Transaktionsnummer

Eine Transaktionsnummer (TAN) ist ein Einmalpasswort, das üblicherweise aus sechs Dezimalziffern besteht und vorwiegend im Online-Banking verwendet wird.

Realisierung

Es gibt verschiedene Ansätze, um TANs zu erzeugen, zu prüfen und an den Nutzer zu übertragen. Einige davon werden im Folgenden beschrieben.

TAN-Liste (klassisches TAN-Verfahren)

Beim klassischen TAN-Verfahren erhält der Teilnehmer beim Electronic Banking, meist per Post, eine Liste von Transaktionsnummern. Bei jedem Buchungsvorgang – der Transaktion – muss eine beliebige TAN der aktiven Liste eingegeben werden. Sie ist eine Ergänzung zur Persönlichen Identifikationsnummer (PIN). Falls die Bank nach Eingabe der korrekten PIN einen Buchungsauftrag mit korrekter TAN erhält, geht sie davon aus, dass der Auftrag vom Kunden abgesendet wurde. Die TAN wird von der Bank als Quasi-Unterschrift interpretiert. Sie verfällt nach einmaligem Gebrauch. Wenn die TAN-Liste zur Neige geht, erhält der Kunde von der Bank nach Anforderung oder automatisch eine neue.

Auf Grund stark anwachsender Phishing-Angriffe wird diese Art der TAN-Liste kaum noch verwendet. Fast alle Banken setzen nun die Form der indizierten TAN-Liste ein.

Indizierte TAN-Liste (iTAN)

Einen Schritt weiter geht das Verfahren der indizierten Transaktionsnummern, kurz iTAN: Der Kunde kann hier seinen Auftrag nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren, sondern wird von der Bank aufgefordert, eine bestimmte, durch eine Positionsnummer (Index) gekennzeichnete TAN aus seiner zu diesem Zweck nun durchnummerierten Liste einzugeben. Der TAN-Aufforderung muss der Kunde innerhalb weniger Minuten folgen. Außerdem wird die angeforderte TAN auch im Falle einer Nichtverwendung im Bankrechner als verbraucht gekennzeichnet.

Auch dieses Verfahren wird mittlerweile von Hackern auf zwei verschiedene Weisen angegriffen:

1. Durch Einblenden eines Formulars innerhalb des Online-Banking-Systems wird der Online-Banking-Kunde zur Eingabe mehrerer TANs inklusive Indexnummer aufgefordert. Teilweise fragt die Schadsoftware („Virus“) die freien Plätze der TAN-Liste ab und gibt die entsprechenden Indexnummern vor. Auf diese Weise erhöht der Hacker die Wahrscheinlichkeit, bei einer TAN-Anforderung nach einer in seinem Besitz befindlichen TAN gefragt zu werden, deutlich. Dies kann er im Nachgang versuchen, um damit eine betrügerische Überweisung auszuführen.
2. Bei einem Man-in-the-middle-Angriff schaltet sich die Schadsoftware automatisch ein, sobald der Online-Kunde eine Überweisung tätigen will. Die Schadsoftware tauscht im Hintergrund die Überweisungsdaten aus; mit der angeforderten TAN bestätigt der Online-Banking-Kunde also in Wirklichkeit die betrügerische Überweisung des Hackers. Auf seinem PC-Bildschirm sieht er immer noch seine Originalüberweisung. Selbst die Umsatzanzeige und der Kontosaldo werden durch das Virus manipuliert und so perfekt vorgetäuscht.

Immer mehr Banken sehen die iTAN-Liste nur noch als Mindestschutz und empfehlen ihren Kunden sicherere Verfahren (siehe unten).

Ein Nachteil der iTAN ist, dass für Überweisungen von unterwegs (z. B. aus dem Urlaub) immer die komplette iTAN-Liste mitgeführt werden muss. Bei dem einfachen TAN-Verfahren ist es möglich, wenige TANs so mitzuführen, dass sie von Fremden nicht als solche erkennbar und/oder nicht korrekt lesbar sind, zum Beispiel in einer Telefonliste. Eine iTAN-Liste ist schwerer zu tarnen, und einem Dieb fällt auch immer die komplette Liste in die Hände. Diese ist jedoch wertlos, solange der Dieb nicht auch im Besitz der PIN ist. Erst dann kann er durch Überweisungen Geld erbeuten.

Dagegen besteht ein praktischer Vorteil der iTAN gegenüber der einfachen TAN darin, dass man verbrauchte iTANs nicht von der Liste streichen muss. Dadurch kann man beispielsweise unabhängig ohne Synchronisierungsprobleme mit mehreren verschlüsselten elektronischen Kopien einer iTAN-Liste arbeiten.

Nach neueren Untersuchungen kann das iTAN-Verfahren heute nicht mehr als sicher gelten. Mirko Manske, Kriminalhauptkommissar beim Bundeskriminalamt (BKA), erklärte auf dem 11. IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik im Mai 2009 in Bonn, Phishing-Angriffe seien durch iTAN zwar schwieriger geworden, „aber nicht unmöglich“. Das BKA habe im Jahr 2008 rund 1.800 erfolgreiche Phishing-Angriffe registriert, die in aller Regel durch die Einschleusung von Trojanern erfolgen.

Anfang 2007 tauchten demnach erste Phishing-Kits auf, die in der Lage gewesen seien, über die bereits genannte Man-in-the-middle-Attacke abgefischte iTANs in Echtzeit für eigene Transaktionen zu benutzen.<ref>Christiane Schulzki-Haddouti / dab: BKA: iTAN-Verfahren keine Hürde mehr für Kriminelle. In: heise Security. 18. Mai 2009, abgerufen am 8. Oktober 2010. </ref> 2010 wurden mit einem entsprechenden iTAN-Trojaner 1,65 Millionen Euro erbeutet. Der Trojaner manipulierte dabei im Hintergrund sowohl die Überweisungsdaten als auch die Kontoübersichtsseite, sodass die tatsächlich getätigten Überweisungen verborgen blieben.<ref name="iTAN">Katusha: LKA zerschlägt Ring von Online-Betrügern WinFuture.de, 29. Oktober 2010</ref>

2012 empfahl die Europäische Agentur für Netz- und Informationssicherheit (ENISA) daher allen Banken, die PCs ihrer Kunden grundsätzlich als infiziert zu betrachten und deshalb Sicherheitsverfahren zu verwenden, bei denen der Kunde noch einmal unabhängig vom PC die tatsächlichen Überweisungsdaten kontrollieren kann. Beispiele sind laut ENISA – unter dem Vorbehalt, dass die Sicherheit des Mobiltelefons gewährleistet werden kann – mTAN oder Smartcard-basierte Lösungen mit eigenem Kontrolldisplay wie chipTAN.<ref>“High Roller” online bank robberies reveal security gaps European Union Agency for Network and Information Security, 5. Juli 2012</ref>

Indizierte TAN-Liste mit Kontrollbild (iTANplus)

Der beim iTAN-Verfahren mögliche Man-in-the-middle-Angriff wird durch das sogenannte iTANplus-Verfahren erschwert, aber nicht verhindert.<ref>dab: Verbessertes iTAN-Verfahren soll vor Manipulationen durch Trojaner schützen. In: heise online. 26. Oktober 2007, abgerufen am 8. Oktober 2010. </ref> Bei diesem Verfahren wird vor Eingabe der iTAN ein Kontrollbild angezeigt, in welchem sämtliche Transaktionsdaten noch einmal aufgeführt werden. Außerdem wird als digitales Wasserzeichen das Geburtsdatum des Kontoinhabers angezeigt<ref>Fiducia AG: Onlinebanking mit iTANplus. In: Fiducia AG. 15. Oktober 2007, archiviert vom Original am 2. Juli 2011, abgerufen am 2. Februar 2012. </ref>, welches einem Man-in-the-middle-Angreifer in der Regel nicht bekannt sein sollte. Dadurch soll ein automatisches Generieren eines manipulierten Kontrollbildes durch einen Angreifer massiv erschwert werden. Nachteil dieses Verfahrens ist die Verschlechterung der Ergonomie, da das Kontrollbild schwieriger zu lesen ist als die Aufforderung zur iTAN-Eingabe in normaler Textform.

TAN mit Bestätigungsnummer

Das Verfahren kann um eine Bestätigungsnummer (BEN) erweitert werden, mit der die Bank die Auftragsannahme im Gegenzug quittiert. Das bedeutet, dass ein Angriff als Man-in-the-Middle und nahezu in Echtzeit stattfinden muss, um nicht aufzufallen. Phishing und Pharming fielen auf, da keine (korrekten) BENs zurückgegeben würden.

Mobile TAN (mTAN)

Funktionsprinzip

Die Variante Mobile TAN (mTAN) oder smsTAN besteht aus der Einbindung des Übertragungskanals SMS. Dabei wird dem Onlinebanking-Kunden nach Übersendung der ausgefüllten Überweisung im Internet seitens der Bank per SMS eine nur für diesen Vorgang verwendbare TAN auf sein Mobiltelefon gesendet. Der Auftrag muss anschließend mit dieser TAN bestätigt werden.

Sicherheit

Durch den SMS-Versand der TAN gilt mTAN als sicherer als iTAN oder das klassische TAN-Verfahren. Dadurch, dass die Gültigkeitsdauer der TAN begrenzt ist, zusätzlich die Zielkontonummer (oder Teile davon) sowie der Überweisungsbetrag in der SMS angegeben werden und die TAN nur für genau diese Transaktion gültig ist, soll eine Umleitung auf ein anderes Konto durch einen Man-in-the-middle-Angriff auf die Homebanking-Webseite verhindert werden. Auch werden Phishing-Angriffe auf TANs im mTAN-Verfahren erschwert. Der TÜV Rheinland bescheinigte im Jahr 2006 dem mTAN-System der Postbank AG eine „wirksame Absicherung der von außen zugänglichen technischen Systeme gegen unbefugte Nutzung“.<ref>bb: TÜV-Zertifizierung für mobile TAN der Postbank. In: heise online. 18. April 2006, abgerufen am 8. Oktober 2010. </ref> Mitte 2007 erhielt auch das mTAN-System der Fiducia IT AG (IT-Dienstleister der Volks- und Raiffeisenbanken) diese TÜV-Zertifizierung.<ref>Das mobileTAN-Verfahren der FIDUCIA IT AG erhält Siegel des TÜV Rheinland. In: Website der FIDUCIA IT AG. 2. Mai 2007, archiviert vom Original am 10. Juli 2012, abgerufen am 8. Oktober 2010. </ref>

Als Vorteil wird angesehen, dass man für Transaktionen unterwegs keine TAN-Liste dabei haben muss. Erfahrungsgemäß wird auch der Verlust des Mobiltelefons eher vom Nutzer bemerkt als der Verlust der Bankkarte oder des TAN-Bogens. Zusätzlich erfährt der Nutzer womöglich per SMS von unautorisierten Überweisungsversuchen, sodass eine Sperrung des Kontos veranlasst werden kann.

Da Mobiltelefone zunehmend mit Internetzugang ausgestattet sind, hat das mTAN-Verfahren grundsätzliche Schwächen, etwa wenn die mTAN auf dasselbe Gerät gesendet wird, das auch für das Online-Banking genutzt wird. Bei einem Verlust des Mobiltelefons besteht zudem der einzige Schutz vor missbräuchlichen Transaktionen in den Zugangsdaten zum Banking. TAN-Generatoren bieten in dieser Hinsicht wesentlich mehr Sicherheit, da die Geräte nicht vernetzt sind.

Entsprechend kann auf einem Smartphone ein Trojaner, der die Kontrolle über das System übernimmt, zuerst Benutzernamen und Passwort des Online-Bankings abhören und anschließend vollautomatisch Überweisungen durchführen, indem er sich erst ins Online-Banking einloggt, dann eine Überweisung ausfüllt, anschließend die SMS der mTAN abfängt und damit die Überweisung legitimiert. Es reicht also für einen Trojaner ein einmaliges Einloggen beim Online-Banking über das Smartphone damit diese Sicherheitslücke ausgenutzt werden kann. Das ganze funktioniert auch, wenn der Angreifer Benutzernamen und Passwort des Online-Bankings auf einem anderen Wege in Erfahrung gebracht hat, z.B. durch einen weiteren Trojaner auf dem PC.

Im September 2010 wurde erstmals in der Presse über neue Varianten des Banking-Trojaners ZeuS berichtet, der mit einer mobilen Variante entsprechende Parallel-Infektionen durchführt.<ref>Banking-Trojaner ZeuS nimmt SMS-TAN-Verfahren ins Visier auf Heise Security</ref> Im Dezember 2012 wurde berichtet, dass durch diesen Trojaner bereits über 36 Millionen Euro erbeutet worden sind.<ref>Online-Banking: Kriminelle erbeuten mit Handy-Trojaner 36 Millionen Euro Artikel zum Zitmo-Trojaner auf e-recht24.de, abgerufen am 11. Dezember 2012</ref>

Eine weitere Schwachstelle ist die mit der Rufnummer verknüpfte SIM-Karte des Mobiltelefons. Diesbezüglich wurden Angriffe bekannt, bei denen mithilfe, etwa per Trojaner, erbeuteter Nutzerdaten die Rufnummer des Opfers auf eine neue SIM-Karte portiert<ref name="sim1">mTAN in Australien ausgehebelt Heise Newsticker</ref> oder von den Angreifern eine Zweit-SIM angefordert wurde<ref name="sim2">Urs Mansmann: Angriff per mTAN. In: Heise Zeitschriften Verlag (Hrsg.): c't Magazin für Computertechnik. 18, 2013.</ref>, mit der sie anschließend das mTAN-Verfahren aushebeln konnten.

Kosten

Der Versand der TAN-Nachrichten per SMS wird dem Kunden von einigen Banken in Rechnung gestellt oder dieser erhält unter Umständen nur begrenzte Frei-Kontingente.<ref>Kosten für TANs per SMS tragen oft die Kunden golem.de, 7. November 2011</ref>

Mögliche Angriffe

Denkbare Angriffe gegen das mTAN-Verfahren basieren darauf, dass die PIN für das Onlinebanking im ersten Schritt über herkömmliche Methoden wie Phishing oder Trojaner ausgespäht wird. Sobald der Phisher die PIN hat, kann er sich im Onlinebanking des Betrugsopfers einloggen und dessen persönliche Daten auslesen, unter anderem Kontonummer, Bankleitzahl, Adresse sowie die hinterlegte Mobiltelefonnummer für das mTAN-Verfahren. Das genutzte Mobilfunknetz kann über eine Netzabfrage herausgefunden werden. Daher wird die hinterlegte Mobilfunknummer im Onlinebankingportal nicht komplett angezeigt.

Im zweiten Schritt müsste es dem Phisher gelingen, auch die mTAN zu manipulieren.

Zugriff auf die PIN des Opfers

Sobald man die PIN hat, kann man sich selbst (d. h. das eigene Mobiltelefon) für das mTAN-Verfahren registrieren lassen. Die dabei von den Banken vorgenommenen Authentisierungsverfahren sind noch nicht ausgereift, es wird aber ständig an einer Optimierung der Prozesse gearbeitet.

Angriff auf das Mobiltelefon

Eine Möglichkeit bestünde darin auch das Mobiltelefon des Betrugsopfers zu kompromittieren, insbesondere Smartphones sind hier gefährdet. Ein bereits infizierter Computer kann auch das Mobiltelefon des Betrugsopfers infizieren, wenn das Betrugsopfer sein Mobiltelefon mit dem Computer verbindet, zum Beispiel für den eigentlichen Zweck der Synchronisation. Auch denkbar wäre SMiShing oder exploiten des Mobiltelefons.

Auf Grund der momentan noch geringen zu erwartenden Gewinne durch Betrug mit mobilen Geräten und durch die vielen verschiedenen miteinander inkompatiblen Plattformen sind Handyviren momentan noch nicht zahlreich verbreitet. Gleichwohl verbieten aktuelle Bedingungen der Geldinstitute die Verwendung ein und desselben Mobiltelefons zum Onlinebanking und zum Empfang der mTAN.

Sobald das Mobiltelefon des Betrugsopfers kompromittiert ist, kann der Betrüger beliebige Überweisungen ausführen, während die Anzeige und Signalisierung der mTAN nur für den Betrüger sichtbar ist, nicht jedoch für das Betrugsopfer.

Ein solcher Angriffsversuch mittels Spyware auf dem Mobiltelefon wurde im April 2011 tatsächlich entdeckt.<ref name="spyeye">Angriffe auf deutsche mTAN-Banking-User Heise Security, 5. April 2011</ref>

Einen weiteren Angriffspunkt, unabhängig vom Handy-Modell, stellen darüber hinaus ältere SIM-Karten dar, die noch mit der inzwischen geknackten DES-Verschlüsselung arbeiten. Über eine präparierte Service-SMS ist es dadurch möglich, unbemerkt die SIM-Karte des Opfers zu übernehmen. Aufgrund unzureichend gesicherter Java-VMs auf der SIM-Karte kann man darüber hinaus auch deren Master-Key auslesen und damit die SIM-Karte clonen.<ref>DES-Hack exponiert Millionen SIM-Karten auf Heise Security</ref>

Angriff auf das Mobilfunk-Netz

Weitere Möglichkeiten wären der Einsatz eines IMSI-Catchers oder das Brechen der inzwischen nicht mehr sicheren GSM-Verschlüsselung. Diese Methoden erfordern allerdings örtliche Nähe zum Betrugsopfer, wofür erheblich mehr kriminelle Energie notwendig ist als beim Phishing, das lediglich aus der Ferne ausgeführt wird.

Über einen SS7-Zugang ist zudem auch das Abfangen von SMS aus der Ferne möglich wie Tobias Engel 2014 auf dem 31. Chaos Communication Congress demonstrierte.<ref>31C3: Mobilfunk-Protokoll SS7 offen wie ein Scheunentor Heise Newsticker, 28. Dezember 2014</ref>

Angriff auf den Netzbetreiber

Eine weitere Möglichkeit wäre ein kompromittierter Netzbetreiber, entweder durch einen menschlichen Komplizen oder durch Sicherheitslücken.

Anforderung einer neuen oder zweiten SIM-Karte

Ein Angreifer kann im Namen des Opfers bei dessen Mobilfunkanbieter eine neue SIM-Karte beantragen und sich zusenden lassen oder teilweise sofort im Geschäft austauschen lassen. Bei den meisten Mobilfunkanbietern ist dies relativ einfach möglich. Allerdings wird üblicherweise die alte Karte 1–2 Tage vor Eingang der neuen Karte gesperrt, so dass das Opfer den Angriff leicht bemerken kann.

Des Weiteren wurde 2013 in Deutschland ein Angriff bekannt, bei dem die Angreifer, nachdem sie - vermutlich per Trojaner - die Online-Banking-Zugangsdaten sowie die Handynummer des Opfers ausgespäht hatten, eine zweite SIM-Karte als Multi-SIM unter dem Namen des Opfers beim Mobilfunk-Provider bestellten. Bei diesem Angebot der Netzbetreiber wird unter derselben Rufnummer eine weitere SIM-Karte ins Mobilfunknetz eingebucht, die sich per Kurzwahl so konfigurieren lässt, dass alle SMS nur von dieser zweiten SIM-Karte empfangen werden.<ref>MultiSIM & Co.: Eine Nummer, mehrere SIM-Karten teltarif.de</ref> Das Opfer muss dies nicht bemerken, da mit dessen Handy und der ursprünglichen SIM-Karte weiterhin ein- und ausgehende Anrufe möglich sind.<ref name="sim2" />

Die Täter haben dann die uneingeschränkte Kontrolle über das Konto des Opfers: Da die zur Legitimation erforderliche mTAN an ihre SIM-Karte gesendet wird, können sie das Überweisungslimit ändern und beliebig viele Überweisungen auf Fremdkonten tätigen. Entsprechend hoch sind die Schadenssummen bei diesen Angriffen.<ref>Bundesweite Betrugsserie im Online-Banking Süddeutsche.de, 24. Oktober 2013</ref><ref>77.826,33 Euro einfach abgebucht Süddeutsche.de, 9. Oktober 2013</ref>

2014 wurden mehrere Fälle bekannt, bei denen die Täter in Handyshops Zweitkarten erhielten, weil sie sich dort nicht, wie eigentlich vorgeschrieben, mit amtlichem Ausweis als Erstkarteninhaber identifizieren mussten.<ref>Neue Betrugsserie mit der mobilen Tan-Nummer Süddeutsche.de, 17. August 2014</ref>

Portierung der Rufnummer

Der Angreifer kann den Laufzeit- oder Prepaidvertrag des Opfers kündigen und danach eine Rufnummernmitnahme zu einem neuen Mobilfunkanbieter auslösen. Für die Kündigung beim alten Anbieter sowie für den neuen Laufzeit- oder Prepaidvertrag und die Rufnummernmitnahme beim neuen Anbieter wird nur die Unterschrift benötigt. Diese lässt sich mit wenig Aufwand fälschen und wird teilweise auch nur ungenügend oder überhaupt nicht geprüft. Ein entsprechender Angriff wurde 2009 in Australien beobachtet.<ref name="sim1" />

Es ist möglich, eine betrügerische Adressänderung sowie Kündigung in einem Schreiben an den alten Anbieter in einem Brief gleichzeitig zu formulieren. Die Kündigungsbestätigung sowie die neue SIM-Karte könnte also an eine vom Angreifer frei wählbare Adresse gesandt werden.

Im für den Angreifer günstigsten Fall würde die Rufnummer des Opfers auf seiner alten SIM-Karte um 24 Uhr abgeschaltet werden und für ihn um 6 Uhr angeschaltet werden, was ein erfolgversprechendes Zeitfenster darstellt.

Social Engineering

Bei diesem Angriff wird versucht den Benutzer mittels „Social Engineering“ dazu zu bewegen von sich aus, freiwillig eine Überweisung zu Gunsten der Betrüger zu tätigen. Dazu wird der PC des Opfers mit einem Trojaner infiziert und danach im Onlinebanking-Auftritt der Bank etwa die Meldung angezeigt, der Kunde solle im Auftrag der Bank zu „Testzwecken“ eine angebliche „Test-Überweisung“ zu Gunsten der Betrüger ausführen<ref name="social engineering1">Online-Banking-Trojaner hat es auf chipTAN-Nutzer abgesehen Heise Security</ref> oder es wird angezeigt, eine größere Summe sei fälschlicherweise auf das Konto des Kunden überwiesen worden und dieser solle nun Geld „zurücküberweisen“.<ref name="social engineering2">Trojaner gaukelt Fehlüberweisung vor Heise Security</ref> In anderen Fällen soll der Nutzer per Überweisung an einem Gewinnspiel teilnehmen oder Daten synchronisieren.<ref name="social engineering3">Postbank, Aktuelle Sicherheitshinweise abgerufen am 6. Dezember 2013</ref> Die Banken warnen vor diesen Betrugsversuchen. Eine Bank würde einen Kunden niemals auffordern, eine Überweisung zu tätigen, die dieser nicht selbst veranlasst hat.

pushTAN

pushTAN ist ein App-basiertes TAN-Verfahren der Sparkassen, das einige Nachteile des mTAN-Verfahrens beseitigt. So fallen für die Versendung der pushTAN-Nachrichten bei manchen Geldinstituten keine Kosten an und es ist kein SIM-Karten-Betrug möglich, da die Nachrichten mithilfe einer speziellen Textmessaging-App über eine verschlüsselte Internetverbindung an das Smartphone des Benutzers gesendet werden. Wie bei mTAN werden zur Kontrolle gegen verdeckte Manipulationen der Überweisungsdaten durch Trojaner auf dem PC die bei der Bank tatsächlich eingegangenen Überweisungsdaten noch einmal in der pushTAN-Nachricht mitgeschickt. Allerdings besteht analog zur Nutzung von mTAN mit einem Smartphone das Risiko, dass sowohl PC als auch Smartphone von Schadsoftware infiziert werden. Zur Verringerung dieser Gefahr verweigert die pushTAN-App auf gerooteten Geräten ihre Funktion.<ref>Online-Banking mit pushTAN - FAQ berliner-sparkasse.de, Berliner Sparkasse (AöR), abgerufen am 27. August 2014</ref> Seit Ende 2014 bietet auch die Deutsche Kreditbank (DKB) pushTAN an.<ref>Neue TAN-Verfahren dkb.de, Deutsche Kreditbank AG, abgerufen am 22. Oktober 2014</ref>

TAN-Generator

Mit einem TAN-Generator können TANs elektronisch erzeugt werden. Hierfür gibt es mehrere unterschiedliche Verfahren.

sm@rt-TAN

Bei diesem Verfahren erhält der Nutzer von seinem Kreditinstitut einen TAN-Generator ohne Zifferntasten. Sobald die Kundenkarte (z. B. eine Maestro-Card oder eine V-Pay-Karte) in den Generator eingesteckt wird, können auf Knopfdruck TANs erzeugt werden. Diese TANs können nur der Reihe nach im Online-Banking eingegeben werden. Werden beispielsweise 5 TANs generiert, jedoch nur die zuletzt erzeugte TAN für eine Transaktion verwendet, sind die vorherigen vier TANs ungültig. Das Kreditinstitut kann als Herausgeber der Kundenkarte die TANs überprüfen.

Die Generierung der TANs erfolgt über den Chip auf der Kundenkarte des Kunden. Der TAN-Generator selbst ist nicht auf den Kunden individualisiert. Bei einem Verlust der Karte können mit einem beliebigen TAN-Generator gültige TANs erzeugt werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar.

Dieses Verfahren ist anfällig für Phishing- bzw. Man-in-the-middle-Angriffe, da die generierten TANs für beliebige Transaktionen verwendet werden können. Eine Auftragsbindung findet nicht statt. Die Verbreitung dieses Verfahrens ist gering.

eTAN-Generator (z. B. BW-Bank, Consorsbank)

Im Dezember 2006 hat die BW-Bank dieses Verfahren eingeführt.<ref>Pressemitteilung der BW-Bank zum TAN-Generator. 4. Januar 2007, archiviert vom Original am 19. September 2010, abgerufen am 29. Januar 2014 (pdf). </ref> Kunden erhalten einen individualisierten TAN-Generator, der unter Einbeziehung eines geheimen Schlüssels, der aktuellen Uhrzeit und der Kontonummer des Empfängers eine temporär gültige TAN erzeugt. Die Empfängerkontonummer muss über das Ziffernfeld des TAN-Generators eingegeben werden. Weitere Personendaten werden nicht verwendet.

Dieses Verfahren schützt vor Phishing- bzw. Man-in-the-middle-Angriffen, sofern die korrekte Empfängerkontonummer eingegeben wird. Die manuelle Eingabe der Kontonummer ist wenig komfortabel. Bei einem Verlust des TAN-Generators können weiterhin TANs generiert werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar.

Bei weiteren Banken (z. B. der Santander Consumer Bank) muss statt der Empfängerkontonummer eine für die jeweilige Überweisung generierte Kontrollnummer (Startcode) eingegeben werden. Im Gegensatz zur Eingabe des Empfängerkontos ist dieses Verfahren für Man-in-the-middle-Angriffe anfällig, da die Empfängerkontonummer nicht kontrolliert wird.

Einige TAN-Generatoren anderer Banken (z. B. von der Bank für Sozialwirtschaft) erstellen zeitlich begrenzt gültige TANs nur anhand eines individuellen geheimen Schlüssels und der Uhrzeit, ohne Eingabe einer Kontrollnummer oder eines Empfängerkontos. Hier ist weder Kartenlesegerät noch Tastatur am Generator erforderlich. Da keinerlei Auftragsbezug besteht, ist das Verfahren ähnlich Phishing-anfällig wie das vorher beschriebene sm@rt-TAN-Verfahren. Allerdings müsste die unerwünschte Transaktion innerhalb des kurzen Gültigkeitszeitraums der TAN veranlasst werden.

chipTAN manuell/Sm@rtTAN plus/SecureTAN plus1

Zahlreiche Volks- und Raiffeisenbanken<ref>Das TAN-Verfahren Sm@rtTAN plus. vb-hohenneuffen.de, Volksbank Hohenneuffen eG, archiviert vom Original am 13. April 2014, abgerufen am 10. April 2014. </ref> sowie viele Sparkassen bieten dieses Verfahren an.

Es wurde 2006 auf der CeBIT vom Deutschen Genossenschafts-Verlag in der ersten Version (HHD 1.2) vorgestellt.<ref>DG VERLAG präsentiert innovative Kartenlösungen dgv-webservices.de, Deutscher Genossenschafts-Verlag eG, 20. Januar 2006 (PDF; 102 kB)</ref> Mit den folgenden Versionen HHD 1.3 und HHD 1.4 (ab 2010<ref>Sm@rt-TAN plus bbbank.de, BBBank eG, abgerufen am 27. September 2015</ref>) wurde danach unter der Bezeichnung „SmartTAN optic“ bzw. „chipTAN comfort" die Möglichkeit geschaffen die Auftragsdaten nicht mehr nur manuell, sondern auch per optischer Schnittstelle zu übertragen (siehe chipTAN comfort/SmartTAN optic (Flickering)) sowie jeweils die Menge der Auftragsdaten, die an das Gerät übertragen werden und in die TAN-Berechnung mit einfließen, erhöht.

Nachdem eine Überweisung im Online-Banking erfasst wurde, wird ein (Start-)Code am Bildschirm angezeigt. Nun muss die persönliche Bankkarte in den TAN-Generator eingesteckt werden und der (Start-)Code über das Ziffernfeld des TAN-Generators eingetippt und bestätigt werden. Bei den meisten Instituten müssen danach noch die Empfängerkontonummer (bzw. Teile davon) sowie in manchen Versionen der Betrag der Überweisung eingetippt werden. Ist dies nicht der Fall (wie etwa bei der Wüstenrot Bank), ist der Schritt am TAN-Generator ohne Eingabe zu bestätigen.<ref>Online-Banking mit der TAN-Box: sicher und bequem. wuestenrotdirect.de, Wüstenrot Bank AG Pfandbriefbank, April 2013 (PDF; 312 kB)</ref>

Nach Eingabe der TAN im Online-Banking wird der Auftrag ausgeführt. Durch die Eingabe der Kontonummer und des Betrags am TAN-Generator sowie deren Miteinbeziehung in die TAN-Berechnung ist das Verfahren vor Phishing bzw. Man-in-the-middle-Angriffen geschützt.

Auch wenn die Geräte verschiedener Hersteller anders heißen und aussehen, sind sie innerhalb derselben HHD-Version technisch gesehen gleich und funktionieren mit Karten verschiedener Kreditinstitute.

Bei einem Verlust der Bankkarte können durch den Finder mit einem beliebigen TAN-Generator, der für dieses Verfahren geeignet ist, weiterhin TANs generiert werden. Da für Transaktionen auch die Online-Banking-Zugangsdaten notwendig sind, stellt dies eine überschaubare Gefahr dar. Sobald eine Bankkarte gesperrt wird (z. B. bei Diebstahl), werden mit dieser Karte erzeugte TANs vom Kreditinstitut abgelehnt.

chipTAN comfort/SmartTAN optic (Flickering)

Dieses neue, optische Verfahren findet in Deutschland eine zunehmende Verbreitung. Viele Sparkassen und Volks- und Raiffeisenbanken sowie die Postbank setzen es bereits ein. Die Sparkassen und die Postbank nennen es „chipTAN comfort“, während die Volksbanken die Bezeichnungen „Sm@rtTAN plus“ und „SmartTAN optic“ verwenden. In Österreich ist das System hingegen unter dem Namen „cardTAN“ bekannt<ref>Die cardTAN raiffeisen.at, Info-Seite der Raiffeisen Bankengruppe Österreich, abgerufen am 1. April 2014</ref>, wobei cardTAN einen technisch eigenständigen Standard darstellt.<ref>Die neue cardTAN ebankingsicherheit.at, Gemalto N.V., abgerufen am 22. Oktober 2014</ref>

Die Kunden erwerben hierbei einen TAN-Generator mit Ziffernfeld und Karteneinschub. Auf der Rückseite des TAN-Generators befinden sich fünf optische Sensoren. Nachdem eine Überweisung im Online-Banking erfasst wurde, erscheint am Bildschirm eine Grafik, die fünf flackernde Schwarz-Weiß-Flächen enthält. Nun muss die persönliche Bankkarte in den TAN-Generator eingesteckt werden. Sobald der TAN-Generator am Bildschirm an die Grafik gehalten wird, erfolgt eine Datenübertragung durch Lichtsignale. Hierbei werden Teile der Empfängerdaten übertragen, bei einer Einzelüberweisung beispielsweise der (Start-)Code, die Empfängerkontonummer sowie der Überweisungsbetrag. Auf dem Display des TAN-Generators werden im Anschluss die übermittelten Daten zur Kontrolle und Bestätigung angezeigt. Der TAN-Generator errechnet nun eine auftragsbezogene TAN, die im Online-Banking eingegeben wird.

Das optische Übertragungsverfahren Flickering mit seinen schnell blinkenden weißen Balken auf schwarzem Hintergrund ist für Personen mit Epilepsie nicht geeignet, da der optische Flickercode epileptische Anfälle auslösen kann. Auf diese Gesundheitsgefahr wird in der Gebrauchsanleitung des optischen TAN-Generators explizit hingewiesen.

Dieses Verfahren schützt vor Phishing- bzw. Man-in-the-Middle-Angriffen, sofern die im Display angezeigten Daten vor der Bestätigung auf ihre Richtigkeit geprüft werden. Durch die optische Übertragung müssen keine Auftragsdaten am TAN-Generator eingegeben werden. Da für Transaktionen zusätzlich auch die Online-Banking-Zugangsdaten notwendig sind, stellt dabei auch der Verlust der Bankkarte eine überschaubare Gefahr dar. Sobald die Bankkarte gesperrt wird (z. B. bei Diebstahl), werden mit dieser Karte erzeugte TANs vom Kreditinstitut ohnehin abgelehnt.

Angriffsmöglichkeiten zeigen sich in Verbindung mit Sammelüberweisungen. Hier wird im Display des TAN-Generators nur die Anzahl der Posten sowie der Gesamtbetrag angezeigt. Auf die Anzeige der einzelnen Empfängerkontonummern wird verzichtet, da dies bei umfangreichen Sammelüberweisungen nicht darstellbar wäre. Bei einem Angriff könnten nun die einzelnen Posten der Sammelüberweisung verändert werden. Solange deren Anzahl und der Gesamtbetrag gleich bleibt, wäre die Manipulation im Display des TAN-Generators nicht erkennbar.

Eine weitere Angriffsmöglichkeit wäre die Umwandlung einer Einzelüberweisung in eine Sammelüberweisung mit einem Posten. Der Nutzer würde in diesem Fall im Display des TAN-Generators nur die Anzahl der Posten (hier „1“) und den Betrag angezeigt bekommen. Nachdem dies bekannt wurde<ref name="redteam1">Man-in-the-Middle-Angriffe auf das chipTAN comfort-Verfahren im Online-Banking RedTeam Pentesting GmbH, 23. November 2009, abgerufen am 27. Oktober 2010</ref><ref name="heise866115">chipTAN-Verfahren-der-Sparkassen-ausgetrickst auf Heise Security</ref>, haben die deutschen Sparkassen die Displayanzeige bei Sammelüberweisungen mit nur einem Posten umgestellt. In diesem Fall werden trotz Sammelüberweisung die Empfängerkontonummer sowie der Betrag angezeigt. Bei Volksbanken im GAD-Umfeld sind hingegen Sammelüberweisungen mit nur einem Posten nicht zulässig und werden abgewiesen.

Kritisiert wird bei diesem Verfahren allerdings von einigen Benutzern, dass das Gerät bei unterschiedlichen Displaytypen den Flickercode nicht zu erkennen scheint. Hier hilft es dann oftmals, das Gerät in einem leicht schrägen Winkel (insb. bei S-PVA Displays) an den Bildschirm zu halten oder die Bildschirmhelligkeit zu erhöhen. Weiterhin kann es helfen, die Flicker-Geschwindigkeit zu verändern und direkte Einstrahlung von Lichtquellen auf dem Monitor zu verhindern. Auch kann es helfen, die Hardware-Beschleunigung im Browser zu deaktivieren.

In allen Fällen ist die Sicherheit mindestens so hoch wie bei Benutzung von TAN- oder iTAN-Listen. Kontrolliert der Benutzer aber die angezeigten Daten im Display des TAN-Generators und benutzt keine Sammelüberweisung, ist die Sicherheit deutlich erhöht.

Allerdings wird aufgrund der Sicherheitsmaßnahmen von chipTAN inzwischen versucht, den Benutzer mittels „Social Engineering“ dazu zu bewegen von sich aus, freiwillig eine Überweisung zu Gunsten der Betrüger zu tätigen.

photoTAN/QR-TAN

photoTAN

Beim photoTAN Verfahren werden die Transaktionsdaten verschlüsselt als mehrfarbige Mosaikgrafik auf dem Bildschirm angezeigt. Mit einer entsprechenden Smartphone-App wird dieser Code eingelesen und entschlüsselt, die Transaktionsdaten zur Kontrolle auf dem Smartphone angezeigt und die zugehörige TAN generiert. Die so generierte TAN wird dann zur Freigabe der Transaktion eingegeben.

Die erzeugten Transaktionsnummern sind auftragsbezogen und zur Entschlüsselung ist eine vorherige Aktivierung des Smartphones erforderlich, um sicherzustellen, dass nur dieses die Transaktionsdaten entschlüsseln kann. Alternativ zur App bieten einige Banken auch spezielle TAN-Generatoren (Lesegeräte) für photoTAN an.<ref>Bedienungsanleitung photoTAN-Lesegerät auf commerzbanking.de (Memento vom 21. Februar 2014 im Internet Archive)</ref>

In Deutschland wurde das vom britischen Spin-off der Universität Cambridge, Cronto Ltd., entwickelte Verfahren Anfang 2013<ref>Ankündigung der Zusammenarbeit der Commerzbank mit Cronto vom 6. Februar 2013, abgerufen am 19. August 2013</ref> von der Commerzbank<ref>commerzbanking - photoTAN. In: commerzbanking.de. Commerzbank Aktiengesellschaft, archiviert vom Original am 22. April 2014, abgerufen am 30. April 2013. </ref> und deren Direktbank Comdirect<ref>Neu bei comdirect: photoTAN. Pressemitteilung. In: comdirect.de. comdirect bank AG, 9. April 2013, abgerufen am 30. April 2013. </ref> eingeführt und wird ebenfalls von den Schweizerischen Raiffeisenbanken<ref>Raiffeisen lanciert E-Banking-Login per PhotoTAN raiffeisen.ch, Raiffeisen Schweiz Genossenschaft, 19. November 2012 (PDF; 42,6 kB)</ref> sowie der Deutschen Bank<ref>Die photoTAN – Unser Bild für Ihre Sicherheit deutsche-bank.de, Deutsche Bank AG, abgerufen am 12. März 2015</ref> eingesetzt. Darüber hinaus wurde es von der niederländischen Rabobank zusammen mit einer weiter entwickelten Version des Lesegeräts (Rabo Scanner) eingeführt.<ref>Rabobank Selects VASCO CrontoSign Technology for Online Banking Security and Customer Convenience vasco.com, VASCO Data Security International Inc., 18. September 2014</ref> Cronto Ltd. wurde 2013 von VASCO Data Security International Inc. übernommen.<ref>VASCO Announces Acquisition of Cronto vasco.com, VASCO Data Security International Inc., 20. Mai 2013</ref>

QR-TAN

Ähnlich arbeitet das bereits seit Ende 2012 bei der 1822direkt<ref>1822direkt bietet ab sofort QR-TAN an. In: 1822direkt.com. 1822direkt Gesellschaft der Frankfurter Sparkasse mbH, archiviert vom Original am 21. Februar 2014, abgerufen am 30. April 2013. </ref> ausgerollte QR-TAN Verfahren, das zusammen mit der LSE Leading Security Experts GmbH<ref>LinOTP QR-TAN Verfahren lsexperts.de, LSE Leading Security Experts GmbH, abgerufen am 27. November 2015</ref> entwickelt wurde. Dieses basiert auf dem offenen OCRA-Algorithmus (RFC6287<ref>OATH Challenge Response Algorithm. In: ietf.org. IETF, abgerufen am 13. Mai 2013. </ref>) und transportiert die signierten Transaktionsinformationen in einem QR-Code. Der Rollout, bei dem das Smartphone registriert wird, geschieht über die getrennten Kanäle einer HTTPS-Verbindung und eines Briefversands per Post.

Betrachtung

Beide Verfahren können im Vergleich zu iTAN aufgrund der PC-unabhängigen Kontrollmöglichkeit der Überweisungsdaten als geschützter gegen Angriffe von Trojanern oder Man-in-the-Browser-Attacken angesehen werden<ref>Kristina Beer: Commerzbank bietet photoTAN an. In: heise.de. Christian Heise, Ansgar Heise, Christian Persson, 7. Februar 2013, abgerufen am 30. April 2013. </ref>, solange die Sicherheit des Smartphones bzw. des photoTAN-Lesegeräts gewährleistet ist.<ref>Handy als TAN-Generator Heise Security, 21. Dezember 2012</ref> Für die Verwendung ist eine Internetverbindung des Smartphones nicht zwingend erforderlich, zwischen Onlinebanking und Smartphone besteht keine Verbindung.

Für die Banken haben beide Verfahren den Vorteil, dass trotz hoher Sicherheit die Investitions- und Transaktionskosten verhältnismäßig niedrig sind, da keine eigenen TAN-Generatoren erforderlich sind und z. B. verglichen mit dem mTAN Verfahren keine SMS versandt werden müssen.

Sicherheit

Generell kann ein Betrüger versuchen, eine TAN zu raten. Bei einer 6-stelligen TAN ist die Wahrscheinlichkeit 1:1.000.000, eine bestimmte TAN mit einem Versuch zu raten. Wenn der Kunde zur Legitimation aus einer Liste von beispielsweise 100 TAN eine beliebige auswählen kann, ist die Wahrscheinlichkeit für den Betrüger, eine dieser TANs zu raten, 1:10.000. Wenn der Betrüger drei Versuche hat, um genau eine TAN zu erraten, so ergibt sich eine Wahrscheinlichkeit von ungefähr 0,03 %.

<math>P = \frac{100}{10^6}+ \left(1-\frac{100}{10^6}\right)\cdot\left(\frac{100}{10^6-1}+\left(1-\frac{100}{10^6-1}\right)\cdot\frac{100}{10^6-2}\right) \approx 0{,}03 \%</math>

Anstatt zu raten, kann der Betrüger versuchen, TANs auszuspähen. Des Öfteren wurde bereits versucht, durch Phishing in den Besitz von Transaktionsnummern zu kommen. In einer Variante wird hierbei dem Bankkunden eine E-Mail mit einem Link auf eine falsche Internetadresse der Bank geschickt. Der Text der E-Mail bzw. Internetseite soll den Kunden veranlassen, auf dieser falschen Internetseite seine Kontonummer, seine PIN und auch noch nicht verwendete TANs einzugeben.

Phishing ist erfolgreich, weil viele Nutzer des Online-Bankings nicht genau überprüfen, ob die im Browser angezeigte Seite auch wirklich von der gewünschten Bank stammt. Beim klassischen TAN-Verfahren ist der Betrüger erfolgreich, wenn er Kontonummer, PIN und eine beliebige, noch nicht benutzte TAN erfährt, d. h. der Kunde diese Daten auf der gefälschten Internetseite einträgt. Beim iTAN-Verfahren hat der Betrüger eine geringe statistische Wahrscheinlichkeit, eine erbeutete iTAN zu verwerten.

Die Sicherheit des iTAN-Verfahrens ist differenziert je nach Bedrohungstyp zu sehen. Während beim klassischen TAN-Verfahren im Mittel 50 TANs auf einem TAN-Bogen gültig sind (der TAN-Bogen enthält 100 TANs, von denen im statistischen Mittel die Hälfte bereits verbraucht sind), ist beim iTAN-Verfahren jeweils nur die einzige TAN gültig, welche die Bank während der Transaktion abfragt. Es bietet daher einen guten Schutz gegen Phishing, sofern der Bankkunde nicht zu viele iTANs in eine Phishing-Seite eingibt. Es bietet keinen Schutz gegen Man-In-The-Middle-Angriffe, worauf verschiedene Veröffentlichungen hingewiesen haben.<ref name="redteam2">Forschungsgruppe „RedTeam” der RWTH Aachen warnt vor trügerischer Sicherheit des neuen iTAN Verfahren RedTeam Pentesting GmbH, 25. August 2005, abgerufen am 27. Oktober 2010</ref><ref name="heise125776">iTAN-Verfahren unsicherer als von Banken behauptet. In: Heise Newsticker. 26. August 2005, abgerufen am 27. Oktober 2010. </ref><ref name="heise1">Erfolgreicher Angriff auf iTAN-Verfahren. In: Heise Newsticker. 11. November 2005, abgerufen am 27. Oktober 2010. </ref>

Entsprechende Angriffe werden per Trojaner, z. B. durch Ändern des verwendeten DNS-Servers sowie der SSL-Root-Zertifikate<ref>Banking-Trojaner-Infektion ohne Trojaner Heise Security, 23. Juli 2014</ref>, oder durch direktes Eingreifen des Trojaners in die Programme auf dem Rechner, etwa per Man-In-The-Browser-Angriff, durchgeführt. Hierbei werden die tatsächlichen Überweisungsdaten im Hintergrund durch die der Betrüger ersetzt sowie auch die Kontoübersichtsseiten so manipuliert, dass der Betrug nicht auffällt.<ref name="iTAN"/>

Die Sicherheit des klassischen TAN-Verfahrens sowie des iTAN-Verfahrens ist begrenzt, da die TAN nicht direkt mit dem Inhalt der Überweisung verknüpft wird. Dadurch kann die Bank nicht alleine mit Hilfe der übermittelten TAN entscheiden, ob der Auftrag korrekt ist. Dagegen bietet das mTAN-Verfahren einen besseren Schutz gegen Phishing- und Man-in-the-middle-Angriffe. Bei der Postbank AG und der HypoVereinsbank wird dem Kunden beim Versand der mTAN der Überweisungsbetrag und die Empfänger-Kontonummer im Text mitgesendet. Dadurch hat der Kunde die Möglichkeit, diese Daten mit der bei der Bank eingegebenen Überweisung zu vergleichen und einen möglichen Betrug zu bemerken. Allerdings muss der Kunde beim Empfang der SMS nicht nur die mTAN lesen, sondern auch Betrag und Empfänger-Kontonummer überprüfen.

Allerdings ist es einer neuen Variante des Online-Banking-Trojaners SpyEye gelungen, auch das mTAN-Verfahren zu knacken.<ref name="spyeye" /> Der Trojaner setzt den Bankkunden eine manipulierte Bankseite vor und fordert ihn auf, ein neues Zertifikat auf dem Smartphone zu installieren. Dafür würden die Handynummer und IMEI benötigt werden. Wird dies akzeptiert, dann wird heimlich im Hintergrund Spionagesoftware auf dem Handy installiert. Die Spionagesoftware war zum Zeitpunkt des Erscheinens des o. g. Artikels auf Symbian-Smartphones wie die von Nokia spezialisiert.

Auch Verfahren, die auf elektronischen Unterschriften basieren, wie das HBCI-Verfahren mit Chipkarte, bieten keinen höheren Schutz. Hier wird aus dem Inhalt der Überweisung mit kryptographischen Verfahren eine Prüfsumme berechnet und an die Bank übermittelt. Die Bank kann hier anhand der Prüfsumme feststellen, ob die Überweisung vom Kunden kommt oder nicht, und auch, ob die Überweisung seit dem Signiervorgang unverändert ist. Sofern der PC des Kunden mit Schadsoftware (Trojanischen Pferden (Trojaner) oder Viren) infiziert ist, könnten Daten bereits manipuliert an den Kartenleser geleitet werden. Sofern nicht ein Secoder-fähiges Kartenlesegerät verwendet wird und die jeweilige Bank sowie die Homebanking-Software die Secoder-Erweiterung für HBCI unterstützen, ist nicht sichtbar, welche Daten zur elektronischen Signatur vorliegen.

Neuere TAN-Verfahren mit einem TAN-Generator (z. B. chipTAN comfort/SmartTAN optic) verknüpfen die TAN mit den Auftragsdaten. Die damit erzeugten TANs können nicht für abweichende (betrügerische) Überweisungen genutzt werden. Sofern Überweisungsdaten durch Schadsoftware verändert werden, sind diese veränderten Werte auf dem Display des TAN-Generators sichtbar. Der Bankkunde kann die Transaktion in diesem Fall abbrechen. Da der TAN-Generator nicht an den PC angeschlossen wird, ist eine Manipulation der Displayanzeige ausgeschlossen. Alle bisherigen, technischen Angriffsarten können damit wirkungsvoll verhindert werden. Einzige Gefahrenquelle bleibt der sorglose Umgang mit den angezeigten Auftragsdaten im Display des TAN-Generators.

Allerdings wird aufgrund der hohen Sicherheit von Verfahren mit dedizierten Signaturgeräten mit eigenem Display zur Kontrolle der Überweisungsdaten wie chipTAN oder photoTAN inzwischen versucht, den Benutzer mittels „Social Engineering“ dazu zu bewegen von sich aus, freiwillig eine Überweisung zu Gunsten der Betrüger zu tätigen.

Geschichte

Das PIN/TAN-Verfahren wurde bereits zu Zeiten des Btx-Onlinebankings benutzt. Die Idee wird dem technischen Leiter der damaligen Verbraucherbank (heute Norisbank), Alfred Richter, zugeschrieben.<ref>Vor 30 Jahren: Online-Banking startet in Deutschland Heise Newsticker, 12. November 2010</ref> Zunächst war dieser Zugriffschutz 1976 nur für den internen Gebrauch gedacht, ab 1979 führte die Bank Onlinebanking ein.

Siehe auch

• Homebanking Computer Interface (HBCI)
• Persönliche Identifikationsnummer (PIN)
• Secure Sockets Layer (SSL)
• RSA SecurID

Weblinks

Einzelnachweise

<references />