So ziemlich jede Bank oder Sparkasse bietet ihren Kunden heute mehrere TAN-Verfahren f\u00fcr mehr oder weniger sicheres Online-Banking an. In diesem Artikel m\u00f6chte ich die drei Verfahren smsTAN, pushTAN und chipTAN kurz allgemeinverst\u00e4ndlich beschreiben und auf ihre Vor- und Nachteile eingehen.<\/p>\n
smsTAN oder auch mTAN[1. Wikipedia: Mobile TAN<\/a>] ist ein sehr weit verbreitetes Online-Banking Verfahren. Hierbei werden die Auftragsdetails und die Transaktionsnummer (TAN) an eine Mobilfunknummer gesendet. Als Kunde kann man so pr\u00fcfen, ob Summe und Empf\u00e4nger einer \u00dcberweisung korrekt sind und anschlie\u00dfend die \u00fcbermittelte TAN zur Best\u00e4tigung eingeben.<\/p>\n Dieses Verfahren galt lange Zeit als sicher, solange man f\u00fcr das Online-Banking und den Empfang der smsTAN nicht ein und dasselbe Ger\u00e4te nutzt.<\/p>\n Durch die gro\u00dfe Verbreitung dieses Verfahrens haben Kriminelle in letzter Zeit jedoch eine Vielzahl m\u00f6glicher Angriffe gegen dieses Verfahren entwickelt.[2. Wikipedia: M\u00f6gliche Angriffe auf mTAN<\/a>] So berichtete heise Security bereits im August 2013 \u00fcber zwei gelungene Angriffe auf das mTAN Verfahren.[3. heise: Angriffe auf mit mTAN gesch\u00fctzte Konten<\/a>] Und nach aktuellen Berichten nehmen diese Angriffe weiter zu. Deutschland geh\u00f6rt dabei nach einem Bericht des Antivirus-Herstellers Kaspersky zu den Top-Angriffszielen in Europa.[4. Online-Banking: Verst\u00e4rkte Angriffe auf das mTAN-Verfahren<\/a>]<\/p>\n Dies verwundert nicht, r\u00fccken Smartphones durch ihre gro\u00dfe Verbreitung doch immer st\u00e4rker in den Fokus von Betr\u00fcgern, Crackern und anderen Kriminellen. F\u00fcr mich bedeutet das, dass es an der Zeit ist, mir ein neues TAN Verfahren auszusuchen.<\/p>\n Ein Verfahren, welches ich bisher noch nicht kannte, nennt sich pushTAN<\/a>. Laut der Sparkassen Website ist dieses Verfahren besonders f\u00fcr Smartphones und Tablets geeignet, da hierbei TAN-Empfang und Transaktion auf einem Ger\u00e4t erfolgen k\u00f6nnen.[5. Sparkasse: Vorteile pushTAN<\/a>] Bei dieser Aussage str\u00e4uben sich mir jedoch die Nackenhaare.<\/p>\n Transaktion und TAN-Empfang auf ein und demselben Ger\u00e4t? Dies ist in meinen Augen vielleicht bequem aber keinesfalls sicher. Zwar schreibt die Sparkasse, dass die TAN in einem T\u00dcV-zertifizierten und passwortgesch\u00fctzten Bereich einer S-pushTAN-App angezeigt werden, doch befindet sich alles, was man zum Abr\u00e4umen des Kontos braucht, auf einem Ger\u00e4t. Gesch\u00fctzt nur durch Benutzername und Passwort. Doch gerade auf diese Daten haben es Kriminelle abgesehen. Sie versuchen diese Daten mittels Phishing und Trojanern zu erbeuten. Diese Angriffe sind bereits in Sozialen Netzwerken und auf PCs und Notebooks sehr erfolgreich und werden aktuell und in Zukunft auch auf mobile Ger\u00e4te \u00fcbergreifen.<\/p>\n Daher lautet mein pers\u00f6nliches Fazit: pushTAN ist viel zu bequem, um noch wirklich sicher zu sein. Daher lautet mein Rat: H\u00e4nde weg!<\/p>\n Was ich bereits im Mai vergangenen Jahres am PushTAN-Verfahren kritisierte, wurde nun von Forschern der Uni Erlangen best\u00e4tigt. heiseSecurity berichtet[6. Forscher demontieren App-TANs der Sparkasse<\/a>], dass es den Forschern gelungen ist, eine in Auftrag gegebene \u00dcberweisung abzufangen und zu ver\u00e4ndern. Zitat:<\/p>\n Durch gezielte Manipulationen im Betrieb der Sparkassen-App f\u00e4ngt ihr Schadcode eine vom Nutzer in Auftrag gegebene \u00dcberweisung ab und ver\u00e4ndert diese. Die vom Anwender tats\u00e4chlich durchgef\u00fchrte \u00dcberweisung sendet dann einen deutlich h\u00f6heren Betrag an ein anderes Konto. Der Anwender hat dabei keine Chance die Manipulation zu erkennen, da „die angezeigten Daten zu jeder Zeit des Transaktionsprozesses den eingegeben Werten entsprechen“.<\/p><\/blockquote>\n Der schriftliche Bericht von Vincent Haupert und Tilo M\u00fcller sowie ein Presseartikel in deutscher und englischer Sprache sind \u00fcber die Webseite (In)Security of App-based TAN Methods in Online Banking<\/a> abrufbar.<\/p>\n F\u00fcr jene, denen Sicherheit beim Online-Banking wichtig ist, wiederhole ich meinen Rat: H\u00e4nde weg von PushTAN! Jetzt erst recht!<\/strong><\/p>\n Bleibt als letztes Verfahren aus unserem Trio noch das chipTAN Verfahren.[7. Beschreibung chipTAN<\/a>] Hierbei kommt ein sogenannter TAN-Generator[8. Wikipedia: TAN-Generator<\/a>] zum Einsatz, welcher die zur Autorisierung einer Transaktion notwendige TAN generiert.<\/p>\n Um nun eine \u00dcberweisung zu t\u00e4tigen, meldet ihr euch wie gewohnt im Online-Banking an und bereitet eure \u00dcberweisung vor. Sendet ihr den Auftrag ab, erscheint eine kleine Grafik auf dem Bildschirm. Nun steckt ihr eure EC-Karte in den TAN-Generator und haltet diesen vor die kleine Grafik. Die Transaktionsdaten werden nun vom TAN-Generator eingelesen und auf diesem nochmals angezeigt. Stimmen alle Daten mit denen auf dem PC \u00fcberein, k\u00f6nnt ihr eine TAN f\u00fcr diesen Auftrag generieren und die \u00dcberweisung autorisieren.<\/p>\n Die Medien, welche zur Auftragsausf\u00fchrung ben\u00f6tigt werden, teilen sich hierbei auf Computer\/Tablet, TAN-Generator und EC-Karte auf. Da die TAN beim Kunden generiert wird und nicht erst zu diesem transportiert werden muss, kann sie auch nicht per Phishing oder Trojaner abgefangen werden.[9. Sparkasse: chipTAN Details<\/a>]<\/p>\n Es ist nicht ausgeschlossen, dass Kriminelle auch Angriffe gegen dieses TAN-Verfahren entwickeln und in Zukunft damit erfolgreich sein k\u00f6nnten. Doch stellt es zum aktuellen Zeitpunkt in meinen Augen das sicherste TAN-Verfahren dar. Ich werde mein TAN-Verfahren gleich zum Beginn kommender Woche auf chipTAN umstellen. Und falls ihr es nicht bereits nutzt, solltet ihr zumindest dar\u00fcber nachdenken, ob ihr euer TAN-Verfahren nicht auch umstellen solltet.<\/p>\n","protected":false},"excerpt":{"rendered":" So ziemlich jede Bank oder Sparkasse bietet ihren Kunden heute mehrere TAN-Verfahren f\u00fcr mehr oder weniger sicheres Online-Banking an. In diesem Artikel m\u00f6chte ich die drei Verfahren smsTAN, pushTAN und chipTAN kurz allgemeinverst\u00e4ndlich beschreiben und auf ihre Vor- und Nachteile eingehen. smsTAN smsTAN oder auch mTAN[1. Wikipedia: Mobile TAN] ist ein sehr weit verbreitetes Online-Banking [Weiterlesen…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[95],"tags":[96,248,247],"class_list":["post-767","post","type-post","status-publish","format-standard","hentry","category-security-2","tag-online-banking","tag-online-ueberweisung","tag-tan"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/767","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=767"}],"version-history":[{"count":9,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/767\/revisions"}],"predecessor-version":[{"id":2137,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/767\/revisions\/2137"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=767"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=767"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=767"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}pushTAN<\/h2>\n
Update vom 25.10.2015: App-TANs der Sparkasse demontiert<\/h3>\n
chipTAN<\/h2>\n