eTANPlus

Die Baden-Württembergische Bank hat eine Million Privatkunden. "Über 210.000 Kunden nutzen unser Online-Banking. Dabei werden inzwischen 100 Prozent der Online-Transaktionen sicher mit dem TAN-Generator durchgeführt", schildert Stephan Wegmann die Lage bei der BW-Bank in Stuttgart. Das eingesetzte Verfahren hört auf den Namen "eTANPlus" und wurde mit den Sicherheitsexperten von VASCO entwickelt. Die Kunden setzen Produkte von VASCO, den "Digipass 250", ein. Dieses Gerät benötigt im Gegensatz zum SmartTANPlus-Verfahren keine Bankkarte mit Signatur auf dem Chip. Dennoch signalisiert das "Plus" im Namen, dass auch dieses Verfahren dynamische Tans aus Überweisungsdaten erzeugt.

TAN-Generator der Baden-Württembergischen Bank

Einer der wesentlichen Unterschiede zum SmartTANPlus-Verfahren ist, dass jeder Kunde sein eigenes Gerät benötigt. Kommen in einem Haushalt mehrere Geräte vor, müssen diese gekennzeichnet werden, damit ein versehentlich gegriffener TAN-Generator nicht eine ungültige Tan aus den Überweisungsdaten generiert. Die erzeugte Tan ist, so wie bei allen anderen Smart-Verfahren, nur wenige Minuten gültig. Eine Besonderheit bei der Baden-Württembergischen Landesbank sind Komfort-Versionen des TAN-Generators, die für blinde Bankkunden zur Verfügung gestellt werden.

Fazit

Bei modernen Tan-Verfahren werden Transaktion an die Zielkontonummer gebunden und auf Geräten ausgeführt, die nicht mit dem PC verbunden sind. Die dynamisch generierten Tans sind nur wenige Minuten gültig. Im Plus-Verfahren werden zusätzlich die Daten aus der aktuellen Überweisung in die Tan eingerechnet. Das schafft zusätzliche Sicherheit. Eine Ausnahme ist das mTan-Verfahren der Postbank. Hier kann der Kunde aber immerhin in der SMS einen direkten Bezug zwischen Kontonummer, Betrag und Tan-Nummer herstellen.

Wo sind die neuen Verfahren virtuell noch angreifbar? Dazu lässt sich sagen, dass der größte Fehler immer noch vor dem Rechner sitzt. Kunden können durch "Social Engineering" dazu bewogen werden, gültige Tans zu generieren. Dazu sind aber Maßnahmen notwendig, in denen ein Angreifer ein Höchstmaß an Mitarbeit durch den Bankkunden benötigt. "Ich rufe Sie an und teile Ihnen folgendes mit: Stecken Sie doch mal Ihre Karte in das Lesegerät und dann geben Sie in das erste Feld folgende Nummer ein und in das zweite Feld noch eine und dann noch einen Betrag", beschreibt Jacobsen einen zwar möglichen, aber ziemlich unrealistischen Angriff. Trotzdem macht das Szenario eines klar: Am wichtigsten ist immer noch die Aufklärung des Kunden. Die neuen Tan-Verfahren vereiteln zwar nahezu alle Angriffsversuche, aber eben nicht jeden.