iTAN, mTAN, chipTAN? Alle TAN-Verfahren im Überblick

Erst den Be­nut­zer­na­men, dann die PIN und zuletzt auch noch eine TAN eingeben? Für viele On­line­ban­king-Nutzer sind die strengen Si­cher­heits­vor­keh­run­gen ein not­wen­di­ges Übel, auf das sie gerne ver­zich­ten würden. Dabei trägt vor allem die Trans­ak­ti­ons­num­mer seit ihrer Ein­füh­rung im Jahr 1976 effektiv zum Schutz der eigenen Finanzen bei – vor­aus­ge­setzt natürlich, der Kon­to­in­ha­ber wendet das jeweilige TAN-Verfahren korrekt an und fällt nicht auf die Be­trugs­ma­schen von Cy­ber­kri­mi­nel­len herein. Welche Verfahren es gibt, wie sicher sie sind und was Sie selbst tun können, um Ihr hart ver­dien­tes Geld vor Daten-Dieben zu schützen, erfahren Sie in diesem Ratgeber.

Eine TAN ist ein üb­li­cher­wei­se aus sechs De­zi­mal­zif­fern be­stehen­des Ein­mal­kenn­wort. Im Ausland wird es auch häufig als „one-time password“ (kurz: OTP, in Ver­bin­dung mit einer zeit­li­chen Kom­po­nen­ten TOTP - Time-based One-time Password) be­zeich­net. Es kommt vor allem bei Über­wei­sun­gen und Ein­stel­lungs­än­de­run­gen im On­line­ban­king zur Anwendung. TANs gehören zu den am häu­figs­ten genutzten Hilfs­mit­teln der Zwei-Faktor-Au­then­ti­fi­zie­rung und schaffen zu­sätz­lich zum Be­nut­zer­na­men und zur PIN eine weitere Zu­griffs­hür­de: Sie sollen somit ver­hin­dern, dass Kri­mi­nel­le unbefugt Kontrolle über fremde Bank­kon­ten erlangen. Auch wenn selbige bereits Ihre PIN mithilfe von Phishing oder Trojanern erbeutet haben, können sie ohne TAN keine Über­wei­sun­gen ver­an­las­sen. Das wird dadurch ge­währ­leis­tet, dass jede TAN direkt mit sensiblen Daten wie der IBAN und dem Über­wei­sungs­be­trag verbunden ist – darüber hinaus ist eine TAN nur für eine einzelne Trans­ak­ti­on und auch nur zeitlich (meist auf ein paar wenige Minuten) begrenzt gültig.

Ein TAN-Verfahren be­zeich­net die Methode, mit der eine aktuell gültige TAN an den legitimen Nutzer über­mit­telt und zum Zweck seiner Au­then­ti­fi­zie­rung verwendet wird. Es exis­tie­ren mehrere ver­schie­de­ne Verfahren – das Grund­prin­zip ist aber bei allen sehr ähnlich:

1. Zuerst loggen Sie sich im In­ter­net­por­tal Ihrer Bank, über eine On­line­ban­king-App oder eine Banking-Software ein, erstellen Ihre Über­wei­sung und schicken sie ab.
   
   
2. Die von Ihnen ein­ge­ge­be­nen Über­wei­sungs­in­for­ma­tio­nen werden nun noch einmal angezeigt. Über­prü­fen Sie diese genau, um si­cher­zu­ge­hen, dass es sich wirklich um Ihren Auftrag handelt und er nicht in ir­gend­ei­ner Weise von Dritten ma­ni­pu­liert wurde. Be­stä­ti­gen Sie dann die Über­wei­sung.
   
   
3. Nun bittet Ihre Bank um eine gültige TAN. Diese wird dem Verfahren ent­spre­chend generiert, das Sie im Vorfeld fest­ge­legt haben. Indem Sie die aktuell gültige Trans­ak­ti­ons­num­mer eingeben, ve­ri­fi­zie­ren Sie Ihre Über­wei­sung und sie wird aus­ge­führt.

Viel­leicht erinnern Sie sich noch daran: Früher gab es die per­sön­li­che TAN nur in Form einer durch­num­me­rier­ten Liste auf Papier, die man von seiner Bank zu­ge­schickt bekam. Um Trans­ak­tio­nen zu le­gi­ti­mie­ren, musste man beim On­line­ban­king einfach eine beliebige TAN von der Liste eingeben. Waren alle Nummern auf­ge­braucht, bestellte man sich eine neue. Die Schwach­stel­len dieses klas­si­schen Ver­fah­rens sind of­fen­sicht­lich: Ging die Liste verloren, fielen dem Finder sämtliche noch gültigen Trans­ak­ti­ons­num­mern in die Hände. Aus diesem Grund ersetzten ab 2005 neuere und sicherere Verfahren die klas­si­sche TAN-Liste. Die meisten davon nutzen digitale Tech­no­lo­gien.

Laut einer Spiegel-Umfrage bieten die elf wich­tigs­ten Pri­vat­kun­den-Banken in Deutsch­land gleich mehrere dieser neuen TAN-Verfahren zur Auswahl. Um eines davon nutzen zu können, müssen Sie sich dafür al­ler­dings zunächst mit einem Ak­ti­vie­rungs­codes Ihrer Bank re­gis­trie­ren. Einige Anbieter erlauben auch die gleich­zei­ti­ge Ver­wen­dung mehrerer Verfahren – bei anderen müssen Sie sich auf eines festlegen, können aber später durchaus wechseln. Unter Umständen kann die Be­an­tra­gung eines TAN-Ver­fah­rens mit einer Gebühr verbunden sein – das ist ins­be­son­de­re bei einigen mTAN- und nahezu sämt­li­chen HBCI-Angeboten der Fall.

Die einzelnen Verfahren un­ter­schei­den sich sowohl hin­sicht­lich der An­for­de­run­gen und An­schaf­fungs­kos­ten als auch hin­sicht­lich des Nut­zer­kom­forts und des Si­cher­heits­grads. Vor der Ent­schei­dung für ein Girokonto lohnt sich daher auch ein kri­ti­scher Blick auf die ver­füg­ba­ren TAN-Verfahren.

Die so­ge­nann­te „in­di­zier­te TAN-Liste“ ist der direkte Nach­fol­ger der klas­si­schen TAN-Liste und war lange Zeit das Stan­dard­ver­fah­ren im On­line­ban­king für Pri­vat­kun­den. Die wich­tigs­te Neuerung gegenüber dem Vorgänger: Der Kunde kann seine Über­wei­sungs­auf­trä­ge nicht länger mit einer be­lie­bi­gen, aus seiner Liste frei wählbaren TAN ve­ri­fi­zie­ren: Statt­des­sen gibt das jeweilige Geld­in­sti­tut eine ganz bestimmte Po­si­ti­ons­num­mer (Index genannt) vor, die zu einer Trans­ak­ti­ons­num­mer auf der Liste passt und die im Vorfeld nicht vor­aus­seh­bar ist.

Zwar sorgt diese kleine Mo­di­fi­ka­ti­on theo­re­tisch für eine höhere Si­cher­heit, sie ist aber auch mit einigen Nach­tei­len verbunden: Da man vorher nie weiß, welche TAN die Bank fordern wird, muss man für Zah­lungs­ge­schäf­te stets die gesamte Liste zur Hand haben. Während man sich also bei der klas­si­schen Variante einzelne TANs her­aus­schrei­ben konnte, die dann nicht direkt als TANs erkennbar waren (immerhin konnte es sich theo­re­tisch auch um Te­le­fon­num­mern handeln), ist eine iTAN-Liste praktisch immer als solche zu erkennen.

Fälle, in denen Kri­mi­nel­le solche Listen er­beu­te­ten und für be­trü­ge­ri­sche Ak­ti­vi­tä­ten nutzten, häuften sich auch bei diesem Verfahren. Schnell galt daher auch die iTAN nicht als hun­dert­pro­zen­tig sicher. Die Er­wei­te­rung iTANplus und die Ein­füh­rung einer Be­stä­ti­gungs­num­mer (BEN) erhöhten die Si­cher­heit nur ge­ring­fü­gig.

Al­ler­dings bieten einige Banken weiterhin iTAN-Listen an – wenn auch nur als „Min­dest­schutz“, von dem selbst die Anbieter abraten und auf modernere Verfahren hinweisen. In erster Linie nutzen also lediglich solche Be­stands­kun­den diese Methode, denen ein Wechsel zu anderen Verfahren zu aufwändig war. Aber bald wird auch mit der iTAN-Liste Schluss sein: Denn 2019 wird die iTAN im Zuge der für alle Banken geltenden Neu­fas­sung der EU-Zah­lungs­dienst­richt­li­nie PSD2 endgültig ab­ge­schafft. Sollten Sie also immer noch mit der analogen Liste arbeiten, wird es so langsam Zeit, sich für eines der anderen TAN-Verfahren zu ent­schei­den.

Das Si­cher­heits­kon­zept des mTAN-Ver­fah­rens (auch smsTAN- oder mobileTAN-Verfahren genannt) beruht auf der Ver­wen­dung eines Zweit­ge­räts, das man in der Regel ergänzend zum Laptop oder zum Computer nutzt, mit dem man sich fürs On­line­ban­king ein­ge­loggt hat. Möchte man eine Über­wei­sung ve­ri­fi­zie­ren, schickt die Bank einem eine frisch ge­ne­rier­te TAN via SMS (unter Umständen können dafür Mo­bil­funk­ge­büh­ren anfallen) an das Mo­bil­te­le­fon oder Smart­phone des Kunden. Dieser tippt die TAN dann in dem Formular seiner On­line­ban­king-Anwendung ein. Aufgrund der weiten Ver­brei­tung von Handys gilt das mTAN-Verfahren als das be­lieb­tes­te TAN-Verfahren der Deutschen, weshalb die meisten Banken es auch als Standard anbieten. Da es nicht nötig ist, eine Pa­pier­lis­te zu verwahren, ist mTAN schon durch sein Grund­kon­zept um ein Viel­fa­ches sicherer als das iTAN-Verfahren. Zudem kann der Kunde seine Über­wei­sungs­da­ten (vor allem Ziel­kon­to­num­mer und Über­wei­sungs­be­trag) noch einmal auf einem separaten Gerät über­prü­fen, um so­ge­nann­te Man-in-the-Middle-Attacken (siehe Punkt 5 „Welche Si­cher­heits­aspek­te sind beim Umgang mit TAN-Verfahren zu beachten?“) zu entlarven. Zwar bietet es sich geradezu an, On­line­ban­king und TAN-Empfang über ein- und dasselbe Gerät laufen zu lassen, die meisten Banken ver­hin­dern dies aber durch tech­ni­sche Hürden. Denn liefe beides ein Gerät, würde das die Si­cher­heit bei Über­wei­sungs­auf­trä­gen erheblich senken. Somit ist eine solche Trennung auch im Sinne des Kunden: Denn verliert der Nutzer sein Smart­phone, könnten ohne diese Trennung Fremden beide Au­then­ti­fi­zie­rungs­fak­to­ren in die Hände fallen. Aus diesem Grund sollte man fürs On­line­ban­king stets ein separates Gerät verwenden. Bei einer Trennung von On­line­ban­king und TAN-Empfang bietet das mTAN-Verfahren einen mittleren bis hohen Si­cher­heits­grad. Jedoch hat sein Ruf in jüngster Zeit etwas gelitten: Da sich Handys im Laufe der Zeit zu Mul­ti­funk­ti­ons­ge­rä­ten mit kon­stan­ter In­ter­net­ver­bin­dung ent­wi­ckelt haben, ist es für Cyber-Kri­mi­nel­le leichter geworden, mittels Phishing und Trojaner dort ge­spei­cher­te Zu­gangs­da­ten zu erhalten. So gab es in den Jahren 2012 bis 2015 mehrere große Be­trugs­wel­len, bei denen Hacker bis zu fünf­stel­li­ge Beträge von den Konten ihrer Opfer abgehoben haben. An­ge­sichts solcher Er­eig­nis­se scheint der Rat ge­recht­fer­tigt zu sein, für das mTAN-Verfahren ein SMS-fähiges Fest­netz­te­le­fon anstatt eines Smart­phones zu verwenden. Darauf lässt sich nämlich in der Regel keine zu­sätz­li­che Software – und somit auch keine Malware – in­stal­lie­ren.

Zwar kommt beim so­ge­nann­ten pushTAN-Verfahren nur ein einzelnes mobiles Gerät (bei­spiels­wei­se ein Smart­phone oder ein Tablet) zum Einsatz, dennoch er­mög­licht es eine Zwei-Faktor-Au­then­ti­fi­zie­rung: Bei diesem Verfahren nutzt das Mo­bil­ge­rät nämlich zwei logisch von­ein­an­der getrennte Kanäle: Auf dem einen Kanal bewegt sich der Kunde im In­ter­net­por­tal seiner Bank oder in der da­zu­ge­hö­ri­gen Banking-App, auf dem anderen ist eine pass­wort­ge­schütz­te pushTAN-App (kostenlos er­hält­lich im Apple Store oder bei Google Play) in­stal­liert, welche die Über­wei­sungs­da­ten zur Über­prü­fung noch einmal anzeigt und auf Anfrage eine gültige TAN generiert. Diese kann man dann im On­line­ban­king eingeben oder bei Kom­pa­ti­bi­li­tät von Banking- und pushTAN-App auch direkt ins Über­wei­sungs­for­mu­lar über­neh­men lassen. Der Vorteil liegt auf der Hand: mit pushTAN brauchen Sie nur noch ein Gerät und können Ihre Bank­ge­schäf­te auch von unterwegs tätigen.

Wenn Sie sich für dieses Verfahren ent­schei­den, müssen Sie aber gut auf Ihr Smart­phone achtgeben. Zwar bemerkt man den Verlust eines Mo­bil­ge­rä­tes meist eher als den einer kleinen Pa­pier­lis­te, doch reagiert man nicht schnell genug und verfügt der Finder bereits über die An­mel­de­da­ten fürs On­line­ban­king, kann er mit einem er­beu­te­ten Smart­phone gültige Trans­ak­ti­ons­num­mern erstellen und Über­wei­sun­gen tätigen. Besonders fatal ist das dann, wenn Sie für Ihre On­line­ban­king- und pushTAN-App das gleiche Passwort verwendet haben. Um auf Nummer sicher zu gehen, sollten Sie On­line­ban­king und TAN-Ge­ne­rie­rung wie beim mTAN-Verfahren also strikt von­ein­an­der trennen – bei­spiels­wei­se indem Sie Banking-App und pushTAN-App auf zwei separaten Geräten in­stal­lie­ren.

Für das so­ge­nann­te chipTAN-Verfahren oder auch smartTAN plus benötigen Sie zu­sätz­li­che Hardware: einen so­ge­nann­ten chipTAN-Ge­ne­ra­tors. Das kleine, kabellose Gerät erhält man entweder als ge­bran­de­te Version von seiner Bank oder als de­di­zier­te Ware im Fach­han­del – günstige Geräte kosten meist 10 bis 15 Euro, einige Banken lassen ihren Kunden solch ein Gerät auch kostenlos zukommen. Man kann diese Geräte be­den­ken­los für mehrere Konten und Personen parallel verwenden. Denn um den chipTAN-Generator zu ak­ti­vie­ren, benötigen Sie eine Chip-Karte (in der Regel die EC-Karte der je­wei­li­gen Bank), die Sie bei Ihrem Geld­in­sti­tut be­an­tra­gen. Zur TAN-Ge­ne­rie­rung müssen Sie diese Chip-Karte dann in den chipTAN-Generator stecken. Erstellen Sie nun via On­line­ban­king eine Über­wei­sung, wird aus den ein­ge­ge­be­nen Daten ein gra­fi­scher Strich­code generiert. Wenn Sie den chipTAN-Generator mit seinen optischen Sensoren an den Bild­schirm halten, scannt er den Code und gibt als Ergebnis eine TAN aus. Funk­tio­niert der Scan aus ir­gend­wel­chen Gründen nicht, können Sie die Über­wei­sungs­da­ten auch per Hand eingeben.

Da der chipTAN-Generator zu keinem Zeitpunkt mit dem Internet verbunden ist, gilt das Verfahren als besonders sicher – schließ­lich können Cy­ber­kri­mi­nel­le so kaum Zugriff auf den Generator gewinnen. Allein das macht dies Verfahren trotz der even­tu­el­len An­schaf­fungs­kos­ten für das Gerät und des Mehr­auf­wands bei der Hand­ha­bung loh­nens­wert. Ein po­ten­zi­el­les Risiko stellt jedoch der Verlust der Chip-Karte dar. Gelangt diese nämlich in den Besitz eines Kri­mi­nel­len, könnte er mit einem be­lie­bi­gen chipTAN-Generator theo­re­tisch unendlich viele Trans­ak­ti­ons­num­mern erstellen. Sollten Sie Ihre Chip-Karte also verlieren, denken Sie unbedingt daran, sie früh­zei­tig bei Ihrer Bank sperren zu lassen, um einen Miss­brauch zu ver­hin­dern. Das ist ohnehin emp­feh­lens­wert, denn mit Ihrer EC-Karte können Kri­mi­nel­le in vielen Läden auch zahlen, ohne dass sie dafür Ihre Bankdaten kennen müssen.

Die einzelnen Geräte un­ter­schei­den sich vor allem in Design und Funk­tio­na­li­tät. So gibt es solche, die einem han­dels­üb­li­chen Ta­schen­rech­ner mit mehr­zei­li­gem Display ähneln, und solche in der Größe eines USB-Sticks, aber ohne ir­gend­wel­che Anzeigen. Eine möglichst lange Bat­te­rie­lauf­zeit und Bluetooth-Fähigkeit (zur Über­tra­gung von Über­wei­sungs­da­ten und TAN) sind nützlich, doch am wich­tigs­ten ist es, dass der TAN-Generator dem Si­cher­heits­stan­dard HHD 1.4 der Deutschen Kre­dit­wirt­schaft ent­spricht.

Das relativ neue photoTAN-Verfahren ähnelt im Grunde dem zuvor be­schrie­be­nen chipTAN-Verfahren – und zwar insofern, dass eine spezielle Hardware, nämlich ein photoTAN-Lesegerät (Preis: 15 bis 30 Euro), zum Einsatz kommt. Al­ter­na­tiv zu diesem Gerät kann man aber auch auf eine kos­ten­lo­se photoTAN-App zu­rück­grei­fen, die die interne Smart­phone-Kamera nutzt. Anstatt eines Strich­codes wird beim photoTAN-Verfahren jedoch eine farbige Mo­sa­ik­gra­fik gescannt.

Dieses Verfahren bietet dieselben Vorteile wie pushTAN und chipTAN, aber ebenso dieselben Risiken: allen voran der Verlust der Chip-Karte des Smart­phones, auf dem die photoTAN-App in­stal­liert ist. Dass solche Apps und damit die TAN-Über­mitt­lung gehackt werden können, bewiesen IT-Si­cher­heits­for­scher der Friedrich-Alexander-Uni­ver­si­tät in Erlangen-Nürnberg al­ler­dings bereits 2016. Bei ihrem Ex­pe­ri­ment waren On­line­ban­king- als auch photoTAN-App jedoch auf ein und demselben Gerät in­stal­liert. Da das Verfahren von noch relativ wenigen Banken angeboten wird, halten Experten eine hohe Be­trugs­fall­quo­te bei photoTAN-Nutzung al­ler­dings für sehr un­wahr­schein­lich – auch wenn ein Hacking bei der Ver­wen­dung eines Smart­phones anstatt eines Le­se­ge­räts technisch prin­zi­pi­ell möglich ist. Durch die Ver­wen­dung eines Le­se­ge­räts kann man dieses Risiko aber mi­ni­mie­ren.

Das bereits 1998 ent­wi­ckel­te, stan­dard­mä­ßi­ge HBCI (Home Banking Computer Interface) ist streng genommen gar kein TAN-Verfahren, sondern eher ein Si­cher­heits­me­cha­nis­mus für Bank­ge­schäf­te im Internet. Er wurde in erster Linie für Firmen und Nutzer mit mehreren Konten bei ver­schie­de­nen Geld­in­sti­tu­ten kon­zi­piert. Obgleich das Verfahren nach seiner Wei­ter­ent­wick­lung im Jahr 2002 faktisch in FinTS (Financial Tran­sac­tion Services) umbenannt wurde, ist es weiterhin unter dem Begriff HBCI bekannt.

Das Verfahren erfordert ähnlich wie chipTAN und photoTAN ein Kar­ten­le­se­ge­rät (circa 60 Euro An­schaf­fungs­preis) in Kom­bi­na­ti­on mit einer Chipkarte. Zu­sätz­lich benötigen Nutzer aber auch noch eine PIN und eine spezielle Fi­nanz­soft­ware. Letztere erhält man im Fach­han­del oder direkt von seiner Bank für einen Kaufpreis von 20 bis 100 Euro (je nach Version und Funk­ti­ons­um­fang) oder nutzt sie gegen eine mo­nat­li­che Gebühr von 5 bis 10 Euro.

Der komplexe Re­gis­trie­rungs­pro­zess des Ver­fah­rens sorgt für einen hohen Si­cher­heits­grad von HBCI:

1. Zuerst starten Sie Ihre Fi­nanz­soft­ware und loggen sich mit Ihren Zu­gangs­da­ten ein. Das Programm erstellt bei der ersten Benutzung au­to­ma­tisch zwei digitale Schlüssel – einen „Si­gnier­schlüs­sel“ für die Chip-Karte und einen „Chif­frier­schlüs­sel“ für den Bank-Server – als elek­tro­ni­sche Signatur für alle Trans­ak­tio­nen.
   
   
2. Nachdem Sie Ihre Über­wei­sung erstellt haben, schließen Sie den HBCI-Kar­ten­le­ser an Ihren Computer an, ve­ri­fi­zie­ren sich per PIN und stecken Ihre HBCI-Chipkarte in das Gerät.
   
   
3. Der Si­gnier­schlüs­sel auf der Chip-Karte le­gi­ti­miert nun die Über­wei­sung, die mit dem Chif­frier­schlüs­sel codiert und über eine mehrfach ge­si­cher­te Leitung an den Bank-Server gesandt wird. Sobald dieser den Chif­frier­schlüs­sel überprüft hat, wird die Über­wei­sung aus­ge­führt.

Aufgrund der hohen An­schaf­fungs­kos­ten und des komplexen Ver­fah­rens dürfte HBCI für die meisten privaten Nutzer eher un­at­trak­tiv sein. Al­ler­dings ist es zwei­fels­frei das aktuell sicherste TAN-Verfahren auf dem Markt. Da sich Cyber-Kri­mi­nel­le zur Ef­fi­zi­enz­ma­xi­mie­rung eher auf gängige Be­triebs­sys­te­me und Web­brow­ser kon­zen­trie­ren, anstatt An­griffs­me­tho­den für seltenes Home­ban­king-Programm zu ent­wi­ckeln, sind bisher noch keine Be­trugs­fäl­le bekannt.

Jedes in Deutsch­land gängige TAN-Verfahren hat seine Vor- und Nachteile. Um das für Sie passende zu finden, sollten Sie Kosten, Be­dien­bar­keit und Si­cher­heits­grad gründlich ge­gen­ein­an­der abwägen. Gehen Sie aber nicht aus Be­quem­lich­keit ein unnötiges Risiko ein.

TAN-Verfahren gewähren die höchst­mög­li­che, jedoch niemals eine hun­dert­pro­zen­ti­ge Si­cher­heit beim On­line­ban­king – auch wenn das manche Anbieter gerne behaupten. Die er­nüch­tern­de Wahrheit ist: Mit Ausnahme des HBCI, das streng genommen gar kein TAN-Verfahren ist, wurde jedes TAN-Verfahren zu ir­gend­ei­nem Zeitpunkt schon einmal er­folg­reich gehackt. Obgleich die ver­fah­rens­ei­ge­nen Si­cher­heits­lü­cken bei jedem Be­trugs­fall eine wichtige Rolle gespielt haben, war meist jedoch eine ganz andere Schwach­stel­le aus­schlag­ge­bend: der Kunde. Von der bank­in­ter­nen Si­cher­heits­in­fra­struk­tur isoliert, oft wenig in IT-Themen bewandert und zuweilen impulsiv handelnd, ist er für viele Kri­mi­nel­le das schwächs­te Glied der Kette. Dies ist auch der Grund, warum Cyber-Angriffe auf ein Bankkonto immer zuerst auf dessen Besitzer abzielen. Aus diesem Grund liegt es wohl oder übel an den Kunden, sich mit dem Thema Kon­to­si­cher­heit zu befassen und ein Be­wusst­sein für den sicheren Umgang mit On­line­ban­king und TAN-Verfahren zu ent­wi­ckeln. In diesem Zu­sam­men­hang kann es hilfreich sein, den typischen Ablauf einer Attacke zu kennen und zu verstehen. Nun existiert ein großer Va­ri­an­ten­reich­tum an möglichen An­griffs­sze­na­ri­en, und täglich lassen sich Kri­mi­nel­le neue Wege einfallen, um an Geld her­an­zu­kom­men, das ihnen nicht gehört. Somit können hier nicht alle Tricks der Cy­ber­kri­mi­nel­len umfassend dar­ge­stellt werden, doch wir möchten Ihnen zumindest bei­spiel­haft typische Vor­ge­hens­wei­sen vieler Cyber-Kri­mi­nel­len erläutern. Die folgenden Aus­füh­run­gen beziehen sich auf das mTAN-Verfahren: Um den Faktor Mensch für die Un­ter­wan­de­rung eines IT-Si­cher­heits­sys­tems nutzen zu können, bedienen sich geübte Angreifer neben einer Auswahl digitaler und tech­ni­scher Hilfs­mit­tel vor allem einer Methodik: dem Social En­gi­nee­ring. Sie versuchen, ihr Opfer dazu zu bringen, sich in einer si­cher­heits­kri­ti­schen Situation falsch zu verhalten. Bei­spiels­wei­se könnte sich ein Hacker als An­ge­stell­ter eines externen IT-Supports ausgeben, der gebeten wurde, Probleme der Buch­hal­tungs- und On­line­ban­king-Software zu lösen. In diesem Zu­sam­men­hang versucht er dann, von seinem Ge­sprächs­part­ner Zugangs- oder Bankdaten zu erfragen. Häufig besteht der erste Schritt einer Cy­ber­at­ta­cke auch in der Ein­schleu­sung eines Trojaners. Dies geschieht etwa, indem das Opfer in einer ver­trau­ens­wür­dig wirkenden E-Mail dazu verleitet wird, auf einen in­fi­zier­ten Link zu klicken. Je seriöser die E-Mail und ihre Adresse wirken, desto eher führt diese Art von Phishing zum Erfolg. Be­treff­zei­len wie „Mahnung“, „Kon­to­sper­rung“ oder „Si­cher­heits­prü­fung“ sollen das po­ten­zi­el­le Opfer unter Stress setzen und zu einer un­über­leg­ten Handlung animieren.

1. Egal, auf welche Weise ein Bank­tro­ja­ner sich einnistet – ist er erst einmal auf dem Gerät, mit dem man sein On­line­ban­king durch­führt, kann er die da­zu­ge­hö­ri­gen Zu­gangs­da­ten ausspähen. Die erste Hürde hat der Hacker dann genommen.
   
   
2. Nun muss der Angreifer nur noch das TAN-Verfahren über­win­den, wofür er eine Reihe ver­schie­de­ner Optionen hat, von denen an dieser Stelle nur drei vor­ge­stellt werden sollen:

• Das Mo­bil­ge­rät zu stehlen, ist wohl die häufigste Methode, sie fällt dem Ge­schä­dig­ten aber auch am schnells­ten auf.
  
  
• Eine weitere Strategie besteht darin, die er­beu­te­ten Zu­gangs­da­ten zu nutzen, um die Han­dy­num­mer des Kon­to­in­ha­bers auf eine zweite SIM-Karte zu portieren, be­zie­hungs­wei­se um eine zu­sätz­li­che SIM-Karte an­zu­for­dern. Diese kon­fi­gu­riert der Angreifer im Anschluss so, dass SMS (und damit auch Trans­ak­ti­ons­num­mern) nur noch an seine eigene SIM-Karte gesendet werden, während alle anderen Funk­tio­nen (zum Beispiel Te­le­fo­nie­ren) weiterhin für das Opfer verfügbar bleiben. Dass etwas nicht stimmt, fällt dem Opfer dann erst nach einiger Ver­zö­ge­rung auf.
  
  
• Besonders hin­ter­lis­tig, da nahezu un­sicht­bar, ist jedoch die so­ge­nann­te Man-in-the-Middle- be­zie­hungs­wei­se Man-in-the-Browser-Attacke: Dabei nistet sich der Trojaner im Browser des Opfers ein und ma­ni­pu­liert die visuelle Dar­stel­lung einer On­line­ban­king-Plattform. So verändert er vor­han­de­ne Elemente oder fügt neue hinzu. Das un­be­dach­te Opfer gibt seine Über­wei­sungs­in­for­ma­tio­nen samt da­zu­ge­hö­ri­ger TAN wie gewohnt ein und schickt beides ab. Im Hin­ter­grund hat der Angreifer die Daten aber bereits ab­ge­grif­fen und lenkt Über­wei­sun­gen auf sein eigenes Bankkonto. Je nachdem, wie clever er dabei vorgeht, kann es Wochen oder sogar Monate dauern, bis der Schaden entdeckt wird.

Wie ein kri­mi­nel­les In­di­vi­du­um letzt­end­lich an Ihre TAN her­an­kommt, ist für Sie als Ver­brau­cher nicht wirklich von Belang. Statt­des­sen sollten Sie sich darauf kon­zen­trie­ren, sich gegen die ersten Schritte eines Cyber-Angriffs (Social En­gi­nee­ring und das Ein­schleu­sen von Bank­tro­ja­nern) zu wappnen. Dazu müssen Sie bei­spiels­wei­se auf die typischen Indizien des Phishings achten oder sensible Daten nicht ohne weiteres an Fremde ausgeben, auch wenn diese als ver­läss­li­cher Dienst­leis­ter (IT-Support, Buch­hal­tungs­dienst­leis­ter etc.) auftreten.