Homebanking mit PIN und TAN, iTan und mTan

Momentan verwenden die meisten Homebanking-Anwender das PIN/TAN-System. Dieses beruht auf der Nutzung von Persönlichen Identifikations Nummern (PIN) und  TransAktionsNummern (TAN). Was genau dahinter steckt und welche neueren Systeme es gibt, lesen Sie hier.

Homebanking mit PIN und TAN

Der Benutzer ruft die Internetseite seiner Bank auf. Dabei handelt es sich normalerweise schon um eine verschlüsselte Verbindung per https. Dort wird dann oft ein Java-Programm aufgerufen, das die eigentliche Banking-Funktionalität zur Verfügung stellt. Dieses Programm verschlüsselt meist die übertragenen Daten noch einmal zusätzlich.

Der Benutzer gibt dann dort seine Kontonummer und seine PIN an. Die PIN ist meist eine  etwa fünfstellige Zahl, manchmal kann man auch Kombinationen aus Zahlen und Buchstaben verwenden. Die PIN kann der Kunde normalerweise beliebig ändern. Die PIN sollte regelmäßig geändert werden, läuft aber bei den meisten Banken nicht ab.

Jetzt kann der Benutzer seine Kontodaten (Kontostand, getätigte Überweisungen und Abhebungen etc.) ansehen und allgemeine Einstellungen vornehmen.

Wenn er einen Auftrag geben will, dann braucht er eine Transaktionsnummer (TAN). Transaktionsnummern sind nur einmalig verwendbar und verfallen danach. Der Kunde erhält die Transaktionsnummern normalerweise per Brief in Blöcken zu ca. 50 Stück (variiert leicht von Bank zu Bank). Üblicherweise braucht man pro Überweisung eine TAN.

Nach Anbruch eines neuen Blocks werden normalerweise alle TAN des vorher  verwendeten Blocks ungültig.

Vorteile des Systems PIN/TAN beim Homebanking

  • Selbst wenn jemand die PIN des Kunden erhält, kann er noch keine schädlichen Aktionen durchführen. Dies geht erst nach Beschaffung einer oder mehrerer TANs.
  • Der Kunde kann seine TANs selber sperren – entweder durch Beginn eines neuen Blocks oder durch explizite Sperrung.
  • Dadurch, daß die TANs nur einmal verwendet werden können, wird es für den Benutzer normalerweise uninteressant, die TANs auf der Festplatte zu speichern. Der Aufwand, diese einzeln einzugeben, wäre deutlich höher als der erwartete Nutzen.

Nachteile des Systems PIN/TAN

  • Die Verwendung von den TANs ist relativ aufwändig
  • Die ortsunabhängige Nutzung wird erschwert, da der Nutzer immer den TAN-Block mitführen muß um Transaktionen auszuführen
  • Manche Programme bieten die Möglichkeit, TANs zu speichern, was zwar bequem ist, aber allen Sicherheitskriterien zuwiderläuft
  • Phishing zielt darauf ab, dass unbefangene User ihre PIN und eine oder mehrere TAN an Betrüger verraten

Zusammenfassung des Systems PIN/TAN

Bei ordnungsgemäßer Nutzung und kritischem Umgang ist diese Methode schon recht sicher, wenn auch nicht optimal. Besser wäre Homebanking per HBCI.

Homebanking mit iTAN

Da in der neueren Zeit sehr viele Phishing-Attacken darauf abzielen, an TAN von Bankkunden zu kommen haben verschiedene Banken ein überarbeitetes TAN-Verfahren eingeführt: das sogenannte iTAN oder „indiziertes TAN-Verfahren“.

Beim alten TAN-Verfahren konnte der Kunde zur Autorisation der Transaktion eine beliebige TAN von seiner aktuellen Liste verwenden. Damit konnte auch jeder, der eine beliebige TAN in die Hände bekam, eine Transaktion (z.B. Überweisung) ausführen.

Beim iTAN-Verfahren hat jede TAN eine fortlaufende Nummer und der Server der Bank gibt diejenige TAN vor, die zum Ausführen des Auftrags genutzt werden muß. Alle anderen TAN der Liste sind für den Auftrag nicht verwendbar. Damit wird die Gefahr durch Phishing wesentlich minimiert. Besser wäre freilich eine komplette Umstellung auf HBCI.

Homebanking mit mTAN

Verschiedene Banken bieten mittlerweile zusätzlich eine TAN-Version an, die sich mTAN nennt. Das „m“ steht hierbei für „mobile“ was schon darauf hindeutet, dass das Handy des Benutzers eine wesentliche Rolle spielt. Konkret läuft das so ab:

Nachdem man sich für das mobile TAN-Verfahren angemeldet und identifiziert hat erhält man künftig bei jeder Überweisung folgende Daten per SMS aufs Handy:

  • Überweisungsbetrag
  • Kontonummer des Empfängers
  • TAN, die nur exakt für diese eine Transaktion gültig ist.

Das Verfahren macht auf den ersten Blick einen guten Eindruck, kann sich aber in Verbindung mit diversen Phishing-Varianten zu einer Gefahr entwickeln.