Sichere Alternativen zur SMS-TAN
Praktisch, aber nicht besonders sicher: Die mTAN per SMS
Bild: dpa
Gefälschte E-Mails, nachgebaute Webseiten,
Schadsoftware und Telefonanrufe: Kriminelle lassen nichts unversucht,
um Bankkunden ihre Transaktionsnummern (TANs) für das Online-Banking
abzujagen. Als Alternative zu Transaktionsnummern auf Papierlisten
(iTANs) sind viele Banken dazu übergegangen, Kunden die TANs per SMS
auf ihr Handy zu schicken. Doch beide Verfahren sind unsicher, warnt
das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Bankkunden sollten besser auf bestimmte TAN-Generatoren oder
Signaturkarten in Kombination mit Tastatur-Kartenlesegeräten setzen.
mTANs könnten insbesondere auf Android-Geräten von Schadsoftware abgegriffen werden. Das BSI empfiehlt daher, auf mTANs zu verzichten. Wer das Verfahren trotzdem nutzen möchte oder muss, weil seine Bank keine Alternative bietet, sollte zumindest kein Online-Banking auf demselben Smartphone oder Tablet betreiben, auf dem er seine mTANs empfängt.
TAN-Generatoren sind sicherer
Praktisch, aber nicht besonders sicher: Die mTAN per SMS
Bild: dpa
Eine weitere Empfehlung des BSI lautet: "In der SMS sollten neben der
TAN auch die Kontonummer des Empfängers sowie der Überweisungsbetrag
stehen." Diese gilt es, vor der Eingabe der TAN zu prüfen. Bei
Unstimmigkeiten sollte man die Transaktion abbrechen und die Bank
kontaktieren. Dazu kommt, dass Banken zumindest teilweise
Kosten für den Versand von mTANs bzw. SMS-TANs berechnen dürfen.
Bankkunden sollten den Versand einer Transaktionsnummer (TAN) per SMS dokumentieren. Dazu sichern sie den Verlauf der SMS-Sendungen und notieren sich genau, welche TANs sie für eine Transaktion verwenden und welche nicht. Das rät Helke Heidemann-Peuser, Juristin des Verbraucherzentrale Bundesverbands.
Manche Banken zeigen in der Benutzeroberfläche des Onlinebankings die für eine Transaktion genutzten TAN an. Hiervon können Nutzer etwa Bildschirmfotos machen oder - falls möglich - die Übersicht abspeichern.
Eine sicherere Alternative zu mTANs können sogenannte TAN-Generatoren sein. Das sind kleine, taschenrechnerähnliche Geräte mit Display und Ziffernfeld (eTAN) oder Display und Einschub für die Bankkarte (sm@rtTAN). Relativ sicher sind diese Lösungen immer dann, wenn die erzeugte TAN nur auftragsbezogen für diese eine Überweisung gültig ist. Das ist laut BSI zum Beispiel bei eTAN-Generatoren der Fall, nicht aber bei den wenig verbreiteten sm@rtTAN-Generatoren. Als relativ sicher gelten auch Verfahren, bei denen der Generator sowohl Ziffernfeld als auch Karteneinschub aufweist (sm@rtTAN plus und chipTAN manuell).
Das photoTAN-Verfahren
Einen guten Schutz vor Angriffen bieten den Experten zufolge auch Verfahren, bei denen ein optischer Kanal dem Nutzer die umständliche Eingabe von Kontrollnummern und Transaktionsdaten erspart. Das funktioniert zum Beispiel über TAN-Generatoren mit Karteneinschub und einem optischen Sensor (sm@rtTAN optic und chipTAN comfort). Das Gerät muss vor eine schwarz-weiße Flackergrafik am Monitor gehalten werden und zeigt dann die Eckdaten der Transaktion auf seinem Display an. Diese muss der Kunde kontrollieren und bestätigen, bevor das Gerät die TAN berechnet.
Ganz ähnlich funktionieren sogenannte photoTAN-Apps, die per Smartphone-Kamera farbige Barcodes am Monitor erfassen. Einige Banken geben für das photoTAN-Verfahren auch eigene Lesegeräte aus.
Lesegerät und Finanzsoftware
Als sehr sicher gilt laut BSI das Online-Banking per Signaturkarte und Tastatur-Kartenlesegerät über die Verfahren HBCI (Homebanking Computer Interface) oder dessen Nachfolger Secoder. Voraussetzung dafür ist neben dem Lesegerät aber auch eine Finanzsoftware, in die zum Beispiel die Überweisungsdaten eingegeben werden. Danach steckt man die Signaturkarte ins Lesegerät und gibt dort eine festgelegte PIN ein, damit die Signaturkarte die Transaktion quasi unterschreibt und verschlüsselt - erst danach geht der Auftrag an die Bank heraus.
In unserem ausführlichen Ratgeber erhalten Sie weitere Tipps rund um die Sicherheit beim Online-Banking.