Jüngst gab es mehrere Betrugsfälle mit dem bislang als sicher eingestuften mTab-Verfahren (Transaktionsnummer auf Handy), berichtet die „Süddeutsche“. In einem Fall wurden einer Online Banking Kundin fast 80.000 Euro abgebucht. Ich habe deshalb zusammengestellt, welche Tan- Verfahren es gibt, was die Schwachstellen und Vorteile sind.
Tan-Verfahren: Der Kunde loggt sich mit seiner PIN-Nummer auf der Internetseite der Bank ein, nimmt eine Transaktion vor (z.B. eine Überweisung) und bestätigt das mit einer beliebigen, ein Mal gültigen Transaktionsnummer (Tan) von der Tan-Liste, die der Kunde von seiner Bank erhalten hat. Der Nachteil: Gerät nur eine Tan in falsche Hände, können Konten-Hacker damit schon Schaden anrichten. Dieses Verfahren wird kaum noch verwendet.
iTan-Verfahren: Das ist eine Weiterentwicklung der einfachen Tan. Auch dabei verschickt die Bank eine Liste mit Transaktionsnummern, diese sind aber mit fortlaufend nummeriert, also indiziert. Der Bankcomputer gibt dabei vor, welche davon für die jeweilige Transaktion zu verwenden ist, zum Beispiel Nummer 120. Internet-Kriminelle würde eine einzelne Tan nichts nutzen, sie müssten schon die ganze Liste haben.
Das Bundeskriminalamt berichtete aber bereits von Fällen, bei denen es gelungen sei, das iTan-Verfahren und die Bankkunden zu überlisten. Die Betrüger sammeln die Daten in Echtzeit ein, schalten sich also in die jeweilige Transaktion ein und können so die zeitlich begrenzt gültigen Tans nutzen.
Bei mTan steht das m für Mobile
mTan-Verfahren: Das m steht für Mobile, womit das Mobiltelefon gemeint ist. Bei einer Online-Transaktion schickt die Bank dem Kunden per SMS eine in diesem Moment erzeugte Tan auf sein Mobiltelefon. Die Tan ist nur für die aktuelle Online-Sitzung gültig. Konten-Hacker müssten das Mobiltelefon haben, SMS abfangen können oder die Einstellung der Rufnummer ändern können.
Genau das aber ist schon mehrfach passiert: So registrierte das Landeskriminalamt Berlin 2012 eine Betrugs-Serie mit mTAN: Dabei wurden die Computer von Bankkunden gehackt und Kontoverbindungen ausgespäht. Parallel sollen Bankkunden für ein Computer-Update ihre Handynummer eingeben – dabei werden die mTANs abgefangen. In den aktuellen Fällen gelangt es sogar, die SMS auf eine neue Telefonkarte umzuleiten.
Die Commerzbank hat das noch recht neue Verfahren Photo-Tan eingeführt.
eTAN-Verfahren (Generator): Statt Papierlisten erhält der Kunde ein kleines Gerät, das Tans für jede einzelne Transaktion sozusagen frisch elektronisch erstellt. Dafür ist eine Kontrollnummer in den Tan-Generator einzugeben, die der Kunde für jeweilige Transaktion über die Internetseite der Bank genannt bekommt. Für einen Missbrauch müsste das Gerät entwendet werden, die Kopie einer Tan -Liste reicht nicht.
Verbraucherzentrale rät zu Tan-Generator
eTan plus-Verfahren: Der Tan-Generator ist in diesem Fall ein Kartenleser, für den eine Kundenkarte mit Chip notwendig ist, damit aus Transaktionsdaten und einem geheimen Schlüssel auf der Karte eine neue Tan berechnet wird. Für einen Missbrauch müssten daher sowohl Kartenleser als auch Kundenkarte vorhanden sein.
HBCI-Verfahren: Für Transaktionen mit dem „Home Banking Computer Interface” braucht der Kunde eine spezielle HBCI-Software auf seinem Computer, einen angeschlossenen Kartenleser sowie eine Kundenkarte mit Chip. Für die Transaktion gibt der Kunde seine Karten-PIN ein, worauf vom System eine elektronische Signatur für den Auftrag erstellt wird. Das lässt sich mit dem Gang zum Geldautomaten vergleichen, nur dass das Gerät nun zur Hause steht. Der Nachteil: Von unterwegs lassen sich keine Bankgeschäfte abwickeln, sofern kein Laptop mitgenommen wird.