TAN Generator – Alles zum Thema chipTAN / SmartTAN
Herzlich Willkommen auf TAN-Generator-Test.de! Hier erfahrt ihr alles Wissenswerte über das Thema TAN Generator und natürlich findet ihr hier auch entsprechende Tests und Kaufempfehlungen. Auf dieser Seite möchten wir aber zunächst grundlegende Fragen klären und uns damit beschäftigen was genau ein solcher Tangenerator denn eigentlich ist.
Zunächst einmal wollen wir klären, was eigentlich hinter dem Begriff TAN steckt. Die Abkürzung steht für TransAktionsNummer und wird im Bereich Onlinebanking verwendet. Die TAN ist eine Autorisierungsnummer oder wenn man so möchte ein Einmalpasswort und dient somit als eine Art elektronische Unterschrift. Mit ihr autorisiert man also eine bestimmte Transaktion, wie zum Beispiel die klassische Geldüberweisung beim Onlinebanking. Eure Bank will also mit einer solchen TAN sicherstellen, dass ihr als Eigentümer des Kontos eine bestimmte Transaktion ausgelöst habt.
Eine einzelne TAN ist dabei in der Regel eben nur einmal einsetzbar und oft an eine spezifische Transaktion gebunden.
Die verschiedenen TAN Verfahren
Wie bereits oben beschrieben, ist eine TAN eine Art Einmalpasswort und verfällt nach der Nutzung. Daher gibt es verschiedene Ansätze und Verfahren um TAN’s zu erzeugen und zur Verfügung zu stellen. Die Verfahren benutzen dabei verschiedene Ansätze, welche sich letztendlich auch auf die Sicherheit auswirken. An dieser Stelle wollen wir die verschiedenen Verfahren vorstellen und näher beleuchten.
Die klassische TAN-Liste auf Papier
Eines der ersten Verfahren stellt die klassische TAN-Liste dar, welche man von seiner Bank in Papierform zur Verfügung gestellt bekommen hat. Hierrauf befinden sich aufgelistete TANs welche alle zur Autorisierung benutzt werden können. In der Regel streicht man einfach benutzte TANs durch und geht so bis zur letzten Nummer vor. Ist die Liste aufgebraucht, so muss man eine neue Liste bei seiner Bank beantragen.
Da die TANs auf der Liste generell für alle Transaktionen gültig sind, reicht es aus wenn Kriminelle an einer der Nummern gelangen. Sollte Ihnen dies zum Beispiel durch Phishing, Trojaner oder Diebstahl gelangen, so können Sie damit ganz einfach das gesamte Bankkonto leerräumen.
Preis nicht verfügbar
Auf Amazon ansehenPreis inkl. MwSt., zzgl. Versandkosten
iTAN – die Indizierte TAN-Liste
Bei der iTAN handelt es sich um eine Weiterentwicklung der klassischen TAN-Liste. Jede TAN hat hier einen Index, also eine eindeutige Nummer. Im Gegensatz zur normalen Liste werden hier also die einzelnen TANs nochmal durchnummeriert. Möchte man nun zum Beispiel eine Überweisung tätigen, dann verlangt die Bank eine ganz bestimmte Nummer auf der iTAN-Liste. (Zum Beispiel: “Bitte geben Sie die TAN mit der Nr. 54 ein”).
Somit reicht es für Kriminelle nicht mehr aus, eine beliebige TAN aus der Liste zu kennen.
beispielhafte iTAN-Liste
Sicherheit bei der iTAN-Liste
Trotz dieser Verbesserung gilt das Verfahren als nicht sehr sicher! Das grundlegende Problem liegt auch hier bei der Erzeugung der TANs. Es handelt sich eben um ein papiergebundenes Verfahren, bei welchem die TANs im Vorfeld generiert und gedruckt werden. Die Transaktionsnummer sind somit nicht an verschiedene Daten, wie z.B. der Kontonummer, Auftragssumme, Datum oder Uhrzeit gebunden. Sie sind also ungebunden und recht allgemein, was es den Kriminellen wieder verhältnismäßig leicht macht, auch dieses Verfahren zu missbrauchen.
Hier kommt oft ein sogenannter Man-in-the-middle-Angriff zum Einsatz, bei welchen eine Schadsoftware die Kommunikation zwischen dem Computer und dem Onlinebanking manipuliert. Das Opfer tätigt eine scheinbar ganz normale Überweisung, aber in Wirklichkeit autorisiert es mit der eingegebenen TAN eine betrügerische Überweisung des Angreifers. Die eigentliche Überweisung wird also verschleiert. (mehr dazu hier: wikipedia Man-in-the-Middle-Angriff)
Fazit: Sollten Sie nach wie vor mit einer iTAN-Liste arbeiten, so empfiehlt es sich aufgrund der höheren Sicherheit auf ein Verfahren wie chipTAN / SmartTAN zu wechseln! Ansprechpartner ist hier natürlich ihre Bank.
mTAN / SMS-TAN: TAN direkt auf dem Handy
Bei dem mTAN-Verfahren (mobileTAN oder auch SMS-TAN) wird die benötigte TAN auf das Handy des Kontobesitzers geschickt. Bei der Regestrierung des OnlineBankings muss eine Handynummer angegeben werden, an welche dann der generierte TAN geschickt wird. Bei jeder Transaktion bekommt man also eine neue SMS.
Im Gegensatz zur davor vorgestellten TAN-Papierliste werden hier Auftragsdaten und auch Datum in die Transaktionsnummer einbezogen. Die TAN wurde also speziell für einen gewissen Anwendungsfall / eine Transaktion erzeugt. Außerdem ist sie nur wenige Minuten gültig und bei Änderungen oder Ablaufen der Gültigkeit muss eine neue TAN angefordert werden.
Zudem wird die TAN nicht auch über den Computer (das Internet), sondern über den Mobilfunk übermittelt und somit haben wir grundsätzlich erst einmal zwei unterschiedliche und unabhängige Übertragungswege. Das erschwert es den Betrüger natürlich nochmals ungemein.
Sicherheit bei dem mTAN-Verfahren
Leider gilt auch dieses Verfahren mittlerweile als nicht mehr komplett sicher! Die Betrüger verschaffen sich über Umwege (Phising, Trojaner, Take-Telefonanrufe) die nötigen Daten. Ein großes Problem ist hier zum Beispiel die Verbreitung von Smartphones, welche eben auch mit einem Internetzugang ausgestattet sind. Hier können empfangene TANs theoretisch durch entsprechende Software abgehört werden. Gerade wenn die mTAN auf dasselbe Gerät gesendet wird, auf welchem auch das Online-Banking genutzt wird, entsteht hier ein generelles Risiko. Die bei dem Verfahren gewünschte Trennung der Kommunikationswege ist nicht mehr gegeben und somit entstehen Schwächen.
Außerdem sind Fälle bekannt, bei welchem clevere Betrüger die verwendete Handynummer in Erfahrung gebracht haben und dann eine Zweit-SIM angefordert haben. So konnten Sie das mTAN-Verfahren auch aushebeln.
Fazit: Dieses Verfahren ist natürlich deutlich sicherer als seine Vorgänger, aber hat auch deutliche Schwächen. Gerade das Online Banking auf dem Mobilgerät selbst sollte man hier vermeiden!
Das chipTAN-Verfahren
chipTAN Generator von KOBIL
Als momentan sicherstes Verfahren gilt das chipTAN-Verfahren. Neben dem Begriff chipTAN verwenden manche Banken auf den Begriff smartTAN dafür. Hier wird die TAN durch einen eigenständigen TAN-Generator erzeugt. Es handelt sich hierbei um ein kleines eigenständiges Gerät, welches in Verbindung mit der Bankkarte eine Transaktionsnummer generieren kann.
Zwei grundlegende Arten des chipTAN Generator
Generell lassen sich zwei Varianten unterscheiden:
chipTAN manuell / smartTAN
Hier müssen die entsprechenden Überweisungsdaten (Kontonummer und Betrag) zunächst natürlich auf dem PC und dann nochmals in den TAN-Generator eingegeben werden. Auf Grundlage dieser Daten wird eine auftragsbezogene TAN generiert, welche dann in ein vorgesehenes Eingabefeld am PC eingegeben werden muss.
chipTAN comfort / smartTAN plus
Hier gibt man zunächst wie gewohnt die entsprechenden Überweisungsdaten im Online Banking ein. Die Daten werden von der Bank codiert und am Bildschirm optisch in einem Flickercodes angezeigt. Der Generator kann diesen Code “lesen” und auf dessen Grundlage eine TAN erstellen. Die erneute Eingabe der Überweisungsdaten in den chipTAN Generator entfällt hier also.
Etwas weiter unten erklären wir dieses Vorgehen nochmals etwas detailierter.
Die Sicherheit bei chipTAN / smartTAN
Wie bereits angesprochen, handelt es sich hier um das momentan sicherste Verfahren. Es werden zwei getrennte und eigenständige Geräten eingesetzt. Und im Gegensatz zum Smartphone lässt sich die Verbindung, bzw. der TAN-Generator nicht mal eben so manipulieren oder abhören.
Fazit: Sofern Sie auf die mTAN verzichten können, sollten Sie nach Möglichkeit auf das chipTAN-Verfahren wechseln.
Wie funktioniert ein TAN Generator?
An dieser Stelle wollen wir noch einmal etwas detailierter auf die Funktionsweise eines solchen optischen TAN-Generators eingehen. Also ein TANGenerator, welcher anhand eines songennanten Flickercodes auf dem PC-Bildschirm eine TAN generieren kann.
chipTAN optisch – so funktionierts!
Ein TAN-Generator ist zunächst einmal eine Art mobiles Kartenlesegerät mit einem Ziffernfeld und Karteneinschub für die Bankkarte. Als Kunde erfasst man nun als Erstes alle entsprechenden Überweisungsdaten im Online-Banking der jeweiligen Bank. Sobald allte Auftragsdaten eingegeben und nochmals überprüft wurden, erscheint am PC-Bildschirm eine Grafik, welche aus fünf flackernde Schwarz-Weiß-Flächen besteht. (siehe Bild)
Flickercode beim optischen chipTAN
Die Auftragsdaten werden quasi umcodiert und in der Grafik in einer Art Lichtsignal wiedergegeben. Hier stehen eben die fünf verschiedenen Flächen zur Verfügung, welche in einer Abfolge eben weiß oder schwarz sein können. Diese Codierung kann man sich eventuell ein klein wenig wie den bekannten Morse Code vorstellen, bei welchen auch Buchstaben und Zahlen in ein Tonsignal oder eben auch optisch dargestellt werden. Die entsprechenden Signale müssen nun aber noch empfangen und ausgewertet werden und genau hier kommt der chipTAN Generator ins Spiel. Dieser hat auf der Rückseite fünf kleine optische Sensoren, welche jeweils die gegebenen Signale (weiß oder schwarz) unterscheiden und erfassen können. Der erste Balken gibt in der Regel den Takt an, d.h. wenn dieser aufleuchtet werden die anderen vier Sensoren ausgewertet.
Sobald der oben beschriebene Flickercode auf dem PC-Bildschirm erscheint, muss zunächst die EC-Karte in den entsprechenden Karteneinschub im Generator platziert werden. Mit der Taste “F” wird in der Regel der Generator aktiviert. Die Rückseite des TAN-Generators muss nun in kurzer Distanz oder vorsichtig direkt auf dem PC-Bildschirm platziert werden. Entsprechende Markierungen (Pfeile) am Gerät und am Flickercode helfen dabei. Der Flickercode selbst lässt sich in der Regel auch skalieren, so das der Generator optimal platziert werden kann und die optischen Sensoren auch alles korrekt erfassen können.
Sobald der Vorgang erfolgreich abgeschlossen wurde, erscheint eine entsprechende Bestätigung am Display des TAN-Generators. Außerdem werden die übermittelten Daten hier nochmals zur Kontrolle angezeigt. Diese müssen nochmals bestätigt werden (meist durch eine OK-Taste) und im Anschluss wird der auftragsbezogene TAN auf dem Dispay angezeigt. Diesen kann man nun im Online Banking eingeben und den Auftrag somit autorisieren und abschließen.