Transaktionsnummer

aus Wikipedia, der freien Enzyklopädie

Du hast neue Nachrichten auf deiner Diskussionsseite.

Eine Transaktionsnummer (TAN) ist ein Einmalpasswort, das üblicherweise aus sechs Dezimalziffern besteht und vorwiegend im Online-Banking verwendet wird.

Inhaltsverzeichnis

1 Realisierung
2 Sicherheit
3 Literatur
4 Siehe auch

[Bearbeiten] Realisierung

Es gibt verschiedene Ansätze, um TANs zu erzeugen, zu prüfen und zum Nutzer zu übertragen. Einige davon werden im folgenden beschrieben.

[Bearbeiten] TAN-Liste

Als Teilnehmer beim Electronic Banking erhält man, meist per Post, eine Liste von Transaktionsnummern. Bei jedem Buchungsvorgang – der Transaktion – muss eine TAN eingegeben werden. Sie ist eine Ergänzung zur Persönlichen Identifikationsnummer (PIN). Falls die Bank nach Eingabe der korrekten PIN einen Buchungsauftrag mit korrekter TAN erhält, geht sie davon aus, dass der Auftrag vom Kunden abgesendet wurde. Die TAN wird von der Bank als Quasi-Unterschrift interpretiert. Sie verfällt nach einmaligem Gebrauch. Wenn die TAN-Liste zur Neige geht, erhält der Kunde von der Bank eine neue. Die Tan-Liste gilt als unsicher und veraltet, wird aber dennoch noch angewendet.

[Bearbeiten] Indizierte TAN-Liste

Noch einen Schritt weiter geht das Verfahren der indizierten TAN, kurz iTAN: Der Kunde kann hier seinen Auftrag nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren, sondern wird von der Bank aufgefordert, eine bestimmte, durch eine Positionsnummer (Index) gekennzeichnete TAN aus seiner zu diesem Zweck nun durchnummerierten Liste einzugeben. Dadurch ist zeitlich unabhängiges Erschleichen einer TAN für einen Betrüger ohne Wert. Als einzige Angriffsmöglichkeit bleibt ein gleichzeitiger Man-In-The-Middle-Angriff, bei dem das Opfer dazu verleitet wird, sich auf der gefälschten Homebanking-Website anzumelden, motiviert zum Beispiel durch eine Phishing-Mail oder Pharming. Der Betrüger nutzt die eingegebene PIN des Opfers, um eine wirkliche Verbindung zu der Bank aufzubauen. Er startet eine Überweisung auf sein eigenes Konto und reicht die Forderung der Bank nach der bestimmten iTAN an sein Opfer weiter. In gutem Glauben, auf der richtigen Website zu sein, wird das Opfer die gewünschte iTAN eingeben, mit der der Betrüger dann seine eigene Überweisung abschließen kann.^[1]

Die Captchas, mit denen manche Banken das automatisierte Einloggen eines betrügerischen Programms verhindern wollen, sind dagegen kein Schutz. Sie werden eingesetzt, um Brute-Force-Angriffe auf den Anmeldeseiten zu verhindern, die zu massenweisen Sperrungen von Zugangsdaten führen würden.

Ein Nachteil der iTAN ist, dass man, wenn man von unterwegs überweisen möchte (z. B. aus dem Urlaub), immer die komplette iTAN-Liste mitführen muss. Bei dem einfachen TAN-Verfahren ist es möglich, wenige TANs so mitzuführen, dass sie von Fremden nicht als solche erkennbar oder/und nicht korrekt lesbar sind, zum Beispiel in einer Telefonliste. Eine iTAN-Liste ist schwerer zu tarnen, und einem Dieb fällt auch immer die komplette Liste in die Hände. Diese ist jedoch wertlos, solange der Dieb nicht auch im Besitz der PIN ist. Erst dann kann er durch Überweisungen Geld erbeuten.

Dagegen besteht ein praktischer Vorteil der iTAN gegenüber der einfachen TAN darin, dass man verbrauchte iTANs nicht von der Liste streichen muss. Dadurch kann man beispielsweise unabhängig ohne Synchronisierungsprobleme mit mehreren verschlüsselten elektronischen Kopien einer iTAN-Liste arbeiten.

[Bearbeiten] TAN mit Bestätigungsnummer

Das Verfahren kann um eine Bestätigungsnummer (BEN) erweitert werden, mit der die Bank die Auftragsannahme im Gegenzug quittiert.

[Bearbeiten] Mobile TAN (mTAN)

Die Variante Mobile TAN (mTAN) oder SMSTAN - besteht in der Einbindung des Übertragungskanals SMS. Dabei wird dem Onlinebanking-Kunden nach Übersendung der ausgefüllten Überweisung im Internet seitens der Bank per SMS eine nur für diesen Vorgang verwendbare TAN auf sein Handy gesendet. Der Auftrag muss anschließend mit dieser TAN bestätigt werden.

Der SMS-Versand der TAN macht mTAN noch nicht sicherer als iTAN. Aber dadurch, dass zusätzlich noch die Ziel-Kontonummer der Überweisung in der SMS steht und die TAN nur dafür gültig ist, wird eine Umleitung auf ein anderes Konto durch einen Man-In-The-Middle-Angriff auf die Homebanking-Webseiten verhindert. Auch das Phishing nach TANs ist bei mTAN nutzlos. Der TÜV Rheinland bescheinigt dem mTAN-System der Postbank eine "wirksame Absicherung der von außen zugänglichen technischen Systeme gegen unbefugte Nutzung".^[2]. mTAN ist auch das einzige TAN-Verfahren, für das noch keine im größeren Stil ausnutzbare Angriffsmöglichkeit bekannt ist. Ein weitere Vorteil ist, dass man für Überweisungen unterwegs keine TAN-Liste dabei haben muss.

Bei einem Verlust des Handys besteht der einzige Schutz des Kontos in der PIN und der unbekannten Kontonummer. Diese sollten also nicht zusammen mit dem Handy aufbewahrt werden oder gar darin gespeichert sein. Ein weitere Nachteil ist, dass die Bank eventuell Kosten für den Versand der mTANs in Rechnung stellt.

[Bearbeiten] sm@rt-TAN-Generator

sm@rt-TAN-Generator

Die Übermittlung der TAN an den Nutzer, sei es als Brief oder auf elektronischem Weg, stellt ein gewisses Sicherheitsrisiko dar. Dieses kann entfallen, wenn Serviceanbieter und Nutzer sich auf ein Verfahren einigen, das TANs generieren kann.

Das kann z.B. der dargestellte sm@rt-TAN-Generator, der abhängig von auf manchen Maestro- (ehemals EC-) Karten gespeicherten Sicherheitsinformationen TANs in einer bestimmten Reihenfolge generiert. Da die Bank als Herausgeber der Maestro-Karte diese Sicherheitsinformationen auch kennt, kann sie die vom Nutzer generierten TANs überprüfen.

Allerdings ist die Generierung gültiger TANs nicht an das Lesegerät des jeweiligen Kunden gebunden, so dass bei Verlust der Karte mit einem beliebigen Lesegerät gültige TANs generiert werden können. Die Sicherheit dieses Verfahrens entspricht daher in etwa einer EC-Karte mit aufgedruckten TANs.

[Bearbeiten] BW-Bank-TAN-Generator (eTAN)

Im Dezember 2006 hat die BW-Bank ein neues Verfahren eingeführt, das das Online-Banking auf ein neues Level der Sicherheit bringen soll. Der neue TAN-Generator ist ein kleines elektronisches Gerät, das temporäre TANs unter Einbeziehung der Kontonummer des Empfängers generiert. Dadurch soll eine ergaunerte TAN wertlos werden, da sie nur für eine Überweisung auf das spezifische Empfängerkonto verwertbar ist, und ein Onlinebetrüger sie folglich nicht für sein eigenes Konto verwenden kann. Inwieweit dieser neue Ansatz sich in der Praxis als sicher erweist, wird sich zeigen. Die Pressemitteilung der BW-Bank findet sich hier: ^[3].

[Bearbeiten] Sicherheit

Generell kann ein Betrüger versuchen, eine TAN zu raten. Bei einer 6-stelligen TAN ist die Wahrscheinlichkeit 1:1.000.000, eine bestimmte TAN mit einem Versuch zu raten. Wenn der Kunde zur Legitimation aus einer Liste von beispielsweise 100 TAN eine beliebige auswählen kann, ist die Wahrscheinlichkeit für den Betrüger, eine dieser TANs zu raten, 1:10.000. Wenn der Betrüger drei Versuche hat, ergibt sich eine Wahrscheinlichkeit von ungefähr

$P \approx \frac{1}{10^4}+ \left(1-\frac{1}{10^4}\right)\times\left(\frac{1}{10^4-1}+\left(1-\frac{1}{10^4-1}\right)\times\frac{1}{10^4-2}\right)=\frac{3}{10^4}=0,03 % .$

Anstatt zu raten, kann der Betrüger versuchen, TAN auszuspähen. Des öfteren wurde bereits versucht, durch Phishing in den Besitz von Transaktionsnummern zu kommen. In einer Variante wird hierbei dem Bankkunden eine E-Mail mit einem Link auf eine falsche Internetadresse der Bank geschickt. Der Text der E-Mail bzw. Internetseite soll den Kunden veranlassen, auf dieser falschen Internetseite seine Kontonummer, seine PIN und auch noch nicht verwendete TAN einzugeben.

Die Sicherheit des iTAN-Verfahrens ist differenziert je nach Bedrohungstyp zu sehen. Während beim klassischen TAN-Verfahren 50 TANs auf einem TAN-Bogen gültig sind (der TAN_Bogen enthält 100 TANs, von denen im statistischen Mittel die Hälfte bereits verbraucht sind. Es verbleiben im statistischen Mittel also 50 gültige TANs), ist beim iTAN-Verfahren jeweils nur die einzige TAN gültig, welche die Bank während der Transaktion abfragt. Es bietet daher einen guten Schutz gegen Phishing, sofern der Bankkunde nicht zu viele iTANs in eine Phishing-Seite eingibt. Es bietet keinen Schutz gegen Man-In-The-Middle-Angriffe, worauf verschiedene Veröffentlichungen hingewiesen haben. ^[4]^[5].

Phishing ist erfolgreich, weil viele Nutzer des Online-Bankings nicht genau überprüfen, ob die im Browser angezeigte Seite auch wirklich von der gewünschten Bank stammt. Beim TAN-Verfahren ist der Betrüger erfolgreich, wenn er Kontonummer, PIN und eine beliebige, noch nicht benutzte TAN erfährt, d. h. der Kunde diese Daten auf der gefälschten Internetseite einträgt. Beim iTan-Verfahren hat der Betrüger eine geringe statistische Wahrscheinlichkeit, eine erbeutete iTAN zu verwerten.

Dagegen bietet das mTAN-Verfahren einen besseren Schutz gegen Phishing und Man-In-The-Middle-Angriffe. Bei der Postbank wird dem Kunden beim Versand der mTAN nochmal die gesamte Überweisung im Text mitgesendet. Dadurch hat der Kunde die Möglichkeit seine Überweisung mit der bei der Bank eingereichten Überweisung zu vergleichen und einen möglichen Betrug zu bemerken. Allerdings muss der Kunde beim Empfang der SMS nicht nur die mTAN lesen, sondern den gesamten Text überprüfen.

Die Sicherheit der verschiedenen TAN-Verfahren (TAN, iTAN) ist generell begrenzt, da die TAN nicht direkt mit dem Inhalt der Überweisung verknüpft ist. Dadurch kann die Bank nicht alleine mithilfe der übermittelten TAN entscheiden, ob der Auftrag korrekt ist. Bei der mTAN kann die Bank jedoch die eingereichten Transaktionsdaten in der SMS an den Kunden zur Kontrolle übermitteln.

Größere Sicherheit bieten Verfahren, die auf elektronischen Unterschriften basieren, wie das HBCI-Verfahren mit Chipkarte. Hier wird aus dem Inhalt der Überweisung mit kryptographischen Verfahren eine Prüfsumme berechnet und an die Bank übermittelt. Die Bank kann hier allein anhand der Prüfsumme feststellen, ob die Überweisung vom Kunden kommt oder nicht und auch, ob die Überweisung korrekt ist. Dies beruht allerdings auf der Voraussetzung, dass der PC des Kunden frei von Schadsoftware wie Trojanischen Pferden oder Viren ist, da der Kunde bei aktuellen Kartenlesegeräten nicht sieht, welche Daten dem Gerät eigentlich zur elektronische Signatur übermittelt wurden.