Wieviel Sicherheit bieten PIN, TAN und alternativ TAN- Verfahren?
Homebanking / Online-Banking bietet die Möglichkeit, Bankgeschäfte rund um die Uhr von zu Hause aus zu tätigen. Das Abfragen des Kontostandes, Ausdrucken von Kontoauszügen oder Überweisungen erfolgen zwischen der heimischen Telefonleitung und dem Zentralrechner des jeweiligen Bankinstitutes. Um hier ausrechende Sicherheitsstandards zu gewähren, werden die persönliche Identifikationsnummer (PIN) sowie die Transaktionsnummer (TAN) bei gesicherten Bankgeschäften zur Bestätigung abgefragt und eingegeben.
Persönliche Identifikationsnummer (PIN)
Die Persönliche Identifikationsnummer (PIN) ist eine Geheimzahl mit welcher sich eine oder wenige Personen gegenüber einer Maschine (Geldautomat, Online-Banking) authentifizieren können. Grundsätzlich besteht sie nur aus Ziffern, heutzutage gibt es aber auch Banken die eine Kombination aus Ziffern und Buchstaben vorschreiben.
Transaktionsnummer (TAN)
Die Transaktionsnummer ist ein Einmalpasswort, das aus sechs Ziffern besteht und vorwiegend im Online-Banking verwendet wird. Jeder Kunde erhält von seinem Bankinstitut per Post eine TAN-Liste, auf der eine begrenzte Anzahl von TAN-Nummern hinterlegt sind. Bei jeder Transaktion wählt der Kunde eine beliebige TAN-Nummer als Quasi-Unterschrift. Die TAN verfällt nach einmaligem Gebrauch.
Indizierte Transaktionsnummer (iTAN)
Das iTAN-Verfahren ist der Nachfolger des herkömmlichen TAN-Verfahrens. iTAN steht für indizierte Transaktionsnummer. Der Kunde hat bei diesem TAN-Verfahren nicht mehr die Möglichkeit seinen Auftrag mit einer beliebigen TAN aus seiner Liste zu bestätigen, sondern wird von der Bank explizit aufgefordert, eine bestimmte, durch eine Positionsnummer gekennzeichnete Transaktionsnummer aus einer durchnummerierten Liste anzugeben.
eTAN
Bei diesem Identifikationsverfahren bekommt der Kunde ebenfalls seine Persönliche Identifikationsnummer per Post zugesandt. Anstelle einer herkömmlichen oder durchnummerierten TAN-Liste bekommt der Kunde einen kleinen TAN-Generator. Dieser generiert eine sogenannte eTAN mit der die gewünschte Transaktion anschließend bestätigt werden kann. Ein großer Nachteil bei diesem Verfahren ist, dass der Kunde den Generator immer parat haben muss. Vorteil des eTan-Verfahrens ist, dass Phishing-Versuche nicht mehr funktionieren, da der Kunde ohne gültige Kontrollnummer der Bank keine funktionierende Transaktionsnummer erzeugen kann.
eTAN plus
Beim eTAN plus Verfahren wird vom Bankinstitut der TAN-Generator durch ein Kartenlesegerät ersetzt, in welches er seine Bankkarte einführt. Erst ein geheimer Schlüssel der auf der Karte gespeichert ist und die von der Bank erzeugte Kontrollnummer generieren eine gültige Transaktionsnummer. Weder Trojaner noch Pharming-Filter können die Sicherheit bei diesem Verfahren gefährden.
mTAN
Mit dem mobilen mTAN-Verfahren hat der Kunde die Möglichkeit, sich für die Bestätigung eines Überweisungsauftrages, die Transaktionsnummer auf seine persönliche Handynummer schicken zu lassen. Diese wird bei Anmeldung zum mTAN Verfahren bei der Bank hinterlegt.
