Alter Schwede, jetzt wird hier schon über sieben Seiten diskutiert, und auf Seite sechs zeigt sich, dass mehr als eine/r noch nicht gecheckt hat, wie TAN (Papier TAN), i-TAN (Papier TAN) und SMS-/m-TAN (TAN wird per SMS geschickt) funktionieren. Aber nun gut, bei einigen ist das Wissen über die Existenz von Suchmaschinen wohl noch nicht angekommen.
Pflichtlektüre auf Wikipedia:
http://de.wikipedia.org/wiki/Transaktionsnummer
Und hier eine bessere Erläuterung zu den obigen Verfahren als auf Wikipedia:
TAN-Verfahren:
Zum Ausführen der Transaktion muss irgendeine TAN, einer beim Kreditinstitut freigeschalteten TAN-Liste, eingegeben werden. Zur Eingabe der TAN bleibt dem Nutzer nur eine begrenzte Zeit. Üblicherweise stehen zwischen 50 und 100 TAN auf einer solchen Liste.
Wurden ca. 75% der TAN verbraucht, wird an die Hinterlegte Adresse des Kontoinhabers, eine neue Liste gesandt. Diese muss vor Benutzung durch Eingabe einer TAN der bisherigen Liste freigeschaltet werden. Die bisherige TAN-Liste wird damit ungültig.
Dieses Verfahren gilt als zu Unsicher und wird deshalb seit Ewigkeiten nicht mehr verwendet.
Als ich vor etwa 16 Jahren auf Onlinebanking umgestiegen bin, verwendeten einige Kreditinstitute schon das deutlich sicherere i-TAN-Verfahren.
iTAN-Verfahren:
Im Gegensatz zum alten TAN-Verfahren, sind die TAN auf der iTAN-Liste durchnummeriert. Wird eine Überweisung in Auftrag gegeben, wird eine per Zufallsgenerator ausgewählte TAN, zur Eingabe aufgefordert (Bsp.: Bitte iTAN Nr.: 68 eingeben: ). Zur Eingabe der TAN bleibt dem Nutzer nur eine begrenzte Zeit. Wird keine oder eine falsche TAN eingegeben, wird diese gesperrt. Benutzte/Verbrauchte oder deaktivierte TAN lassen sich üblicherweise zur Kontrolle einsehen.
Wurden ca. 75% der TAN verbraucht, wird an die Hinterlegte Adresse des Kontoinhabers, eine neue Liste gesandt. Diese muss vor Benutzung durch Eingabe einer TAN der bisherigen Liste freigeschaltet werden. Die bisherige TAN-Liste wird damit ungültig.
Diese Verfahren macht den Erfolg durch reines Phishing äußerst unwahrscheinlich. Der Dummheit der Nutzer sind allerdings keine Grenzen gesetzt, bspw. wenn der User gleich mehrere seiner iTAN „abfischen“ lässt und damit einen späteren Erfolg des „Fischers“ erhöht.
Dieses Verfahren ist deutlich sicherer als das alte TAN-Verfahren, wird allerdings aus (Sicherheits- und) Komfortgründen durch neuere Verfahren ersetzt.
Vor Man-in-the-middle-Angriffen ist diese Verfahren allerdings nicht gefeit, in der Praxis wohl aber extrem selten, da solche Attacken großes Know-How voraussetzen. Laut einem Kumpel von mir, welcher bei der Spaßkasse arbeitet, ist ihm nie ein solcher Fall zu Ohren gekommen.
SMS-/m-TAN-Verfahren:
Wird eine Überweisung in Auftrag gegeben, wird eine SMS mit vom Banking-Server generierter TAN an die hinterlegte/n Mobiltelefonnummer/n versendet. Ein Beispiel der DiBa-Bank: Hier ist ihre Überweisung von EUR 25,00 an XXX204, angefordert am 27.07.2013 um 23:19:23 Uhr: 801740. Diese mTAN ist wie auch die iTan, fest an die zuvor eingegebenen Transaktionsdaten gebunden und zeitlich begrenzt gültig.
Nachtrag: Wird vom Smartphone, welche die SMS-/m-TAN auch empfangen soll, auf das Bankingportal zugegriffen, wird keine SMS verschickt. Wie dies zu umgehen ist, weiß ich nicht, geschieht allerdings aus Sicherheitsgründen. Wird die Transaktion von einem anderen Smartphone durchgeführt, also nicht vom Empfängerhandy/-Smartphone, wird die SMS verschickt.
Ich halte dieses Verfahren für deutlich Komfortabler, hatte allerdings Bedenken eine weitere Schwachstelle, das Smartphone/Handy mit einzubeziehen und für nicht mehr oder weniger sicher als das iTan-Verfahren.
Die ganzen anderen Verfahren mit Zuhilfenahme eines Generators sind im obigen Wikipedia-Link zur Transaktionsnummer erklärt.
Außerdem:
http://de.wikipedia.org/wiki/Phishing
http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff
Nachtrag 2: Noch einmal an den Verfasser dieser News Ferdinand Thommes:
Worin besteht die Neuigkeit bzw. der Erkenntnisgewinn dieser „News“ und warum wurde die Überschrift mal wieder so unpassend reißerisch und sensationsgierig gewählt?
