Onlinebanking: Das mobile TAN-Verfahren

Beim Onlinebanking gibt es mittlerweile eine Reihe von Authentifizierungsverfahren.

  • TAN (TAN-Liste)
  • iTAN (indizierte TAN-Liste)
  • iTANplus (TAN-Liste mit Captcha)
  • TAN + BEN (TAN-Liste mit Bestätigungsnummer)
  • mTAN (mobile TAN)
  • sm@rtTAN (smart TAN-Generator)
  • sm@rtTAN plus (smart TAN-Generator)
  • chipTAN comfort (auch Flickering genannt)

Wir wollen Ihnen heute das Mobile TAN (mTAN)- Verfahren vorstellen:

Funktionsprinzip:

Der Bankkunde füllt zunächst das Onlineüberweisungsformular aus und übermittelt es an die Bank. Daraufhin bekommt er eine TAN als SMS auf sein Handy mit der Mobilfunknummer, die er bei der Bank hinterlegt hat, zugeschickt. Diese gibt er zur Legitimation im nächsten Schritt bei der Überweisung ein. Dabei hat die TAN eine begrenzte Gültigkeitsdauer. Für eine Überweisung entstehen lediglich Kosten für eine SMS, die das Bankinstitut dem Kunden in Rechnung stellt.

Sicherheit:

Das mTAN-Verfahren wird von Experten im Vergleich zur iTAN oder dem klassischen TAN-Verfahren als sichereres Verfahren angesehen. Dieses liegt zum einem daran, dass die Gültigkeitsdauer der TAN begrenzt ist und zum anderen daran, dass zusätzlich noch Teile der Ziel-Kontonummer der Überweisung, sowie des Überweisungsbetrages in der SMS (als 2. Kommunikationskanal) mitübertragen werden und die TAN nur für diese eine Transaktion gültig ist. Dadurch soll einer Umleitung auf ein anderes Konto, also einem Man-in-the-Middle-Angriff (oder noch spezifischer: Man-In-The-Browser-Attack) vorgebeugt werden. Zudem soll der Bankkunde vor Phishing-Angriffen auf TANs besser geschützt sein.
Vorteilhaft ist, dass man keine TAN-Liste für Überweisungen dabei haben muss. Außerdem kann der Bankkunde unter Umständen durch SMS unauthorisierte Überweisungsversuche feststellen und dann das Konto sperren lassen. Wichtig: Wenn das Handy verloren geht, besteht der einzige Schutz in der PIN und der unbekannten Kontonummer. Sie sollten daher die Daten zu Ihrem Konto nicht auf dem Handy speichern.

Das Verfahren lässt sich  praktisch nur dann austricksen, wenn der Bankkunde die in der SMS angegebenen Daten nicht genau prüft, sein Handy gestohlen wird oder das Gerät mit einem Trojaner infiziert ist, der die SMS an den Phisher weiterleitet.

Letzteres haben die Entwickler von Zeus realisiert, indem sie zunächst einen Windows-PC infizieren. Daraufhin wird dem Anwender beim Aufruf seiner Bankenseite eine nachgemachte Seite präsentiert, die ihm mitteilt, dass sein Handy sicherheitstechnisch aktualisiert werden muss. Dazu soll der Anwender seine Handynummer eingeben, so dass  als SMS ein Link zum Download eines vermeintlichen Sicherheitszertifikat auf sein Handy geschickt wird. Der Trojaner versendet dann den Link. Der Anwender lädt aber nicht ein Sicherheitszertifikat sondern den Zeus-Trojaner auf sein Handy herunter. Mit den vom PC gestohlenen Zugangsdaten und den weitergeleitetn TANs vom Handy kann der Cyberkriminelle nun Überweisungen auf sein Konto vornehmen.

Einen anderen Weg geht der Onlinebanking-Trojaner SpyeEye. Als Man-in-the-Browser stiehlt der Trojaner zunächst die Zugangsdaten für das Onlinebanking. Nach dem Einloggen des Kunden bei seiner Bank erscheint eine gefälschte Warnmeldung, die dem Kunden vorgibt sich für eine neue Schutzfunktion zu registrieren. Der Bankkunde soll offensichtlich eine neue SIM-Karte bekommen, dessen Rufnummer schon mal für das mTAN-Verfahren legitimiert werden soll. Nachdem der Trojaner die Rufnummeränderung veranlasst hat (und zwar auf eine Nummer, die nicht dem Kunden gehört), erhält der Bankkunde eine SMS von der Bank, in dem sich ein Bestätigungscode befindet. Daraufhin gibt der Kunde den Code ein und der Trojaner schließt die Rufnummeränderung ab. So hat der Cyberkriminelle die gesamte Kontrolle über das Konto.

Dieses Verfahren existiert seit ca. 2003. Es ist NICHT geeignet, wenn Sie über ihr Handy im mobileBanking Ihre Bankgeschäfte tätigen.
Das mTAN-Verfahren soll zukünftig auch bei der Nutzung des De-mail-Dienstes im Zusammenhang mit der Anmeldung und Authentifizierung eines Nutzers angewandt werden.
Darüber hinaus ist es sicherlich auf für Firmen  der Privatwirtschaft von Bedeutung. So setzt beispielsweise Brainloop, ein Entwickler von Online Plattformen,  das mTAN-Verfahren auch ein.

Schaden durch Internetkriminalität beim Onlinebanking:

Laut Angaben zu einem BKA-Bericht auf der Spiegel-Webseite hat das Abgreifen von Zugangsdaten, also von Phishing beim Onlinebanking besonders zugenommen. 2010 gab es laut BKA 5300 Fälle; dies sind 82% mehr gegenüber dem Vorjahr. Der durchschnittliche Verlust lag je Fall bei ca. 4000 €. Das BKA empfiehlt auf neue Verfahren wie Chip-TAN zu wechseln. Inzwichen gebe es verschiedene Trojaner, die speziell auf den deutschen Bankenmarkt abzielen. 

2 thoughts on “Onlinebanking: Das mobile TAN-Verfahren”

  1. Sie schreiben, ‘das mTAN-Verfahren lässt sich praktisch nur dann austricksen, wenn der Bankkunde die in der SMS angegebenen Daten nicht genau prüft’. Wenn jedoch wie bei der Ing-DIBA nur ‘Teile der Ziel-Kontonummer’ und keine Bankleitzahl uebertragen werden, ist eine manipulierte Kontonummer nicht mehr erkennbar. Jedenfalls gibt es diverse Zielkontonummern mit den gleichen uebertragenen Nummern auch bei anderen Banken. Leider konnte mir die Ing-DIBA bisher noch nicht auf diesen Sachverhalt antworten. Koennen Sie mir sagen, weshalb einige Banken nur die letzten 3 Stellen der Kontonummer ohne BLZ uebertragen?

  2. Wenn man keine TANs verwendet, läuft man auch keine Gefahr, dass sein eigenes Konto manipuliert werden kann. Dafür bekommt man heute Kontoticker mit Kontoständen schon auf sein Smartphone. Das ist eine sichere Lösung und wird auch von Banken schon ohne notwendige TAN angeboten. Natürlich ist dann auch kein Überweisen möglich, aber es ist praktisch, dass man zumindest das Konto im Blick hat und mitbekommt, was passiert.

Kommentare sind geschlossen.