Übersicht Online Banking Verfahren
Ein Online Banking Verfahren heißt ''trojanersicher'', wenn es nicht passieren kann, dass der Bankkunde alles richtig macht und trotzdem im Hintergrund ein Trojaner eine Betrugsüberweisung ausführt. Mit anderen Worten: Wenn bei einem trojanersicheren Verfahren etwas schief geht, dann muss der Bankkunde einen Fehler gemacht haben.
Trojaner-sicher
| Name | Kurzbeschreibung | Marktanteil | Links / Bild |
|---|---|---|---|
Display-TAN | So wie NFC-TAN, aber mit Display | -; seit 2014 |
|
| Photo-TAN/ extra Gerät | So wie Fotohandy-TAN, aber in eigenem Geraet: mit Kamera, aber ohne Funk und ohne Tastatur. Oder anders ausgedrueckt: ChipTAN-Komfort mit Kamera statt mit Fotodioden, und damit ist 2D-Code möglich, statt Flackercode. | 1%; seit 2008 | Commerzbank PhotoTAN/Lesegerät
|
| USB-Stick-TAN | Der Bankkunde bekommt von der Bank einen USB Stick mit Display. Fuer eine Ueberweisung tippt er die Ueberweisungs-Daten in ein Online Formular ein und schickt es zur Bank. Die Bank schickt die Information via Rechner des Kunden an den angeschlossenen USB-Stick. Dort erscheinen die Ueberweisungsdaten, die der Kunde mit einer Taste am USB Stick bestaetigt. Die USB-Stick-TAN ist im Prinzip wie HBCI-3 ohne Tastatur. | 2%; seit 2008 |
|
| chipTAN | Der Unterschied zur chip-TAN ohne Flackercode besteht darin, dass die Ueberweisungsdaten nicht noch einmal in des Geraet eingetippt werden muessen, sondern via Optik-Sensoren per Flickercode am Bildschirm eingelesen werden. | 30%; seit 2008 | - chip-TAN-comfort: Sparkasse/ReinerSCT
|
| chipTAN ohne Flackercode | Ein chip-TAN Geraet ist ein kleines Geraet mit Scheckkarten-Lesegeraet, Zifferntastatur und Display. Der Kunde gibt die Ueberweisungsdaten auf dem Rechner ein. Danach wird ihm ein Zifferncode angezeigt. Diesen Code tippt er zusammen mit der nochmals angegebenen Ziel-Kontonummer auf dem Geraet ein und bekommt danach auf dem Display eine TAN angezeigt, die er zur Bestaetigung der Ueberweisung auf dem Rechner eintippt. | 3%; ca. 2005 | - Sparkasse (chip-TAN)
|
| TAN-Generator (eTAN-Plus, Bankey) | Ein TAN-Generator ist ein kleines Geraet mit Zifferntastatur und Display. Der Kunde gibt die Ziel-Kontonummer einer Ueberweisung per Tastatur auf dem TAN-Generator ein und bekommt auf dem Display eine TAN angezeigt, die er zur Bestaetigung der Ueberweisung auf dem Rechner eintippt und zur Bank schickt. Intern hat der TAN-Generator eine Uhr, die mit einer Uhr bei der Bank synchronisiert ist. Der Unterschied zwischen eTAN und TAN-Generator ist die Zifferntastatur: nur mit ihr kann die Trojaner-Sicherheit erreicht werden. | 3%; ca. 2005 |
|
| HBCI-3, Secoder | Ein Klasse-3 Leser ist ein per Kabel an den Rechner angeschlossenes externes Geraet mit Zifferntastatur, Display und Scheckkarten-Leser. Die Ueberweisungs-Daten werden auf dem Display des Klasse-3 Lesers dargestellt, zusammen mit einer TAN, die zur Bestaetigung am Rechner eingetippt und zur Bank geschickt wird. | 2%; vor 2000 |
|
Trojaner-unsicher
| Name | trojaner-sicher? | Kurzbeschreibung | Marktanteil | Links / Bild |
|---|---|---|---|---|
| NFC-TAN | trojaner-sicher auf dem PC, aber trojaner-unsicher auf dem Smartphone (MitM) | So wie Photo-TAN/App-version, aber mit auf Bankkarte ausgelagertem Credential. Dadurch gegen Credential-Klau geschützt, aber nicht gegen Man-in-the-Middle | -; seit 2013 |
|
| Push-TAN | trojaner-sicher auf dem PC, aber trojaner-unsicher auf dem Smartphone (u.a. Credential-Klau) | So wie Photo-TAN/App-version, aber nicht mit 2D-Code, sondern die Ueberweisungsdaten werden per Internet auf das Smartphone gepusht. | 3%; seit 2013 |
|
| Photo-TAN/App-Version | trojaner-sicher auf dem PC, aber trojaner-unsicher auf dem Smartphone (u.a. Credential-Klau) | Der Bankkunde tippt seine Ueberweisung in ein Online Formular ein und schickt es zur Bank. Die Bank schickt einen 2D-Code auf den Bildschirm, der vom Bankkunden mit dem Smartphone abfotographiert wird. Das Handy-Display zeigt die Ueberweisungs-Daten und die TAN. Der Bankkunde bestaetigt die Ueberweisung durch Eingabe der TAN in den PC. | 2%; seit 2012 | Commerzbank PhotoTAN/Smartphone
|
| Mobile TAN (mTAN, SMS-TAN) | trojaner-sicher auf dem PC, aber trojaner-unsicher auf dem Smartphone (u.a. Trojaner-Banksitzung mit SMS Abfangen) | Nachdem der Bankkunde eine Ueberweisung im Online-Formular ausgefuellt hat und per Internet zur Bank geschickt hat, bekommt er von der Bank per SMS die Ueberweisungsdaten und eine TAN geschickt, die er zur Bestaetigung am Rechner eintippt und zur Bank schickt. | 40%; seit 2007 |
|
| TAN | nicht trojaner-sicher | Der Kunde bekommt von der Bank eine Liste mit Zahlen (TANs) zugeschickt.Fuer eine Ueberweisung tippt er die Ueberweisungs-Daten in ein Online Formular ein und gibt zusaetzlich eine TAN an. Das wird zur Bank geschickt und ausgefuehrt. | 1%; vor 2000 |
|
| iTAN | nicht trojaner-sicher | Der Kunde bekommt von der Bank eine Liste mit nummerierten Zahlen (iTANs) zugeschickt. Fuer eine Ueberweisung tippt er die Ueberweisungs-Daten in ein Online Formular ein und schickt es zur Bank. Die Bank schickt dem Kunden die ihr vorliegenden Ueberweisungsdaten an und fragt nach einer iTAN. Der Kunde tippt diese iTAN ein und schickt sie als Bestaetigung zur Bank. | 5%; vor 2000 |
|
| eTAN | nicht trojaner-sicher | Ein eTAN Token ist im Prinzip eine elektronische TAN-Liste. Es hat eine genau gehende Uhr, die mit einer Uhr bei der Bank synchronisiert ist, so dass die auf Knopfdruck angezeigte TAN alle paar Sekunden eine andere ist. Tokens sind im angelsaechsichen Raum und auch in Asien das am meisten verbreitete Sicherheitsverfahren fuer Online Banking (mehr als 80% Marktanteil). | 2%; vor 2000 |
|
| HBCI-1 | nicht trojaner-sicher | Ein HBCI-1 Leser ist ein per Kabel an den Bankkunden-Rechner angeschlossenes externes Geraet mit Scheckkarten-Leser. Beim Online Banking erzeugt das HBCI-1-Geraet zusammen mit der Scheckkarte die TAN's fuer Ueberweisungen, so dass bei diesem Verfahren keine Papier-TAN noetig ist. | 2%; vor 2000 |
|
| HBCI-2 | nicht trojaner-sicher | Ein HBCI-2 Leser ist ein per Kabel an den Bankkunden-Rechner angeschlossenes externes Geraet mit Zifferntastatur und Scheckkarten-Leser. Beim Online Banking erzeugt der Leser zusammen mit der Scheckkarte die TAN's, so dass bei diesem Verfahren keine Papier-TAN noetig ist. Anders als beim HBCI-1 Verfahren kann die PIN abhoersicher im HBCI-2-Geraet eingegeben werden. | 2%; vor 2000 |
|
Das SMS-TAN Verfahren muss leider inzwischen zu den unsicheren Verfahren gezaehlt werden (es stand bis 2010 bei den sicheren), denn ein Smartphone-Trojaner kann es aushebeln:
Der Smartphone-Trojaner hört zuerst das Online Passwort ab, z.B. wenn der Bankkunde seinen Kontostand auf dem Smartphone abfragt. Dann loggt der Smartphone-Trojaner sich per Smartphone-Internet virtuell ins Bankkonto ein und füllt virtuell eine Betrugsüberweisung aus. Nach dem virtuellen OK schickt die Bank die SMS mit der TAN an das Smartphone, die der Trojaner nach Empfang auf dem Smartphone abfängt und dann die TAN virtuell eingibt. Damit ist die Betrugsüberweisung erfolgreich ausgeführt. Am Display wird natürlich nichts angezeigt. Anders als bei einem Man-in-the-Middle Angriff ist der Bankkunde gar nicht involviert, der Angriff kann also z.B. nachts passieren - das Smartphone muss nur an sein.
Der Grund dafür, dass HBCI-1 und sogar HBCI-2 trojanerunsicher sind, ist, dass der Man-in-the-Middle Angriff da genauso moeglich wie beim iTAN Verfahren, denn der Bankkunde hat wegen des fehlenden sicheren Displays keine Kontrolle darueber, welche Ueberweisung zur Bank geschickt wird.
Die Marktanteile beziehen sich auf den Anteil an den ca. 2,8 Milliarden Online-Ueberweisungen im Jahr 2013 in Deutschland.