9m 56sLänge

Die Zeit der TAN-Listen ist abgelaufen! Beim derzeit als sicher geltenden Verfahren chipTAN-optic braucht man jedoch einen Kartenleser. Ich habe mehrere chipTAN-Generatoren ausprobiert und der ReinerSCT tanJack optic CX (http://amzn.to/1I9v1Vy) ist nach meiner Erfahrung das mit Abstand beste Gerät derzeit. Das Gerät ist klein und handlich, entspricht der derzeit aktuellen HHD-Version 1.4 und funktioniert einwandfrei. Das eingebaute Display mit zwei Zeilen ist blickwinkelstabil und leicht abzulesen. Das Highlight ist die eingebaute Abdeckklappe, welche die im täglichen Gebrauch nicht benötigten Tasten abdeckt. Die Flicker-Erkennung ist besser als bei älteren bzw. anderen TAN-Generatoren. Auch wenn ich die Bildschirmhelligkeit von meinem Monitor komplett herunterregel erkennt das Gerät den Flicker-Code noch ohne Probleme. Während mir zwei Generatoren von Kobil nach kurzer Zeit ausgefallen sind, begleiten mich meine drei tanJack optic CX nun schon seit etwa einem halben Jahr ohne jegliche Probleme. Ihr könnt übrigens mehrere Generatoren nutzen, z.B. einen im Büro und einen Daheim – dann muss man nur die Bankkarte mit sich herumtragen. Warum überhaupt das chipTAN-Verfahren nutzen? Vorab dazu ein Exkurs zu den unsichere TAN-Verfahren: Am Anfang gab es nur einfache TAN-Listen und für jede Transaktion hat man eine beliebige TAN eingegeben. Nachdem Kriminelle das „Phishing“ für TAN entwickelten und Bankkonten plünderten, haben die Banken auf iTAN umgestellt. Dabei muss man eine ganz bestimmte TAN zur Autorisierung eingeben. Das Problem dabei ist, dass Kriminelle durch einen Man-in-the-middle-Angriff oder mittels eines Trojaners auf dem Computer von Bankkunden bei einer vom Anwender gewollten Überweisung eine bestimmte iTAN ergaunern können und dann damit in Wirklichkeit ihre Überweisung zur Plünderung des Kontos autorisieren können. Daher ist iTAN bereits seit Jahren unsicher. Daraufhin haben die Banken die mTAN bzw. smsTAN eingeführt. Dabei erhält der Anwender eine SMS mit den Überweisungsdaten zur Kontrolle und natürlich die TAN. Das Problem ist, Kriminelle können sich ohne Wissen des Mobiltelefoninhabers eine multiSIM besorgen oder die SMS mittels SS7-Intercept auf Netzebene abfangen und so an die TAN gelangen, ohne das der Bankkunde etwas bemerkt. Das gleiche Problem ergibt sich durch Trojaner auf Smartphones und betrifft natürlich auch das pushTAN-Verfahren auf Smartphones. Damit ist auch das smsTAN und das pushTAN-Verfahren „verbrannt“ bzw. unsicher. Als sicher gelten daher nur noch zwei Verfahren: Das HBCI/FinTS/Secoder Verfahren nutzt ein USB-Kartenlesegerät ähnlich den POS-Terminals im Einzelhandel. Dieses Verfahren prüft Karte und Pin, wobei die PIN im Lesegerät abgeglichen wird und somit unabhängig von einem möglichweise infizierten Computer geprüft wird. Für dieses Verfahren braucht es jedoch eine Banking Software auf dem Computer und rein theoretisch könnte ein Virus/Trojaner diese Software so manipulieren, dass die Überweisung umgeleitet wird. In der Praxis ist das bisher jedoch wohl noch nicht vorgekommen. Und es gibt das chipTAN-Verfahren, für das sich der TAN-Generator eignet, um den es hier geht. Wenn im Online-Banking etwas zu autorisieren ist, z.B. eine Überweisung, generiert das Online-Banking einen Flicker-Code und zeigt diesen an. Der Nutzer hält dann seinen chipTAN-Generator an den Computerbildschirm. Über den Flicker-Code erhält der TAN-Generator die Zielkontonummer und den Betrag mitgeteilt, so dass diese Daten nicht abgetippt werden müssen. Diese Daten werden dem Anwender im Display des TAN-Generators zur Kontrolle angezeigt. Bestätigt der Anwender Zielkontonummer und Betrag, werden diese Daten zusammen mit einem geheimen Schlüssel der eingelegten Bankkarte zu einer TAN gewürfelt. Diese angezeigte TAN gibt der Anwender im Online-Banking ein. Fällt diese erzeugte chipTAN einem Betrüger in die Hände, ist sie wertlos, denn sie gilt nur für die festgelegte Zielkontonummer über den festgelegten Betrag! Die Sicherheit steht und fällt jedoch mit der Kontrolle der im Display des TAN-Generators angezeigten und zu bestätigenden Daten. Der tanJack optic bei Amazon: http://amzn.to/1I9v1Vy Mir auf Twitter folgen: https://twitter.com/Lui_Kast LuiKast auf Facebook: https://www.facebook.com/luikast.de