Das macht Homebanking sicher – PIN/TAN, iTAN, TAN-Generator und HBCI im Vergleich

Banken und Sparkassen haben sich einiges einfallen lassen, um Bankgeschäfte über das Internet so sicher wie möglich zu machen. Spezielle Sicherheitsmaßnahmen sorgen dafür, dass beim Homebanking nichts passieren kann.

Zunächst ist der Zugang zu Ihrem persönlichen Konto nur mittels Ihrer Kontonummer sowie Ihrem persönlichen Kennwort oder PIN-Nummer (Sicherheitsnummer) möglich. Aber selbst wenn Unbefugte in den Besitz Ihrer Zugangsdaten gelangen, können sie damit noch keine Bankgeschäfte erledigen. Sobald Transaktionen wie Überweisungen oder Aktienverkäufe getätigt werden sollen, greift eine weitere Sicherheitsstufe. Der Überweisungsträger muss von Ihnen digital unterschrieben werden. Da es im Internet keine Kugelschreiber gibt, kommen elektronische Verfahren zum Einsatz. Erst wenn Sie die „richtige Unterschrift“ in das Onlineformular eingegeben haben, wird der Auftrag von der Bank ausgeführt. Es gibt vier verschiedene Sicherheitsverfahren zum „Unterschreiben“ von Bankaufträgen:

  • PIN/TAN-Verfahren
  • iTAN-Verfahren
  • TAN-Generator
  • HBCI mit Chipkarte

Je nach Bank kommt eines der vier Sicherheitsverfahren für Ihr Konto zum Einsatz. Einige Banken bieten auch mehrere Verfahren an. Der folgende Abschnitt zeigt die Details und Unterschiede der Sicherheitsmechanismen.

PIN/TAN – Das Standard-Verfahren

Viele Banken verwenden das sogenannten PIN/TAN-Verfahren, das sich durch eine besonders einfache Handhabung auszeichnet. Zum „Unterschreiben“ Ihrer Aufträge erhalten Sie von Ihrer Bank zwei Nummern bzw. Nummernblöcke:

  • Ihre individuelle PIN-Nummer

Die meist fünf- oder sechsstellige PIN-Nummer – PIN steht dabei für Personal Identification Number (Persönliche Identifikationsnummer) – ist Ihr Schlüssel für den Zugang zu Ihrem persönlichen Bankbereich. Sie erhalten die PIN-Nummer per Post von Ihrer Bank. Nach Eingabe der Kontonummer sowie PIN-Nummer können Sie die Kontoübersichten und Umsätze anzeigen – Überweisungen sind mit der PIN-Nummer nicht möglich.

  • TAN-Nummernblöcke für Überweisungen

Um Bankgeschäfte erledigen zu können, erhalten Sie zusätzlich eine List mit sogenannten Transaktionsnummern, kurz TAN-Nummern. Erst mit den TAN-Nummern können Aufträge von Ihnen „unterschrieben“ und ausgeführt werden.

Von Ihrer Bank erhalten Sie mit separater Post Ihre PIN-Nummer sowie eine Liste mit TAN-Nummern (Transaktionsnummern).

Sobald Sie eine Überweisung oder ähnliche Transaktion durchführen möchten, fragt die Bank zunächst nach einer TAN-Nummer. Erst wenn Sie eine gültige TAN-Nummer Ihres Nummernblocks eingegeben haben, führt die Bank den Auftrag durch. Sie können dabei jede beliebige TAN-Nummer der Liste verwenden.

Wichtig dabei: Jede TAN-Nummer ist nur einmal gültig. Sie sollten daher jede „verbrauchte“ Nummer auf dem Block sofort durchstreichen, damit Sie sie nicht versehentlich ein zweites Mal eingeben. Wird drei Mal hintereinander eine ungültige oder verbrauchte TAN-Nummer eingegeben, wird Ihr Konto aus Sicherheitsgründen gesperrt. Ihre Bank geht dann von einem Betrugsversuch aus und schließt den Zugang.

Bei Überweisungen müssen Sie eine unverbrauchte TAN-Nummer eingeben und damit den Auftrag freigeben.

iTAN-Verfahren – Noch mehr Sicherheit

Bei sorgfältigem Umgang mit PIN- und TAN-Nummern ist das Homebanking mit PIN/TAN-Verfahren im Grunde sehr sicher. Aufgrund der Gefahr von Phishing-Angriffen, bei dem Internetbetrüger versuchen, TAN-Nummern zu „stehlen“, bieten viele Banken das sogenannten iTAN-Verfahren an. Hierbei handelt es sich um ein erweitertes PIN/TAN-Verfahren. In der TAN-Liste sind die Transaktionsnummern zusätzlich nummeriert oder indiziert – daher auch das i bei iTAN.

Die Nummern sorgen für noch mehr Sicherheit. Bei Überweisungen genügt nicht mehr eine beliebige Nummer der TAN-Liste, sondern die Bank fragt explizit nach einer bestimmten Transaktionsnummer, etwa nach der TAN mit der Nummer 22. Einzig und alleine diese Transaktionsnummer ist dann für die Überweisung gültig. Das erhöht die Sicherheit beim Onlinebanking. Beim einfachen PIN/TAN-Verfahren genügt es, wenn ein Datendieb in den Besitz einer beliebigen TAN-Nummern gelangt. In Kombination mit der PIN könnte der Datendieb dann mit den ergaunerten TAN-Nummern Überweisungen tätigen. Beim iTAN-Verfahren ist es nicht so einfach. Da die Bank explizit nach einer ganz bestimmten TAN fragt, müsste der Datendieb schon genau diese Nummer ergaunert haben. Bei knapp 100 Nummern pro TAN-Liste ein schwieriges Unterfangen.

Beim iTAN-Verfahren sind die Transaktionsnummern durchnummeriert. Für Überweisungen fragt die Bank explizit nach einer ganz bestimmten TAN, hier TAN Nummer 58.

TAN-Generator – Transaktionsnummern auf Abruf

Ende 2006 haben einige Banken ein weiteres TAN-Verfahren eingeführt. Statt einer gedruckten Liste mit Transaktionsnummern erhalten Sie von Ihrer Bank eine Chipkarte sowie einem TAN-Generator. Das ist ein kleines Gerät, das auf Abruf neue TAN-Nummern generiert. Für das Verfahren mit dem TAN-Generator gibt es leider keinen einheitlichen Namen. Einige Banken nennen es eTAN-Verfahren, bei anderen Instituten heißt es Sm@art-TAN (GE Money Bank) oder Bankey (Volkswagen Bank).

Das Prinzip ist einfach: Sobald Sie eine Überweisung tätigen und die Bank nach einer Transaktionsnummern fragt, stecken Sie die Chipkarte in den TAN-Generator. Das kleine scheckkartengroße Gerät erzeugt anschließend eine neue Transaktionsnummer ausschließlich für diese Überweisung. Das kleine Gerät erhalten Sie meist kostenlos oder gegen eine geringe Gebühr von Ihrer Hausbank. Leider bieten bislang nur sehr wenige Banken dieses innovative und sehr sichere Verfahren an.

Sicherer geht es kaum: In Verbindung mit der Bankkarte oder EC-Karte erzeugt der TAN-Generator auf Knopfdruck eine gültige Transaktionsnummer.

HBCI mit Chipkarte – Besonders sicher, aber umständlich

Besonders sicher ist Homebanking mit dem sogenannten Homebanking Computer Interface (Schnittstelle für Bankgeschäfte mit dem Computer), kurz HBCI. Allerdings ist HBCI im Vergleich zu PIN/TAN- und iTAN-Verfahren komplizierter. Besonders die Einrichtung des Bankzugangs ist mit mehr Aufwand verbunden:

1. HBCI basiert auf einer Chipkarte, ähnlich der EC- oder Geldkarte. Hier ist Ihr persönliche „Schlüssel“ für den Zugang zu Ihrem Bankkonto gespeichert. Zunächst benötigen Sie von Ihrer Bank die Chipkarte sowie ein spezielles Chipkartenlesegerät, das mit einem USB-Kabel an Ihren Computer angeschlossen wird.

2. Zudem benötigen Sie für HBCI ein spezielles Banking-Programm. Nur mit dem Internet Explorer oder Firefox-Browser ist HBCI-Banking nicht möglich. Das Banking-Programm wie Starmoney oder WISO Mein Geld erhalten Sie meist direkt von Ihrer Bank.

3. Nachdem das Banking-Programm auf Ihrem PC installiert und das Chipkartenlesegerät angeschlossen wurde, müssen Sie einen digitalen Schlüssel generieren. Der Schlüssel ist Ihr „Fingerabdruck“, mit dem Sie später Ihre Aufträge signieren.

4. Den digitalen Fingerabdruck müssen Sie am PC ausdrucken (er sieht übrigens nicht wirklich aus wie ein Fingerabdruck, sondern ist eine lange Zahlenkolonne), unterschreiben und per Briefpost an Ihre Bank schicken. Die Bank prüft anhand des Ausdrucks und Ihrer Unterschrift, ob der digitale Schlüssel auch tatsächlich von Ihnen stammt. Erst jetzt schaltet die Bank den Zugang per HBCI für Sie frei.

Die Ersteinrichtung ist bei HBCI zwar ein wenig komplizierter, dafür sind die Bankgeschäfte damit besonders sicher und sogar einfacher als beim TAN-Verfahren. Zum „Unterschreiben“ eines Auftrags müssen Sie nur noch die Chipkarte einstecken und am Lesegerät die PIN-Nummer eingeben. Da Bankgeschäfte nur in Kombination von Chipkarte und PIN-Nummer möglich sind, haben Hacker und Datendiebe so keine Chance. 

2 Comments

  1. thorsten 30. Oktober 2013
  2. dasa 30. Oktober 2013

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.