Online-Banking mit "Sm@rtTAN plus", "mobileTAN" und elektronischer Signatur

GAD: Gedruckte TAN-Listen und noch vorrätige Transaktionsnummern (TAN) verlieren ihre Gültigkeit

(23.11.07) - Die GAD eG, IT-Kompetenzcenter für Volks- und Raiffeisenbanken, optimiert das Sicherheitsniveau im Online-Banking: Ab Mai/Juni 2008 können Kunden der Volks- und Raiffeisenbanken im Norden und Westen Deutschlands keine gedruckten TAN-Listen mehr nutzen und noch vorrätige Transaktionsnummern (TAN) verlieren ihre Gültigkeit. Ebenfalls eingestellt wird das Ein-Schritt-Verfahren Sm@rtTAN: Die Kombination aus einem einfachen Kartenleser und der VR-BankCard zur elektronischen Erzeugung einer TAN läuft stufenweise bis Frühjahr 2009 endgültig aus. Spätestens bis zu den genannten Terminen werden die Banken ihre Kunden aktiv ansprechen und auf die neuesten Sicherheitstechnologien umstellen.

"Seit Herbst 2006 bietet die GAD den Banken und ihren Kunden die so genannten Zwei-Schritt-TAN-Verfahren Sm@rtTAN plus und mobileTAN als neueste Sicherheitslösung an. Ergänzt werden sie durch die elektronische Signatur auf Basis von HBCI/FinTS. Somit steht ein Paket aus modernsten und kundenfreundlichen Alternativen bereit, die gegen alle derzeit bekannten Phishing- und Trojaner-Angriffe schützen», unterstreicht Anno Lederer, Vorstandsmitglied der GAD eG. Der Vorteil für die Banken: Sie können sich im Wettbewerb als besonders sicherheitsbewusste Dienstleister profilieren und dadurch einen klaren Vertrauensvorsprung gewinnen.

Bei gedruckten TAN-Listen aber auch bei Sm@rtTAN handelt es sich um so genannte Ein-Schritt-TAN-Verfahren. Sie gelten - laut aktueller Sicherheitsstatistiken - als die derzeit schwächsten Legitimationsverfahren im Online-Banking, da Transaktionsdaten (z.B. eine Überweisung) zusammen mit der zugehörigen TAN in einem Schritt übertragen werden und die TAN im Vorfeld ohne Bezug zur Transaktion erstellt werden kann.

Sm@rtTAN plus und mobileTAN überwinden die Schwächen herkömmlicher Ein-Schritt-TAN-Verfahren, weil die Transaktion (z.B. die Überweisung) und die TAN-Übermittlung in zwei Schritte zerlegt und voneinander getrennt durchgeführt werden. Gleichzeitig wird jedoch eine logische Verbindung zwischen dem im Online-Banking eingegebenen Auftrag und der erzeugten TAN hergestellt. Dadurch kann diese erzeugte TAN nur für diesen entsprechenden Überweisungsauftrag genutzt und durch den Anwender zusätzlich kontrolliert werden. Dies gibt dem Bankkunden einen besonderen Schutz. Denn ein Betrüger kann etwaige via Phishing "abgefangene" TANs nicht missbräuchlich für einen willkürlich geänderten bzw. anderweitigen Überweisungsauftrag verwenden.

Die GAD wird ihr Portfolio weiter ausbauen. Derzeit arbeitet sie daran, die elektronische Signatur auch für das Internet-Banking einzuführen. Ab Frühjahr 2008 soll die Anwendung als weitere Alternative zur Verfügung stehen. Mit dieser Lösung können Kunden von Volks- und Raiffeisen-banken im Norden und Westen Deutschlands über die Signatur auf der Chipkarte (VR-BankCard oder VR-NetWorld-Card) und mit einem Chipkartenleser Transaktionen im Internet-Banking unterschreiben. (GAD: ra)