Privacy Policy Cookie Policy Terms and Conditions Transaktionsnummer - Wikipedia

Transaktionsnummer

aus Wikipedia, der freien Enzyklopädie

Du hast neue Nachrichten (Unterschied zur vorletzten Version).

Eine Transaktionsnummer (TAN) ist ein Einmalpasswort.

Inhaltsverzeichnis

[Bearbeiten] Realisierung

Es gibt verschiedene Ansätze um TAN zu erzeugen, zu prüfen und zum Nutzer zu übertragen. Einige davon werden im folgenden beschrieben.

[Bearbeiten] TAN-Liste

Als Teilnehmer beim Electronic Banking erhält man, meist per Post, eine Liste von Transaktionsnummern. Bei jedem Buchungsvorgang – der Transaktion – muss eine TAN eingegeben werden. Sie ist eine Ergänzung zur PIN. Falls die Bank nach Eingabe der korrekten PIN einen Buchungsauftrag mit korrekter TAN erhält, geht sie davon aus, dass der Auftrag vom Kunden abgesendet wurde. Die TAN wird von der Bank als Quasi-Unterschrift interpretiert. Sie verfällt nach einmaligem Gebrauch. Wenn die TAN-Liste zur Neige geht, erhält der Kunde von der Bank eine neue.

[Bearbeiten] Indizierte TAN-Liste

Noch einen Schritt weiter geht das Verfahren der indizierten TAN, kurz iTAN: Der Kunde kann hier seinen Auftrag nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren, sondern die Bank fordert den Kunden auf, die iTAN von einer bestimmten Position (Index) seiner dazu nun durchnummerierten Liste einzugeben. Dadurch ist zeitlich unabhängiges erschleichen einer TAN für einen Betrüger ohne Wert. Als einzige Angriffsmöglichkeit bleibt ein gleichzeitiger Man-In-The-Middle-Angriff in dem dem das Opfer sich auf der gefälschten Homebanking Webseite anmeldet, motiviert zum Beispiel durch eine Phishing-Mail oder Pharming. Der Betrüger nutzt die eingegebene PIN des Opfers um eine wirkliche Verbindung zu der Bank aufzubauen. Er startet eine Überweisung auf sein eigenes Konto und reicht die Forderung der Bank nach der bestimmten iTAN an sein Opfer weiter. In gutem Glauben auf der richtigen Webseite zu sein wird das Opfer die gewünschte iTAN eingeben mit der der Betrüger dann seine eigene Überweisung abschließen kann.[1]

Die Captchas, mit denen manchen Banken das automatisierte Einloggen eines betrügerischen Programms verhindern wollen sind dagegen kein Schutz. Sie werden eingesetzt,um Brute-Force-Angriffe auf den Anmeldeseiten zu verhindern, die zu massenweisen Sperrungen von Zugangsdaten führen würden.

Ein Nachteil der iTAN ist, dass man, wenn man von Unterwegs überweisen möchte (z.B. aus dem Urlaub), immer die komplette iTAN-Liste mitführen muss. Bei dem einfachen TAN-Verfahren ist es möglich wenige TAN's so mitzuführen, dass sie von Fremden nicht als solche erkennbar oder/und nicht korrekt lesbar sind, zum Beispiel in einer Telefonliste. Eine iTAN-Liste ist schwerer zu tarnen und einem Dieb fällt auch immer die komplette Liste in die Hände. Diese ist jedoch solange wertlos, wie der Dieb nicht im Besitz der persönlichen Identifikationsnummer ist. Erst dann kann er selber durch Überweisungen Geld erbeuten.

[Bearbeiten] TAN mit Bestätigungsnummer

Das Verfahren kann um eine Bestätigungsnummer (BEN) erweitert werden, mit der die Bank die Auftragsannahme im Gegenzug quittiert.

[Bearbeiten] mTAN

Eine Variante - genannt mTAN oder SMSTAN - besteht in der Einbindung des Übertragungskanals SMS. Dabei wird dem Onlinebanking-Kunden nach Übersendung der ausgefüllten Überweisung im Internet seitens der Bank per SMS eine nur für diesen Vorgang verwendbare TAN auf sein Handy gesendet. Der SMS-Versand der TAN macht mTAN noch nicht sicherer als iTAN. Aber dadurch, dass zusätzlich noch die Kontonummer der Überweisung in der SMS steht, wird eine Umleitung auf ein anderes Konto durch einen Man-In-The-Middle-Angriff verhindert. Dieses Verfahren bietet gegenwärtig die Postbank, die Nationalbank und diverse Raiffeisenbanken ihren Kunden an.

[Bearbeiten] sm@rt-TAN Generator

sm@rt-TAN Generator
vergrößern
sm@rt-TAN Generator

Die Übermittlung der TAN an den Nutzer, sei es als Brief oder auf elektronischem Weg, stellt ein gewisses Sicherheitsrisiko dar. Das kann entfallen, wenn Serviceanbieter und Nutzer sich auf ein Verfahren einigen, das TANs generieren kann.

Das kann z.B. der dargestellte sm@rt-TAN Generator, der abhängig von auf manchen Maestro- (ehemals EC-) Karten gespeicherten Sicherheitsinformationen TANs in einer bestimmten Reihenfolge generiert. Da die Bank als Herausgeber der Maestro-Karte diese Sicherheitsinformationen auch kennt, kann es die vom Nutzer generierten TANs überprüfen.

Allerdings ist die Generierung gültiger TANs nicht an das Lesegerät des jeweiligen Kunden gebunden, so dass bei Verlust der Karte mit einem beliebigen Lesegerät gültige TANs generiert werden können. Die Sicherheit dieses Verfahrens entspricht daher in etwa einer EC-Karte mit aufgedruckten TAN-Nummern.

[Bearbeiten] Sicherheit

Generell kann ein Betrüger versuchen, eine TAN zu raten. Bei einer 6-stelligen TAN ist die Wahrscheinlichkeit 1:1.000.000, eine bestimmte TAN mit einem Versuch zu raten. Wenn der Kunde zur Legitimation aus einer Liste von beispielsweise 100 TAN eine beliebige auswählen kann, ist die Wahrscheinlichkeit für den Betrüger, eine dieser TANs zu raten, 1:10.000. Wenn der Betrüger drei Versuche hat, ergibt sich eine Wahrscheinlichkeit von

P = \frac{1}{10^4}+ \left(1-\frac{1}{10^4}\right)\times\left(\frac{1}{10^4-1}+\left(1-\frac{1}{10^4-1}\right)\times\frac{1}{10^4-2}\right)=\frac{3}{10^4}=0,03 % .

Anstatt zu raten, kann der Betrüger versuchen, TAN auszuspähen. Des öfteren wurde bereits versucht, durch Phishing in den Besitz von Transaktionsnummern zu kommen. In einer Variante wird hierbei dem Bankkunden eine E-Mail mit einem Link auf eine falsche Internetadresse der Bank geschickt. Der Text der E-Mail bzw. Internetseite soll den Kunden veranlassen, auf dieser falschen Internetseite seine Kontonummer, seine PIN und auch noch nicht verwendete TAN einzugeben.

Die Sicherheit des iTAN-Verfahrens ist differenziert je nach Bedrohungstyp zu sehen. Während beim klassischen TAN-Verfahren 50 TANs auf einem TAN-Bogen gültig sind (der TAN_Bogen enthält 100 TANs, von denen im statistischen Mittel die Hälfte bereits verbraucht sind. Es verbleiben im statistischen Mittel als 50 gültige TANs), ist beim iTAN-Verfahren jeweils nur die einzige TAN gültig, welche die Bank während der Transaktion abfragt. Es bietet daher einen guten Schutz gegen Phishing, sofern der Bankkunde nicht zu viele iTANs in eine Phishing-Seite eingibt. Es bietet keinen Schutz gegen Man-In-The-Middle-Angriffe, worauf verschiedene Veröffentlichungen hingewiesen haben. [2][3].

Phishing ist erfolgreich, weil viele Nutzer des Online-Bankings nicht genau überprüfen, ob die im Browser angezeigte Seite auch wirklich von der gewünschten Bank stammt. Beim TAN-Verfahren ist der Betrüger erfolgreich, wenn er Kontonummer, PIN und eine beliebige, noch nicht benutzte TAN erfährt, d. h. der Kunde diese Daten auf der gefälschten Internetseite einträgt. Beim iTan-Verfahren hat der Betrüger eine geringe statistische Wahrscheinlichkeit, eine erbeutete iTAN zu verwerten.

Dagegen bietet das mTAN-Verfahren einen besseren Schutz gegen Phishing und Man-In-The-Middle-Angriffe. Bei der Postbank wird dem Kunden beim Versand der mTAN nochmal die gesamte Überweisung im Text mitgesendet. Dadurch hat der Kunde die Möglichkeit seine Überweisung mit der bei der Bank eingereichten Überweisung zu vergleichen und einen möglichen Betrug zu bemerken. Natürlich muss der Kunde beim Empfang der SMS nicht nur die mTAN lesen, sondern den gesamten Text überprüfen.

Die Sicherheit der verschiedenen TAN-Verfahren (TAN, iTAN, mTAN) ist generell begrenzt, da die TAN nicht direkt mit dem Inhalt der Überweisung verknüpft ist. Dadurch kann die Bank nicht alleine mithilfe der übermittelten TAN entscheiden, ob der Auftrag korrekt ist. Bei der mTAN kann die Bank jedoch die eingereichten Transaktionsdaten in der SMS an den Kunden zur Kontrolle übermitteln. Falls beim mTAN-Verfahren der Kunde auf Aufforderung des Betrügers die mTAN auf einer gefälschten Internetseite eingibt, kann die Bank den Fehler nicht feststellen.

Wesentlich größere Sicherheit bieten Verfahren, die auf elektronischen Unterschriften basieren, wie das HBCI-Verfahren mit Chipkarte. Hier wird aus dem Inhalt der Überweisung mit kryptographischen Verfahren eine Prüfsumme berechnet und an die Bank übermittelt. Die Bank kann hier allein anhand der Prüfsumme feststellen, ob die Überweisung vom Kunden kommt oder nicht und auch, ob die Überweisung korrekt ist. Dies beruht allerdings auf der Voraussetzung, daß PC des Kunden frei von Schadsoftwaren wie Trojanischen Pferden ist.

[Bearbeiten] Literatur

  1. Erfolgreicher Angriff auf iTAN-Verfahren (Heise Online, 11.11.2005)
  2. Heise Newsticker 26. August 2005
  3. Heise Newsticker 11. November 2005

[Bearbeiten] Siehe auch

Von „http://de.wikipedia.org../../../t/r/a/Transaktionsnummer.html
Andere Sprachen

Static Wikipedia 2008 (no images)

aa - ab - af - ak - als - am - an - ang - ar - arc - as - ast - av - ay - az - ba - bar - bat_smg - bcl - be - be_x_old - bg - bh - bi - bm - bn - bo - bpy - br - bs - bug - bxr - ca - cbk_zam - cdo - ce - ceb - ch - cho - chr - chy - co - cr - crh - cs - csb - cu - cv - cy - da - de - diq - dsb - dv - dz - ee - el - eml - en - eo - es - et - eu - ext - fa - ff - fi - fiu_vro - fj - fo - fr - frp - fur - fy - ga - gan - gd - gl - glk - gn - got - gu - gv - ha - hak - haw - he - hi - hif - ho - hr - hsb - ht - hu - hy - hz - ia - id - ie - ig - ii - ik - ilo - io - is - it - iu - ja - jbo - jv - ka - kaa - kab - kg - ki - kj - kk - kl - km - kn - ko - kr - ks - ksh - ku - kv - kw - ky - la - lad - lb - lbe - lg - li - lij - lmo - ln - lo - lt - lv - map_bms - mdf - mg - mh - mi - mk - ml - mn - mo - mr - mt - mus - my - myv - mzn - na - nah - nap - nds - nds_nl - ne - new - ng - nl - nn - no - nov - nrm - nv - ny - oc - om - or - os - pa - pag - pam - pap - pdc - pi - pih - pl - pms - ps - pt - qu - quality - rm - rmy - rn - ro - roa_rup - roa_tara - ru - rw - sa - sah - sc - scn - sco - sd - se - sg - sh - si - simple - sk - sl - sm - sn - so - sr - srn - ss - st - stq - su - sv - sw - szl - ta - te - tet - tg - th - ti - tk - tl - tlh - tn - to - tpi - tr - ts - tt - tum - tw - ty - udm - ug - uk - ur - uz - ve - vec - vi - vls - vo - wa - war - wo - wuu - xal - xh - yi - yo - za - zea - zh - zh_classical - zh_min_nan - zh_yue - zu -