appTAN, photoTAN, chipTAN

Ende der iTAN: Neue Sicherheitsverfahren fürs Online-Banking

10.9.2019 von Heiko Bauer

Das einst bekannteste Sicherheitsmedium, die iTAN, verschwindet zugunsten zahlreicher neuer Verfahren, die aber nicht immer sicherer sind. Wir stellen chipTAN und Co. vor.

ca. 4:00 Min
Ratgeber
VG Wort Pixel
iTAN Liste
Mit der von vielen Bankkunden noch für Transaktionen genutzten iTAN ist es bald vorbei.
© Bjoern Wylezich/ shutterstock

Spätestens am 14. September 2019 ist es vorbei mit der gedruckten TAN-Liste, auf der in der Regel ein- bis zweihundert sechsstellige Zahlen darauf warten, eine Transaktion oder einen anderen Vorgang im Online-Banking zu autorisieren und dann zu verfallen. 

In ihren Anfangszeiten Ende des vergangenen Jahrtausends war es noch möglich, dafür irgendeine dieser TANs vom Zettel abzulesen und einzugeben. Da es leider auch Gaunern genügte, per Phishing eine beliebige der Ziffernfolgen abzugreifen, um eine Überweisung durchzuführen, wurde Mitte des letzten Jahrzehnts die heute noch weit verbreitete indizierte TAN-Liste (iTAN) eingeführt. Ab sofort wurde für die Freigabe eines Vorgangs eine bestimmte TAN angefordert.

Einfallsreiche Übeltäter überlisten TAN-Liste

Doch auch die Kriminellen sind kreativ und fanden neue Wege, an das Geld anderer Leute zu kommen. Besonders gefährlich ist die Man-in-the-Middle-Attacke. Dabei werden die Bankkunden beispielsweise per Spam-Mail auf eine gefälschte Webseite ihrer Bank gelotst. Dort loggen sie sich vermeintlich in ihr Konto ein und sollen mittels iTAN angeblich ihre Daten bestätigen; etwa, damit der Zugang nicht eingeschränkt wird.

Tatsächlich greift ein zwischengeschalteter Betrüger (Man in the Middle) gleichzeitig auf das echte Konto des Opfers zu und führt dort eine Transaktion durch. Die benötigte iTAN wird dann auf der Fake-Seite angefordert. Das Problem ist nun, dass nirgends ersichtlich ist, wofür die dort eingegebene TAN wirklich verwendet wird. Das böse Erwachen für die Geprellten kommt meist erst, wenn der Verlust auf der Kontoübersicht erscheint.

Hier liegt nun der entscheidende Sicherheitsvorteil moderner, elektronischer Freigabeverfahren. Bei ihnen wird mit der TAN angezeigt, welcher Vorgang tatsächlich durchgeführt wird. Steht dort, dass 3000 Euro auf die Cayman-Inseln verschwinden wollen, ist also Vorsicht geboten. Mit der Abschaffung der iTAN trägt die EU dem in der neuen Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) Rechnung. Darüber hinaus müssen die Banken künftig auch für den Login zum Online-Banking einen zweiten Sicherheitsfaktor einrichten.

SMS-TAN: Besser, aber nicht gut genug

Mit der Verbreitung der Mobiltelefone wurde die TAN per SMS (auch mobileTAN, mTAN) populär. Hier wird an eine hinterlegte Telefonnummer eine direkt an die entsprechende Transaktion gebundene, nur begrenzte Zeit gültige TAN per Kurznachricht gesendet. In dieser steht zusätzlich, welcher Vorgang gerade durchgeführt wird.

Problematisch ist, dass für den SMS-Empfang heute größtenteils Smartphones zum Einsatz kommen. Im Gegensatz zu Tastenhandys ohne Internet-Funktion sind diese durch Schadsoftware angreifbar. Ein aufgespielter Trojaner kann dann zum Beispiel die SMS mit der TAN im Hintergrund an einen Betrüger weiterleiten.

In der Vergangenheit wurden zudem Angriffe bekannt, bei denen es den Kriminellen gelungen ist, sich eine Zweit-SIM für die registrierte Telefonnummer zu beschaffen.

Messages
Die TAN per SMS ist nicht optimal, zeigt aber immerhin schon die Transaktionsdaten an.
© screenshot: PC Magazin

Dann doch gleich als App

Nicht an die Telefonnummer, sondern an das Smartphone gebunden und deshalb sicherer als die TAN per SMS ist die appTAN (auch pushTAN, VR-SecureGO/VR-SecureSIGN, TAN2go und andere). Die je nach Kreditinstitut erforderliche App muss nach der Installation zunächst aktiviert werden und empfängt die TANs dann von der Bank zusammen mit den Transaktionsdaten.Um sie abzulesen, muss die App in der Regel erst entsperrt werden.

Bei der BestSign-App der Postbank und der Banking-to-go-App der ING wird gar keine TAN mehr verwendet. Dort werden nach dem Entsperren die Daten der Transaktion angezeigt, die dann direkt per Button bestätigt wird. BestSign lässt sich alternativ mit einem Zusatzgerät durchführen, das per USB oder Bluetooth mit dem PC oder Laptop verbunden wird.

Die ING bietet mit photoTAN ebenfalls ein Verfahren mit speziellem Zusatzgerät an. Dieses berechnet die TAN, wenn beim Abschluss einer Transaktion eine bunte Punktegrafik gescannt wird.

Bei anderen Instituten, die photoTAN verwenden, etwa die Deutsche Bank, die Commerzbank und die Comdirect, steht neben dem Lesegerät eine App-Variante zur Verfügung, welche die Grafik mittels Smartphone-Kamera einliest.Beim QR-TAN-Verfahren der 1822direkt wird ein QR-Code gescannt und daraus die TAN berechnet. Es ist aber auch möglich, Transaktionen in der App freizugeben.

Photo TAN
Bei optischen Verfahren, etwa photoTAN, wird eine Grafik per Lesegerät oder Smartphone gescannt und auf diesem dann die TAN berechnet.
© Hersteller

Der Goldstandard

Bei der chipTAN (auch smartTAN) kommt ein spezieller TAN-Generator mit Tastatur zum Einsatz, in den der Anwender zusätzlich die Girocard einsetzt. Das Besondere ist, dass die TAN auf dem Chip der Karte erzeugt wird und das Gerät nur als Ein- und Ausgabemedium dient. Gescannt wird meist ein Flickercode, eine animierte Balkengrafik.

Es gibt auch Varianten mit QR-Code oder farbiger Punktmatrix, zudem ist die Dateneingabe von Hand möglich. ChipTAN gilt als besonders sicher. Allerdings bieten alle Verfahren, die ein spezielles Zusatzgerät erfordern, sehr hohen Schutz, denn anders als Smartphones können sie nicht von Hackern gekapert werden. Die Geräte sind jedoch weniger praktisch als Apps und kosten zudem Geld (siehe Tabelle unten).

Vincent Haupert, Sicherheitsexperte an der Universität Erlangen-Nürnberg, sieht jedoch auch App-Varianten als ausreichend sicher an, wenn die Transaktion auf einem zweiten Gerät durchgeführt wird. „Kriminelle haben es dann schwer, denn sie müssen für einen erfolgreichen Angriff zwei unterschiedliche Geräte kompromittieren“, so der Experte. Kritisch sieht er Systeme, die es erlauben, sowohl Transaktion als auch TAN auf demselben Gerät zu erstellen. Bei einigen Banken ist dies möglich, meist auf dem Smartphone. Entweder tauschen sich dabei zwei Apps untereinander aus oder es ist sogar alles in eine einzige App integriert.

Chiptan
Das chipTAN-Verfahren ist sehr sicher, weil zusätzlich eine Girocard erforderlich ist, auf die die TAN berechnet wird.
© Hersteller

Demonstrativ gekapert

Um die Problematik zu verdeutlichen, demonstrierte Haupert 2015 auf dem CCC exemplarisch einen Angriff auf die kombinierte App der Sparkassen. 

App TAN
Die von Vincent Haupert gehackte Banking-App zeigt eine Überweisung über 10 Cent an das Finanzamt. Erst die Umsatzdetails verraten später, dass eigentlich 13,37 Euro an ihn selbst gingen.
© Hersteller

Er betont aber, dass die Verfahren anderer Institute ebenso verwundbar seien, wobei Varianten mit zwei unabhängigen Apps aufgrund der Sicherheitsarchitekturen von Android und iOS einen etwas besseren Schutz böten.

Doch egal, welche Methode beim Onlinebanking zum Einsatz kommt: Aufmerksame und sicherheitsbewusste Anwender sind auf jeden Fall im Vorteil.

TAN-Verfahren einzelner Institute

Vollbildansicht
Geldinstitut Angebotene TAN-Verfahren
1822direkt QR-TAN, SMS-TAN (kostenlos)
Commerzbank photoTAN (App oder Lesegerät- 29,90 Euro), SMS-TAN (je 9 Cent)
Deutsche Bank photoTAN (App oder Lesegerät- 14,90 Euro), SMS-TAN (je 9 Cent)
DKB appTAN, chipTAN (Gerät über Fachhandel- ab ca. 15 Euro)
ING appTAN, PhotoTAN (nur Lesegerät- 32 Euro), SMS-TAN (kostenlos)
N26 appTAN
Postbank BestSign (App oder Lesegerät- 29,90 Euro)
Sparkassen chipTAN, appTAN, SMS-TAN (Preise institutsabhängig)
VR-Banken pushTAN, smartTAN (Preise institutsabhängig)

Mehr lesen

Chronologische Liste und Netflix-Links

Marvel-Filme- und -Serien: Das ist die richtige Reihenfolge

Neuerscheinungen in der Übersicht

Netflix: Neue Filme und Serien

Vorschau auf Film- und Serien-Highlights

Amazon Prime Video: Neuheiten

Weiter zur Startseite  

Mehr zum Thema

Datenträger - Speichermedium

Haltbarkeit von Speichermedien

Lebensdauer von Festplatten, DVDs, CDs, & Co. im…

Wie lange sind Daten auf DVD, Festplatte oder auf Bändern haltbar? Wir klären auf zum Thema Lebensdauer von Speichermedien.

avm ifa 2019 neuheiten

DSL, Kabel, LTE und mehr

Fritzbox kaufen: Welcher WLAN-Router ist der beste für Sie?

Der WLAN-Router des Providers nervt und Sie wollen eine Fritzbox kaufen? Geräte gibt es ab 50 Euro. Welches Modell brauchen Sie für DSL, Kabel oder…

Digitale Unterschrift: Das sollten Sie wissen

Rechtskonforme Signatur

Digital unterschreiben: Das sollten Sie wissen

Papierlose Büros setzen sich immer weiter durch und E-Mails mit Anhang ersetzen mit herkömmlicher Post verschickte Unterlagen. Signiert werden diese…

Lesebuch zur Internet-Sicherheit von Kaspersky, PC Magazin und PCgo.

Sicherheit für Kinder

Internet-Sicherheit mit Midori Kuma

Ein spannendes Lese- und Lernbuch für Kinder von 6 bis 12 Jahren von PC Magazin, PCgo und Kaspersky.

Router-Sicherheitstest 2020: AVM, Asus & Co. im Vergleich

2FA umziehen

Google Authenticator: So wechseln Sie auf ein neues Handy

Die Zwei-Faktor-Authentifizierung ist der beste Schutz für Ihr Google-Benutzerkonto. Wir zeigen, wie Sie den Authenticator auf ein neues Handy…