Onlinebanking: Wer nicht bluten will, muss zahlen

Teil 3: Sicheres Onlinebanking auf dem Prüfstand

iTANplus, PIN/TAN, mobileTAN oder HBCI? Das Fachsprech der Banken stiftet mehr Verwirrung als Durchblick beim Kunden. magnus.de erklärt, was es mit den verschiedenen Verfahren auf sich hat:

Das PIN-TAN-Verfahren

Seit BTX-Tagen im Einsatz ist das PIN-TAN-Verfahren. Der Bankkunde erhält dabei von seiner Bank eine fünfstellige Geheimzahl. Mit dieser PIN und seiner Kontonummer kann sich der Bankkunde dann von jedem beliebigen Rechner in den Onlinebanking-Bereich seiner Bank anmelden. Zusätzlich erhält der Kunde eine Liste mit sogenanten Transaktionsnummern zugesendet (TANs). Mit der Eingabe einer Tan schließt der Kunde dann online seine Bankgeschäfte - beispielsweise eine Überweisung - ab. Die TAN ist damit einer Unterschrift gleichzusetzen.

So enttarnen Sie Phishing-Betrug

© Archiv

Die iTAN

Bei der indizierten TAN (iTAN) sind die TAN-Nummern auf einer Liste mit fortlaufenden Nummern durchnummeriert. Um eine Transaktion abschließen zu können, muss der Bankkunde die TAN einer bestimmten Nummer eingeben. Erst wenn die TAN mit der dazugehörigen fortlaufenden Nummer übereinstimmt, wird die Transaktion durchgeführt.

Die iTANplus

Die iTANplus ist eine Weiterentwicklung des PIN/TAN-Verfahrens. Wie gewohnt gibt der Kunde beim Online-Banking die erforderlichen Daten für seine Transaktion, beispielsweise eine Überweisung, im Online-Banking-Bereich seiner Bank ein. Nachdem der Kunde seine Transaktion an die Bank übermittelt hat, erzeugt die Online-Banking Software das iTANplus-Kontrollbild. Es zeigt Infos in einem digitalen Wasserzeichen an, die nur der Kunde und Bank wissen können. Diese Informationen ergeben zusammen die so genannte iTANplus. Nachdem der Kunde Betrag, Bankleitzahl und Empfängerkontonummer auf Richtigkeit geprüft hat, gibt er die Transaktion frei. Dazu wählt er die angeforderte TAN aus seinem iTAN-Bogen aus und gibt diese in das TAN-Eingabefeld in dem digitalen Wasserzeichen ein. Die angeforderte TAN ist nur für diese eine Transaktion gültig und verfällt nach einer bestimmten Zeitspanne.

iTAN / BEN

Ähnlich wie iTANplus. Nach der Eingabe nummerierten (indizierten) TAN-Nummer wird nach erfolgreicher Freigabe ein Bestätigungscode (BEN) angezeigt, den der Kunde mit seiner TAN-Liste abgleichen soll.

Bildergalerie

Gefahren beim Online-Banking
Galerie
Sicherheit & Internet:Internet:Netzleben

Die mobileTAN

Beim mobileTAN-Verfahren erhält der Kunde die TAN für jede Online-Transaktion individuell per SMS auf sein Handy. Sie gilt nur für die jeweilige Transaktion und verfällt nach wenigen Minuten. In der SMS werden Betrag und Empfängerkonto der aktuellen Überweisung genannt. So kann der Kunde sicher sein, dass er die richtige Transaktion mit der mobileTAN bestätigt. Beim mobileTAN-Verfahren handelt es sich um ein sogenanntes "Zwei-Schritt-Verfahren". Transaktion und Übermittlung der TAN laufen getrennt voneinander über PC und Handy ab.

HBCI

Beim Home-Banking-Computer-Interface-Verfahren (HBCI) füllt der Kunde zunächst wie gewohnt ein elektronisches Überweisungsformular am Rechner aus. Danach steckt der Kunde seine Chipkarte in ein Lesegerät und gibt seine PIN ein. Bevor der Auftrag an die Bank geht, wird er vom Chip auf der Karte mit einem digitalen Chiffrierschlüssel signiert und codiert. Code und Signatur sind für Hacker unsichtbar, da sie nur auf dem Chip und einem gesicherten Bankrechner gespeichert sind. Sobald die Bank den Auftrag über verschlüsselte Leitungen erhalten hat, decodiert sie die digitale Unterschrift und vergleicht sie mit dem hinterlegten Signierschlüssel. Nur wenn beides übereinstimmt, erfolgt die Transaktion.

Das einzig sichere Instrument zur Überweisung ist vermutlich auf längere Sicht der Kugelschreiber.
Sascha Siekmann, Technical Support Engineer bei Cloudmark

Das FinTS-Verfahren

FinTS steht für "Financial Transaction Services" und ist die Weiterentwicklung des HBCI-Standards. Ab der Version 3.0 von FinTS wird zusätzlich zu den schlüsselbasierten Sicherheitsverfahren auch das bewährte PIN-TAN-Verfahren als Legitimationsverfahren akzeptiert. Das HBCI PIN/TAn-Verfahren nutzt bei Bankgeschäften das HBCI-Protokoll und sichert die PIN-TAN-Eingabe über eine SSL-Verschlüsselung. Das FinTS-Verfahren ist auch als HBCI PIN/TAN-Verfahren, FinTS PIN/TAN, HBCI plus oder HBCI erweitert bekannt

Bank Sicherheitsverfahren
Deutsche Bank HBCI Plus (mit PIN/TAN), HBCI classic mit Chipkarte und Chipkartenleser, HBCI classic mit externen Speichermedien, iTAN
Postbank mTAN, iTAN, HBCI plus mit iTAN und mTAN
ING DiBa PIN/iTAN, HBCI mit PIN/iTAN
Commerzbank PIN/iTAN und BEN, HBCI mit elektronischer Signatur
Santander Consumer Bank iTAN, mobileTAN
Credit Europe Bank PIN-Verfahren in Verbindung mit festgelegtem Referenzkonto

Lesen Sie auf der nächsten Seite Tipps, wie Sie sich gegen fiese Phishing-Verbrecher wehren...

Mehr zum Thema

Netflix
Streaming

Preise, kompatible Geräte, Datenrate, Serien- und Filmangebot von Netflix: Wir beantworten die wichtigsten Fragen rund um den Streaming-Dienst.
Amazon Blitzangebote
Technik-Deals

Die Highlights der Amazon Blitzangebote - heute mit Weihnachts-Angebote-Woche, Netgear-NAS, 57 Prozent auf Heimkino-Produkte und mehr.
Tipps zum leisen PC
Tipps und Tricks

Die Komponenten eines PCs erzeugen Hitze. Lüfter sorgen meist für eine lästige Geräuschkulisse. Mit unseren Tricks wird Ihr PC flüsterleise.
SSD Mythen Tipps
Solid State Disk

SSD-Tuning - was ist wahr, was ist falsch? Wir verraten, welche SSD-Mythen Sie vergessen können und welche Tipps wirklich helfen.
Urlaubsbilder
Fotografieren im Sommer

Von Sommerlicht bis Sonnernuntergang: Unsere 7 Tipps verraten, wie Sie Urlaubsfotos richtig machen und schöne Bilder mit nachhause bringen.