Mobile TANs im Visier von dreisten Hackern
Beim Online-Banking nutzen viele Kunden Transaktionsnummern fürs Smartphone oder auf Papier. Dochdiese gelten als unsicher.
(dpa) Gefälschte E-Mails, nachgebaute Webseiten, Schadsoftware und Telefonanrufe: Kriminelle lassen nichts unversucht, um an die Transaktionsnummern (TANs) von Bankkunden für das Online-Banking zu gelangen. Als Alternative zu TANs auf Papierlisten (iTANs) sind mittlerweile die meisten Banken dazu übergegangen, Kunden diese Codes per SMS auf ihr Handy zu schicken. Das wird als mobileTAN (mTAN) bezeichnet. Doch beide Verfahren sind unsicher, warnt jetzt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Bankkunden sollten besser auf sogenannte TAN-Generatoren oder Signaturkarten in Kombination mit Tastatur-Kartenlesegeräten setzen.
mTANs könnten insbesondere auf Android-Geräten von Schadsoftware abgefangen werden. Das BSI empfiehlt daher, auf sie zu verzichten. Wer das Verfahren trotzdem nutzen möchte oder muss, weil die Bank keine Alternative bietet, sollte zumindest kein OnlineBanking auf demselben Smartphone oder Tablet betreiben, auf dem er seine mTANs empfängt.
Eine weitere Empfehlung des BSI: „In der SMS sollten neben der TAN auch die Kontonummer des Empfängers sowie der Überweisungsbetrag stehen.“Diese Angaben müssten Verbraucher vor der Eingabe der TAN überprüfen. Bei Unstimmigkeiten müssen Nutzer die Transaktion abbrechen und die Bank kontaktieren.
Eine sicherere Alternative zu mTANs können TAN-Generatoren sein. Das sind taschenrechnerähnliche Geräte mit einem Ziffernfeld
(eTAN) oder einem Einschub für die Bankkarte (smartTAN). Relativ sicher sind diese Lösungen immer dann, wenn die erzeugte TAN nur für eine einzige Überweisung gültig
ist. Das ist laut BSI zum Beispiel bei eTAN-Generatoren der Fall, nicht aber bei smartTAN-Generatoren. Als sicher gelten auch Verfahren, bei denen der Generator sowohl Ziffernfeld als auch Karteneinschub aufweist (smartTAN plus und chipTAN manuell).
Einen guten Schutz vor Angriffen bieten den Experten zufolge auch Verfahren, bei denen Nutzer die Nummern und Transaktionsdaten nicht selbst eingeben müssen. Das funktioniert zum Beispiel über TAN-Generatoren mit Karteneinschub und einem optischen Sensor
(smartTAN optic und chipTAN comfort). Das Gerät muss vor den Computerbildschirm gehalten werden und zeigt dann die Transaktionsdetails auf seinem Display an. Diese muss der Kunde kontrollieren und bestätigen, bevor das Gerät die TAN ausgibt.
Ganz ähnlich funktionieren sogenannte photoTAN-Apps, die per Smartphone-Kamera farbige Barcodes auf dem Computerbildschirm erfassen. Einige Banken geben für das photoTAN-Verfahren auch eigene Lesegeräte aus.
Als sehr sicher gilt laut BSI das Online-Banking per Signaturkarte und Tastatur-Kartenlesegerät über
HBCI (Homebanking Computer Interface) oder dessen Nachfolger Secoder. Voraussetzung dafür ist neben dem Lesegerät aber auch ein spezielles Programm, mit dessen Hilfe die Überweisungsdaten am Computer eingegeben werden. Danach steckt man die Signaturkarte ins Lesegerät und gibt dort eine festgelegte PIN ein. Die Signaturkarte funktioniert in diesem Fall wie eine elektronische Unterschrift. Bei diesem Verfahren werden die eingegebenen Daten verschlüsselt und erst danach geht der Auftrag an die Bank.
Eine gute Nachricht für Verbraucher: Egal, welches Verfahren zur Anwendung kommt, Banken dürfen Nutzern künftig nur noch solche TANs in Rechnung stellen, die diese auch tatsächlich verwenden. Das hat kürzlich der Bundesgerichtshof in Karlsruhe entschieden (Az. XI ZR 260/15).
„In der SMS sollten neben der TAN auch die Kontonummer des Empfängers sowie der Überweisungsbetrag
stehen.“ Bundesamt für Sicherheit in der
Informationstechnik