Ihre Bank hat Ihnen diese BildTAN-Karte (in Scheckkartengröße) zugeschickt. Sie wollen eine Überweisung ausführen. Füllen Sie dafür wie beim iTAN Verfahren zuerst das Überweisungsformular aus - die voreingestellten Daten im Formular können Sie ändern. Klicken Sie dann auf OK. Auf dem Bildschirm wird im Überweisungsformular die Nr. einer TAN angegeben. Halten Sie die BildTAN-Karte so unter die Zeile mit der Zielkontonummer am Bildschirm, dass die 12 Bilder auf der BildTAN-Karte genau unter den 12 Zifferfeldern liegen (die Ziffern rechts neben der Kontonummer bestehen dabei aus den Ziffern, die in der Kontonummer nicht vorkommen). Falls die Karte nicht passt: mit den zwei orangenen Tasten kann man die Darstellung am Bildschirm dehnen.
Anleitung TAN-Eingabe. Die eingegebene Überweisung muss wie beim iTAN-Verfahren durch eine 6-stellige TAN mit einer bestimmten Nummer bestätigt werden. Allerdings wird beim Bild-TAN Verfahren die TAN nicht direkt eingegeben, sondern indirekt, und zwar durch Mausklicks auf die 9 blauen Tasten: Machen Sie für jede der sechs Ziffern z der angegebenen TAN (natürlich in der Reihenfolge von links nach rechts) folgendes: Finden Sie ein Vorkommen dieser Ziffer z unter den Ziffern in der Zeile mit der Kontonummer. Wenn es mehrere Vorkommen gibt, dürfen Sie ein beliebiges davon auswählen. Wenn ausnahmsweise die Ziffer z nicht vorkommt, machen Sie für diese Ziffer gar nichts und gehen zur nächsten TAN-Ziffer (ein seltener Fall - das wird Ihnen am Bildschirm angekündigt). Das unter der Ziffer z stehende Bild finden Sie in der Zeile mit den 9 Bildern darunter wieder (auf dem Papier). Klicken Sie dann auf diejenige der 9 blauen Tasten am Bildschirm, die bzgl. der Lage diesem Bild entspricht, d.h. ca. 2cm weiter oben steht. Machen Sie das für alle sechs Ziffern der TAN, d.h., es sind bis auf Ausnahmefälle, die Ihnen angekündigt werden, immer genau sechs blaue Tasten anzuklicken. Die Anzahl der eingegebenen Mausklicks können Sie am Bildschirm als "Sternchen" ablesen. Mit der Korrektur-Taste können Sie Mausklicks zurücknehmen. Zur endgültigen Bestätigung der Überweisung drücken Sie die OK-Taste. Unten auf der dieser Webseite ist ein Beispiel für eine TAN-Eingabe angegeben.
Trojanersicherheit. Mit dem Bild-TAN Verfahren wird Online Banking praktisch trojaner-sicher (im Vergleich zum iTAN Verfahren), d.h. ist es für einen Virus auf dem Computer, auf dem Sie arbeiten (und ebenso für eine gefälschte sog. "spoofing" Bank-Websseite, auf die Sie z.B. per email-link gelockt wurden), fast unmöglich, die Überweisungsdaten heimlich zu manipulieren. Das liegt daran, dass der Bestätigungscode (der in diesem Fall aus Mausklicks besteht) von den Überweisungsdaten abhängt (das ist z.B. beim iTAN Verfahren nicht der Fall). Die Sicherheitslücke des hier demonstrierten Bild-TAN Verfahrens ist folgende: Angenommen, der Trojaner hat eine Handvoll betrügerischer Kontonummern. Wenn der Bankkunde auf eine Kontonummer überweisen will, die sich nur in einer Stelle von einer dieser betrügerischen Kontonummern unterscheidet, kann der Trojaner sich einschalten: er schickt der Bank insgeheim die Daten für eine Überweisung an die betrügerische Kontonummer und hofft dann mit einer ca. 14% Chance darauf, dass keine der beiden ausgetauschten Ziffern in der TAN vorkommt. Das Problem für den Trojaner ist dabei, dass er im Durchschnitt sehr lange warten muss: nur ca. alle 10 000 Überweisungen wird sich ihm diese Chance bieten, denn so unwahrscheinlich ist es, dass Kontonummern sich in nur einer Stelle unterscheiden. Unter einfachen quantifizierenden Annahmen ist das Bild-TAN-Verfahren ca. 200 Mal sicherer als das iTAN-Verfahren. Elektronische Signatur-Verfahren wie TAN-Generator oder Chip-TAN sind grob geschätzt nochmal ca. um den Faktor 200 sicherer als das Bild-TAN-Verfahren.
Phishing-Sicherheit. Die Bildleisten-Information auf der BildTAN-Karte kann nur schwer durch sogenanntes Phishing abgefragt werden: das liegt daran, dass ein Trojaner die Bilder auf der BildTAN-Karte nie sieht und Bilder sich praktisch nicht via Tastatur kommunizieren lassen. Dabei wird vorausgesetzt, dass die Bilder auf der BildTAN-Karte für jeden Bankkunden verschieden sind bzw. aus einem grossen Fundus zufällig ausgewählt werden. Falls einem Betrüger ein Teil der TAN-Nummern durch Phishing in die Hände fällt, ist damit zwar die Sicherheit beeinträchtigt, aber noch lange nicht ausgehebelt: der Angreifer muss nach dem Phishing noch heimlich als Trojaner viele Transaktionen beobachten, bevor er manipulieren kann.
What-you-see-is-what-you-confirm. Das Bild-TAN-Verfahren hält sich an das Prinzip What-you-see-is-what-you-confirm. Das heisst, dass es die für den Bankkunden lästige zweite Überprüfung der Überweisungsdaten (wie z.B. bei der SMS-TAN oder bei ChipTAN-Komfort) nicht gibt - das stellt nicht nur einen Usability-Vorteil dar, sondern auch einen Sicherheits-Vorteil, denn ein Angreifer kann nicht darauf spekulieren, dass der Bankkunde die Daten beim zweiten Mal nicht mehr genau prüft.
Mobile Banking. Das Bild-TAN-Verfahren in der jetzigen Version ist für Mobile Banking auf Smartphones geeignet (auf den Browsern von iPhone 3G und Android HTC-Hero getestet): Handy quer halten, und dann nach der Daten-Eingabe via Multi-Touch den rechten unteren Teil des Überweisungsformulars zoomen. Es ist zwar relativ umständlich, auf dem Handy das Bild-TAN-Verfahren auszuführen, aber Mobile Banking selber ist - wie alle Schreib-Aktionen auf dem Handy - nicht gerade ein Vergnügen - aber natürlich für Ausnahmefälle sinnvoll. Beim Mobile Banking hat das Bild-TAN Verfahren gegenüber anderen neuen trojanersicheren Online-Banking Verfahren Vorteile: die SMS-TAN hat bei Mobile Banking nicht nur ein prinzipielles Sicherheitsproblem (SMS wird vom Handy selber empfangen!), sondern SMS-Empfang und Browser-Anzeige müssen gleichzeitig laufen, was nicht bei allen Handy-Typen möglich ist. Und die neuen Verfahren wie TAN-Generator, Chip-TAN, Chip-TAN-Komfort etc. haben den Nachteil, dass der Bankkunde neben dem Handy das elektronische Gerät immer mitführen muss, um den Vorteil von Mobile Banking, nämlich jederzeit und überall eine Überweisung ausführen zu können, nutzen zu können. Der Benutzer sollte also immer beide Geräte (Handy und elektr. Gerät) mitführen - das ist umständlich und vielleicht sogar unrealistisch. Beim Bild-TAN-Verfahren kann der Benutzer die BildTAN-Karte einfach in der Brieftasche aufbewahren.
Kosten. Das Bild-TAN-Verfahren kann als eine Erweiterung des iTAN-Verfahrens implementiert werden. Weil der Bankkunde mit einer BildTAN-Karte ca. 50 Überweisungen sicher bestätigen kann, sind die entscheidenden Porto-Kosten nicht höher als beim iTAN-Verfahren.
Varianten. Das Bild-TAN Verfahren ist - ebenso wie das Linien-TAN Verfahren - eine Variante der indirekten iTAN (iiTAN). Die iiTAN ist gegen einfaches Phishing (''Pharming'') nicht gefeit - diesen Nachteil versucht die Bild-TAN zu korrigieren. Das Bildpasswort-TAN Verfahren ist ebenfalls ähnlich zum Bild-TAN Verfahren. Das Konzept für das Bild-TAN Verfahren ist im September 2009 bei einer Diskussion von B.Borchert und H.M.Hallabrin über die grafische Gestaltung der Linien-TAN entstanden: anstatt durch Pfeile werden bei der Bild-TAN Kontonummerpositionen und Klick-Tasten durch identische Bilder und Lage-Übereinstimmung verbunden. Diese Demo-Seite wurde von B.Borchert im Dezember 2010 programmiert. Eine ältere Demo-Version von Dezember 2009 hat noch 10 Bildleisten - das vergrößert zwar die Sicherheit, ist nicht unbedingt nötig. Eine ältere Demo-Version von September 2009 - noch ohne die Entkopplung von Bildleisten und TAN-Nummern und mit potentiellen Mehrfach-Klicks für eine TAN-Ziffer - befindet sich hier.
Links. Übersichtsseite: Trojanersichere Online Accounts
Beispiel. Die vom Bank-Server angeforderte TAN ist Nr. 7, siehe Zeile am Bildschirm oberhalb der blauen Tasten. Die BildTAN-Kartewird unter die Zeile mit der Kontonummer am Bildschirm gehalten. Die TAN Nr. 7 steht unten auf der BildTAN-Karte und lautet 319 786. Die erste TAN-Ziffer 3 kommt einmal in der Zielkontonummer vor - darunter steht auf dem Papier das blaue Häuschen. Eine Zeile darunter (auf dem Papier) steht dieses Bild in der rechten Position in der mittleren 3er-Gruppe von Bildern. Also muss die blaue Taste am Bildschirm, die rechts bei der mittleren 3er-Gruppe steht, angeklickt werden. Die zweite Ziffer der TAN ist 1. Die 1 kommt zweimal in der Kontonummer vor: entweder wird der Apfel oder die blaue Blume gewählt (aber nicht beide): wenn der Apfel gewählt wird, muss die linke Taste der mittleren 3er-Gruppe von blauen Tasten auf dem Bildschirm angeklickt werden, ansonsten die rechte Taste der rechten 3er-Gruppe. Nach diesen Regeln werden insgesamt sechs blaue Tasten angeklickt - eine Taste für jede TAN-Ziffer. Danach die Überweisung mit OK endgültig bestätigen.