zurück Meldungen Artikel Bilder Viten Mappen Termine Kontakte Service Suche Start


Sie sehen den Artikel: Online-Banking wird noch sicherer. Veröffentlicht am: 24.05.2007
  
Web-Vorlage

Fachbeitrag Zwei Schritt TAN-Verfahren

 

Online-Banking wird noch sicherer

 

IT-Dienstleister der Banken arbeiten kontinuierlich an innovativen Verfahren – GAD eG entwickelt Sm@rtTAN plus und mobileTAN

 

Der Trend zum Online-Banking hält unvermindert an. Bereits 2004 ermittelte der Zentrale Kreditausschuss (ZKA) 30 Millionen Online-Konten. 2015 wird über die Hälfte der Bundesbürger regelmäßig Online-Banking nutzen, denn es liegt weit vorne auf der Hitliste der populärsten Internet-Anwendungen. („Internet-Agenda 2015“, eco Verband der deutschen Internetwirtschaft). Als Autorisierungsverfahren sind PIN und TAN am weitesten verbreitet. Laut einer Untersuchung der PASS Consulting Group (Online-Banking 2006 vom Mai 2006) fühlen sich die Online-Banker zwar damit sicher, das Interesse an neuen Sicherheits- bzw. Autorisierungsverfahren nimmt aber stark zu. Im Verantwortungsgefüge Kunde – Bank – Rechenzentrum sind alle Beteiligten gefordert. Die neuste Entwicklung, um das Online-Banking sicherer zu machen, sind zwei so genannte Zwei-Schritt-TAN-Verfahren: SmartTAN plus und mobileTAN. Sie wurden von dem IT-Kompetenzcenter GAD eG in Zusammenarbeit mit dem Bundesverband der deutschen Volksbanken und Raiffeisenbanken (BVR) entwickelt und können seit November 2006 erstmals von Kunden der Volksbanken und Raiffeisenbanken im Norden und Westen Deutschlands genutzt werden. 

 

Kunstwörter wie Phishing und Pharming gehören mittlerweile zum festen Sicherheits-Vokabular von Medien und Verbrauchern. Mit so genannten Phishing-Mails versuchen die Täter, Kunden auf gefälschte Webseiten zu locken und sie dazu zu verleiten, ihre PIN und TAN preiszugeben. Zwar geht die Anzahl der Phishing-Mails langsam zurück – von 7,9 auf 7,1 Millionen pro Tag – die Varianz steigt aber signifikant. Im ersten Halbjahr 2006 existierten 157.000 Varianten von Phishing-Mails (Symantec Internetsicherheitsbericht September 2006). Pharming ist eine Fortentwicklung des klassischen Phishings. Beim Pharming installiert sich ein schädliches Programm unbemerkt auf einem ungeschützten Rechner und manipuliert die Internet-Adresse im Browser. Der Kunde gibt zwar die richtige Webadresse im Browser ein, wird aber auf eine falsche Webseite geleitet. Wer sich nun auf der Seite mit seinen Zugangsdaten anmeldet, spielt den Betrügern direkt in die Hände.

 

In zwei Schritten zum sicheren Online-Banking

Mit Hochdruck arbeitet der IT-Dienstleister der Banken an der Entwicklung innovativer Sicherheitsverfahren. Grundsätzlich unterscheidet man heute zwischen Ein-Schritt-Verfahren und Zwei-Schritt-Verfahren. (Grafik 1). Zu den Ein-Schritt-Verfahren zählt der TAN-Bogen, aber auch die Gewinnung der TAN mit dem TAN-Generator in Kombination mit der VR-Bankcard.

 

Beim Zwei-Schritt-TAN-Verfahren werden die Transaktion (z.B. die Überweisung) und die TAN-Übermittlung in zwei Schritte zerlegt und voneinander getrennt durchgeführt. Gleichzeitig wird jedoch eine logische Verbindung zwischen dem im Online-Banking eingegebenen Auftrag und der erzeugten TAN hergestellt. Dadurch kann die erzeugte TAN nur für den entsprechenden Überweisungsauftrag genutzt werden. Ein Betrüger kann etwaige via Phishing „abgefangene“ TANs nicht missbräuchlich für einen willkürlich geänderten oder anderweitigen Überweisungsauftrag verwenden.

 

Sm@rtTAN plus als nächste Entwicklungsstufe

Die Volksbanken und Raiffeisenbanken können ihren Kunden jetzt die Zwei-Schritt-Verfahren SmartTAN plus und mobileTAN anbieten. Zu den Sicherheitsfaktoren zählen hier zum einen der Verfahrensablauf – Auftrag und TAN-Ermittlung laufen getrennt voneinander – und die Möglichkeit der Datenkontrolle durch den Nutzer. Für SmartTAN plus ist ein spezieller Kartenleser (Foto) mit Tastatur notwendig. Nachdem der Anwender z.B. seine Überweisung an das Banksystem übertragen hat, erhält er im Internet-Banking einen Bankcode und die Transaktionsdaten angezeigt. Bankcode und Transaktionsdaten beinhalten auftragsbezogene Informationen und dienen zusätzlich der Kontrolle durch den Anwender. Der Bank- und Transaktionscode werden in den Kartenleser eingegeben. In die Errechnung der TAN fließen Informationen ein, die der Anwender zuvor in den Leser eingegeben hat und die er alleine auf Richtigkeit überprüfen kann. Im Anschluss gibt der Kartenleser die an diese Transaktion geknüpfte TAN aus, mit der im Online-Banking die Überweisung abgeschlossen wird.

 

Ebenfalls zu den sicheren Zwei-Schritt-Verfahren zählt die mobileTAN. Handy-Besitzer ermitteln ihre TAN per PC und Handy. Hierfür hinterlegt der Online-Banker seine Handy-Nummer bei der Bank. Vor Abschluss der Online-Banking-Transaktion erhält der Anwender seine TAN per SMS über sein Handy. Die Tranksaktionsdaten wurden vor Eingabe der TAN durch den Kunden bereits an das Bankensystem übermittelt.

Aufgrund der neuen Zwei-Schritt-Verfahren sind Man-in-the-middle-Attacken – das sind solche Betrugsverfahren, bei denen sich der Angreifer zwischen den Anwender und das Rechenzentrum hängt – praktisch nicht mehr möglich.

 

Aufklärungsarbeit der Banken bleibt wichtig

Mit den sich stets verbessernden Sicherheitsverfahren im Online-Banking greifen auch die Betrüger zu neuen Methoden, die nicht die Systeme, sondern verstärkt den Menschen überlisten. Neue Formen des Phishing und auch das Pharming setzen daher weiter an der Gutgläubigkeit der Verbraucher an. Banken und auch ihre Webseiten besitzen seit jeher ein hohes Vertrauenspotenzial. Einer der wichtigsten Ansatzpunkte ist daher die kontinuierliche Aufklärung der Kunden über die sich schnell ändernden Betrugsverfahren und die möglichen Sicherheitsverfahren.–

 

Fazit

Die IT-Dienstleister der Banken arbeiten mit Hochdruck an neuen Sicherheitsverfahren. Die neuen Zwei-Schritt-Verfahren machen es Betrügern noch schwerer, das System zu knacken und den Anwender mit E-Mails zu überlisten. Denn die erzeugte TAN ist ausschließlich für einen speziellen Überweisungsauftrag und keinen anderen gültig. Ein Krimineller könnte somit eine abgefangene TAN nicht für einen anderen Auftrag verwenden.

Den Banken kommt weiterhin die umfassende Aufklärung über generelle und neue Sicherheitsverfahren zu. Der Anwender selbst muss aber auch in Zukunft sorgfältig darauf achten, nicht auf kritische E-Mails zu reagieren und seinen PC vor fremden Zugriffen zu schützen. 

 

Ausblick: Elektronische Signatur

Die Einführung eines weiteren innovativen Sicherheitsverfahren beim Online-Banking steht für die Kunden der Volksbanken und Raiffeisenbanken kurz bevor: voraussichtlich im Oktober 2007 wird die so genannte elektronische Signatur auf der VR-BankCard im Geschäftgebiet der GAD eingeführt. Diese können heute bereits mit PC-Programme wie VR-NetWorld Software (Privatkunden) und Profi cash (Firmenkunden) eingesetzt werden. Diese Zahlungsverkehrsprogramme unterstützen den neuen Sicherheitsstandard HBCI/FinTS Version 3.0 und sind bei allen Volksbanken und Raiffeisenbanken erhältlich. Der Kunde benötigt zusätzlich zu seiner ec-Karte und seinem Zahlungsverkehrsprogramm lediglich einen Chipkartenleser.

Langfristiges Ziel der Entwicklungen ist es, dass mit der elektronischen Signatur Geschäfte genauso rechtsverbindlich wie heute mit der handschriftlichen Unterschrift abgeschlossen werden können. Im Internet könnten zukünftig beispielsweise Verträge oder Anträge bei Banken, Behörden und Kommunen digital und rechtsverbindlich signiert werden.

 

 

So funktioniert SmartTAN plus

Der Kunde erfasst im Online-Banking z.B. eine Überweisung und führt diese aus.

Die Überweisung wird an das System im Rechenzentrum der Bank übertragen.

Dem Kunden werden der Bankcode (technischer Code für den Geschäftsvorfall) und die Transaktionsdaten (Teile der im Auftrag erfassten Daten) im Online-Banking angezeigt.

Der Kunde gibt den Bankcode in den Leser ein.

Nachdem der Kunde den Transaktionscode mit den ersten sechs Stellen der Empfängerkontonummer verglichen und keine Abweichungen festgestellt hat, gibt er diesen in den Leser ein.

Die TAN wird auf dem Display des Kartenlesers ausgegeben und der Kunde gibt wie gewohnt die angezeigte TAN in die Anwendung ein.

 

 

Selbstschutz vor Betrug

Gegen Phishing und Pharming kann sich jeder Online-Banker schützen. Wer nicht auf betrügerische E-Mails reagiert und die Echtheitsmerkmale der Bankseiten kontrolliert, kann sicher sein, dass er seine Daten nicht in fremde Hände gibt. Ein Virenscanner, eine Firewall sowie eine kontinuierliche Aktualisierung des Betriebssystems sorgen dafür, dass sich keine Schadprogramme unbemerkt auf dem Kundenrechner installieren können.

 

Lieferbares Fotomaterial:

 

Ein-Schritt-/Zwei-Schritt-Verfahren

Kartenleser mit Tastatur

 

l>
 

Diesen Artikel als PDF-Datei downloaden  

 

 

 
Zu diesem Artikel ist derzeit kein Bild vorhanden
 
Zu diesem Artikel ist derzeit keine Vita vorhanden