Seit Jahren entwickeln Cyberkriminelle Angriffstechniken, um an die TAN-Nummern von Bankkunden zu kommen. Das BKA rät davon ab, die klassische iTAN zu verwenden. Dennoch bieten viele Banken ihren Kunden gar keine Alternative zur Papierliste. Dabei sind moderne TAN-Verfahren sehr viel sicherer.

Die Zeit der TAN-Liste geht langsam zu Ende. Kunden der Volks- und Raiffeisenbanken können schon seit 2009 auf modernere Verfahren umsatteln, bei den Sparkassen soll die Umstellung bis Ende des Jahres weitgehend vollzogen sein. Bei den Privatinstituten ist die Sache schwieriger, hier hat auch der Deutsche Bankenverband keinen Überblick, auf welche Techniken seine Mitglieder setzen. Vollständig von der Papierliste verabschiedet haben sich beispielsweise die Postbank wie auch die DAB. Einige Banken fahren im Parallelbetrieb und stellen ihren Kunden mehrere Alternativen zur Wahl, so etwa die Deutsche Bank, Hypovereinsbank oder ING Diba. Allerdings machen noch nicht alle Institute Anstalten, sich zu bewegen. So bleibt etwa bei der Commerzbank alles beim Alten – noch.

Denn das statische TAN-Verfahren ist angreifbar, zumal Online-Betrüger inzwischen eine Menge Erfahrungen auf dem Gebiet gesammelt haben. Früher ließen sich schon über simple Phishing-Attacken Konten leerräumen. Seit die Banken die TANs mit Nummern versehen und nur eine ganz bestimmte TAN für eine Überweisung gilt, ist das nicht mehr so einfach. Doch die Betrugstechniken haben sich weiterentwickelt: Inzwischen werden über eingeschleuste Trojaner einfach Betrags- und Empfängerdaten in der Überweisung geändert, die der Nutzer dann per TAN legitimiert. Man- in-the-middle-Angriff nennt sich das.

"Verschiedene Trojaner sind speziell auf den deutschen Bankenmarkt ausgerichtet und verfügen über das technische Potenzial, das iTAN-Verfahren erfolgreich anzugreifen", warnte BKA-Präsident Ziercke im Sommer anlässlich der Vorstellung der "Cybercrime 2010"-Berlichts. Im Schnitt räumten die Kriminellen 4000 Euro von den angegriffenen Online-Konten ab. "Wer Online-Banking macht, sollte unbedingt auf die neuen Verfahren wie chipTAN umsteigen", riet Dieter Kempf vom IT-Branchenverband BITKOM.

Mehr Sicherheit durch Zweitgerät

Für das chipTAN-Verfahren braucht man einen TAN-Generator, das ist ein Gerät von der Größe eines Taschenrechners mit Display, Ziffernfeld und Karteneinschub. Den Generator gibt es zumeist für 10 bis 15 Euro bei der jeweiligen Bank, in der Regel kann man aber ein Gerät für mehrere Konten nutzen. Ein Generator pro Haushalt sollte also reichen. Bei einer Überweisung wird zunächst online ein Code angezeigt. Mit diesem Code und der Chipkarte erzeugt der Generator dann eine TAN, die lediglich wenige Minuten für die aktuelle Transaktion gilt. Diese Zwei-Geräte-Lösung gilt im Moment als sicher.

Auch das mobileTAN-Verfahren setzt auf ein zweites Gerät: das Mobiltelefon. Der Kunde muss dafür seine Handynummer bei der Bank registrieren. Nachdem die Überweisungsdaten online eingegeben wurden, schickt die Bank eine TAN per SMS. Auch diese TAN gilt nur einmal und nur für wenige Minuten. Durch den SMS-Versand entstehen der Bank Kosten, einige geben sie an die Kunden weiter. So berechnet etwa die Deutsche Bank neun Cent pro SMS. Postbank und Hypovereinsbank dagegen schicken die Nummer – zumindest in Deutschland - gratis aufs Handy.

Leichtsinn bleibt gefährlich

Das mTAN-Verfahren ist sicher die flexibelste aller Lösungen. Während TAN-Liste oder Generator meistens zu Hause deponiert sind, hat man das Handy fast immer dabei. Allerdings sollte man sich auf seinen Netzanbieter verlassen können. Kommt die SMS nicht durch, ist keine Überweisung möglich. Per Smartphone zu überweisen ist natürlich verboten.

Doch auch wenn die SMS-TAN weitaus sicherer ist als das klassische iTAN-Verfahren, gibt es auch hier Angriffsmöglichkeiten. Als Apps getarnte Trojaner können die SMS-TANs direkt vom Smartphone abgreifen. Mit der üblichen Aufforderung, nur Apps aus vertrauenswürdigen Quellen zu installieren, ist es nicht getan, wie im Frühjahr der Banking-Trojaner "Spy-Eye" zeigte, der es auf Symbian-Handys abgesehen hatte. Der Angriff startete auf dem PC: Auf der präparierten Banking-Seite sollten Nutzer ihre Handy-Seriennummer (IMEI) und Mobilfunknummer eintippen. Auf dem Smartphone erschien dann die Aufforderung, ein Sicherheitszertifikat zu installieren. Das sorgte dann allerdings nicht für zusätzliche Sicherheit, sondern leitete die mTANs an die Server der Angreifer weiter. Auch bei den neuen TAN-Verfahren sollten Kunden also wachsam bleiben.