Sicherheit beim Online-Banking: Schutz vor bekannten Phishing- und Trojaner-Angriffen

Verfahren mit 2-Wege-Authentisierung und transaktionsabhängiger TAN können nicht überwunden werden

(16.07.07) - "Die deutsche Rechtssprechung hat die Haftungsfrage von Bank oder Kunde bei Online-Betrugsvarianten wie Phishing, Pharming und Trojaner-Angriffen noch nicht abschließend geklärt. Insbesondere fehlen Urteile aus Präzedenzfällen. Bankkunden können sich aber zusätzlich vor einem möglichen Betrug schützen, indem sie neue Verfahren mit transaktionsabhängiger TAN nutzen", erläutert Prof. Dr. Georg Borges, Vorstandssprecher der Arbeitsgruppe Identitätsschutz im Internet (a-i3). Zu diesen neuen Verfahren zählen "Sm@rtTAN plus" und "mobileTAN", die die GAD, IT-Kompetenzcenter von 470 Volks- und Raiffeisenbanken, entwickelt hat.

Bei den Verfahren mit transaktionsabhängiger TAN erfolgt die eigentliche Transaktion (zum Beispiel eine Überweisung) getrennt von der Übermittlung der dazugehörigen TAN. Jede TAN wird erst unmittelbar vor einer Transaktion generiert, ist mit dem Auftrag logisch verknüpft und immer nur für diesen gültig. Betrüger haben folglich keine Chance mehr, mit einer erschlichenen oder abge-fangenen TAN eine manipulierte Kontoverfügung auszuführen.

Diese objektiv höhere Sicherheit von Sm@rtTAN plus und mobileTAN stärkt nicht nur das Sicher-heitsgefühl der Kunden, sie wird auch von führenden Rechtsexperten, unter ihnen Prof. Dr. Georg Borges, bestätigt: "Die neuen Verfahren mit 2-Wege-Authentisierung und transaktionsabhängiger TAN können nicht überwunden werden. Sie schützen vor allen heute bekannten Phishing- und Trojaner-Angriffen."

Kunden der Volks- und Raiffeisenbanken im Norden und Westen Deutschlands können die TAN-Zwei-Schritt-Verfahren nutzen, sobald ihre Bank diese Systeme eingeführt hat.

Voraussetzung für die Nutzung von Sm@rtTAN plus ist ein spezielles Kartenlesegerät mit inte-grierter Nummerntastatur. Die Überweisungsdaten werden zunächst an das Rechenzentrum der Bank übertragen. Im Gegenzug erhält der Kunde einen technischen Bankcode sowie Ausschnitte der übermittelten Auftragsdaten zur Kontrolle. Stimmen die Angaben überein, gibt der Kunde den Bankcode in seinen Kartenleser ein. Das Gerät erzeugt daraufhin eine exklusive TAN für diesen Auftrag und zeigt sie auf dem Display an. Nun kann die TAN in gewohnter Weise in die Maske des Online-Banking-Programms eingegeben werden.

Bei mobileTAN dient das Handy als separater Transportweg für die TAN. Statt eines Bankcodes wie bei Sm@rtTAN plus empfangen die Kunden nach Eingabe der Auftragsdaten eine SMS-Kurz-nachricht (Short Message Service), die neben der exklusiv gültigen TAN ebenfalls Eckdaten des Auftrags zu Kontrollzwecken enthält. Sind die Angaben korrekt, muss die übermittelte TAN nur noch im Online-Banking eingegeben werden. Beim SMS-Versand arbeitet die GAD mit einem externen Provider zusammen, der gewährleistet, dass Kunden aller deutschen Mobilfunkanbieter den mobileTAN-Service nutzen können - auch im Ausland. (GAD: ma)