MEINUNG/ DISKUSSION3. Juni 2016

Sichere TAN Verfahren für das Online Banking am Smartphone: Der Streit um die ehrwürdige iTAN

Linsenbarth-Rudolfprivat
Linsenbarth-Rudolfprivat

Die iTAN ist eine der einfachsten Authen­ti­fi­zierungs­methoden für das Online Banking am Smartphone. Ihre Sicherheit ist dabei heftig umstritten. So soll die iTAN unsicher sein. Ein Verfahren, das man nicht empfehlen könne. Sicherheit ist im Zusammenhang mit Online Banking auf jeden Fall eine nähere Betrachtung wert. Sicherheit ist immer nur relativ. Diese Erkenntnis ist seit den CCC-Hacks unbestreitbar. Wer die iTAN ablehnt, muss auch genau hinschauen, welche der Alternativen denn wirklich mehr Sicherheit bieten.

von Rudolf Linsenbarth

Grundprinzip für die Sicherheit beim Online Banking ist die sogenannte 2-Faktor Authentifizierung. Um eine Transaktion auszuführen benötige ich also zwei voneinander unabhängige Faktoren, meist realisiert mit Wissen und Besitz. Wissen wird repräsentiert durch die Zugangsdaten zum Internet Portal meiner Bank, hier Benutzername und Passwort. Der Faktor Besitz kommt durch die TAN ins Spiel. Beispielsweise kann man solch eine TAN mit einem TAN Generator und der Girocard (formerly known as EC Karte) per Flickr Code erzeugen. Die TAN ist dann der Beweis dass man im Besitz der Girocard ist, die zu diesem Girokonto gehört. Wenn das Bankrechenzentrum eine TAN Liste vorab erzeugt und dem Kunden zusendet, gehört diese ebenfalls zum Faktor Besitz. TAN Listen werden aber als unsicherer eingestuft. Warum?

Als erstes besteht die Möglichkeit das Kunden offensichtlich fahrlässig handeln. Zum Beispiel Ablichten der kompletten Liste und Speichern im Internet. Wenn man blödsinniges Handeln auf Kundenseite ausschließt, bleibt trotzdem ein Restrisiko. Die von der Bank versandten Listen enthalten TAN Nummern die nicht zu einem spezifischen Überweisungsvorgang gehören, sondern auch für eine komplett andere Überweisung verwendet werden könnten. Also dieselbe TAN autorisiert eine 20,00 € Überweisung für Falschparken an das Ordnungsamt oder eine 1000,00 € Transaktion an Onkel Wanja in Moskau.

So kommen die Betrüger an die Daten

Die Angriffsmethoden der Betrüger lauten Phishing und Pharming. Das tradionelle Phishing, also das Anlasslose Abfragen einer TAN ist mittlerweile so bekannt sind wie die Vorschussbetrug Mails der Nigeria Connection. Beim Pharming dagegen haben wir einen sehr komplexen Angriff, bei dem Betrüger dem Bankkunden vorgaukelt er wäre im Online Banking seiner Bank. Gleichzeitig kapert er die TAN für eine Überweisung, die der Kunde gerade wirklich tätigen will. In Wahrheit wird diese TAN also verwendet um Onkel Wanja in Moskau happy zu machen. Um diesen Angriffen die Spitze zu nehmen, gehen viele Banken dazu über und verknüpfen die TAN mit der Transaktion die autorisiert werden soll. Damit der Kunde aber auch erkennen kann ob die TAN zur gewollten Überweisung passt, benötigt er beispielsweise ein Verfahren mit TAN Generator. Dann nämlich wird im Display neben der TAN auch der Betrag und die Konto Nummer des Empfängers angezeigt.

Rudolf Linsenbarth
Linsenbarth-Rudolf-258-1610
Rudolf Linsenbarth ist Seni­or Consultant für den Be­reich Mobile Payment und NFC bei COCUS Con­sul­ting. Zuvor war er 11 Jah­re im Bank­bereich als Seni­or Technical Specia­list bei der TARGO IT Consulting (Crédit Mutuel Banken­gruppe). Linsenbarth ist ei­ner der pro­fi­lier­tes­ten Blog­ger der Fi­nanz­szene und kommentiert bei Twit­ter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenem Namen.
Will man jetzt seine Bankgeschäfte auch am Smartphone erledigen wird es aber kniffelig. Der TAN Generator mit Flickr Code ist dort schlicht nicht bedienbar. Mittlerweile bin ich im Besitz eines ReinerSCT tanJack Bluetooth TAN-Generators. Einige Banken unterstützen das Produkt bereits in ihrer Banking App.

Das SMS TAN Verfahren ist beim Handy Banken nicht zu gelassen. Die Volkswagen Bank hat noch einen TAN Generator Bankey den ich gerne als TAN Tamagotchi bezeichne. Hier haben wir einen sehr guten Kompromiss zwischen Sicherheit und Handling für das Banking am Smartphone. Die meisten Banken wollen aber Push TAN als das Verfahren für Ihre Mobile Banking App verkaufen. Allerdings hierbei wird das Konzept der 2-Faktor Authentifizierung konterkariert. Alle Daten laufen über ein einziges Gerät, wenn das gekapert wird, hat der Betrüger alle notwendigen Daten gleichzeitig. Da können die Banken noch so viel von Kanaltrennung und anderen kompensierenden Kontrollen erzählen.

Wer die iTAN Liste als unsicher einstuft, kann Push TAN ins Familiengrab daneben legen. Zumindest was den Bereich Mobile Banking betrifft.

Was sollte der Nutzer der das geliebte Smartphone für das Online Banking einsetzen will, aber TAN Liste misstraut beachten, also beachten? Zunächst einmal stellt keine Bank eine Sicherheitsmaßnahme zur Verfügung, die es ermöglicht das selbstständige Denken einzustellen. Wer ganz auf Nummer sicher gehen will setzt nur ein Verfahren, bei dem die TAN immer an die Transaktion gebunden ist. Wirklich sicher sind dabei nur echte 2-Faktor Verfahren. Push TAN für das Banking am Smartphone ist kein 2. Faktor! Auch die Zulassung durch die BAFIN ändert daran nichts.rl

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert