Onlinebanking, Homebanking, TAN, iTAN, iTANplus, mTAN, chipTAN, HBCI-Module fast jeder benutzt den Onlinezugang zu seinen Konten und erledigt die Überweisungen online. Doch welche Verfahren gibt es und wie sicher sind diese.
Update: 20.03.2013
Im unteren Bereich wurde dieser Artikel um die zwei neuen TAN-Verfahren "Photo-TAN" und "QR-TAN" erweitert.
Prinzipiell unterscheidet man zwischen zwei Arten. Dem Onlinebanking und dem Homebanking. Wie das Wort Onlinebanking schon sagt ist man hierbei permanent Online. Man wählt sich über einen Browser auf die jeweilige Bankenseite ein. Durch die vorher von der Bank zugesandten Login Daten hat man nun Zugang zu seinem Girokonto. Das Homebanking kann offline verwendet werden. Nur zur Übermittlung der Daten muss eine Verbindung aufgebaut werden.
Das Onlinebanking
Hat man Zugang zu seinem Konto, gibt es verschiedene Verfahren seine Überweisungen oder andere Transaktionen vorzunehmen.
TAN
Das älteste Verfahren und damit unsicherste ist das sogenannte TAN-Verfahren. Hierbei wird einem von der Bank eine TAN-Liste zugeschickt. In der Eingabemaske muss neben den üblichen Daten wie Empfänger, Kontonummer, Bankleitzahl und Verwendungszweck jede Transaktion mit einem beliebigen TAN von der Liste verifiziert werden. Die Auswahl erfolgt willkürlich vom Eingeber. Dieses Verfahren gilt als sehr unsicher und es gibt kaum noch Institute die sich dessen bedienen, da es sehr leicht für Phishing-Angriffe ausgenutzt werden kann.
iTAN
Abgelöst wurde das TAN-System vom iTAN-Verfahren. Hierbei fordert die Bank einen bestimmten TAN der Liste vor. Nur mit dieser TAN kann die entsprechende Transaktion bestätigt werden. Nachteil zum TAN-Verfahren ist, dass die Liste immer mitgeführt werden muss, um von unterwegs eine Überweisung zu tätigen. Das iTAN Verfahren gilt zwar sicherer als das TAN-Verfahren, jedoch können Hacker auch hier über Phishing-Taktiken
iTANplus
Beim iTANplus Verfahren wird bei einer Überweisung zusätzlich zur indizierten TAN-Nummer ein sogenanntes CAPTCHA gefordert. Dabei wird ein Kontrollbild mit den Daten der Überweisung, der geforderten TAN und ihr Geburtsdatum eingeblendet. Das maschinelle Auslesen soll wird damit stark erschwert. Dies stellt einen Fortschritt dar, ist aber auch gerade dabei vom mTAN-Verfahren abgelöst zu werden.
mTAN
Beim mTAN-Banking wird vorher eine Mobilnummer bei der Bank hinterlegt. Diese empfängt eine von einem Zufallsgenerator erzeute TAN welche an das hinterlegte Mobiltelefon gesandt wird. Die übersendete TAN ist nur für diesen Auftrag gültig und enthält häufig einen Teil der Kontonummer und den zu überweisenden Betrag. Nach der TAN erfolgt die Überweisung. Diese Art der Überweisung gilt als sehr sicher und wird von nahezu allen Banken angeboten. Der Nachteil hierbei ist, man braucht natürlich ein Mobiltelefon und Empfang.
chipTan
Beim chipTAN-Banking erhält man vom jeweiligen Institut (meistens gegen eine Gebühr) einen Taschenrechner grossen TAN-Generator mit einem Einschubschaft für die EC-Karte. Durch ein Abfragesystem von Geheimzahlen und das generieren von TAN´s können nun nach dem Login verschieden Transaktionen ohne weitere Eingabe von TAN´s erfolgen. Auch diese Methode gilt als sehr sicher. Ein Nachteil hierbei ist sicher das man sich mehrere Geheimzahlen merken muss und das der TAN-Generator stets dabei sein muss.
Für welches System man sich nun entscheidet bleibt jedem selbst überlassen. Was den Sicherheitsaspekt angeht, empfiehlt sich mTAN oder chipTAN. Die anderen Varianten gibt es nicht mehr oder werden langsam aussterben.
Photo-TAN
Ein sehr neues Verfahren im Online-Banking ist die Photo-TAN. Derzeit (Stand: 20.03.2013) bietet nur die Commerzbank dieses Verfahren in Deutschland an. Vom Prinzip ist dieses Verfahren sehr einfach zu verstehen. Auf dem Smartphone wird eine kostenlose App der Commerzbank installiert. Die Installation muss natürlich nur einmal gemacht werden. Nun trägt man online wie gewohnt die Daten für die Überweisung ein. Ist man damit fertig, so wird einem ein buntes Bild angezeigt. Dieses Bild scannt man dann über die Kamera vom Smartphone mit Hilfe der Commerzbank App ein. Anschließend wird neben den zusammengefassten Überweisungsdetails auch eine siebenstellige TAN auf dem Smartphone Display angezeigt. Diese TAN gibt man dann einfach in die Online-Maske am Rechner ein und schon ist die Überweisung bestätigt.
Der Vorteil an diesem Verfahren ist das man keinen TAN-Bogen mehr braucht. Zur Aktivierung dieses Verfahrens wird dem Nutzer ein Brief mit einem farbigen Bild von der Bank zugesandt. Dieses muss mit der App auf dem Smartphone einmalig eingescannt werden, so ist dann genau dieses Smartphone für das Banking-Verfahren aktiviert. Ab diesem Zeitpunkt kann nur mit dem eigenen Smartphone eine TAN generiert werden und das auch nur für das eigene Konto.
Wer kein Smartphone hat, kann sich auch ein Lesegerät für 14,90 Euro von der Commerzbank zuschicken lassen.
QR-TAN
Auch dieses Verfahren wird derzeit in Deutschland nur von einer Bank angeboten und zwar der 1822 Direkt Bank. Das QR-TAN-Verfahren ist ähnlich dem der Photo-TAN. Nur kann die QR-TAN auch komplett ohne TAN auskommen. Auch hier wird eine App auf dem Smartphone benötigt, welche kostenlos zur Verfügung steht. Darüber hinaus muss auch hier das Smartphone mit dem Konto über einen zugeschickten Brief verknüpft werden. Zusätzlich muss hier der Kunde aber noch vor dem Benutzen der App jedes Mal ein Kennwort eingeben, was eine zusätzliche Sicherheit gewährleisten soll.
Wurde dann also am Rechner online eine Überweisung eingegeben, wird am Display/Bildschirm des Rechner ein QR-Code im Browser-Fenster angezeigt. Diesen muss man dann mit dem Smartphone und der App einscannen. Hat das Smartphone dann bereits eine Internetverbindung, so wird eine verschlüsselte Verbindung zur Bank aufgebaut und die Transaktion autorisiert. Nun muss der Kunde nur noch mit einem Klick im Browser-Fenster, am Rechner die Überweisung bestätigen.
Hat das Smartphone keine Internetverbindung, so wird dann mit Hilfe des QR-Codes eine TAN generiert, welche dann in der Online-Maske der Bank eingetragen werden muss.
Übrigens bei allen o.g. Systemen erfolgt die Übermittlung der sensiblen Daten über eine sichere SSL-Verschlüsselung. Der Kunde wird dabei mit den Bankenportal verbunden.
Hinweis:
Bei jeder über das Onlinebanking getätigten Überweisung haftet immer der Kunde. Die Bank wälzt die Haftung komplett auf den Kunden ab. Es obliegt dem Kunden falsche Überweisungen zu korrigieren und sich das überwiesene Geld wieder zu holen.
Das Homebanking
Im Gegesatz zum Onlinebanking muss man beim Homebanking (mit separater Software) nicht die ganze Zeit online sein. Meistens verwendet man im Offlinemodus eine von der Bank mitgelieferte Software oder aber eine kompatible, käuflich Erworbene. Nach der Eingabe der Überweisungsdaten oder Buchungen verbindet man sich mit dem Portal der Bank.
Desweiteren ist ein sogenanntes HBCI-Modul erforderlich (HBCI= Home Banking Computer Interface). Dieses HBCI-Modul gibt es mit oder ohne Karteneinschub und wird meistens von der Bank geliefert. Achtung hier können Geühren entstehen. Die Verbindung zum Computer erfolgt meist über den USB-Port.
Auch diese Alternative besonders in Verbindung mit einem HBCI-Modul mit Karteneinschub gilt als sehr sicher. Falls man in die Verlegenheit kommt mehrere Konten zu besitzen, ist das Homebanking sicherlich zu bevorzugen, da alle Konten übersichtlich verwaltet werden können.
In einer weiteren Variante des Homebankings gibt der Anwender die Überweisungdaten am Bildschirm ein. Eine animierte Grafik erscheint. Nachdem man die Karte in das Gerät eingeführt hat, hält man den TAN-Generator vor den Bildschirm. Das Gerät liest die Daten ein und erzeugt eine TAN. Dieser TAN widerrum wird nun am Bildschirm eingegeben. Die Überweisung wird ausgeführt. Auch diese Methode gilt als besonders sicher. Tauchen Probleme beim Scannen auf, kann alternativ alles über den TAN-Generator eingegeben werden. Auch hier gelten die gleichen Haftungsbedingungen wie beim Onlinebanking.
Hinweis:
Momentan sind die sicherstens Verfahren im Onlinebanking das mTAN und chipTAN. Beim Homebanking liegt das Modell mit Einschubschacht vorne. Achtet Sie auf die Gebühren! Beim Onlinebanking sollte die Kontoführung kostenlos sein. Einige Banken verlangen Gebühren für das Versenden.
[quote]Das älteste Verfahren und damit unsicherste ist das sogenannte TAN-Verfahren.[/quote]
Das ist Unsinn. Alt bedeutet nicht automatisch = unsicher.
Hi NickyBy,
nicht automatisch aber wenn die Banken jetzt reihenweise auf iTan oder SMS Tan umstellen wird das schon seinen Grund haben.
Gruß Fabian
@NickyBy
[quote]Das ist Unsinn. Alt bedeutet nicht automatisch = unsicher.[/quote]
Grundsätzlich richtig, aber in diesem Fall trifft Die Aussage absolut zu. Für das normale TAN Verfahren gibt es Angriffspunkte ohne Ende. Darum wird es auch nirgends mehr eingesetzt. Zumindest nicht bei den Banken die ich kenne. Wer heute noch das [b]klassische[/b] TAN Verfahren einsetzt, handelt grob fahrlässig! Und iTAN ist auch nicht wirklich besser.
@hotbirdie
Erstmal eine gute Sache die Online- und Homebanking-Benutzer über die verschiedenen Verfahren aufzuklären. Hier gibt es noch sehr viel Nachholbedarf was den Kenntnisstand bez. Sicherheit angeht. Auch ein aktueller Fall in meiner Bekanntschaft zeigt ganz klar, dass es immer noch Benutzer gibt, die nicht über das nötige Grundwissen verfügen um sich zu schützen und um sicheres, Online- oder Homebanking zu betreiben.
Es gibt aber ein paar Punkte die Du nachbessern solltest, da sie zum einen entweder verwirrend oder falsch sind:
[b]chipTAN[/b]
[quote]Durch ein Abfragesystem von Geheimzahlen und das generieren von TAN´s können nun nach dem Login verschieden Transaktionen ohne weitere Eingabe von TAN´s erfolgen.[/quote]
und
[quote]Ein Nachteil hierbei ist sicher das man sich mehrere Geheimzahlen merken muss[/quote]
Ich kenne keine Bank bei der das so läuft. Irgendwie beschreibst Du ein völlig anderes chipTAN als mir bekannt ist.
Das chipTAN Verfahren ist einfach nur ein Ersatz für die klassischen TAN-Listen. Es ändert sich gar nichts an der Anmeldeprozedur und jeder Vorgang wird erst einmal genauso ausgeführt wie gehabt, also wie bisher mit TAN-Listen. Erst wenn die TAN-Eingabe erfolgt, gibt es durch chipTAN eine Abweichung: Beim optischen chipTAN werden die wichtigsten Transaktionsdaten zuerst mittels "Flickercode" an das chipTAN Gerät übertragen. Der Umfang dieser Daten ist nicht bei jeder Bank gleich. Bei Einzelüberweisungen sind es jedoch immer mindestens die Empfänger-Kontonummer und der Betrag. Je nach Bank kann auch noch die BLZ und anderes übermittelt werden. Alle Daten werden der Reihe nach angezeigt und müssen vom Benutzer einzeln bestätigt werden. Erst wenn alle bestätigt wurden, zeigt das Gerät eine TAN an die an auf der Bankseite oder im Homebanking-Programm eingegeben werden muss. Beim manuellen chipTAN werden dagegen sämtliche Transaktionsdaten manuell (wie der Name schon sagt) vom Benutzer eingegeben. Die weitere Vorgehensweise ist dann gleich zum optischen verfahren.
[b]Homebanking[/b]
[quote]Desweiteren ist ein sogenanntes HBCI-Modul erforderlich (HBCI= Home Banking Computer Interface)[/quote]
Der Abschnitt ist in der jetzigen Fassung schlicht falsch. Für Homebanking war noch nie ein HBCI Modul (als Gerät) vonnöten! Es konnte [b]optional[/b] verwendet werden. Zudem hat sich das HBCI Kartensystem nie wirklich durchgesetzt und hat insgesamt gesehen nur eine geringe Verbreitung. Primär weil es den meisten schlicht zu teuer ist. Beim Homebanking gilt ansonsten genau das gleiche wie beim Onlinebanking, d.h. es kommen genau die gleichen bekannten Verfahren zum Einsatz, inklusive das neue (optische) chipTAN Verfahren. Letzteres wird aber noch nicht von jeder Bank angeboten.
Nocheinmal wichtig zu erwähnen ist, dass die neuen Verfahren Photo-TAN und QR-TAN derzeit nur von jeweils einer Bank unterstützt werden.