Neue TAN-Verfahren – pro und contra

Über die Hälfte aller Deutschen wickelt inzwischen ihre Bankgeschäfte online ab

Über die Hälfte aller Deutschen wickelt inzwischen ihre Bankgeschäfte online ab. 42 Millionen Onlinekonten – das sind 42 Millionen lohnende Ziele für Kriminelle. Jedes Jahr erbeuten sie Millionen an Euro. Mehr Sicherheit sollen die neuen TAN-Verfahren smsTAN und chipTAN bringen. Doch auch sie haben Schwachstellen.

Wie funktionieren smsTAN und chipTAN?

Beim smsTAN- beziehungsweise MobileTAN-Verfahren benötigt der Kunde sein Handy. Die Rufnummer muss er zuerst bei der Bank registrieren lassen. Dieser Vorgang dauert ein paar Tage. Ist die Rufnummer registriert, schickt die Bank nach dem Ausfüllen des Überweisungsvordruckes die benötigte TAN als SMS aufs Handy.

Die SMS-TAN kann schnell zur Kostenfalle werden

Doch Vorsicht: Die smsTAN kann schnell zur Kostenfalle werden. Während die SMS bei einigen Banken und Sparkassen kostenlos ist, wird es bei anderen teuer. 0,09 Euro verlangen zum Beispiel die Deutsche Bank oder die Norisbank. Und bis zu 0,15 Cent pro SMS fordert gar manche Volks- und Raiffeisenbank! Allerdings regelt jede Sparkasse und jede Volks- und Raiffeisenbank selbst, ob und wie viel Gebühren sie verlangt. Tipp: Ein Bankwechsel kann sich lohnen, denn die SMS-Gebühren können schnell jährliche Zusatzkosten im zweistelligen Eurobereich verursachen.

Beim chipTAN-Verfahren errechnet ein spezielles Gerät, der TAN-Generator, die passende TAN. Dafür muss zuerst die EC-Karte in das Gerät geschoben werden. Auf dem Bildschirm des Computers erscheint nach dem Ausfüllen der Überweisungsvorlage ein flackernder Code, der Informationen überträgt. Vor diesen Flicker-Code wird der TAN-Generator gehalten – und dieser errechnet daraus die korrekte TAN.

Diese speziellen Geräte kosten meist zwischen 10 und 15 Euro. Bei der Deutschen Bank allerdings – dank spezieller HBCI-Technik (die besonders sicher sein soll) – beträgt der Preis für das Gerät 58 Euro – plus Karte sind das zusammen 68 Euro.

Wie sicher sind smsTAN und chipTAN?

Experten, wie der IT-Experte Jens Liebchen von der Firma „RedTeam Pentesting GmbH“, sagen: Die neuen TAN-Methoden böten theoretisch tatsächlich mehr Sicherheit, dank der zwei Kanäle Computer und Handy beziehungsweise Chip-Generator. Für kriminelle Hacker bedeutet das mehr Aufwand, denn sie müssen den heimischen PC und das Handy beziehungsweise den Generator ausspionieren oder überlisten. Davon lassen sie sich aber nicht abschrecken. Die eigentliche Schwachstelle ist immer der Benutzer – und die ersten Angriffe sind schon bekannt.

Angreifer können die von der Bank per SMS versendete TAN per Trojaner abfangen

So infiziert beim smsTAN-Verfahren der Angreifer zuerst den PC mit einem sogenannten Zeus-Trojaner. Dieser manipuliert die angezeigten Webseiten auf dem PC: Der Bankkunde denkt zwar, er sei auf der Internetseite seiner Bank, in Wirklichkeit aber fängt der Angreifer im Hintergrund die Daten ab.

Wenn der ahnungslose Kunde dann seine Überweisung durchführt, geht der Zeus-Trojaner dazwischen und spielt dem Kunden vor, dass es für das smsTAN-Verfahren ein wichtiges Sicherheitsupdate gibt und man Mobilfunknummer und Gerätetyp angeben soll. Im Anschluss bekommt der Kunde relativ schnell – innerhalb weniger Sekunden – ein vermeintliches Sicherheitsupdate aufs Handy. Das ist aber nichts anderes als ein zweiter Trojaner, und der fängt die SMS, die von der Bank mit der TAN kommt, ab und leitet sie an die Angreifer weiter.

Fast noch einfacher wird es für Kriminelle bei Smartphones. Denn diese können leicht mit speziellen Spionageprogrammen infiziert werden. Wer dann noch Kontodaten oder sogar PIN-Nummern im Gerät gespeichert hat, macht es Betrügern leicht. Zumal, wenn er ohne großes Nachdenken Apps installiert. Betrügerische Apps fangen die SMS der Bank mit der TAN ab und leiten sie an die Betrüger weiter. Tipp: Apps brauchen Berechtigungen. Diese sollten Sie überprüfen, denn vielleicht macht das Programm etwas ganz anderes, als es vorgibt. Das Wichtigste aber ist: Das Smartphone niemals doppelt nutzen, also für Bankgeschäfte und als Empfänger für die smsTAN! Wer so leichtsinnig ist, haftet im Betrugsfall selbst!

Also: Als Nutzer der neuen TAN-Verfahren ist man noch mehr gefordert, als man es bislang ohnehin schon war. Die angezeigten Überweisungsdaten auf Handy oder TAN-Generator müssen penibel kontrolliert und mit den eingegebenen Daten auf dem Computer verglichen werden. Außerdem sollte man wie bisher einen aktuellen Virenscanner benutzen und regelmäßig Updates installieren.

Doch selbst, wenn man alle Tipps befolgt: Keine der neuen TAN-Methoden bietet für sich allein absoluten Schutz. Wem Sicherheit über alles geht, für den ist die beste Variante die gute alte Überweisung per Hand – auch wenn das zugegebenermaßen altmodisch und zeitintensiv ist. Denn: Bei gefälschten herkömmlichen Überweisungen haftet die Bank, sie trägt das Risiko. Beim Onlinebanking kann es sein, dass der Kunde einen Selbstbehalt von 150 Euro tragen muss. Kann ihm grobe Fahrlässigkeit nachgewiesen werden, haftet er unter Umständen sogar komplett selbst. Auf jeden Fall muss der Kunde nachweisen, dass er von Onlinekriminellen betrogen wurde. Deswegen auf jeden Fall Kontoauszüge regelmäßig prüfen und gegebenenfalls bei der Bank reklamieren.