Onlinebanking: Das Smart TAN – Verfahren

Vor einigen Tagen haben wir Ihnen das mTAN-Verfahren vorgestellt. Heute möchten wir Ihnen das SmartTAN-  und SmartTan plus – Verfahren beschreiben.

SmartTAN:
Für dieses Verfahren benötigt man einen sogenannten smartTAN-Generator. Dieses ist ein elektronisches Gerät, das der Kunde für ca. 10 € von seiner Bank erhält. Wenn der Kunde seine Kundenkarte (z.B. eine Maestro-Card) in den Generator einführt, generiert dieser auf Knopfdruck eine neue TAN und zeigt sie an. Diese TAN gibt der Bankkunde bei der Überweisung ein. Da auch die Bank die TANs kennt, bestätigt diese daraufhin die Überweisung. Die TANs werden über den Chip auf der Kundenkarte des Kunden erzeugt. Der TAN-Generator selbst ist nicht auf den Kunden individualisiert. Es können also mit einer Karte und einem beliebigen TAN-Generator gültige TANs generiert werden. Allerdings ist für den Zugang zum Generator auch die PIN notwendig.
Da dieses Verfahren Sicherheitsmängel hat, wurde es von vielen Banken durch das smartTAN plus-Verfahren ersetzt. Anwender des SmartTAN- Verfahrens können Opfer von Phishing-Attacken oder Man-in-the-Middle-Angriffen werden, da die erzeugten TANs für beliebige Transaktionen genutzt werden können. Es gibt keine Auftragsbindung.

SmartTAN plus:
Der Kunde benötigt zunächst einen TAN-Generator mit Ziffernfeld und Karteneinschub.Nachdem die Überweisung im Onlinebanking erstellt wurde, wird ein Code erzeugt. Daraufhin muss die Kundenkarte in den TAN-Generator eingeführt werden und der Code über das Ziffernfeld des Generators eingegeben werden. Im Anschluss daran wird die Empfängerkontonummer und der Betrag der Überweisung am TAN-Generator eingetippt. Aus den eingegebenen Daten generiert der Generator eine auftragsbezogene TAN, die dann zur Bestätigung  der Überweisung im Onlinebanking über die Tastatur eingegeben werden kann. Dieses Verfahren soll wenig anfällig für vor Phishing bzw. Man-in-the-Middle-Angriffen sein und gilt daher als sicherer!

Absolute Sicherheit gibt es dennoch nicht:
So ist in den vergangenen Monaten ein Fall in einem unserer Nachbarländer vorgekommen, bei dem Kriminelle die TAN-Generatoren, die eine Bank für ihre Kunden für Online-Überweisungen in den Räumlichkeiten der Bank ausgelegt hatte, durch manipulierte Generatoren ausgetauscht haben. Die Kunden nutzten im Tagesverlauf die Generatoren und so kam es, dass die im Chip der Kundenkarte gespeicherten Daten mitgelesen wurden. Am Ende des Tages tauschten die Betrüger die Generatoren wieder aus und waren somit in der Lage, sich Kopien der ausgelesenen Kundenkarten zu erstellen (vgl. mit dem klassischen Skimming).

3 thoughts on “Onlinebanking: Das Smart TAN – Verfahren”

  1. Hi,

    beschäftige mich beruflich den ganzen Tag mit dem Thema 😉
    Das die Generatoren ausgetauscht wurden war mir neu. Allerdings gibt es bereits erfolgreiche Angriffe auf mobileTAN und SmartTAN plus. Hierbei wird nicht das Verfahren ansich umgangen, sondern dem Kunden wird vorgegaukelt er müsse eine Testüberweisung tätigen oder einen fälschlich erhaltenen Betrag zurücküberweisen.

    Viele Grüße
    Daniel

    1. Hallo Daniel,

      vielen Dank für Dein Feedback. Darf ich Dich per E-Mail kontaktieren? Ich würde mich freuen, wenn wir uns hierzu austauschen könnten.

      Grüße,
      TK, ABBZ

  2. Hallo zusammen,

    mittlerweile ist ja etwas Zeit vergangen. Gibt es mittlerweile bessere TAN-Verfahren? Zum Beispiel das mTAN?

    Freundliche Grüße
    Peter

Kommentare sind geschlossen.