Bernd Borchert

Trojanersichere Online Accounts

Übersicht Online Banking Verfahren

Ein Online Banking Verfahren heißt ''trojanersicher'', wenn es nicht passieren kann, dass der Bankkunde alles richtig macht und trotzdem im Hintergrund ein Trojaner eine Betrugsüberweisung ausführt. Mit anderen Worten: Wenn bei einem trojanersicheren Verfahren etwas schief geht, dann muss der Bankkunde einen Fehler gemacht haben.

Name
trojaner
-sicher?
seit
Kurzbeschreibung
Bild
Markt-
anteil

  • Links
Trojaner-sicher:
Display-TAN trojaner-sicher 2014
So wie NFC-TAN, aber mit Display

-
Photo-TAN/Extra-Gerät trojaner-sicher 2008
So wie Fotohandy-TAN, aber in eigenem Geraet: mit Kamera, aber ohne Funk und ohne Tastatur. Oder anders ausgedrueckt: ChipTAN-Komfort mit Kamera statt mit Fotodioden, unddamit ist 2D-Code moeglich, statt Flackercode.
1%
USB-Stick-TAN
trojaner-sicher 2008
Der Bankkunde bekommt von der Bank einen USB Stick mit Display.  Fuer eine Ueberweisung tippt er die Ueberweisungs-Daten in ein Online Formular ein und schickt es zur Bank. Die Bank schickt die Information via Rechner des Kunden an den angeschlossenen USB-Stick. Dort erscheinen die Ueberweisungsdaten, die der Kunde mit einer Taste am USB Stick bestaetigt.
Die USB-Stick-TAN ist im Prinzip wie HBCI-3 ohne Tastatur.
bla
2%

chipTAN

trojaner-sicher 2008
Der Unterschied zur chip-TAN ohne Flackercode besteht darin, dass die Ueberweisungsdaten nicht noch einmal in des Geraet eingetippt werden muessen, sondern via Optik-Sensoren per Flickercode am Bildschirm eingelesen werden.
chip
30%

chip-TAN ohne Flackercode
trojaner-sicher ca. 2005
Ein chip-TAN Geraet ist ein kleines Geraet mit Scheckkarten-Lesegeraet, Zifferntastatur und Display. Der Kunde gibt die  Ueberweisungsdaten auf dem Rechner ein. Danach wird ihm ein Zifferncode angezeigt. Diesen Code tippt er zusammen mit der nochmals angegebenen Ziel-Kontonummer auf dem Geraet ein und bekommt danach auf dem Display eine TAN angezeigt, die er zur Bestaetigung der Ueberweisung auf dem Rechner eintippt.
chip
3%

TAN-Generator
(eTAN-Plus, Bankey)
trojaner-sicher ca. 2005
Ein TAN-Generator ist ein kleines Geraet mit Zifferntastatur und Display. Der Kunde gibt die Ziel-Kontonummer einer Ueberweisung per Tastatur auf dem TAN-Generator ein und bekommt auf dem Display eine TAN angezeigt, die er zur Bestaetigung der Ueberweisung auf dem Rechner eintippt und zur Bank schickt. Intern hat der TAN-Generator eine Uhr, die mit einer Uhr bei der Bank synchronisiert ist. Der Unterschied zwischen eTAN und TAN-Generator ist die Zifferntastatur: nur mit ihr kann die Trojaner-Sicherheit erreicht werden.
3%
HBCI-3, Secoder trojaner-sicher vor 2000
Ein Klasse-3 Leser ist ein per Kabel an den Rechner angeschlossenes externes Geraet mit Zifferntastatur, Display und Scheckkarten-Leser. Die Ueberweisungs-Daten werden auf dem Display des Klasse-3 Lesers dargestellt, zusammen mit einer TAN, die zur Bestaetigung am Rechner eingetippt und zur Bank geschickt wird.

2%

Trojaner-unsicher:
NFC-TAN trojaner-sicher auf dem PC, aber trojaner-unsicher auf dem Smartphone (MitM) 2013
So wie Photo-TAN/App-version, aber mit auf Bankkarte ausgelagertem Credential. Dadurch gegen Credential-Klau geschützt, aber nicht gegen Man-in-the-Middle

-
Push-TAN trojaner-sicher auf dem PC, aber trojaner-unsicher auf dem Smartphone (u.a. Credential-Klau) 2013
So wie Photo-TAN/App-version, aber nicht mit 2D-Code, sondern die Ueberweisungsdaten werden per Internet auf das Smartphone gepusht.

3%

Photo-TAN/App-Version trojaner-sicher auf dem PC, aber trojaner-unsicher auf dem Smartphone (u.a. Credential-Klau) 2012
Der Bankkunde tippt seine Ueberweisung in ein Online Formular ein und schickt es zur Bank. Die Bank schickt einen 2D-Code auf den Bildschirm, der vom Bankkunden mit dem Smartphone abfotographiert wird. Das Handy-Display zeigt die Ueberweisungs-Daten und die TAN. Der Bankkunde bestaetigt die Ueberweisung durch Eingabe der TAN in den PC.

2%

Mobile TAN
(mTAN, SMS-TAN)
trojaner-sicher auf dem PC, aber trojaner-unsicher auf dem Smartphone (u.a. Trojaner-Banksitzung mit SMS Abfangen) 2007
Nachdem der Bankkunde eine Ueberweisung im Online-Formular ausgefuellt hat und per Internet zur Bank geschickt hat, bekommt er von der Bank per SMS die Ueberweisungsdaten und eine TAN geschickt, die er zur Bestaetigung am Rechner eintippt und zur Bank schickt. 40%

TAN
nicht trojaner-sicher vor 2000 Der Kunde bekommt von der Bank eine Liste mit Zahlen (TANs) zugeschickt.Fuer eine Ueberweisung tippt er die Ueberweisungs-Daten in ein Online Formular ein und  gibt zusaetzlich eine TAN an. Das wird zur Bank geschickt und ausgefuehrt. 
1%

iTAN nicht trojaner-sicher vor 2000 Der Kunde bekommt von der Bank eine Liste mit nummerierten Zahlen (iTANs) zugeschickt. Fuer eine Ueberweisung tippt er die Ueberweisungs-Daten in ein Online Formular ein und schickt es zur Bank. Die Bank schickt dem Kunden die ihr vorliegenden Ueberweisungsdaten an und fragt nach einer iTAN. Der Kunde tippt diese iTAN ein und schickt sie als Bestaetigung zur Bank.
5%
eTAN
nicht trojaner-sicher vor 2000
Ein eTAN Token ist im Prinzip eine elektronische TAN-Liste. Es hat eine genau gehende Uhr, die mit einer Uhr bei der Bank synchronisiert ist, so dass die auf Knopfdruck angezeigte TAN alle paar Sekunden eine andere ist.
Tokens sind im angelsaechsichen Raum und auch in Asien das am meisten verbreitete Sicherheitsverfahren fuer Online Banking (mehr als 80% Marktanteil).

2%

HBCI-1 nicht trojaner-sicher vor 2000 Ein HBCI-1 Leser ist ein per Kabel an den Bankkunden-Rechner angeschlossenes externes Geraet mit Scheckkarten-Leser. Beim Online Banking erzeugt das HBCI-1-Geraet zusammen mit der Scheckkarte die TAN's fuer Ueberweisungen, so dass bei diesem Verfahren keine Papier-TAN noetig ist.

2%

HBCI-2 nicht trojaner-sicher vor 2000 Ein HBCI-2 Leser ist ein per Kabel an den Bankkunden-Rechner angeschlossenes externes Geraet mit Zifferntastatur und Scheckkarten-Leser. Beim Online Banking erzeugt der Leser zusammen mit der Scheckkarte die TAN's, so dass bei diesem Verfahren keine Papier-TAN noetig ist. Anders als beim HBCI-1 Verfahren kann die PIN abhoersicher im HBCI-2-Geraet eingegeben werden.

2%

Das SMS-TAN Verfahren muss leider inzwischen zu den unsicheren Verfahren gezaehlt werden (es stand bis 2010 bei den sicheren), denn ein Smartphone-Trojaner kann es aushebeln:

Der Smartphone-Trojaner hört zuerst das Online Passwort ab, z.B. wenn der Bankkunde seinen Kontostand auf dem Smartphone abfragt. Dann loggt der Smartphone-Trojaner sich per Smartphone-Internet virtuell ins Bankkonto ein und füllt virtuell eine Betrugs-Überweisung aus. Nach dem virtuellen OK schickt die Bank die SMS mit der TAN an das Smartphone, die der Trojaner nach Empfang auf dem Smartphone abfängt und dann die TAN virtuell eingibt. Damit ist die Betrugs-Überweisung erfolgreich ausgeführt. Am Display wird natürlich nichts angezeigt. Anders als bei einem Man-in-the-Middle Angriff ist der Bankkunde gar nicht involviert, der Angriff kann also z.B. nachts passieren - das Smartphone muss nur an sein.

Der Grund dafür, dass HBCI-1 und sogar HBCI-2 trojanerunsicher sind, ist, dass der Man-in-the-Middle Angriff da genauso moeglich wie beim iTAN Verfahren, denn der Bankkunde hat wegen des fehlenden sicheren Displays keine Kontrolle darueber, welche Ueberweisung zur Bank geschickt wird.

Die Marktanteile beziehen sich auf den Anteil an den ca. 2,8 Milliarden Online-Ueberweisungen im Jahr 2013 in Deutschland.

Adresse dieser Seite (fuer Ausdrucke): http://www-ti.informatik.uni-tuebingen.de/~borchert/Troja/Online-Banking.shtml

Zurueck zur Hauptseite Trojaner-Sicherheit.