Hinweis: Dies ist mein privater Blog.
Für Software-Entwicklung und Refactoring siehe weigandtlabs.de.

Funktionsweise des TAN-Generators der Sparkasse

Seit Monaten kann man es überall bei der Sparkasse lesen: Die TAN-Liste wird am 31.09.2011 abgeschaltet. Gleichzeitig wird empfohlen, auf eines der neuen beiden Systeme umzusteigen: Dem smsTAM-Verfahren und dem chipTAN-Verfahren.

Beim smsTAN-Verfahren wird dem Kunden beim Online-Banking eine SMS mit der TAN zugesendet. Dabei können Kosten von 0,19€ pro SMS anfallen.

Beim chipTAN-Verfahren erhält der Kunden einen sogenannten TAN-Generator für einmalig 9,90€. Ich habe mich für das chipTAN-Verfahren entschieden.

Aussehen und Bedienung

Der TAN-Generator ist ziemlich klein und sieht so aus:

Hergestellt wurde der TAN-Generator von der Firma Kobil Systems unter dem Namen TAN Optimus comfort. Falls das Gerät mal kaputt gehen sollte, so verspricht die Sparkasse Ersatz.

Zum Aktivieren des Gerätes muss man die Sparkassen-Karte unten in das Gerät schieben. Daraufhin wurde im Display eine ATC-Nummer (interner TAN-Zähler, in meinem Fall war das 00001) und eine TAN-Nummer angezeigt, die man auf der Webseite der Sparkasse nach der Anmeldung im Onlinebanking eingeben muss. Damit ist das Gerät auf eine bestimmte Karte bzw. Kontonummer registriert.

Man kann das Gerät aber theoretisch dem Nachbarn ausleihen, wenn dessen Gerät mal kaputt gehen sollte. Dazu muss er nur vor der Bedienung das Gerät erneut mit der Webseite synchronisieren.

Bei zukünftigen Überweisungen wird jetzt über dem TAN-Eingabefeld immer eine flimmernde Grafik aus 5 vertikalen Balken angezeigt.  Um nun eine TAN zu erzeugen, schiebt man die Karte wieder von unten in das Gerät und drückt die Taste F. Dann hält man das Gerät an den Bildschirm über die flimmernde Grafik, sodass die 5 Lichtsensoren am Gerät die Daten empfangen können. Die Sensoren sind von Gummi-Noppen geschützt, sodass man auch nicht versehentlich den Bildschirm zerkratzt.

Über die flimmernde Grafik werden die Empfänger-Kontonummer und der Betrag übertragen. Falls die visuelle Übertragung aus irgendwelchen Gründen nicht funktionieren sollte, so können diese Angaben auch per Hand in das Gerät getippt werden. Auf einer Infotour der Sparkasse kann man sich weitere Infos zur Bedienung holen.

Berechnung der TAN und Sicherheit

Zusammen mit der eigenen Kontonummer und der internen Zählnummer berechnet jetzt der Generator eine sechs stellige TAN, die dann auf der Webseite eingegeben werden kann. Berechnet wird die TAN also aus

  • Empfänger Kontonummer
  • Überweisungsbetrag
  • Eigene Kontonummer
  • Interne Zählnummer

Da die Sparkasse diese 4 Angaben ebenfalls hat, kann sie die TAN ebenfalls berechnen und dann mit der Eingabe des Nutzers vergleichen.

Die Sicherheit ergibt sich in diesem Fall dadurch, dass 1 Parameter nicht übertragen werden muss. Wenn also ein Angreifer den Computer des Kunden mit einem Trojaner infiltriert hat und alle gesendeten Daten abfangen kann und sogar die Berechnung der TAN aus den 4 Parametern kennt, so fehlt ihm immer noch die Zählnummer, die nicht ausgetauscht wird.

Bei smsTAN hingegen gibt es bereits einen spezialisierten Banking-Trojaner von ZeuS, der das Verfahren umgehen kann. Da ich ein Smartphone besitze, ist diese Gefahr bei mir durchaus denkbar. Deshalb habe ich mich auch für den Generator entschieden.

Fazit

Merkmale von chipTAN

  • Einmalige pauschale Kosten für den TAN-Generator
  • zusätzliches Gerät nötig, bzw. muss mitgeführt werden
  • aber Diebstahl ohne Sparkassenkarte ist sinnlos

Merkmale von smsTAN

  • laufende Kosten für die SMS
  • Es muss kein zusätzliches Gerät mitgeführt werden
  • aber bei Diebstahl des Handys kann das Verfahren umgangen werden
  • Es existieren bereits spezielle Trojaner für Smartphones

Verwendet ihr auch Onlinebanking? Was haltet ihr von den beiden Verfahren und welches benutzt ihr? Ich freue mich auf eure Kommentare.


Beitrag veröffentlicht

in

von

Schlagwörter:

Kommentare

2 Antworten zu „Funktionsweise des TAN-Generators der Sparkasse“

  1. Avatar von Stefan
    Stefan

    Das Dingen mag ja für Menschen wie mich und sie noch ganz lustig sein, aber raten Sie mal, wie lange es gebraucht hat, bis meine Eltern ü65 das verstanden haben.
    Das fällt dann aber unter ein neues Thema: „Was tun, wenn Sicherheit überfordert?“

    1. Avatar von Artur

      Hut ab, dass die Eltern das verstanden haben.

      Für ältere Menschen ist die smsTAN dann wahrscheinlich einfacher und sinnvoller. Vorausgesetzt, sie können ein Handy bedienen. 🙂