{"id":147,"date":"2011-10-28T09:38:05","date_gmt":"2011-10-28T07:38:05","guid":{"rendered":"https:\/\/www.my-it-brain.de\/?p=147"},"modified":"2014-03-15T11:38:48","modified_gmt":"2014-03-15T09:38:48","slug":"onlinebanking-mit-itan-und-mtan","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/onlinebanking-mit-itan-und-mtan\/","title":{"rendered":"Onlinebanking mit iTAN und mTAN"},"content":{"rendered":"<p>Schon seit l\u00e4ngerem werden Bankkunden von ihren Instituten umworben ihr bisheriges <a title=\"\u00dcberblick TAN-Verfahren\" href=\"http:\/\/de.wikipedia.org\/wiki\/Transaktionsnummer\" target=\"_blank\">TAN-Verfahren<\/a> auf das mTAN bzw. smsTAN Verfahren umzustellen.<\/p>\n<p>\u00dcblich im Onlinebanking war zuletzt iTAN. Man bekam eine nummerierte Liste mit TAN Nummern. Zur Best\u00e4tigung eines Auftrags wurde man zur Eingabe einer bestimmten Nummer von dieser Liste aufgefordert. Warum sollte man zum mTAN\/smsTAN wechseln?<\/p>\n<p>iTAN gilt nicht mehr als sicher. Durch <a title=\"Phishingangriff\" href=\"http:\/\/www.techfacts.de\/ratgeber\/was-ist-phishing\" target=\"_blank\">Phishing-<\/a> und <a title=\"Man-in-the-middle-Angriff\" href=\"http:\/\/de.wikipedia.org\/wiki\/Man-in-the-middle\" target=\"_blank\">Man-in-the-middle-<\/a>Angriffe ist es m\u00f6glich diese TAN-Nummern f\u00fcr betr\u00fcgerische Transaktionen zu missbrauchen.<\/p>\n<p>Dabei kann man sich vor Phishing-Attacken noch relativ einfach sch\u00fctzen. Das Kreditinstitut wird niemals zur Eingabe von TAN-Nummern und den dazugeh\u00f6rigen Index-Nummer (den Nummern der TAN) auffordern. Wird man zu einer solchen Eingabe aufgefordert deutet dies auf einen Betrugsversuch hin. Ausser zur Transaktionsbest\u00e4tigung oder zum Login in den Onlinebankingbereich wird fragen Banken auch nie nach der pers\u00f6nlichen PIN. So ist es m\u00f6glich sich mit gesundem Menschenverstand weitgehend vor Phishing-Attacken zu sch\u00fctzen.<\/p>\n<p>Ein Man-in-the-middle Angriff ist nicht so einfach zu erkennen. Das hier aktive Schadprogramm arbeitet versteckt im Hintergrund. Das Risiko l\u00e4sst sich hier nur durch den Einsatz einer Antivirussoftware minimieren.<\/p>\n<p>Die iTAN-Liste hat aber noch einen weiteren Nachteil. M\u00f6chte man auch von unterwegs \u00dcberweisungen oder andere Transaktionen t\u00e4tigen, die eine TAN erfordern, so ist man gezwungen stets die TAN-Liste mit sich zu f\u00fchren. Nicht nur dass so die Gefahr steigt, dass Informationen leichter ausgesp\u00e4ht werden k\u00f6nnen. Es ist einfach unpraktisch immer diese Liste dabei haben zu m\u00fcssen.<\/p>\n<p>Aus dem zuletzt genannten Grund habe auch ich mich vor kurzem Entschieden mein TAN-Verfahren auf <a title=\"smsTAN\" href=\"http:\/\/de.wikipedia.org\/wiki\/Transaktionsnummer#Mobile_TAN_.28mTAN.29\" target=\"_blank\">smsTAN<\/a> umzustellen. Nach der Registrierung meiner Handynummer erhalte ich nun zur Best\u00e4tigung einer Transaktion eine SMS mit einer TAN auf mein Handy gesendet. Diese TAN ist auch nur f\u00fcr exakt diese Transaktion g\u00fcltig. Wir in der SMS ein anderer Betrag oder Empf\u00e4nger aufgef\u00fchrt kann man sofort erkennen, dass ein Betrugsversuch stattfindet und den Vorgang abbrechen. Ganz davon abgesehen bietet es mehr Kompfort, da man nicht mehr auf eine Liste im Papierformat angewiesen ist. Ich nutze dieses Verfahren nun schon einige Zeit und bisher kamen alle SMS mit der TAN nur Sekunden nach dem Absenden eines Transaktionsauftrags. So musste ich bisher noch nie auf eine TAN warten.<\/p>\n<p>Auch auf das smsTAN\/mTAN Verfahren sind Angriffe m\u00f6glich. Wikipedia f\u00fchrt <a title=\"m\u00f6gliche Angriffe\" href=\"http:\/\/de.wikipedia.org\/wiki\/Transaktionsnummer#M.C3.B6gliche_Angriffe\" target=\"_blank\">m\u00f6gliche Angriffe<\/a> im Artikel \u00fcber Transaktionsnummern auf. Die Gefahr, dass Kontonummer und PIN ausgesp\u00e4ht werden und anschlie\u00dfend ein Diebstahl des Handys erfolgt ist durchaus real. Zudem ist das Aussp\u00e4hen und der Diebstahl des Telefons h\u00e4ufig noch weniger aufw\u00e4ndig, als bspw. die Durchf\u00fchrung einer Man-in-the-middle-Attack.<\/p>\n<p><strong>Zu beachten ist<\/strong>, dass die meisten Institute in ihren AGBs zum smsTAN-Verfahren darauf hinweisen, dass das Ger\u00e4t zum Empfang der TANs nicht zum Onlinebanking verwendet werden darf. Der Grund ist einfach nachzuvollziehen. Betreibt man Onlinebanking auf dem gleichen Ger\u00e4t, dass auch die TAN empf\u00e4ngt so kann schon der Diebstahl dieses einen Ger\u00e4tes gen\u00fcgen um alle Informationen zu besitzen, um betr\u00fcgerische Transaktionen durchzuf\u00fchren.<\/p>\n<p>Mein pers\u00f6nliches Fazit lautet daher, dass iTAN und smsTAN sich von der Sicherheit her nicht viel nehmen. Wenn man bei seinen Bankgesch\u00e4ften gesunden Menschenverstand walten l\u00e4sst, auf seinem Windows PC eine aktuelle Antivirussoftware einsetzt und seine Bankgesch\u00e4fte nur vom PC daheim aus f\u00fchrt ist iTAN genauso sicher und praktikabel wie smsTAN. Einzig wenn man auch von unterwegs Transaktionen t\u00e4tigen muss oder m\u00f6chte stellt smsTAN eine echte Erleichterung da.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Schon seit l\u00e4ngerem werden Bankkunden von ihren Instituten umworben ihr bisheriges TAN-Verfahren auf das mTAN bzw. smsTAN Verfahren umzustellen. \u00dcblich im Onlinebanking war zuletzt iTAN. Man bekam eine nummerierte Liste mit TAN Nummern. Zur Best\u00e4tigung eines Auftrags wurde man zur Eingabe einer bestimmten Nummer von dieser Liste aufgefordert. Warum sollte man zum mTAN\/smsTAN wechseln? iTAN<span class=\"continue-reading\"> <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/onlinebanking-mit-itan-und-mtan\/\">[Weiterlesen&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-147","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/147","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=147"}],"version-history":[{"count":3,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/147\/revisions"}],"predecessor-version":[{"id":731,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/147\/revisions\/731"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=147"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=147"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=147"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}