TAN-Generator

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Bild TAN-Generator

TAN-Generatoren wurden eingeführt, um das Onlinebanking nach der Entdeckung verschiedener Sicherheitslücken beim normalen TAN- und iTAN-Verfahren wieder sicherer zu machen. Das grundlegend neue Sicherheitselement hierzu ist ein separates Gerät, um den Prozess der Banküberweisung vom Computer abzukoppeln. Zunächst wurde auf das mTAN-Verfahren gesetzt, wobei hier das Handy die Funktion des separaten Gerätes übernahm. Nach dem vermehrten Einsatz intelligenter Handys (Smartphones) und deren wachsenden Beeinflussungsmöglichkeiten (z.B. durch die mobile Variante des ZEUS-Trojaners ZitMo) kommen nun TAN-Generatoren zum Einsatz.

Allgemeines

Der Ablauf einer Banküberweisung mit TAN-Generatoren ist vergleichbar: Es wird ein Onlineformular aufgefüllt und vom Web-Server der Bank eine Bestätigungsseite mit den Details zur geplanten Überweisung ausgegeben. Zur Bestätigung der Transaktion muss eine TAN eingegeben werden. Die Erzeugung der TAN erfolgt mit Hilfe der TAN-Generatoren, wodurch sich die einzelnen Verfahren unterscheiden.


smartTAN

In der Ursprungsvariante stand lediglich ein TAN-Generator ohne Ziffernfeld, aber mit Chipkarten-Einschub zur Verfügung. Die Erzeugung der TAN erfolgte über den Chip auf der Kundenkarte. Mit der ersten Weiterentwicklung zum Verfahren smartTAN-Plus konnte auch die Kontonummer und Betrag über ein Ziffernfeld eingegeben werden. Allerdings war die Eingabe über ein relativ kleines Display wenig komfortabel und fehleranfällig. Aus diesem Grunde wurde das Verfahren smartTAN optic eingeführt, wobei nach Erfassung der Überweisungsdaten am Computer diese per Lichtsignal (Flickering) an den TAN-Generator übertragen werden.


chipTAN

Das chipTAN manuell-Verfahren bzw. das chipTAN comfort-Verfahren wird von einer anderen Kreditinstitutsgruppe eingesetzt, entspricht im Wesentlichen aber dem smartTAN-Plus-Verfahren bzw. dem smartTAN optic-Verfahren.


eTAN

Beim eTAN-Verfahren wird die TAN mittels einen individualisieren TAN-Generator und dem enthaltenen geheimen Schlüssel erzeugt. Dadurch weist dieses Verfahren in dieser Hinsicht Ähnlichkeiten mit dem HBCI-Verfahren auf. In späteren Varianten wurde zusätzlich die Gültigkeit der TAN zeitlich befristet und die Bindung an genau eine Transaktion eingeführt.


photoTAN

Bei dem neuen photoTAN-Verfahren fotografiert das Lesegerät (oder ein Smartphone) eine spezielle Grafik im Browser. Das Lesegerät (oder die Smartphone-App) entschlüsselt aus den Bilddaten die Transaktionsdaten, zeigt diese an und generiert nach Bestätigung daraus erst die eigentliche TAN. Durch die Verwendung von Grafiken ähnelt das Verfahren etwas dem smartTAN optic-Verfahren.


Bewertung

Die Banküberweisung mit TAN-Generatoren in der optischen Variante (Flickering) sind derzeit als sehr sicher einzustufen. Lediglich bei Sammelüberweisungen bieten sich Manipulationsmöglichkeiten, da im Display des TAN-Generators hier nur die Anzahl der Posten sowie der Gesamtbetrag angezeigt wird. Beim Verlust der Bankkarte bzw. des TAN-Generators beim eTAN-Verfahren können weiterhin TANs generiert werden. Da für eine erfolgreiche Transaktionen aber auch die Eingabe der PIN notwendig ist, ist diese Gefährdung überschaubar.

Dennoch sollte der Nutzer auch bei diesem Verfahren die Vorsicht nicht außer Acht lassen. Im September 2012 wurde ein Versuch beschrieben, mit dem Trojaner Tatanga Nutzer des ChipTAN-Verfahrens zu überlisten.

Vorerst gehen Gerichte davon aus, dass ein Bankkunde die Rückmeldungen des TAN-Generators nicht richtig kontrolliert hat, wenn er eine manipulierte Überweisung mittels der vom Gerät generierten TAN autorisiert hat. [1]


Alternativen

Die Postbank hat ein einfaches System auf USB-Stick-Basis (BestSign) einführen. Dieser Spezial-USB-Stick (Seal One USB) baut, sobald der Kunde eine Transaktion in Auftrag gegeben hat, eine mit RSA verschlüsselte Verbindung zum Bankserver auf und erhält die Transaktionsdaten. Diese Daten zeigt der Stick an. Sofern der Kunde dann bestätigt (per Taste am Stick), werden die Transaktionsdaten digital signiert und rückübertragen.

Dagegen wird beim FinTS(früher HBCI)-Verfahren zur sicheren Speicherung der Schlüssel und zur Ausführung sensitiver kryptograpischer Prozesse auf ein Sicherheitsmedium (Chipkarte) gesetzt (ZKA-Chipkarte, eC-Chipkarte (Geldkarte)).


Einzelnachweis

  1. SecuPedia Aktuell: Kunde muss Rückmeldung des TAN-Generators kontrollieren


Siehe auch



Diese Seite wurde zuletzt am 26. November 2017 um 17:20 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl.

Anzeigen