Schon seit längerem werden Bankkunden von ihren Instituten umworben ihr bisheriges TAN-Verfahren auf das mTAN bzw. smsTAN Verfahren umzustellen.

Üblich im Onlinebanking war zuletzt iTAN. Man bekam eine nummerierte Liste mit TAN Nummern. Zur Bestätigung eines Auftrags wurde man zur Eingabe einer bestimmten Nummer von dieser Liste aufgefordert. Warum sollte man zum mTAN/smsTAN wechseln?

iTAN gilt nicht mehr als sicher. Durch Phishing- und Man-in-the-middle-Angriffe ist es möglich diese TAN-Nummern für betrügerische Transaktionen zu missbrauchen.

Dabei kann man sich vor Phishing-Attacken noch relativ einfach schützen. Das Kreditinstitut wird niemals zur Eingabe von TAN-Nummern und den dazugehörigen Index-Nummer (den Nummern der TAN) auffordern. Wird man zu einer solchen Eingabe aufgefordert deutet dies auf einen Betrugsversuch hin. Ausser zur Transaktionsbestätigung oder zum Login in den Onlinebankingbereich wird fragen Banken auch nie nach der persönlichen PIN. So ist es möglich sich mit gesundem Menschenverstand weitgehend vor Phishing-Attacken zu schützen.

Ein Man-in-the-middle Angriff ist nicht so einfach zu erkennen. Das hier aktive Schadprogramm arbeitet versteckt im Hintergrund. Das Risiko lässt sich hier nur durch den Einsatz einer Antivirussoftware minimieren.

Die iTAN-Liste hat aber noch einen weiteren Nachteil. Möchte man auch von unterwegs Überweisungen oder andere Transaktionen tätigen, die eine TAN erfordern, so ist man gezwungen stets die TAN-Liste mit sich zu führen. Nicht nur dass so die Gefahr steigt, dass Informationen leichter ausgespäht werden können. Es ist einfach unpraktisch immer diese Liste dabei haben zu müssen.

Aus dem zuletzt genannten Grund habe auch ich mich vor kurzem Entschieden mein TAN-Verfahren auf smsTAN umzustellen. Nach der Registrierung meiner Handynummer erhalte ich nun zur Bestätigung einer Transaktion eine SMS mit einer TAN auf mein Handy gesendet. Diese TAN ist auch nur für exakt diese Transaktion gültig. Wir in der SMS ein anderer Betrag oder Empfänger aufgeführt kann man sofort erkennen, dass ein Betrugsversuch stattfindet und den Vorgang abbrechen. Ganz davon abgesehen bietet es mehr Kompfort, da man nicht mehr auf eine Liste im Papierformat angewiesen ist. Ich nutze dieses Verfahren nun schon einige Zeit und bisher kamen alle SMS mit der TAN nur Sekunden nach dem Absenden eines Transaktionsauftrags. So musste ich bisher noch nie auf eine TAN warten.

Auch auf das smsTAN/mTAN Verfahren sind Angriffe möglich. Wikipedia führt mögliche Angriffe im Artikel über Transaktionsnummern auf. Die Gefahr, dass Kontonummer und PIN ausgespäht werden und anschließend ein Diebstahl des Handys erfolgt ist durchaus real. Zudem ist das Ausspähen und der Diebstahl des Telefons häufig noch weniger aufwändig, als bspw. die Durchführung einer Man-in-the-middle-Attack.

Zu beachten ist, dass die meisten Institute in ihren AGBs zum smsTAN-Verfahren darauf hinweisen, dass das Gerät zum Empfang der TANs nicht zum Onlinebanking verwendet werden darf. Der Grund ist einfach nachzuvollziehen. Betreibt man Onlinebanking auf dem gleichen Gerät, dass auch die TAN empfängt so kann schon der Diebstahl dieses einen Gerätes genügen um alle Informationen zu besitzen, um betrügerische Transaktionen durchzuführen.

Mein persönliches Fazit lautet daher, dass iTAN und smsTAN sich von der Sicherheit her nicht viel nehmen. Wenn man bei seinen Bankgeschäften gesunden Menschenverstand walten lässt, auf seinem Windows PC eine aktuelle Antivirussoftware einsetzt und seine Bankgeschäfte nur vom PC daheim aus führt ist iTAN genauso sicher und praktikabel wie smsTAN. Einzig wenn man auch von unterwegs Transaktionen tätigen muss oder möchte stellt smsTAN eine echte Erleichterung da.