Ratgeber: Risikolose Bankgeschäfte mit dem iPad

Sicheres mobiles TAN-Verfahren

Die meisten Geldinstitute bieten TAN-Listen gar nicht mehr an oder zumindest eine sichere Alternative. Ideal für iPad-Benutzer, die auch unterwegs Bankgeschäfte tätigen wollen oder müssen, ist das Verfahren mTAN, auch mobile TAN oder SMS-TAN genannt. Einzige Voraussetzung ist ein Mobiltelefon, das SMS empfangen kann. Am Rechner oder iPad nutzen Sie entweder das Web-Interface oder eine geeignete App beziehungsweise ein Programm, mit dem Sie die Daten für die Überweisung eingeben können.

Der Bankrechner schickt Ihnen dann eine TAN auf Ihr Mobiltelefon, die Sie zur Überweisung eintragen. Die TAN ist zeitlich begrenzt nutzbar. Das mTAN-Verfahren setzt auf einen zweiten Übertragungskanal: Die Überweisung und der Empfang der SMS müssen auf getrennten Geräten erfolgen.

Im Jahr 2010 wurde die Möglichkeit einer Trojaner-Attacke auf das mTAN-Verfahren bekannt. Dazu war allerdings eine Manipulation am PC des Benutzers erforderlich. Er musste dazu gebracht werden, auf einer gefälschten Bankseite seine Handynummer einzugeben. Daraufhin wurde eine SMS mit einem Link an das Handy geschickt, der den Download einer Schadsoftware auslöste. Das Schadprogramm startete seine Arbeit am Handy. Die genannte Trojanerversion funktionierte an Symbian-Smartphones und BlackBerrys. Unter iOS ist das bei einem nicht "gehackten" iPad oder iPhone nicht möglich, hier braucht man sich also keine Sorgen zu machen.

Daneben gibt es weitere sichere TAN-Verfahren, die die Anschaffung beziehungsweise Nutzung von zusätzlicher Hardware erfordern.

TAN-Verfahren im Überblick

iTANJ: Jede TAN auf der TAN-Liste ist fortlaufend nummeriert. Gibt man eine Transaktion ein, fragt der Bankrechner eine TAN von der Liste ab. Dies verhindert Phishing, jedoch nicht Pharming oder Trojaner.

iTAN PLUS: Eine Weiterentwicklung des iTAN-Verfahrens. Ein Kontrollbild wird vor der TAN-Eingabe eingeblendet, das die Daten des Zahlungsauftrags, das Geburtsdatum des Kunden sowie die laufende Nummer der geforderten TAN anzeigt. Das Kontrollbild hat ein Raster, ein maschinelles Auslesen der TAN ist so nicht möglich.

MTAN: Für jede Transaktion sendet der Bankrechner eine TAN sowie die Transaktionsdaten per SMS auf das Mobiltelefon. Das Verfahren gilt als sicher, weil zwei verschiedene Übertragungswege beteiligt sind. Eine unbenutzte mTAN verfällt nach kurzer Zeit.

ETAN: Von seiner Bank erhält man ein elektronisches Gerät, das für jede Transaktion per Knopfdruck eine TAN erzeugt, die nur wenige Minuten gültig ist. Phishing-Versuche werden zwar erschwert, aber vor Trojanern oder Pharming schützt das Verfahren nicht.

ETAN PLUS: Eine Weiterentwicklung des eTAN-Verfahrens, bei der zusätzlich ein Karteneinschub für die EC-Karte im TAN-Generator vorhanden ist. Den von der Bank anhand der Transaktionsdaten erhaltenen Code tippt man auf der Tastatur des Gerätes ein, das daraus anschließend die TAN errechnet.

HBCI-VERFAHREN: Das derzeit sicherste Verfahren, bei dem man eine Chipkarte der Bank, eine entsprechende Software auf dem Rechner und ein Kartenlesegerät benötigt. Zu empfehlen sind Kartenleser der Klasse 2 oder 3 mit Prozessor und eigener Tastatur. Die Chipkarte verschlüsselt die Daten und wehrt somit Phishing, Pharming und Trojaner ab.