Trojaner-unsicher:
|
Name
|
trojaner
-sicher?
|
seit
|
l./h.-
tech? |
Kurzbeschreibung
|
|
Bild
|
Markt-
anteil
|
|
TAN
|
nicht
trojaner
-sicher
|
vor
2000 |
low-
tech |
Der
Kunde bekommt von der Bank eine Liste mit Zahlen (TANs) zugeschickt.
Fuer eine
Ueberweisung tippt er die Ueberweisungs-Daten in ein Online Formular
ein und gibt zusaetzlich eine TAN an. Das wird zur Bank geschickt
und ausgefuehrt. |
|
5%
|
|
| iTAN |
nicht
trojaner
-sicher |
vor
2000 |
low-
tech |
Der
Kunde bekommt von der Bank eine Liste mit nummerierten Zahlen (iTANs)
zugeschickt. Fuer eine
Ueberweisung tippt er die Ueberweisungs-Daten in ein Online Formular
ein und schickt es zur Bank. Die Bank schickt dem Kunden die ihr
vorliegenden
Ueberweisungsdaten an und fragt nach einer iTAN. Der Kunde tippt diese
iTAN ein und schickt sie
als Bestaetigung zur Bank. |
|
50%
|
|
| HBCI-1 |
nicht
trojaner
-sicher |
vor
2000 |
high-
tech |
Ein
HBCI-1 Leser ist ein per
Kabel an den Bankkunden-Rechner angeschlossenes externes Geraet mit
Scheckkarten-Leser. Beim Online Banking erzeugt das HBCI-1-Geraet
zusammen mit
der Scheckkarte die TAN's fuer Ueberweisungen, so dass bei diesem
Verfahren keine
Papier-TAN noetig ist.
|
|
5%
|
|
| HBCI-2 |
nicht
trojaner
-sicher |
vor
2000 |
high-
tech |
Ein
HBCI-2 Leser ist ein per
Kabel an den Bankkunden-Rechner angeschlossenes externes Geraet mit
Zifferntastatur und
Scheckkarten-Leser. Beim Online Banking erzeugt der Leser zusammen mit
der Scheckkarte die TAN's, so dass bei diesem Verfahren keine
Papier-TAN noetig ist. Anders als beim HBCI-1 Verfahren kann die PIN
abhoersicher im HBCI-2-Geraet eingegeben werden.
|
|
5%
|
|
USB-Token
|
nicht
trojaner
-sicher |
ca.
2002
|
high-
tech |
Ein
Sicherheits-USB-Stick ohne Display - im
Prinzip das gleiche wie HBCI-1, nur ohne Scheckkartenleser.
|
|
2%
|
|
Token,
eTAN
|
nicht
trojaner
-sicher |
vor
2000
|
high-
tech |
Ein
Token ist im Prinzip eine elektronische TAN-Liste. Es hat eine genau
gehende Uhr, die mit einer Uhr bei der Bank synchronisiert ist, so dass
die auf Knopfdruck angezeigte TAN alle paar Sekunden eine andere ist.
Tokens sind im angelsaechsichen Raum und auch in Asien das am
meisten verbreitete Sicherheitsverfahren fuer Online Banking (mehr als
90% Marktanteil).
|
|
2%
|
|
Smart-TAN
|
nicht
trojaner
-sicher |
ca.
2002
|
high-
tech |
Die
Smart-TAN ist ebenso wie ein Token im Prinzip eine elektronische
TAN-Liste. Der Bankkunde muss die
Scheckkarte einstecken und bekommt auf Knopfdruck eine neue TAN
angezeigt, die er wie beim TAN Verfahren zur Bestaetigung einer Online
Ueberweisung angibt.
|
|
2%
|
|
Captcha-TAN
|
auf
Dauer
nicht
trojaner
-sicher |
ca.
2007 |
low-
tech |
So
wie iTAN, aber bei einer Ueberweisung werden die der Bank vorliegenden
Ueberweisungsdaten per Captcha angezeigt.
|
|
1%
|
|
Mobile
TAN
(mTAN, SMS-TAN)
|
trojaner
-sicher auf dem PC.
Unsicher
auf dem Smartphone
|
ca.
2003
|
high-
tech |
Nachdem
der Bankkunde eine
Ueberweisung im Online-Formular ausgefuellt hat und per Internet zur
Bank geschickt hat, bekommt er von der Bank per SMS die
Ueberweisungsdaten und eine TAN geschickt, die er zur Bestaetigung am
Rechner eintippt und zur Bank schickt.
nein
|
 |
5%
|
|
|
Trojaner-sicher:
|
Name
|
trojaner
-sicher? |
marktreif
seit
|
l./h.-
tech? |
Kurzbeschreibung
|
WYS
ISWC
|
Bild
|
Markt-
anteil
|
|
| Secoder (HBCI-3) |
trojaner
-sicher |
vor
2000
|
high-
tech |
Ein
Klasse-3 Leser ist ein per
Kabel an den Rechner angeschlossenes externes Geraet mit
Zifferntastatur, Display und
Scheckkarten-Leser. Die Ueberweisungs-Daten werden auf dem Display des
Klasse-3 Lesers dargestellt, zusammen mit einer
TAN, die zur Bestaetigung am Rechner eingetippt und zur Bank geschickt
wird.
|
moeg
-lich
|
|
5%
|
|
TAN-Generator
(eTAN-Plus, Bankey)
|
trojaner
-sicher |
ca.
2005
|
high-
tech |
Ein
TAN-Generator ist ein
kleines
Geraet mit Zifferntastatur und Display. Der Kunde gibt die
Ziel-Kontonummer einer Ueberweisung per Tastatur auf dem TAN-Generator
ein und bekommt auf dem Display eine TAN angezeigt, die er zur
Bestaetigung der Ueberweisung auf dem Rechner eintippt und zur Bank
schickt. Intern hat der TAN-Generator eine Uhr, die mit einer Uhr bei
der Bank synchronisiert ist. Der Unterschied zwischen eTAN und
TAN-Generator ist
die
Zifferntastatur: nur mit ihr kann die Trojaner-Sicherheit erreicht
werden.
|
ja,
wg.
dopp.
Eing.
|
 |
3%
|
|
chip-TAN, Smart-TAN-plus, cardTAN (Öst.)
|
trojaner
-sicher |
ca. 2005
|
high-
tech |
Ein chip-TAN Geraet ist ein
kleines
Geraet mit Scheckkarten-Lesegeraet, Zifferntastatur und Display. Der
Kunde gibt die
Ueberweisungsdaten auf dem Rechner ein. Danach wird ihm ein Zifferncode
angezeigt. Diesen Code tippt er zusammen mit der nochmals angegebenen
Ziel-Kontonummer auf dem Geraet
ein und bekommt danach auf dem Display eine TAN angezeigt, die er zur
Bestaetigung der Ueberweisung auf dem Rechner eintippt.
|
ja,
wg.
dopp.
Eing. |
|
5%
|
|
chipTAN-comfort, Smart-TAN-optic
|
trojaner
-sicher |
2008
|
high-
tech |
Der Unterschied zur chip-TAN
besteht darin, dass die Ueberweisungsdaten nicht noch einmal in
des Geraet eingetippt werden muessen, sondern via Optik-Sensoren per
Flickercode am Bildschirm eingelesen werden.
|
nein
|
|
2%
|
|
USB-Stick-TAN
|
trojaner
-sicher |
2008
|
high-
tech |
Der Bankkunde bekommt von der
Bank einen USB Stick mit Display. Fuer eine Ueberweisung tippt
er die Ueberweisungs-Daten in ein Online
Formular ein und schickt es zur Bank. Die
Bank schickt die Information via Rechner des Kunden an den
angeschlossenen USB-Stick. Dort erscheinen die Ueberweisungsdaten, die
der Kunde mit einer Taste am USB Stick bestaetigt.
Die USB-Stick-TAN
ist im Prinzip wie HBCI-3 ohne Tastatur.
|
moeg
-lich |
|
0%
|
|
Internet-Ausweis
|
trojaner
-sicher |
2008
|
high-
tech |
Der
Bankkunde bekommt ein Geraet
mit
Kamera und Display. Wenn er eine Online Ueberweisung bestaetigen will,
haelt er das Geraet vor den Bildschirm, so dass die Kamera dort
einen vom Bankserver geschickten Code lesen kann. Am Display werden ihm
die tatsaechlich bei der Bank vorliegenden Ueberweisungsdaten
angezeigt, plus eine TAN, die er zur Bestaetigung am Rechner eintippt.
Gleichzeitig wird sein Fingerabdruck vom Geraet geprueft. |
nein
|
|
0%
|
|
| Fotohandy-TAN |
trojaner
-sicher |
2008
|
high-
tech |
Der
Bankkunde tippt seine
Ueberweisung in ein Online Formular ein und schickt es zur Bank. Die
Bank schickt einen 2D-Code auf den Bildschirm, der vom Bankkunden mit
dem Foto-Handy abfotographiert wird. Das Handy-Display zeigt die
Ueberweisungs-Daten und ein vertauschtes Nummernfeld. Der Bankkunde
bestaetigt die Ueberweisung durch Klicken seiner PIN.
|
moeg
-lich |
|
0%
|
|
| Foto-TAN |
trojaner
-sicher |
2008
|
high-
tech |
So
wie Fotohandy-TAN, aber in eigenem Geraet: mit Kamera, aber ohne Funk
und ohne Tastatur.
|
moeg
-lich |
|
--
|
|
| Schluesselkarte |
trojaner
-sicher |
--
|
high-
tech |
Die
Bank schickt dem Kunden eine Karte mit Fotosensoren auf der Rueckseite,
einem
Display auf der Vorderseite und einer Recheneinheit, die auch einem
geheimen Schluessel enthaelt. Fuer eine Ueberweisung legt der Bankkunde
die Karte
auf den Bildschirm. Er tippt die Ueberweisungsdaten ein, die auf dem
Display der Karte angzeigt werden. Anschliessend wird auf der Karte
eine TAN angezeigt, die der Bankkunde in den Rechner eingibt und zur
Bank schickt.
|
ja
|
|
--
|
|
Scheckkarten-TAN
|
trojaner
-sicher |
--
|
high-
tech |
Der Bankkunde bekommt von der
Bank eine Scheckkarte mit Display. Fuer eine Ueberweisung tippt
er die Ueberweisungs-Daten in ein Online
Formular ein und schickt es zur Bank. Die
Bank schickt die Information via Rechner des Kunden an die Scheckkarte,
die im Kartenleser steckt. Dort erscheinen die Ueberweisungsdaten und
eine TAN, die der Bankkunde zur Bestaetigung der Ueberweisung am
Rechner eintippt und an die Bank schickt.
|
ja
|
|
--
|
|
Sichere Fenster
|
trojaner
-sicher |
--
|
high-
tech |
Der Bankkunde bekommt ein
Geraet, das zwischen Rechner und Bildschirm geschaltet wird. Das
Geraet hat einen Schlitz fuer eine Smartcard. Der Benutzer geht auf die
Webseite der Bank und gibt seine Kontonummer an. Die Bank schickt ihm
eine kodiertes Bild auf den Bildschirm. Nur wenn er seine Scheckkarte
in das Geraet steckt, wird dieses Bild (und die folgenden) dekodiert.
Jetzt kann der Bankkunde durch Mausklicks auf Schaltflaechen mit
vertauschten Ziffern seine PIN eingeben. Auf die gleiche Weise kann er
Ueberweisungen mit seiner PIN bestaetigen. |
ja
|
|
--
|
|
Visuelle TAN
|
trojaner
-sicher |
--
|
low-
tech |
Der
Kunde bekommt von der Bank einen Haftnotizblock mit Folien mit
Teilgeheimnis-Bildern der Visuellen Kryptographie. Fuer eine
Ueberweisung tippt er die Ueberweisungs-Daten in ein Online Formular
ein und schickt es zur Bank. Die
Bank schickt ein Teilgeheimnis-Bild auf den Bildschirm. Der Kunde legt
die entsprechende Folie auf das Bild am Bildschirm. Er sieht die
Ueberweisungs-Daten, die er mit Maus-Klicks bestaetigen kann. |
nein
|
|
--
|
|
Cardano-TAN
|
trojaner
-sicher |
--
|
low-
tech |
Der
Kunde bekommt von der Bank einen Haftnotizblock mit gelochten Karten.
Fuer eine Ueberweisung tippt er die Ueberweisungs-Daten in ein Online
Formular ein und schickt es zur Bank. Die
Bank schickt ein Bild mit vielen Ziffern auf den Bildschirm. Der
Kunde legt die entsprechende Lochkarte auf das Bild am Bildschirm. Er
sieht in den Loechern die Ueberweisungs-Daten und eine TAN, die er zur
Bestaetigung an den Bank-Server schickt.
|
nein
|
|
--
|
|
indirekte iTAN
|
>
99%
trojaner
-sicher |
--
|
low-
tech |
Der
Kunde bekommt von der Bank ein Blatt Papier mit nummerierten Leisten
von Buchstaben jeweils zusammen mit einer Ziffernfolge.
Fuer eine Ueberweisung tippt er die Ueberweisungs-Daten in ein Online
Formular ein. Zur Bestaetigung legt er eine bestimmte Leiste mit
Buchstaben unter die Kontonummer am Bildschirm. Er
gibt den Bestaetigungscode ein, indem er nacheinander die
Buchstaben-Codes fuer die in der Kontonumer auftretenden Ziffern
der Ziffernfolge eingibt.
|
ja
|
|
--
|
|
| Bild-TAN |
>
99%
trojaner
-sicher |
--
|
low-
tech |
Der
Kunde bekommt von der Bank ein vorgenknicktes Papier mit
nummerierten Zeilen mit einer Doppel-Permutationen von Bildern und
einer TAN.
Fuer eine Ueberweisung tippt er die Ueberweisungs-Daten in ein Online
Formular ein. Zur Bestaetigung legt er ein bestimmte Doppelpermutation
unter die Zielkontonummer am Bildschirm. Wie beim iiTAN Verfahren gibt
er die TAN indirekt, jedoch hier mit Mauslicks auf entsprechende
buttons.
|
ja
|
|
--
|
|
| Linien-TAN |
>
99%
trojaner
-sicher |
--
|
low-
tech |
Der
Kunde bekommt von der Bank eine Folie mit nummerierten Buendeln
von Linien.
Fuer eine Ueberweisung tippt er die Ueberweisungs-Daten in ein Online
Formular ein. Zur Bestaetigung legt er ein bestimmtes Buendel mit
Linien auf das Bild am Bildschirm. Er
gibt seine PIN ein, indem er nacheinander fuer jede Ziffer - ausgehend
von dieser Ziffer in den Ueberweisungsdaten - die entsprechende Linie
nachgeht und dann die Schaltflaeche am anderen Ende der Linie aktiviert. |
ja
|
|
--
|
|
Permutations-TAN
|
>
99%
trojaner
-sicher |
--
|
low-
tech |
Zum
Konto-Benutzer wird
zuerst
ein vorgeknicktes Blatt Papier mit nummerierten Leisten von Ziffern und
Positionsangaben darstellen, geschickt.
Bei einer Ueberweisung zeigt der Server am Bildschirm des
Konto-Benutzers eine
Nummer und eine unbeschriftete Leiste mit Schaltflaechen
an, in die der Konto-Benutzer durch Maus-Klicks die Kontonummer
eingeben kann. Der Rest der Ueberweisung wird wie ueblich eingegeben
und dann zur Bank geschickt.
|
ja
|
|
--
|
|
Lookup-TAN
|
>
99%
trojaner
-sicher |
--
|
low-
tech |
Zum
Konto-Benutzer werden
zuerst eine oder mehrere Listen mit Ziffern und anderen Zeichen
geschickt. Fuer eine Ueberweisung tippt er die Ueberweisungs-Daten in
ein Online
Formular ein. Fuer den Bestaetigungcode sucht er die Listen durch, und
zwar gemaess Regeln, die seine Suche von den Ziffern der
Zielkonto-Nummer anhaengig macht. Der so gefundene Bestaetigungscode
wird am Bildschirm eingegeben.
Die indirekte iTAN ist eine Variante der Lookup-TAN.
|
ja
|
|
--
|
|
Bildpasswort-TAN
|
>
99%
trojaner
-sicher |
--
|
low-
tech |
Der
Kunde bekommt von der Bank ein Bildpasswort und ein Blatt Papier mit
nummerierten Leisten
von Bildern und Ziffern.
Fuer eine Ueberweisung tippt er die Ueberweisungs-Daten in ein Online
Formular ein. Zur Bestaetigung legt er eine bestimmte Leiste mit
Bildern und Buchstaben unter die Kontonummer am Bildschirm. Er
gibt den Bestaetigungscode ein, indem er nacheinander die Ziffern
anklickt, die oberhalb der Bilder seines Bildpassworts stehen.
|
ja
|
|
--
|
|
