Vor einigen Tagen haben wir Ihnen das mTAN-Verfahren vorgestellt. Heute möchten wir Ihnen das SmartTAN-  und SmartTan plus – Verfahren beschreiben.
SmartTAN:
Für dieses Verfahren benötigt man einen sogenannten smartTAN-Generator. Dieses ist ein elektronisches Gerät, das der Kunde für ca. 10 € von seiner Bank erhält. Wenn der Kunde seine Kundenkarte (z.B. eine Maestro-Card) in den Generator einführt, generiert dieser auf Knopfdruck eine neue TAN und zeigt sie an. Diese TAN gibt der Bankkunde bei der Überweisung ein. Da auch die Bank die TANs kennt, bestätigt diese daraufhin die Überweisung. Die TANs werden über den Chip auf der Kundenkarte des Kunden erzeugt. Der TAN-Generator selbst ist nicht auf den Kunden individualisiert. Es können also mit einer Karte und einem beliebigen TAN-Generator gültige TANs generiert werden. Allerdings ist für den Zugang zum Generator auch die PIN notwendig.
Da dieses Verfahren Sicherheitsmängel hat, wurde es von vielen Banken durch das smartTAN plus-Verfahren ersetzt. Anwender des SmartTAN- Verfahrens können Opfer von Phishing-Attacken oder Man-in-the-Middle-Angriffen werden, da die erzeugten TANs für beliebige Transaktionen genutzt werden können. Es gibt keine Auftragsbindung.
SmartTAN plus:
Der Kunde benötigt zunächst einen TAN-Generator mit Ziffernfeld und Karteneinschub.Nachdem die Überweisung im Onlinebanking erstellt wurde, wird ein Code erzeugt. Daraufhin muss die Kundenkarte in den TAN-Generator eingeführt werden und der Code über das Ziffernfeld des Generators eingegeben werden. Im Anschluss daran wird die Empfängerkontonummer und der Betrag der Überweisung am TAN-Generator eingetippt. Aus den eingegebenen Daten generiert der Generator eine auftragsbezogene TAN, die dann zur Bestätigung  der Überweisung im Onlinebanking über die Tastatur eingegeben werden kann. Dieses Verfahren soll wenig anfällig für vor Phishing bzw. Man-in-the-Middle-Angriffen sein und gilt daher als sicherer!

Absolute Sicherheit gibt es dennoch nicht:
So ist in den vergangenen Monaten ein Fall in einem unserer Nachbarländer vorgekommen, bei dem Kriminelle die TAN-Generatoren, die eine Bank für ihre Kunden für Online-Überweisungen in den Räumlichkeiten der Bank ausgelegt hatte, durch manipulierte Generatoren ausgetauscht haben. Die Kunden nutzten im Tagesverlauf die Generatoren und so kam es, dass die im Chip der Kundenkarte gespeicherten Daten mitgelesen wurden. Am Ende des Tages tauschten die Betrüger die Generatoren wieder aus und waren somit in der Lage, sich Kopien der ausgelesenen Kundenkarten zu erstellen (vgl. mit dem klassischen Skimming).