Kurze Zahlenfolge für mehr Sicherheit: Die TAN
Beim Online-Banking muss zur Bestätigung jedes Auftrags eine kurze Zahlenfolge eingegeben werden. Diese Transaktionsnummer (TAN) soll verhindern, dass Betrüger Transaktionen in Auftrag geben können. Es gibt unterschiedliche TAN-Verfahren, z.B. mTAN, iTAN und den TAN-Generator.
Klassische TAN-Liste und iTAN
Die TAN- oder iTAN-Listen werden in Papierform von der Bank an den Kunden geschickt, ähnlich wie eine ganze Liste von PINs, die nur einmal verwendet werden. Bei den klassischen TAN-Listen konnte der Kunde selbst entscheiden, welche TAN er zur Bestätigung eines Auftrags verbraucht. Bei Listen mit indizierten TANs (iTAN) ist jede TAN mit einer Indexzahl gekennzeichnet. Die Webseite der Bank gibt dabei vor, welche TAN eingegeben werden soll.
Das klassische TAN-Verfahren gilt heute als zu unsicher, da Betrüger eine ganze Reihe von TANs auslesen und verwenden können. Um eine iTAN zu kriminellen Zwecken einzusetzen, müssen Betrüger zusätzlich die Indexzahl der iTAN kennen. Klassische TAN-Verfahren werden deshalb nicht mehr verwendet.
Schützen Sie Ihre TAN
Betrüger versuchen immer wieder ganze TAN- oder iTAN-Listen auszuspähen. Geben Sie deshalb nie mehr als eine TAN ein und antworten Sie nicht auf E-Mails, in denen Sie zur Übermittlung von TANs aufgefordert werden, auch wenn diese Mails scheinbar von Ihrer Bank kommen.
Moderne Schadprogramme (Computerviren) können auch iTAN-Verfahren aushebeln, indem sie die Überweisungsdaten zwischen Eingabe und Übermittlung an die Bank verändern.
mTAN-Verfahren: Handys für das Online-Banking
Bei sogenannten mTAN-Verfahren werden "mobile TANs" generiert und per SMS auf das Handy des Bankkunden gesendet. Für jede Transaktion wird wieder eine mTAN übermittelt. Betrüger können also nicht mehrere TANs ausspähen. Meist ist eine zugesendete mTAN nur eine begrenzte Zeit lang gültig, kann also nicht "auf Vorrat" ausspioniert werden, wie eine iTAN.
Je nach Bank variieren auch die Kosten für die Übermittlung der SMS. Der Vorteil der mTAN ist, dass der Übertragungsweg der Überweisungsdaten von dem der TANs getrennt ist. Um Ihren Online-Banking-Account zu hacken, müsste ein Betrüger nicht nur Zugang zum Computer haben, sondern auch im Besitz Ihres Handys sein. Für Transaktionen, die nicht von zu Hause, sondern z.B. am Arbeitsplatz oder von unterwegs getätigt werden, ist die mTAN besonders komfortabel.
Gerät für zu Hause: TAN-Generator
Ein TAN-Generator ist ein kleines Gerät, das direkt beim Kunden TANs erzeugt und auf einem Display anzeigt. Da die TANs nicht zum Kunden übermittelt werden und immer einzeln erzeugt werden, fällt das Ausspähen von TANs besonders schwer. Oft muss in den TAN-Generator die Kundenkarte der Bank eingeschoben werden. Damit können TANs nur gebunden an ein Konto erstellt werden.
Es gibt verschiedene Verfahren, die Daten einer Überweisung vom TAN-Generator in die Erzeugung der TAN einbeziehen zu lassen. So werden Kunden vor heimlichen Änderungen der Transaktionsdaten durch Viren geschützt. Ein TAN-Generator wird dem Bankkunden oft in Rechnung gestellt. Bei ausgeklügelten Verfahren ist dafür die Sicherheit sehr hoch.