Man-in-the-middle-Angriffen sicher, ebenso vor Angriffen durch Phishing. Allerdings müssen Nutzer darauf achten, die korrekte Empfänger-Kontonummer anzugeben. Die TAN-Generatoren sind wie beim Smart-TAN mit unterschiedlichen Karten nutzbar, verlangen jedoch für die Auslösung einer Transaktion in jedem Fall die PIN für das Online-Banking. Einige Banken verlangen statt Eingabe der Kontonummer die Angabe eines Startcodes, der nach der Online-Eingabe der Überweisungsdaten erscheint. In diesem können sich Hacker durch Man-in-the-middle-Methoden in die Transaktion einklinken, da keine Kontrolle der Empfängerkontonummer erfolgt.
mTAN
Bei der mobilen TAN, kurz mTAN, kommt das Handy bei Online-Banking-Transaktionen zum Einsatz. Daher trägt die mobile TAN auch die Bezeichnung smsTAN. Wenn Bankkunden alle Daten für die Überweisung eingegeben und bestätigt haben, erhalten sie innerhalb weniger Sekunden eine SMS. In der die Empfängerkontonummer und eine entsprechende TAN für die Bestätigung der Überweisung enthalten ist. Die in der SMS angegebene TAN ist nur für diese Transaktion verwendbar. Dieses Verfahren weist eine höhere Sicherheit als alle Verfahren mit iTAN oder TAN auf. Die Gültigkeit der durch SMS gesendeten TAN ist begrenzt, sie enthält Daten zum Empfänger und zum Überweisungsbetrag. Umleitungen mit einem Man-in-the-middle-Angriff sind mit mTAN nahezu ausgeschlossen. Phishing-Angriffe erschwert das System ebenfalls. Die erhöhte Sicherheit der mTAN ist zum Beispiel durch den TÜV Rheinland bestätigt.
Transaktionen mit der mTAN sind wesentlich flexibler als mit der TAN oder iTAN. Bankkunden müssen keine Listen mit sich herumtragen. Den Verlust des Handys bemerken Benutzer schneller als den Verlust der TAN-Liste oder ihrer Bankkarte. Einige Banken bieten sogar ein mTAN-System, bei dem Nutzer per SMS Informationen über gefälschte Überweisungsversuche erhalten. Sie können damit schneller ihr Konto sperren lassen. Falls es zu einem Verlust des Handys kommen sollte, können Diebe nur mit Hilfe der PIN Zugang zum Konto und damit zu Überweisungen erhalten. Die PIN darf daher nicht im Telefon gespeichert sein oder dem Handy beiliegen. Die Kosten für die Nutzung von mTAN hängen vom Geldinstitut ab. Einige verlangen für jede Überweisung Geld, andere bieten ihren Kunden ein bestimmtes Freikontingent pro Monat an und bei einigen Banken ist der Service kostenlos.
Angriffe auf das mTAN-Verfahren sind äußerst selten. Deutschland konnte seit der Einführung keine erfolgreichen Angriffe vermelden. Allerdings sind theoretisch Schadprogramme auf ein Smartphone einschleusbar, zum Beispiel über USB oder über das WLAN-Netz. Sie könnten Angaben auf dem Smartphone fälschen oder unterdrücken. Die Angriffe könnten sich neben dem Mobiltelefon auf die PIN, auf das GSM-Netz oder auf den Netzbetreiber richten. Den Zugang zur PIN ermöglichen herkömmliche Praktiken durch Trojaner oder durch Phishing-Methoden. Daraufhin loggt sich der Phisher beim Online-Konto ein, wo er die weiteren Daten wie etwa Name, Kontonummer, Bankleitzahl und die Mobiltelefonnummer erfährt. Das dazugehörige Netz lässt sich durch eine Netzanfrage ermitteln. Um diesen Angriff zu blockieren erscheint die Handynummer nicht komplett im Portal des Online-Banking.
Um Einfluss auf das GSM-Netz nehmen zu können, müssten Angreifer einen sogenannten IMSI-Catcher einsetzen oder die GSM-Verschlüsselung knacken. Bei beiden Methoden müssen sich die Angreifer in der Nähe des Mobiltelefons befinden. Eine weitere Möglichkeit, Zugang zum Handy zu bekommen, ist die Beantragung einer neuen SIM-Karte durch den Angreifer. Er beantragt die Karte im Namen des Opfers und kann sie im Geschäft sofort einsetzen lassen. Diesen Betrugsversuch ist jedoch ein Riegel vorgeschoben durch die Sperrung der alten Karte, was die Handynutzer schnell bemerken. Etwas aufwändiger gestaltet sich der Angriff über die Portierung der Handynummer. In diesem Fall kündigt der Betrüger den Mobilfunkvertrag und nutzt die Rufnummernmitnahme. Der Angreifer hätte nach der Zustellung der neuen SIM-Karte des neuen Anbieters ein gewisses Zeitfenster, um Manipulationen vorzunehmen.
chipTAN comfort
Ein relativ neues Verfahren stellt chipTAN comfort dar, auch bezeichnet als Smart-TAN optic. Der Einsatz erfolgt zum Beispiel bei Volksbanken, Sparkassen und der Postbank. Bei diesem Verfahren handelt es sich eine optische Erkennung. Bankkunden erwerben von ihrem Geldinstitut für einen Betrag von rund zwölf Euro einen TAN-Generator. Er besitzt einen Karteneinschub und ein Ziffernfeld. Die Rückseite der Generatoren ist mit fünf optischen Sensoren bestückt. Nachdem Kunden die Überweisungsdaten bei ihrem Online-Konto eingegeben und bestätigt haben, erscheint eine blinkende Grafik. Sie verfügt über flackernde Schwarz-Weiß-Flächen. Daraufhin stecken sie ihre Kundenkarte in den Generator, um ihn zu aktivieren. Anschließend halten sie den Generator in einem bestimmten Winkel an die Grafik auf dem Bildschirm. Die optischen Sensoren reagieren auf die Grafik und erhalten Lichtsignale, welche die Überweisungsdaten enthalten. Das Display des Generators zeigt die Daten an und fordert jeweils eine Bestätigung. Im Anschluss errechnet das Gerät eine auftragsbezogene TAN, welche der Kunde in das beim Online-Banking vorgesehene Feld eintippt.
Aufgrund der blinkenden Grafik trägt das Verfahren auch die Bezeichnung Flickering. Die rasant blinkenden schwarz-weißen Balken können bei Epileptikern Anfälle auslösen. Banken, die dieses System anbieten, weisen auf die Gefahr für Epileptiker in der Gebrauchsanleitung hin. Überprüfen Benutzer die angezeigten Überweisungsdaten, ist chipTAN ein äußerst sicheres System, bei dem keine Angriffe durch Phishing oder Man-in-the-middle möglich sind. Das optische Verfahren macht die Eingabe von Daten am Generator hinfällig, die Gefahr des Vertippens besteht somit nicht. Für weitere Sicherheit sorgt vor dem Einsatz des Generators die Registrierung bei der Bank mittels iTAN oder mTAN. Haben Nutzer nach dem Verlust ihrer Bankkarte diese gesperrt, lehnt das Kreditinstitut mit der Karte erzeugte TANs ab.
Dennoch zeigen sich bei dem ansonsten sicheren Verfahren Angriffsmöglichkeiten, zum Beispiel bei Sammelüberweisungen. Bei diesen Überweisungen zeigt das Generator-Display lediglich die Anzahl und den Gesamtbetrag. Die Anzeige der zahlreichen Empfängerkontonummern erfolgt nicht. Ein Angriff könnte auf jede einzelne Überweisung erfolgen und deren Daten verändern. Manipulationen sind in diesem Fall lediglich erkennbar, wenn sich der Gesamtbetrag oder die Anzahl der Überweisungen ändert. Andere Angriffe sind durch Umwandlungen von Einzel- in Sammelüberweisungen möglich. Bankkunden sehen im Display die Postenanzahl 1 und den Geldbetrag. Um diesem Angriff zu verhindern, sind Kreditinstitute dazu übergegangen, die Displayanzeige bei einem Posten zu ändern. Kunden erhalten nun die Kontonummer des Empfängers und den Betrag angezeigt, obwohl die Auszeichnung als Sammelüberweisung erfolgt.