Momentan verwenden die meisten Homebanking-Anwender das PIN/TAN-System. Dieses beruht auf der Nutzung von Persönlichen Identifikations Nummern (PIN) und TransAktionsNummern (TAN). Was genau dahinter steckt und welche neueren Systeme es gibt, lesen Sie hier.
Der Benutzer ruft die Internetseite seiner Bank auf. Dabei handelt es sich normalerweise schon um eine verschlüsselte Verbindung per https. Dort wird dann oft ein Java-Programm aufgerufen, das die eigentliche Banking-Funktionalität zur Verfügung stellt. Dieses Programm verschlüsselt meist die übertragenen Daten noch einmal zusätzlich.
Der Benutzer gibt dann dort seine Kontonummer und seine PIN an. Die PIN ist meist eine etwa fünfstellige Zahl, manchmal kann man auch Kombinationen aus Zahlen und Buchstaben verwenden. Die PIN kann der Kunde normalerweise beliebig ändern. Die PIN sollte regelmäßig geändert werden, läuft aber bei den meisten Banken nicht ab.
Jetzt kann der Benutzer seine Kontodaten (Kontostand, getätigte Überweisungen und Abhebungen etc.) ansehen und allgemeine Einstellungen vornehmen.
Wenn er einen Auftrag geben will, dann braucht er eine Transaktionsnummer (TAN). Transaktionsnummern sind nur einmalig verwendbar und verfallen danach. Der Kunde erhält die Transaktionsnummern normalerweise per Brief in Blöcken zu ca. 50 Stück (variiert leicht von Bank zu Bank). Üblicherweise braucht man pro Überweisung eine TAN.
Nach Anbruch eines neuen Blocks werden normalerweise alle TAN des vorher verwendeten Blocks ungültig.
Bei ordnungsgemäßer Nutzung und kritischem Umgang ist diese Methode schon recht sicher, wenn auch nicht optimal. Besser wäre Homebanking per HBCI.
Da in der neueren Zeit sehr viele Phishing-Attacken darauf abzielen, an TAN von Bankkunden zu kommen haben verschiedene Banken ein überarbeitetes TAN-Verfahren eingeführt: das sogenannte iTAN oder „indiziertes TAN-Verfahren“.
Beim alten TAN-Verfahren konnte der Kunde zur Autorisation der Transaktion eine beliebige TAN von seiner aktuellen Liste verwenden. Damit konnte auch jeder, der eine beliebige TAN in die Hände bekam, eine Transaktion (z.B. Überweisung) ausführen.
Beim iTAN-Verfahren hat jede TAN eine fortlaufende Nummer und der Server der Bank gibt diejenige TAN vor, die zum Ausführen des Auftrags genutzt werden muß. Alle anderen TAN der Liste sind für den Auftrag nicht verwendbar. Damit wird die Gefahr durch Phishing wesentlich minimiert. Besser wäre freilich eine komplette Umstellung auf HBCI.
Verschiedene Banken bieten mittlerweile zusätzlich eine TAN-Version an, die sich mTAN nennt. Das „m“ steht hierbei für „mobile“ was schon darauf hindeutet, dass das Handy des Benutzers eine wesentliche Rolle spielt. Konkret läuft das so ab:
Nachdem man sich für das mobile TAN-Verfahren angemeldet und identifiziert hat erhält man künftig bei jeder Überweisung folgende Daten per SMS aufs Handy:
Das Verfahren macht auf den ersten Blick einen guten Eindruck, kann sich aber in Verbindung mit diversen Phishing-Varianten zu einer Gefahr entwickeln.
2021 Computerbetrug.de - alle Rechte vorbehalten