TAN - Transaction Number

Letztmalig dran rumgefummelt: 22.12.09 22:44:03

Eine Transaktionsnummer (TAN) ist ein Einmalpasswort, das üblicherweise aus sechs Dezimalziffern besteht und vorwiegend im Online-Banking verwendet wird.
Wikipedia

1. TAN-Verfahren
2. Authentizität und Authentifizierung
3. Server-Integrität
4. Angriffe auf Netzsicherheit
5. Zertifizierung
6. Verwandte Themen

Netzwerksicherheit

Transaction Number - das Logo

begrenzt verwendbar - selbst aufpassen, ab welcher Stelle es Blödsinn wird ;-)

Basiswissen der Informatik

Wissen für Fortgeschrittene der Informatik

Informatik-Profi-Wissen

Quellen:

Lehr- und Übungsbuch Informatik Band 1 - 5 Seite ???

Technische und Theoretische Informatik Seite ???

1. TAN-Verfahren

Ein interessanter, aber nur um so wichtiger Fakt: das Lieblingspasswort aller Nutzer lautet "FRED"? oder zumindest ist diese Zeichenkombination in 90 von 100 Passworten unbedarfter User enthalten - ein gefundenes Fressen für jeden Angreifer. Setzen wir nun noch den Fakt hinzu, dass der unbedarfte User Passworte mit möglichst wenig Zeichen nutzt, die er sich ohnehin nicht merken kann (die durchschnittliche Passwortlänge von Schülern unserer Schule liegt bei 10 Zeichen (wir zwingen aber mit einer Mindestvogabe von 8!), dann habe ich mit "FRED" schon mal 4 der 10 möglichen Zeichen. Machen wir's kurz: in der professionellen Computerbranche wird Sicherheit groß geschrieben - beim letzten Anwender ist das noch nicht angekommen - und: ein Licht am Ende des Tunnels ist nicht zu sehen.

TAN-Liste (klassisches TAN-Verfahren)
Beim klassischen TAN-Verfahren erhält der Teilnehmer beim Electronic Banking, meist per Post, eine Liste von Transaktionsnummern. Bei jedem Buchungsvorgang – der Transaktion – muss eine beliebige TAN der aktiven Liste eingegeben werden. Sie ist eine Ergänzung zur Persönlichen Identifikationsnummer (PIN). Falls die Bank nach Eingabe der korrekten PIN einen Buchungsauftrag mit korrekter TAN erhält, geht sie davon aus, dass der Auftrag vom Kunden abgesendet wurde. Die TAN wird von der Bank als Quasi-Unterschrift interpretiert. Sie verfällt nach einmaligem Gebrauch. Wenn die TAN-Liste zur Neige geht, erhält der Kunde von der Bank eine neue.
Auf Grund von stark anwachsenden Phishing-Angriffen wird diese Art der TAN-Liste kaum noch verwendet. Fast alle Banken setzen die verbesserte Form der indizierten TAN-Liste ein.

Indizierte TAN-Liste [Bearbeiten]
Einen Schritt weiter geht das Verfahren der indizierten TAN, kurz iTAN: Der Kunde kann hier seinen Auftrag nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren, sondern wird von der Bank aufgefordert, eine bestimmte, durch eine Positionsnummer (Index) gekennzeichnete TAN aus seiner zu diesem Zweck nun durchnummerierten Liste einzugeben. Die TAN-Aufforderung muss zudem innerhalb weniger Minuten erfolgen. Außerdem wird die angeforderte TAN auf jeden Fall verbraucht.

Auch dieses Verfahren wird mittlerweile von Hackern auf zwei verschiedene Weisen angegriffen:

1. Durch Einblenden eines Formulars innerhalb des Online-Banking-Systems wird der Online-Banking-Kunde zur Eingabe mehrerer TANs inklusive Index-Nummer aufgefordert. Teilweise fragt der Virus die freien Plätze der TAN-Liste ab und gibt die entsprechenden Index-Nummern vor. Auf diese Weise erhöht der Hacker die Wahrscheinlichkeit, bei einer TAN-Anforderung nach einer in seinem Besitz befindlichen TAN gefragt zu werden, deutlich. Dies kann er im Nachgang versuchen, um damit eine betrügerische Überweisung auszuführen.

2. Bei einer "Man-in-the-middle-Attacke" schaltet sich der Virus automatisch ein, sobald der Online-Kunde eine Überweisung tätigen will. Der Virus tauscht im Hintergrund die Überweisungsdaten aus; mit der angeforderten TAN bestätigt der Online-Banking-Kunde also in Wirklichkeit die betrügerische Überweisung des Hackers. Auf seinem PC-Bildschirm sieht er immer noch seine Original-Überweisung. Selbst die Umsatzanzeige und der Kontosaldo wird durch den Virus manipuliert und so perfekt vorgetäuscht.

Immer mehr Banken sehen die iTAN-Liste nur noch als Mindestschutz und empfehlen Ihren Kunden sicherere Verfahren (siehe unten).

Ein Nachteil der iTAN ist, dass für Überweisungen von unterwegs (z. B. aus dem Urlaub) immer die komplette iTAN-Liste mitgeführt werden muss. Bei dem einfachen TAN-Verfahren ist es möglich, wenige TANs so mitzuführen, dass sie von Fremden nicht als solche erkennbar und/oder nicht korrekt lesbar sind, zum Beispiel in einer Telefonliste. Eine iTAN-Liste ist schwerer zu tarnen, und einem Dieb fällt auch immer die komplette Liste in die Hände. Diese ist jedoch wertlos, solange der Dieb nicht auch im Besitz der PIN ist. Erst dann kann er durch Überweisungen Geld erbeuten.

Dagegen besteht ein praktischer Vorteil der iTAN gegenüber der einfachen TAN darin, dass man verbrauchte iTANs nicht von der Liste streichen muss. Dadurch kann man beispielsweise unabhängig ohne Synchronisierungsprobleme mit mehreren verschlüsselten elektronischen Kopien einer iTAN-Liste arbeiten.

Nach neueren Untersuchungen kann das iTAN-Verfahren heute nicht mehr als sicher gelten. Mirko Manske, Kriminalhauptkommissar beim Bundeskriminalamt (BKA), erklärte auf dem 11. IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik im Mai 2009 in Bonn, Phishing-Angriffe seien durch iTAN zwar schwieriger geworden, „aber nicht unmöglich“. Das BKA habe im Jahr 2008 rund 1.800 erfolgreiche Phishing-Angriffe registriert, die in aller Regel durch die Einschleusung von Trojanern erfolgen, die sich etwa in präparierten PDF-Dateien befinden könnten.

Anfang 2007 tauchten demnach erste Phishing-Kits auf, die in der Lage gewesen seien, über die bereits genannte Man-in-the-Middle-Attacke abgephishte iTANs in Echtzeit für eigene Transaktionen zu benutzen.[1]

CAPTCHA zur sichereren Verwendung von iTANsIndizierte TAN-Liste mit Captcha (iTANplus)

Der beim iTAN-Verfahren mögliche Man-In-The-Middle-Angriff soll durch das sogenannte iTANplus-Verfahren erschwert werden.[2] Bei diesem Verfahren wird vor Eingabe der iTAN ein Kontrollbild (CAPTCHA) angezeigt, in welchem sämtliche Transaktionsdaten noch einmal aufgeführt werden. Außerdem wird als Hintergrund des CAPTCHAs das Geburtsdatum des Kontoinhabers angezeigt, welches einem Man-In-The-Middle-Angreifer in der Regel nicht bekannt ist, sondern nur der Bank. Dadurch soll ein automatisches Generieren des CAPTCHAs durch einen Angreifer massiv erschwert werden. Nachteil dieses Verfahrens ist die Verschlechterung der Ergonomie, da das CAPTCHA schwieriger zu lesen ist als die Aufforderung zur iTAN-Eingabe in normaler Textform. Dennoch ersetzt iTANplus aufgrund der höheren Sicherheit für den Bankkunden beim Großteil der Volks- und Raiffeisenbanken das bisherige iTAN-Verfahren.

Die CAPTCHAs, mit denen manche Banken das automatisierte Einloggen eines betrügerischen Programms verhindern wollen, sind dagegen kein Schutz. Sie werden eingesetzt, um Brute-Force-Angriffe auf den Anmeldeseiten zu verhindern, die zu massenweisen Sperrungen von Zugangsdaten führen würden.

TAN mit Bestätigungsnummer [Bearbeiten]
Das Verfahren kann um eine Bestätigungsnummer (BEN) erweitert werden, mit der die Bank die Auftragsannahme im Gegenzug quittiert. Das bedeutet, dass ein Angriff nur als Man in the Middle und in nahezu Echtzeit stattfinden muss, um nicht aufzufallen. Phishing und Pharming fielen auf, da keine (korrekten) BENs zurückgegeben würden.

Mobile TAN (mTAN) [Bearbeiten]
Die Variante Mobile TAN (mTAN) oder smsTAN besteht aus der Einbindung des Übertragungskanals SMS. Dabei wird dem Onlinebanking-Kunden nach Übersendung der ausgefüllten Überweisung im Internet seitens der Bank per SMS eine nur für diesen Vorgang verwendbare TAN auf sein Mobiltelefon gesendet. Der Auftrag muss anschließend mit dieser TAN bestätigt werden.

Der SMS-Versand der TAN macht mTAN wesentlich sicherer als iTAN oder das klassische TAN-Verfahren. Dadurch, dass die Gültigkeitsdauer der TAN begrenzt ist und zusätzlich noch Teile der Ziel-Kontonummer der Überweisung sowie des Überweisungsbetrages in der SMS stehen und die TAN nur dafür gültig ist, wird eine Umleitung auf ein anderes Konto durch einen Man-In-The-Middle-Angriff auf die Homebanking-Webseiten verhindert. Auch das Phishing nach TANs ist bei mTAN nutzlos. Der TÜV Rheinland bescheinigt dem mTAN-System der Postbank AG eine „wirksame Absicherung der von außen zugänglichen technischen Systeme gegen unbefugte Nutzung“.[3] Mitte 2007 erhielt auch das mTAN-System der Fiducia IT AG (IT-Dienstleister der Volks- und Raiffeisenbanken) diese TÜV-Zertifizierung.[4]

Ein weiterer Vorteil ist, dass man für Überweisungen unterwegs keine TAN-Liste dabei haben muss. Erfahrungsgemäß wird auch der Verlust des Mobiltelefons eher vom Nutzer bemerkt, als der Verlust der Bankkarte oder des TAN-Bogens. Zusätzlich erfährt der Nutzer womöglich per SMS von unautorisierten Überweisungsversuchen, sodass eine Sperrung des Kontos veranlasst werden kann.

Bei einem Verlust des Handys besteht der einzige Schutz des Kontos in der PIN und der unbekannten Kontonummer. Diese sollten also nicht zusammen mit dem Handy aufbewahrt werden oder gar darin gespeichert sein. Je nach Geldinstitut ist die Nutzung einer mTAN kostenpflichtig, kostenlos innerhalb eines monatlichen Frei-Kontingents oder ohne Einschränkung kostenlos.

Seit Anfang 2009 ist eine potentielle Sicherheitslücke bekannt geworden, die auf einer Schwachstelle im GSM-Netz beruht. Betrüger melden sich mit einem modifizierten Handy unter einer beliebigen Mobilfunknummer am GSM-Netz an. Somit erhalten Sie auch die SMS, die an diese Nummer geschickt werden. Insbesondere können so bei einem gezielten Angriff SMS abgefangen werden, die mobile TANs beinhalten.

TAN-Generator [Bearbeiten]
Mit einem TAN-Generator können TANs elektronisch erzeugt werden. Hierfür gibt es mehrere unterschiedliche Verfahren.

1. sm@rt-TAN

sm@rt-TAN-GeneratorBei diesem Verfahren erhält der Nutzer von seinem Kreditinstitut einen TAN-Generator ohne Ziffernfeld. Sobald die Maestro-Karte (ehemals ec-Karte) in den Generator eingesteckt wird, können auf Knopfdruck TANs erzeugt werden. Diese TANs können nur der Reihe nach im Online-Banking eingegeben werden. Werden z.B. 5 TANs generiert, jedoch nur die zuletzt erzeugte TAN für eine Transaktion verwendet, sind die vorherigen vier TANs ungültig. Das Kreditinstitut kann als Herausgeber der Maestro-Karte die TANs überprüfen.

Die Generierung der TANs erfolgt über den Chip auf der Maestro-Karte des Kunden. Der TAN-Generator selbst ist nicht auf den Kunden individualisiert. Bei einem Verlust der Karte können mit einem beliebigen TAN-Generator gültige TANs erzeugt werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar.

Dieses Verfahren ist anfällig für Phishing bzw. Man-in-the-Middle-Angriffe, da die generierten TANs für beliebige Transaktionen verwendet werden können. Eine Auftragsbindung findet nicht statt. Die Verbreitung dieses Verfahrens ist gering.

2. eTAN-Generator (BW-Bank)

Im Dezember 2006 hat die BW-Bank dieses Verfahren eingeführt [6]. Kunden erhalten einen individualisierten TAN-Generator, der unter Einbeziehung eines geheimen Schlüssels, der aktuellen Uhrzeit und der Kontonummer des Empfängers eine temporär gültige TAN erzeugt. Die Empfängerkontonummer muss über das Ziffernfeld des TAN-Generators eingegeben werden.

Dieses Verfahren schützt vor Phishing bzw. Man-in-the-Middle-Angriffen, sofern die korrekte Empfängerkontonummer eingegeben wird. Die manuelle Eingabe der Kontonummer ist wenig komfortabel. Bei einem Verlust des TAN-Generators können weiterhin TANs generiert werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar.

3. chipTAN manuell / sm@rtTAN-Plus

Zahlreiche Volks- und Raiffeisenbanken[7] sowie viele Sparkassen bieten dieses Verfahren an. Der Kunde erhält einen TAN-Generator mit Ziffernfeld und Karteneinschub. Nachdem eine Überweisung im Online-Banking erfasst wurde, wird ein (Start-)Code am Bildschirm angezeigt. Nun muss die persönliche Maestro-Karte in den TAN-Generator eingesteckt werden und dieser (Start-)Code über das Ziffernfeld des TAN-Generators eingetippt werden. Danach wird die Empfängerkontonummer sowie der Betrag der Überweisung (nur bei Sparkassen) eingetippt. Aus diesen Daten errechnet der TAN-Generator eine auftragsbezogene TAN, die im Online-Banking eingegeben wird.

Dieses Verfahren schützt vor Phishing bzw. Man-in-the-Middle-Angriffen, sofern die korrekte Empfängerkontonummer (und der korrekte Betrag) eingegeben wird. Diese manuellen Eingaben sind jedoch wenig komfortabel. Bei einem Verlust des Maestro-Karte können mit einem beliebigen TAN-Generator weiterhin TANs generiert werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar. Sobald eine Maestro-Karte gesperrt wird (z.B. bei Diebstahl), werden mit dieser Karte erzeugte TANs vom Kreditinstitut abgelehnt.

4. chipTAN comfort / sm@rtTAN optic (Flickering)

Erzeugung einer TAN mittels ChipTan-Comfort am Beispiel des Online-Banking einer SparkasseDieses neue Verfahren findet in Deutschland eine zunehmende Verbreitung. Viele Sparkassen als auch einige Volks- und Raiffeisenbanken setzen es bereits ein. Die Sparkassen nennen dieses optische TAN-Verfahren "chipTAN comfort", während die Volksbanken die Bezeichnung "Sm@rt-TAN optic" dafür verwenden. Kunden erhalten einen TAN-Generator[8] mit Ziffernfeld und Karteneinschub. Auf der Rückseite des TAN-Generators befinden sich fünf optische Sensoren. Nachdem eine Überweisung im Online-Banking erfasst wurde, erscheint am Bildschirm eine Grafik, die fünf flackernde Schwarz-Weiß-Flächen enthält. Nun muss die persönliche Maestro-Karte in den TAN-Generator eingesteckt werden. Sobald der TAN-Generator am Bildschirm an die Grafik gehalten wird, erfolgt eine Datenübertragung durch Lichtsignale. Hierbei wird ein (Start-)Code, die Empfängerkontonummer sowie der Überweisungsbetrag an den TAN-Generator übermittelt. Auf dem Display des TAN-Generators werden im Anschluss die Empfängerkontonummer sowie der Überweisungsbetrag angezeigt. Diese müssen bestätigt werden. Der TAN-Generator errechnet nun eine auftragsbezogene TAN, die im Online-Banking eingegeben wird.

Dieses Verfahren schützt vor Phishing bzw. Man-in-the-Middle-Angriffen, sofern die im Display angezeigten Daten vor der Bestätigung auf ihre Richtigkeit geprüft werden. Durch die optische Übertragung müssen keine Auftragsdaten am TAN-Generator eingegeben werden. Bei einem Verlust des Maestro-Karte können mit einem beliebigen TAN-Generator weiterhin TANs generiert werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar. Sobald eine Maestro-Karte gesperrt wird (z.B. bei Diebstahl), werden mit dieser Karte erzeugte TANs vom Kreditinstitut abgelehnt.

2. Authentizität einer Mitteilung

Authentizität - der Nachweis der rechtmäßigen Urheberschaft einer Mitteilung.

3. Integrität einer Mitteilung

	Integrität bedeutet die physische und logische Unversehrtheit einer Nachricht - keiner hat sie zur Kenntnis genommen und/oder auch verfälscht im Inhalt.

4. Angriffe auf Netzsicherheit

administrativer Albtraum - Password-Sniffer und Portscanner:

kleine und gefährlich Spione Cain & Abel

Portscanner - z. B. AA-Tools von Glock-Soft

5. Credits

6. Verwandte Themen

Kryptologie ist eine der Disziplinen, die sich mit der Sicherheit auch und vor allem von Passworten befasst. Allerdings ist hier auch eine moralische und eine ganz menschlich Seite (eher Schwäche) mit einzurechnen. Aber auch Netzwerktechnik und ihr Schutz ganz allgemein spielen hier mit hinein.

Bereich Netzwerksicherheit

Identifer

Personal Identifer Number

Personal Unlock Key

Phishing

Bereich Rechnernetzdienste & -sicherheit

Netzwerkkommunikation

Ethernets

Netwerktechnik

OSI Referenz-Layer

Netzwerkdienste

Netzwerk-Topologie

Netzwerk-Management

Wissensrecherche und Antwortzeitverhalten

Server-Management

Terminalserver

LINUX-Server

Intranets

E-Learning sowie Conntent-Managent-Systeme

Lehrer & Schüler Online

BSCW-Server

Bereich Schulnetzwerk

Logische Grobstruktur des Netzwerkes am Gymnasium Flöha

unsere Netzwerk-Domain ROCKUNIVERSUM

zum Sprachlabor

Organisation des Netzwerkes im Gymnasium Flöha

strategische Netzwerkplanung

taktische Planung des Netzwerkes im Gymnasium Flöha

Fachbereich Informatik am Gymnasium Flöha

Bereich Netzwerkfunktionalität & Sicherheit

Allgemeines Prinzip des verschlüsselten Nachrichtenaustausches

Netzwerke

E-Mail-Dienst

Bereich Rechnerarchitektur und Betriebssysteme

Computergeschichte

von-Neumann-Architektur

Logo der Parallelrechnersystemee

Betriebssysteme

Mikroprozessoren

zur Hauptseite

... dieser Text wurde nach den Regeln irgendeiner Rechtschreibreform verfasst - ich hab' irgendwann einmal beschlossen, an diesem Zirkus nicht mehr teilzunehmen ;-)

„Dieses Land braucht eine Steuerreform, dieses Land braucht eine Rentenreform - wir schreiben Schiffahrt mit drei „f“!“

Diddi Hallervorden, dt. Komiker und Kabarettist

Diese Seite wurde ohne Zusatz irgendwelcher Konversationsstoffe erstellt ;-)

	Ein interessanter, aber nur um so wichtiger Fakt: das Lieblingspasswort aller Nutzer lautet "FRED"? oder zumindest ist diese Zeichenkombination in 90 von 100 Passworten unbedarfter User enthalten - ein gefundenes Fressen für jeden Angreifer. Setzen wir nun noch den Fakt hinzu, dass der unbedarfte User Passworte mit möglichst wenig Zeichen nutzt, die er sich ohnehin nicht merken kann (die durchschnittliche Passwortlänge von Schülern unserer Schule liegt bei 10 Zeichen (wir zwingen aber mit einer Mindestvogabe von 8!), dann habe ich mit "FRED" schon mal 4 der 10 möglichen Zeichen. Machen wir's kurz: in der professionellen Computerbranche wird Sicherheit groß geschrieben - beim letzten Anwender ist das noch nicht angekommen - und: ein Licht am Ende des Tunnels ist nicht zu sehen.
	TAN-Liste (klassisches TAN-Verfahren) Beim klassischen TAN-Verfahren erhält der Teilnehmer beim Electronic Banking, meist per Post, eine Liste von Transaktionsnummern. Bei jedem Buchungsvorgang – der Transaktion – muss eine beliebige TAN der aktiven Liste eingegeben werden. Sie ist eine Ergänzung zur Persönlichen Identifikationsnummer (PIN). Falls die Bank nach Eingabe der korrekten PIN einen Buchungsauftrag mit korrekter TAN erhält, geht sie davon aus, dass der Auftrag vom Kunden abgesendet wurde. Die TAN wird von der Bank als Quasi-Unterschrift interpretiert. Sie verfällt nach einmaligem Gebrauch. Wenn die TAN-Liste zur Neige geht, erhält der Kunde von der Bank eine neue. Auf Grund von stark anwachsenden Phishing-Angriffen wird diese Art der TAN-Liste kaum noch verwendet. Fast alle Banken setzen die verbesserte Form der indizierten TAN-Liste ein.
	Indizierte TAN-Liste [Bearbeiten] Einen Schritt weiter geht das Verfahren der indizierten TAN, kurz iTAN: Der Kunde kann hier seinen Auftrag nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren, sondern wird von der Bank aufgefordert, eine bestimmte, durch eine Positionsnummer (Index) gekennzeichnete TAN aus seiner zu diesem Zweck nun durchnummerierten Liste einzugeben. Die TAN-Aufforderung muss zudem innerhalb weniger Minuten erfolgen. Außerdem wird die angeforderte TAN auf jeden Fall verbraucht. Auch dieses Verfahren wird mittlerweile von Hackern auf zwei verschiedene Weisen angegriffen: 1. Durch Einblenden eines Formulars innerhalb des Online-Banking-Systems wird der Online-Banking-Kunde zur Eingabe mehrerer TANs inklusive Index-Nummer aufgefordert. Teilweise fragt der Virus die freien Plätze der TAN-Liste ab und gibt die entsprechenden Index-Nummern vor. Auf diese Weise erhöht der Hacker die Wahrscheinlichkeit, bei einer TAN-Anforderung nach einer in seinem Besitz befindlichen TAN gefragt zu werden, deutlich. Dies kann er im Nachgang versuchen, um damit eine betrügerische Überweisung auszuführen. 2. Bei einer "Man-in-the-middle-Attacke" schaltet sich der Virus automatisch ein, sobald der Online-Kunde eine Überweisung tätigen will. Der Virus tauscht im Hintergrund die Überweisungsdaten aus; mit der angeforderten TAN bestätigt der Online-Banking-Kunde also in Wirklichkeit die betrügerische Überweisung des Hackers. Auf seinem PC-Bildschirm sieht er immer noch seine Original-Überweisung. Selbst die Umsatzanzeige und der Kontosaldo wird durch den Virus manipuliert und so perfekt vorgetäuscht. Immer mehr Banken sehen die iTAN-Liste nur noch als Mindestschutz und empfehlen Ihren Kunden sicherere Verfahren (siehe unten). Ein Nachteil der iTAN ist, dass für Überweisungen von unterwegs (z. B. aus dem Urlaub) immer die komplette iTAN-Liste mitgeführt werden muss. Bei dem einfachen TAN-Verfahren ist es möglich, wenige TANs so mitzuführen, dass sie von Fremden nicht als solche erkennbar und/oder nicht korrekt lesbar sind, zum Beispiel in einer Telefonliste. Eine iTAN-Liste ist schwerer zu tarnen, und einem Dieb fällt auch immer die komplette Liste in die Hände. Diese ist jedoch wertlos, solange der Dieb nicht auch im Besitz der PIN ist. Erst dann kann er durch Überweisungen Geld erbeuten. Dagegen besteht ein praktischer Vorteil der iTAN gegenüber der einfachen TAN darin, dass man verbrauchte iTANs nicht von der Liste streichen muss. Dadurch kann man beispielsweise unabhängig ohne Synchronisierungsprobleme mit mehreren verschlüsselten elektronischen Kopien einer iTAN-Liste arbeiten. Nach neueren Untersuchungen kann das iTAN-Verfahren heute nicht mehr als sicher gelten. Mirko Manske, Kriminalhauptkommissar beim Bundeskriminalamt (BKA), erklärte auf dem 11. IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik im Mai 2009 in Bonn, Phishing-Angriffe seien durch iTAN zwar schwieriger geworden, „aber nicht unmöglich“. Das BKA habe im Jahr 2008 rund 1.800 erfolgreiche Phishing-Angriffe registriert, die in aller Regel durch die Einschleusung von Trojanern erfolgen, die sich etwa in präparierten PDF-Dateien befinden könnten. Anfang 2007 tauchten demnach erste Phishing-Kits auf, die in der Lage gewesen seien, über die bereits genannte Man-in-the-Middle-Attacke abgephishte iTANs in Echtzeit für eigene Transaktionen zu benutzen.[1] CAPTCHA zur sichereren Verwendung von iTANsIndizierte TAN-Liste mit Captcha (iTANplus) Der beim iTAN-Verfahren mögliche Man-In-The-Middle-Angriff soll durch das sogenannte iTANplus-Verfahren erschwert werden.[2] Bei diesem Verfahren wird vor Eingabe der iTAN ein Kontrollbild (CAPTCHA) angezeigt, in welchem sämtliche Transaktionsdaten noch einmal aufgeführt werden. Außerdem wird als Hintergrund des CAPTCHAs das Geburtsdatum des Kontoinhabers angezeigt, welches einem Man-In-The-Middle-Angreifer in der Regel nicht bekannt ist, sondern nur der Bank. Dadurch soll ein automatisches Generieren des CAPTCHAs durch einen Angreifer massiv erschwert werden. Nachteil dieses Verfahrens ist die Verschlechterung der Ergonomie, da das CAPTCHA schwieriger zu lesen ist als die Aufforderung zur iTAN-Eingabe in normaler Textform. Dennoch ersetzt iTANplus aufgrund der höheren Sicherheit für den Bankkunden beim Großteil der Volks- und Raiffeisenbanken das bisherige iTAN-Verfahren. Die CAPTCHAs, mit denen manche Banken das automatisierte Einloggen eines betrügerischen Programms verhindern wollen, sind dagegen kein Schutz. Sie werden eingesetzt, um Brute-Force-Angriffe auf den Anmeldeseiten zu verhindern, die zu massenweisen Sperrungen von Zugangsdaten führen würden.
	TAN mit Bestätigungsnummer [Bearbeiten] Das Verfahren kann um eine Bestätigungsnummer (BEN) erweitert werden, mit der die Bank die Auftragsannahme im Gegenzug quittiert. Das bedeutet, dass ein Angriff nur als Man in the Middle und in nahezu Echtzeit stattfinden muss, um nicht aufzufallen. Phishing und Pharming fielen auf, da keine (korrekten) BENs zurückgegeben würden. Mobile TAN (mTAN) [Bearbeiten] Die Variante Mobile TAN (mTAN) oder smsTAN besteht aus der Einbindung des Übertragungskanals SMS. Dabei wird dem Onlinebanking-Kunden nach Übersendung der ausgefüllten Überweisung im Internet seitens der Bank per SMS eine nur für diesen Vorgang verwendbare TAN auf sein Mobiltelefon gesendet. Der Auftrag muss anschließend mit dieser TAN bestätigt werden. Der SMS-Versand der TAN macht mTAN wesentlich sicherer als iTAN oder das klassische TAN-Verfahren. Dadurch, dass die Gültigkeitsdauer der TAN begrenzt ist und zusätzlich noch Teile der Ziel-Kontonummer der Überweisung sowie des Überweisungsbetrages in der SMS stehen und die TAN nur dafür gültig ist, wird eine Umleitung auf ein anderes Konto durch einen Man-In-The-Middle-Angriff auf die Homebanking-Webseiten verhindert. Auch das Phishing nach TANs ist bei mTAN nutzlos. Der TÜV Rheinland bescheinigt dem mTAN-System der Postbank AG eine „wirksame Absicherung der von außen zugänglichen technischen Systeme gegen unbefugte Nutzung“.[3] Mitte 2007 erhielt auch das mTAN-System der Fiducia IT AG (IT-Dienstleister der Volks- und Raiffeisenbanken) diese TÜV-Zertifizierung.[4] Ein weiterer Vorteil ist, dass man für Überweisungen unterwegs keine TAN-Liste dabei haben muss. Erfahrungsgemäß wird auch der Verlust des Mobiltelefons eher vom Nutzer bemerkt, als der Verlust der Bankkarte oder des TAN-Bogens. Zusätzlich erfährt der Nutzer womöglich per SMS von unautorisierten Überweisungsversuchen, sodass eine Sperrung des Kontos veranlasst werden kann. Bei einem Verlust des Handys besteht der einzige Schutz des Kontos in der PIN und der unbekannten Kontonummer. Diese sollten also nicht zusammen mit dem Handy aufbewahrt werden oder gar darin gespeichert sein. Je nach Geldinstitut ist die Nutzung einer mTAN kostenpflichtig, kostenlos innerhalb eines monatlichen Frei-Kontingents oder ohne Einschränkung kostenlos. Seit Anfang 2009 ist eine potentielle Sicherheitslücke bekannt geworden, die auf einer Schwachstelle im GSM-Netz beruht. Betrüger melden sich mit einem modifizierten Handy unter einer beliebigen Mobilfunknummer am GSM-Netz an. Somit erhalten Sie auch die SMS, die an diese Nummer geschickt werden. Insbesondere können so bei einem gezielten Angriff SMS abgefangen werden, die mobile TANs beinhalten.
	TAN-Generator [Bearbeiten] Mit einem TAN-Generator können TANs elektronisch erzeugt werden. Hierfür gibt es mehrere unterschiedliche Verfahren. 1. sm@rt-TAN sm@rt-TAN-GeneratorBei diesem Verfahren erhält der Nutzer von seinem Kreditinstitut einen TAN-Generator ohne Ziffernfeld. Sobald die Maestro-Karte (ehemals ec-Karte) in den Generator eingesteckt wird, können auf Knopfdruck TANs erzeugt werden. Diese TANs können nur der Reihe nach im Online-Banking eingegeben werden. Werden z.B. 5 TANs generiert, jedoch nur die zuletzt erzeugte TAN für eine Transaktion verwendet, sind die vorherigen vier TANs ungültig. Das Kreditinstitut kann als Herausgeber der Maestro-Karte die TANs überprüfen. Die Generierung der TANs erfolgt über den Chip auf der Maestro-Karte des Kunden. Der TAN-Generator selbst ist nicht auf den Kunden individualisiert. Bei einem Verlust der Karte können mit einem beliebigen TAN-Generator gültige TANs erzeugt werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar. Dieses Verfahren ist anfällig für Phishing bzw. Man-in-the-Middle-Angriffe, da die generierten TANs für beliebige Transaktionen verwendet werden können. Eine Auftragsbindung findet nicht statt. Die Verbreitung dieses Verfahrens ist gering. 2. eTAN-Generator (BW-Bank) Im Dezember 2006 hat die BW-Bank dieses Verfahren eingeführt [6]. Kunden erhalten einen individualisierten TAN-Generator, der unter Einbeziehung eines geheimen Schlüssels, der aktuellen Uhrzeit und der Kontonummer des Empfängers eine temporär gültige TAN erzeugt. Die Empfängerkontonummer muss über das Ziffernfeld des TAN-Generators eingegeben werden. Dieses Verfahren schützt vor Phishing bzw. Man-in-the-Middle-Angriffen, sofern die korrekte Empfängerkontonummer eingegeben wird. Die manuelle Eingabe der Kontonummer ist wenig komfortabel. Bei einem Verlust des TAN-Generators können weiterhin TANs generiert werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar. 3. chipTAN manuell / sm@rtTAN-Plus Zahlreiche Volks- und Raiffeisenbanken[7] sowie viele Sparkassen bieten dieses Verfahren an. Der Kunde erhält einen TAN-Generator mit Ziffernfeld und Karteneinschub. Nachdem eine Überweisung im Online-Banking erfasst wurde, wird ein (Start-)Code am Bildschirm angezeigt. Nun muss die persönliche Maestro-Karte in den TAN-Generator eingesteckt werden und dieser (Start-)Code über das Ziffernfeld des TAN-Generators eingetippt werden. Danach wird die Empfängerkontonummer sowie der Betrag der Überweisung (nur bei Sparkassen) eingetippt. Aus diesen Daten errechnet der TAN-Generator eine auftragsbezogene TAN, die im Online-Banking eingegeben wird. Dieses Verfahren schützt vor Phishing bzw. Man-in-the-Middle-Angriffen, sofern die korrekte Empfängerkontonummer (und der korrekte Betrag) eingegeben wird. Diese manuellen Eingaben sind jedoch wenig komfortabel. Bei einem Verlust des Maestro-Karte können mit einem beliebigen TAN-Generator weiterhin TANs generiert werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar. Sobald eine Maestro-Karte gesperrt wird (z.B. bei Diebstahl), werden mit dieser Karte erzeugte TANs vom Kreditinstitut abgelehnt. 4. chipTAN comfort / sm@rtTAN optic (Flickering) Erzeugung einer TAN mittels ChipTan-Comfort am Beispiel des Online-Banking einer SparkasseDieses neue Verfahren findet in Deutschland eine zunehmende Verbreitung. Viele Sparkassen als auch einige Volks- und Raiffeisenbanken setzen es bereits ein. Die Sparkassen nennen dieses optische TAN-Verfahren "chipTAN comfort", während die Volksbanken die Bezeichnung "Sm@rt-TAN optic" dafür verwenden. Kunden erhalten einen TAN-Generator[8] mit Ziffernfeld und Karteneinschub. Auf der Rückseite des TAN-Generators befinden sich fünf optische Sensoren. Nachdem eine Überweisung im Online-Banking erfasst wurde, erscheint am Bildschirm eine Grafik, die fünf flackernde Schwarz-Weiß-Flächen enthält. Nun muss die persönliche Maestro-Karte in den TAN-Generator eingesteckt werden. Sobald der TAN-Generator am Bildschirm an die Grafik gehalten wird, erfolgt eine Datenübertragung durch Lichtsignale. Hierbei wird ein (Start-)Code, die Empfängerkontonummer sowie der Überweisungsbetrag an den TAN-Generator übermittelt. Auf dem Display des TAN-Generators werden im Anschluss die Empfängerkontonummer sowie der Überweisungsbetrag angezeigt. Diese müssen bestätigt werden. Der TAN-Generator errechnet nun eine auftragsbezogene TAN, die im Online-Banking eingegeben wird. Dieses Verfahren schützt vor Phishing bzw. Man-in-the-Middle-Angriffen, sofern die im Display angezeigten Daten vor der Bestätigung auf ihre Richtigkeit geprüft werden. Durch die optische Übertragung müssen keine Auftragsdaten am TAN-Generator eingegeben werden. Bei einem Verlust des Maestro-Karte können mit einem beliebigen TAN-Generator weiterhin TANs generiert werden. Da für Transaktionen auch die PIN notwendig ist, stellt dies eine überschaubare Gefahr dar. Sobald eine Maestro-Karte gesperrt wird (z.B. bei Diebstahl), werden mit dieser Karte erzeugte TANs vom Kreditinstitut abgelehnt.