SMS-TAN Verfahren

Calc_icon_01

Bei einer Transaktionsnummer (engl. transaction number), abgekürzt TAN, handelt es sich sozusagen um ein einmaliges Passwort, dass aus sechs Dezimalziffern besteht. Hauptsächlich eingesetzt wird das TAN-Verfahren beim Online Banking. Inzwischen gibt es eine Vielzahl an verschiedenen Verfahren, um eine Tan zu erzeugen. Die wichtigsten werden im folgenden Abschnitt genauer erläutert.

TAN-Liste

Die TAN-Liste(Klassisch) wird beim Online Banking eingesetzt. Hier erhält der Kunde eine Liste von Transaktionsnummern. Jeder Buchungsvorgang, beispielsweise bei einer Überweisung, über seinen Online-Banking-Account benötigt eine TAN von der Liste. Sie wird zusätzlich zur persönlichen Identifikationsnummer, kurz PIN, genutzt. Die TAN-Nummer verfällt nach dem einmaligen Gebrauch. Da sich die Phishing-Angriffe in diesem Bereich deutlich vermehrt haben, wird die Tan-Liste kaum noch verwendet. Die meisten Banken nutzen mittlerweile indizierte TAN-Listen, die besser vor einen Angriff schützen sollen.

Indizierte TAN-Liste (iTAN)

Durch das Indizierte TAN-Liste (iTAN) Verfahren wird nicht mehr eine beliebige Tan aus der Liste gewählt werden. Bei dieser Methode wird von der Bank eine bestimmte Positionsnummer der TAN-Liste verlangt. Dieser Aufforderung muss der Kunde innerhalb von wenigen Minuten nachgehen, ansonsten verfällt die Nummer und kann nicht noch einmal verwendet werden. Auch diese Methode ist durch einen Angriff von Hackern leider nicht mehr sicher, daher bieten die meisten Banken nun deutlich sichere Methoden an.

Indizierte TAN-Liste mit Kontrollbild / iTANplus

Bei dieser Methode wird vor der Eingabe ein Kontrollbild angezeigt mit allen Transaktionsdaten. Zusätzlich dazu wird in Form eines digitalen Wasserzeichens das Geburtsdatum des Kontoinhabers angezeigt. Das soll Angreifern den Zugriff auf die Daten deutlich erschweren.

TAN mit Bestätigungsnummer (BEN)

Diese alternative Methode mit dem Namen TAN mit Bestätigungsnummer(BEN) wird durch eine Bestätigungsnummer erweitert. Dadurch wird die Auftragsannahme quittiert. Ein Phishing Versuch wurde bei diesem Verfahren auffallen, da keine BEN zurückgegeben würde.

Mobile TAN (mTAN) / SMSTAN

Diese mobile-TAN wird auch als SMS-TAN bezeichnet. Beim SMS-TAN Verfahren wird die SMS miteingebunden. Hier bekommt der Bankkunde bei einer Transaktion eine Kurznachricht mit der TAN aufs Handy oder Smartphone geschickt. Anschließend muss die Transaktion mit dieser TAN bestätigt werden.

sm@rt-TAN

Bei dieser Methode bekommt der Kunde von seinem Kreditinstitut einen sogenannten TAN-Generator. Wenn die Kundenkarte dann in den Generator gesteckt wird, können mittels Knopfdruck TANS generiert werden. Damit die Sicherheit auch hier gewährleistet wird, ist immer nur die zuletzt erzeugte TAN gültig. Generiert werden die TANs über den Chip der Karte. Der TAN-Generator ist dabei nicht individualisiert. Das bedeutet, dass bei Verlust der Karte mit jedem TAN-Generator TANS erzeugt werden können. Da für jede Transaktion jedoch auch ein PIN notwendig ist, stellt das keine zu große Gefahr im Bereich der Sicherheit dar.

eTAN-Generator

Der eTAN-Generator ist eine verbesserte Alternative zum sm@rt-TAN Verfahren. Sie wird bislang jedoch nur von vereinzelten Banken angeboten. Hierbei erhalten Kunden einen TAN-Generator der individualisiert ist. Dabei gibt es einen geheimen Schlüssel, die aktuelle Uhrzeit und die Kontonummer des Empfängers. Nur unter Berücksichtigung dieser Daten wird eine TAN erzeugt.

Chip-Tan

Wenn eine Überweisung beim Online-Banking getätigt wurde, dann erscheint auf dem Bildschirm ein Start-Code. Nun muss in den TAN-Generator zusammen mit der eingesteckten Bankkarte dieser Start-Code eingegeben werden. Durch die eingegeben Daten wird dann eine Tan errechnet, die dann manuell eingegeben werden muss, um die Transaktion abzuschließen.

QR-TAN

QR Code /QR TAN

Beispiel: QR Code /QR TAN


Die Funktionsweise von QR-TAN ähnelt stark dem Chip-TAN Verfahren. Dabei werden die Transaktionsdaten nicht über einen Flicker-Code angezeigt, sondern über einen statischen QR-Code. Damit das Verfahren genutzt werden kann, muss nur mittels Smartphone die entsprechende APP installiert werden. Zur Bestätigung der Transaktion muss dann nur noch die Kamera des Smartphones auf den QR-Code gerichtet werden. Daraus wird dann eine TAN errechnet, welche dann beim entsprechenden Online-Banking Portal eingegeben werden muss.