So ziemlich jede Bank oder Sparkasse bietet ihren Kunden heute mehrere TAN-Verfahren für mehr oder weniger sicheres Online-Banking an. In diesem Artikel möchte ich die drei Verfahren smsTAN, pushTAN und chipTAN kurz allgemeinverständlich beschreiben und auf ihre Vor- und Nachteile eingehen.

smsTAN

smsTAN oder auch mTAN[1. Wikipedia: Mobile TAN] ist ein sehr weit verbreitetes Online-Banking Verfahren. Hierbei werden die Auftragsdetails und die Transaktionsnummer (TAN) an eine Mobilfunknummer gesendet. Als Kunde kann man so prüfen, ob Summe und Empfänger einer Überweisung korrekt sind und anschließend die übermittelte TAN zur Bestätigung eingeben.

Dieses Verfahren galt lange Zeit als sicher, solange man für das Online-Banking und den Empfang der smsTAN nicht ein und dasselbe Geräte nutzt.

Durch die große Verbreitung dieses Verfahrens haben Kriminelle in letzter Zeit jedoch eine Vielzahl möglicher Angriffe gegen dieses Verfahren entwickelt.[2. Wikipedia: Mögliche Angriffe auf mTAN] So berichtete heise Security bereits im August 2013 über zwei gelungene Angriffe auf das mTAN Verfahren.[3. heise: Angriffe auf mit mTAN geschützte Konten] Und nach aktuellen Berichten nehmen diese Angriffe weiter zu. Deutschland gehört dabei nach einem Bericht des Antivirus-Herstellers Kaspersky zu den Top-Angriffszielen in Europa.[4. Online-Banking: Verstärkte Angriffe auf das mTAN-Verfahren]

Dies verwundert nicht, rücken Smartphones durch ihre große Verbreitung doch immer stärker in den Fokus von Betrügern, Crackern und anderen Kriminellen. Für mich bedeutet das, dass es an der Zeit ist, mir ein neues TAN Verfahren auszusuchen.

pushTAN

Ein Verfahren, welches ich bisher noch nicht kannte, nennt sich pushTAN. Laut der Sparkassen Website ist dieses Verfahren besonders für Smartphones und Tablets geeignet, da hierbei TAN-Empfang und Transaktion auf einem Gerät erfolgen können.[5. Sparkasse: Vorteile pushTAN] Bei dieser Aussage sträuben sich mir jedoch die Nackenhaare.

Transaktion und TAN-Empfang auf ein und demselben Gerät? Dies ist in meinen Augen vielleicht bequem aber keinesfalls sicher. Zwar schreibt die Sparkasse, dass die TAN in einem TÜV-zertifizierten und passwortgeschützten Bereich einer S-pushTAN-App angezeigt werden, doch befindet sich alles, was man zum Abräumen des Kontos braucht, auf einem Gerät. Geschützt nur durch Benutzername und Passwort. Doch gerade auf diese Daten haben es Kriminelle abgesehen. Sie versuchen diese Daten mittels Phishing und Trojanern zu erbeuten. Diese Angriffe sind bereits in Sozialen Netzwerken und auf PCs und Notebooks sehr erfolgreich und werden aktuell und in Zukunft auch auf mobile Geräte übergreifen.

Daher lautet mein persönliches Fazit: pushTAN ist viel zu bequem, um noch wirklich sicher zu sein. Daher lautet mein Rat: Hände weg!

Update vom 25.10.2015: App-TANs der Sparkasse demontiert

Was ich bereits im Mai vergangenen Jahres am PushTAN-Verfahren kritisierte, wurde nun von Forschern der Uni Erlangen bestätigt. heiseSecurity berichtet[6. Forscher demontieren App-TANs der Sparkasse], dass es den Forschern gelungen ist, eine in Auftrag gegebene Überweisung abzufangen und zu verändern. Zitat:

Durch gezielte Manipulationen im Betrieb der Sparkassen-App fängt ihr Schadcode eine vom Nutzer in Auftrag gegebene Überweisung ab und verändert diese. Die vom Anwender tatsächlich durchgeführte Überweisung sendet dann einen deutlich höheren Betrag an ein anderes Konto. Der Anwender hat dabei keine Chance die Manipulation zu erkennen, da „die angezeigten Daten zu jeder Zeit des Transaktionsprozesses den eingegeben Werten entsprechen“.

Der schriftliche Bericht von Vincent Haupert und Tilo Müller sowie ein Presseartikel in deutscher und englischer Sprache sind über die Webseite (In)Security of App-based TAN Methods in Online Banking abrufbar.

Für jene, denen Sicherheit beim Online-Banking wichtig ist, wiederhole ich meinen Rat: Hände weg von PushTAN! Jetzt erst recht!

chipTAN

Bleibt als letztes Verfahren aus unserem Trio noch das chipTAN Verfahren.[7. Beschreibung chipTAN] Hierbei kommt ein sogenannter TAN-Generator[8. Wikipedia: TAN-Generator] zum Einsatz, welcher die zur Autorisierung einer Transaktion notwendige TAN generiert.

Um nun eine Überweisung zu tätigen, meldet ihr euch wie gewohnt im Online-Banking an und bereitet eure Überweisung vor. Sendet ihr den Auftrag ab, erscheint eine kleine Grafik auf dem Bildschirm. Nun steckt ihr eure EC-Karte in den TAN-Generator und haltet diesen vor die kleine Grafik. Die Transaktionsdaten werden nun vom TAN-Generator eingelesen und auf diesem nochmals angezeigt. Stimmen alle Daten mit denen auf dem PC überein, könnt ihr eine TAN für diesen Auftrag generieren und die Überweisung autorisieren.

Die Medien, welche zur Auftragsausführung benötigt werden, teilen sich hierbei auf Computer/Tablet, TAN-Generator und EC-Karte auf. Da die TAN beim Kunden generiert wird und nicht erst zu diesem transportiert werden muss, kann sie auch nicht per Phishing oder Trojaner abgefangen werden.[9. Sparkasse: chipTAN Details]

Es ist nicht ausgeschlossen, dass Kriminelle auch Angriffe gegen dieses TAN-Verfahren entwickeln und in Zukunft damit erfolgreich sein könnten. Doch stellt es zum aktuellen Zeitpunkt in meinen Augen das sicherste TAN-Verfahren dar. Ich werde mein TAN-Verfahren gleich zum Beginn kommender Woche auf chipTAN umstellen. Und falls ihr es nicht bereits nutzt, solltet ihr zumindest darüber nachdenken, ob ihr euer TAN-Verfahren nicht auch umstellen solltet.