PIN und TAN sichern das Online-Banking

Aufrufe: 62

PIN und TAN sind die Sicherheits-Faktoren beim Online-Banking. Die “Konzeption” von PIN und TAN und der Umgang damit bestimmen die Sicherheit.

PIN und TAN sind wie Passwörter

Banken und Kunden haben ein Interesse daran, dass das Online-Banking sicher ist. Die Sicherheit wird durch die Kombination mehrerer Elemente beim Banking angestrebt.

Kern aller Formen des Online-Banking sind PIN (Persönliche Identifikations Nummer) und TAN (TransAktions-Nummer):

  • Die PIN authentifiziert den Kunden gegenüber der Bank, sie berechtigt ihn, auf das Konto zuzugreifen. Wer die PIN nicht kennt, wird abgewiesen. Die PIN ist wie ein “Schlüssel” zum Konto. In anderen Online-Aktivitäten wird dieser Schlüssel “Passwort” oder “Kennwort” genannt. Der Bankkunde / Kontoinhaber legt die PIN selbst fest. Die PIN dient der Sicherheit.
  • Für jede einzelne Transaktion, z.B. beim Einloggen und für eine Überweisung, ist eine TAN erforderlich, eine Art “Einmal-Passwort”. Ähnlich wie bei jeder Beleg-Überweisung eine Unterschrift nötig ist, wird bei einer Online-Überweisung eine TAN benötigt. Die Bank stellt dem Kunden die TAN auf dem vereinbarten Weg zur Verfügung. Die TAN dient der Sicherheit.

Hard- und Software beim Online-Banking

Hardware für Online-Banking

Typisch ist das Online-Banking auf dem PC oder Notebook. Voraussetzung ist, dass geeignete Software installiert ist und der PC Zugang zum Internet hat.

Mit der Verbreitung der Smartphones und Tablets werden auch diese mobilen Geräte für das Online-Banking nutzbar. Damit können Bankkunden auch dann Online-Banking betreiben, wenn sie keinen PC haben.

Unter Umständen wird zusätzlich ein Kartenlesegerät / TAN-Generator benötigt. Das hängt davon ab, welches Verfahren für das Online-Banking mit der Bank vereinbart wurde (s.u.).

Software: Browser oder Banking-App

Manche Veröffentlichungen und Beschreibungen unterscheiden zwischen “Online-Banking” und “Homebanking” nach der Art der Software bzw. App, mit der der Kunde auf den Bank-Computer zugreift:

  • Beim “Homebanking” benutzt der Kunde eine spezielle Banking-App, eine so genannte “Client-App” – eine App, die als “Kunde” vom Dienstleiter, dem “Server”, bedient wird. Diese kann offline alle Transaktionen vorbereiten und sammeln. Erst wenn alle Transaktionen vorbereitet sind, meldet sich der Kunde beim Server der Bank an und überträgt seine Daten in einem einzigen Vorgang zum Server. Danach meldet er sich wieder ab.
  • Beim “Online-Banking” benutzt der Kunde einen universellen Browser, um auf die Webseite der Bank zu kommen. Er meldet sich an und überträgt die Daten jeder einzelnen Transaktion zum Server der Bank. Von der Abmeldung bis zum Abschluss aller Transaktionen ist er online. Danach meldet er sich wieder ab.

Browser und Banking-Apps gibt es für PCs, Tablets und Smartphones. Banking-Apps gibt es von Banken oder unabhängig von Banken als “Multi-Banking-App”.

Mehr Sicherheit für PIN und TAN

Weil es um Geld geht, ist das Online-Banking auch im Fokus von Kriminellen. Sie versuchen, die Sicherheitsmechanismen wie PIN und TAN zu umgehen. Sie versuchen Schadsoftware auf der Hardware zu installieren, um PIN und TAN für eigene Transaktionen abzufangen.

Mehr Sicherheit für die PIN

Um den Missbrauch der PIN zu verhindern, nutzt der Kunde seine Girocard (früher “EC-Karte”) oder eine spezielle Kunden- oder Signatur-Karte und ein eigenes Kartenlesegerät für PC/Notebook. Das Lesegerät ist mit dem PC verbunden. Die Karte ersetzt die PIN-Eingabe per Tastatur. Nur der Besitzer der Karte kann sich für das Banking anmelden.

Mehr Sicherheit für die TAN

Auch für die TAN gibt es zusätzliche Sicherheit mit unterschiedlichen Methoden und Geräten:

  • iTAN (Index-TAN): Gedruckte Listen mit indizierten (nummerierten) TAN, die die Bank dem Kunden zugestellt hat, sind nach der Richtlinie PSD2 nicht mehr zulässig.
  • Bei der Methode mTAN, smsTAN (mobile TAN) sendet die Bank eine SMS an die mobile Rufnummer des Kunden (zum Handy, Tablet oder Smartphone). Das mobile Gerät ist nicht mit dem Banking-Gerät verbunden.
  • Ein TAN-Generator erzeugt eine chipTAN, eTAN, smartTAN, die für jede Transaktion eingetragen wird. Eine TAN kann mit Hilfe einer Bankkarte erzeugt werden, die in den TAN-Generator eingelegt wird. Andere Geräte errechnen eine TAN aus den Transaktionsdaten und einer Kontrollziffer. Der TAN-Generator ist nicht mit dem Banking-Gerät verbunden.
  • photoTAN, QR-TAN: Während des Banking per PC kann auf dem PC-Monitor ein Bild angezeigt werden (farbig “flickernd” oder wie ein schwarz-weißer QR-Code), in dem sich eine TAN verbirgt. Dieses Bild wird mit einem unabhängigen Gerät gelesen, das daraus eine TAN erzeugt. Das Gerät kann ein spezieller TAN-Generator oder ein Smartphone mit einer TAN-App der eigenen Bank sein. Es ist nicht mit dem Banking-Gerät verbunden.
  • pushTAN: Für diese Methode wird kein PC benötigt. Das “mobile Banking” erfolgt per Smartphone oder Tablet mit einer Banking-App. Auf dem gleichen Gerät muss die pushTAN-App der eigenen Bank installiert und von der Bank freigeschaltet sein. Der Kunde wechselt während der Transaktion zwischen pushTAN-App und Banking-App, um die generierte TAN in den Banking-Vorgang zu übernehmen.

Banken bieten i.d.R. nur eine Auswahl aus diesen Methoden an. Sie entwickeln z.T. mit ihrer eigenen Software Varianten von diesen Grundformen.

Lesegeräte unterscheiden sich z.B. ob sie mit dem PC verbunden sein müssen und welche Daten der Transaktion sie zu Kontrollzwecken auf ihrem Display anzeigen (Sicherheitsklassen, Secoder). Es gibt Lesegeräte, die für die Sicherheit von PIN und TAN zuständig sind.

Zum Schutz gegen Manipulationen gibt es diesen Ansatz: Für Kriminelle ist es schwieriger, zwei Geräte zu manipulieren als nur eins. Die chipTAN wird als sicherste Methode eingeschätzt.

PIN und TAN im Ablauf des Online-Banking

Dieser Kern aus PIN und TAN ist in einen Ablauf eingebettet.

PIN und TAN

Bevor der Bankkunde eine Transaktion starten kann, muss er sich beim Server seiner Bank anmelden / einloggen. Dafür benötigt er (vergleichbar mit einem Namen) eine eindeutige Kundennummer, die er von der Bank bekommt und als Passwort seine PIN. Zur zusätzlichen Sicherheit wird hier eine TAN abgefragt. Die Kundennummer ist eine Organisationshilfe für die Bank und dient nicht primär der Sicherheit.

Nach dem Anmelden entscheidet der Kunde, welches Konto (von evtl. mehreren) er jetzt bearbeiten will. Jedes Konto hat eine “Kontonummer” bei dieser Bank. Früher wurden Kontonummer und “Bankleitzahl” für die eindeutige Kennzeichnung des Zahlungswegs benutzt. Seit 2008 sind Kontonummer und Bankleitzahl zur IBAN (International Bank Account Number) zusammengefasst. Das ist eine 22-stellige Kombination aus Buchstaben und Ziffern. Das Wort “IBAN die Schreckliche” beschreibt deren Beliebtheit. Die IBAN ist eine Organisationshilfe für die Bank und dient nicht der Sicherheit. Die IBAN wird ergänzt um den BIC (Bank Identifier Code), auch “SWIFT” genannt. BIC bzw. SWIFT ist eine Organisationshilfe für die Bank und dient nicht der Sicherheit.

Nun sind die Weichen gestellt. Die “Transaktion” wird beschrieben, z.B. eine Überweisung mit Empfänger, Betrag, Verwendungszweck etc.

Der Kunde schließt jede Transaktion wird mit Eingabe der TAN ab. Welche TAN einzugeben ist, gibt die Bank vor, abhängig vom vereinbarten Verfahren und Hilfsmittel. Der Computer der Bank prüft die Gültigkeit der eingegebenen TAN und verarbeitet dann die Transaktion.

Nun kann der Kunde weitere Transaktionen (mit je einer weiteren TAN) erledigen oder das Banking jetzt beenden.

Wenn alle Transaktionen abgeschlossen sind, beendet der Kunde die “Sitzung”, indem er sich vom Bank-Computer abmeldet (Logout, Abmelden).

NewsletterKontaktTeilenPayPal

Print Friendly, PDF & Email

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.