Bernd Borchert

Visuelle TAN

Online Banking mit dem TAN- oder iTAN-Verfahren ist unsicher: ein auf den Rechner des Bankkunden als Trojaner einschleppter Virus kann durch einen sogenannten Man-in-the-Middle Angriff aus einer Ueberweisung von z.B. 50 Euro an X eine Ueberweisung von 5000 Euro an Y machen, und das, ohne dass der Bankkunde oder die Bank davon was merkt. Auch auf Handys soll es schon Trojaner geben, d.h. diese Gefahr betrifft auch das Mobile Banking.

Als ein Schutz gegen diesen Angriff wurde die visuelle TAN (vTAN) vorgeschlagen. Sie basiert auf Visueller Kryptographie (Naor/Shamir 1994). Dem Bankkunden wird von der Bank statt iTANs ein Haftnotizblock mit nummerierten Folien zugeschickt. Bei einer Online-Ueberweisung fuellt der Bankkunde wie gehabt ein Online-Formular mit den Ueberweisungsdaten aus und schickt es zur Bank. Danach wird er vom Bank-Server gebeten, eine bestimmte Folie auf ein entsprechendes Bild am Bildschirm legen. Das Bild am Bildschirm und die bedruckte Folie haben jeweils einzeln keine Information, aber nach dem Uebereinanderlegen zeigen sie die Ueberweisungsdaten und eine Bestaetigungs-TAN an. Wenn die angezeigten Ueberweisungsdaten ok sind, gibt der Bankkunde die angezeigte TAN ein. Das wird von der Bank als Bestaetigung der Ueberweisung angesehen, und die Ueberweisung wird ausgefuehrt. Das Verfahren ist dargestellt am Beispiel des Mobile Banking.

vt

Links