Online Banking mit eTAN und eTAN-Plus

Die Listen und Blöcke mit Transaktionsnummern werden durch das eTAN- und das eTAN-Plus-Verfahren überflüssig. An ihre Stelle tritt Technik in Form eines TAN-Generators oder eines Kartenlesegerätes. Für Bankkunden heißt das: Sie müssen nicht mehr mit Zetteln voller Zahlencodes hantieren, sondern benötigen nur noch einen kleinen Kasten, der an einen Taschenrechner erinnert und von der Bank zur Verfügung gestellt wird.

Das eTAN-Verfahren

In der einfachsten Variante handelt es sich bei diesen Geräten um einen TAN-Generator. Sobald eine Transaktion ausgeführt werden soll, wie zum Beispiel eine Überweisung, erzeugt das System der Bank eine Kontrollnummer und zeigt sie online an. Diese Ziffernfolge muss in den TAN-Generator eingegeben und bestätigt werden. Das Gerät ermittelt daraufhin eine Transaktionsnummer, mit der die Buchung freigegeben wird. Das System ist sehr sicher. Betrüger, die mit Phishing-Mails an die Bank- und Zugangsdaten gelangen wollen, haben keine Chance mehr, da die Transaktionsnummer nur mit der jeweiligen Kontrollziffer gültig ist. Allerdings kann der Datenverkehr zwischen Bank und Kunde nach wie vor abgefangen und die Überweisung umgeleitet werden (Man-in-the-Middle-Angriff).

Das eTAN-Plus-Verfahren

Dieses Risiko soll das eTAN-Plus-Verfahren weitgehend ausschalten. Dazu wird der TAN-Generator um eine Kartenlesefunktion erweitert. Möchte der Kunde Geld überweisen oder einen Dauerauftrag einrichten, muss die Bankkarte in das Lesegerät eingeführt werden. Wie beim eTAN-Verfahren benötigt der TAN-Generator Daten, damit er arbeiten kann. Auch hierbei handelt sich um eine Kontrollnummer. Viele Systeme verlangen darüber hinaus, dass zusätzlich die Kontonummer des Zahlungsempfängers eingegeben wird. Diese Informationen und der auf der Bankkarte gespeicherte Daten-Schlüssel sind die Berechnungsgrundlage für die Transaktionsnummer. Dadurch, dass die Kontonummer mit in die TAN einfließt, sind Man-in-the-Middel-Angriffe ebenso wie Phishing-Versuche vergebene Liebesmüh.

Geräte sicher aufbewahren

Sollten Diebe allerdings in den Besitz des Generators bzw. Kartenlesegerätes und der Bankkarte gelangen, können sie nach wie vor Überweisungen vornehmen. Deshalb sollten die Geräte möglichst sicher aufbewahrt werden. Speziell bei reinen TAN-Generatoren reichen bereits die Zugangsdaten zum Online-Banking (Kunden- oder Kontonummer sowie die persönliche Identifikationsnummer), um das Girokonto leer zu räumen.