Druckansicht
Kontakt
RSS-Newsfeed
Sitemap
Impressum
mTAN-/SMS-TAN - Warum Online-Banking via SMS oder APP unsicherer als die klassische TAN-Liste ist
Die ING-DIBA bietet das so genannte mTAN-Verfahren an, bei welchem anstatt der klassischen TAN-Liste (Blatt Papier mit TAN-Nummern, die postalisch zugeschickt wird) bei jeder Überweisung bzw. Transaktion eine TAN per SMS an das Handy versendet wird. Die DKB hingegen setzt auf die APP-basierte Variante namens TAN2go. Hierbei wird eine APP auf dem Smartphone installiert, auf postalischem Wege aktiviert und anstatt einer SMS bekommt der Kunde eine TAN über die APP zugeschickt.
Beide Verfahren sind sehr bequem, da man nicht mehr seine TAN-Liste parat haben muss und sich jederzeit eine neue TAN zuschicken lassen kann. Die Bitte "Schatz, kannst Du bitte mal meine TAN-Liste aus meinem Ordner im Schrank holen" gibt es somit nicht mehr. Die große Frage ist: sind mTAN-Verfahren auch wirklich sicher? Grundsätzlich kann diese Frage mit JA beantworten werden. Aber mTAN-Verfahren sind auch unsicherer als die klassische TAN-Liste auf dem Blatt-Papier und das liegt einfach daran, dass dort, wo die Digitalisierung eingezogen ist auch Hacker nicht lange auf sich warten lassen.
TAN-Liste ausdrucken und ins Portemonnaie legen - Ja, das ist sicher!
"Ist der Autor verrückt geworden?" werden sich jetzt einige denken. Die geheime TAN-Liste ausdrucken und in den Geldbeutel legen soll sicherer sein als das mTAN-Verfahren? Der Grund hierfür liegt in den unterschiedlichen Medien, die zum Einsatz kommen.
Bei mTAN-Verfahren müssen unterschiedliche Geräte genutzt werden
Beim mTAN- oder APP-Verfahren wird in der Regel alles digital über das Smartphone abgewickelt. Die ING-DIBA weist ausdrücklich darauf hin, dass das Online-Banking via mTAN-Verfahren auf unterschiedlichen Geräten erfolgen muss. Das Smartphone ist für das Empfangen der TAN verantwortlich, auf einem zweiten Gerät (bspw. PC) erfolgt das eigentliche Online-Banking. Der Grund ist folgender: hat ein Hacker die Kontrolle über das Smartphone erlangt oder es wurde verloren, so stehen dem Hacker alle Türen offen. Er kann die Kontonummer inkl. Passwort mitlesen und sich beliebig viele TAN-Nummern zuschicken lassen. Der Schaden ist entsprechend groß.
Diese Einschränkung macht übrigens auch die suggerierte Bequemlichkeit zunichte: wer schleppt schon zwei Geräte für das Online-Banking mit sich herum?
Unterschiedliche Medien bzw. Offline- und Online-Welt kombinieren. Darauf kommt es an!
Um die Sicherheit zu erhöhen gilt es, unterschiedliche Geräte (Smartphone & Notebook, Smartphone & 2. Smartphone usw.) einzusetzen. Die Wahrscheinlichkeit ist ziemlich gering, dass ein Hacker auf beide Geräte Zugriff hat. Aus diesem Grund preist die Sparkasse auch das Chip-TAN-Verfahren als besonders sicher an, bei dem ein zusätzliches Lesegerät und Chipkarte verwendet wird. In der Praxis aber auch wieder etwas umständlich.
Kommen wir also zurück zur klassischen TAN-Liste auf dem Blatt Papier. Worauf hat ein Hacker definitiv keinen Zugriff? Auf Offline-Medien wie einem Blatt Papier! Tatsächlich ist die klassische TAN-Liste von allen TAN-Verfahren immer noch am sichersten.
Ausgedruckte TAN-Liste im Geldbeutel ist sicher!
TAN-Liste ausdrucken (optimalerweise verkleinert auf 50%), mit TESA-Film gegen Nässe und Feuchtigkeit schützen und ins Portemonnaie legen: fertig ist die perfekte Kombination aus Sicherheit und Bequemlichkeit. Wir erklären jetzt kurz und knackig, warum das so ist.
Was braucht man, um eine Transaktion (bspw. Überweisung) im Online-Banking zu tätigen?
- Benutzername bzw. Kontonummer
- Passwort
- TAN
An diese Informationen muss ein Dritter gelangen, um einen geldwerten Schaden anzurichten. Bei den vorgestellten "digitalen TAN-Verfahren" kann ein Hacker an alle drei Informationen gelangen. Stellen wir uns vor, ein Hacker hat sich still und heimlich (Root-)Zugriff auf unser Smartphone erschlichen. Mit einem Keylogger kann er Kontonummer und Passwort ausspionieren, wenn sich der Betroffene in das Online-Banking einloggt. Auch das Auslesen der SMS stellt ihn vor keine großen Herausforderungen, so dass er nun unbemerkt Überweisungen tätigen kann.
Mit der klassischen TAN-Liste (selbst als kopierte Version im Portemonnaie) sind die Orte unterschiedlich und für einen Hacker nahezu unerreichbar:
Die Grafik zeigt sehr deutlich, dass die drei benötigten Informationen (Konto-Nr., Passwort und TAN-Liste) nie an ein und demselben Ort liegen. Verliert man beispielsweise sein Portemonnaie, so kann der Finder zwar die Kontonummer auf der Bankkarte ablesen und die TAN-Liste einsehen, ihm fehlt aber das Passwort. Nach drei Fehlversuchen wird das Online-Banking gesperrt.
Ein Hacker mit Zugriff auf das Smartphone wird mittels Keylogger Konto-Nr. und Passwort mitlesen, ihm fehlt aber dringend benötigte die TAN-Liste. Er könnte nun maximal die eine TAN der aktuellen Sitzung auslesen und verwenden, aber die Zeit zwischen Eingabe der TAN und dem Absenden der Überweisung ist in der Regel so kurz, dass auch diese Wahrscheinlichkeit eines Mißbrauchs sehr, sehr gering ist. Die TAN ist abgelaufen bzw. verbraucht.
Fazit
Online-Banking ist grundsätzlich sicher. Gar keine Frage. Aber im digitalen Umfeld sind Sicherheitslücken keine Seltenheit, so dass jeder für sich entscheiden muss, wie hoch sein persönlicher Anspruch zum Thema Sicherheit im Online-Banking ist.
Der Artikel hat gezeigt, dass eine Trennung zwischen Online- und Offline-Welt mit der klassischen TAN-Liste die Sicherheit deutlich erhöht. Ob der Vorschlag mit der ausgedruckten TAN-Liste seinem persönlichen Sicherheitslevel entspricht, muss jeder selbst entscheiden.
Wichtig ist schlussendlich, wie hoch der theoretische Schaden ist, der bei einem Missbrauch entstehen kann. Und ob die Bank dafür haftbar gemacht werden kann oder nicht. Wie wir gelernt haben verstößt man bereits gegen die Regeln, wenn man Online-Banking und mTAN-Authentifizierung auf ein und demselben Gerät einsetzt.