BW|Bank setzt auf TAN-Generatoren
Letzten Monat wurde auf neuerdings.com die Lösung der schweizer Postbank “Postfinance” für sichereres Onlinebanking vorgestellt. Die Schweizer setzen auf einen Kartenleser, mit welchem ihre neuen Bankkarten mit integrierter ID zusammenarbeiten. Prinzipiell ließe sich das System auch bei anderen Banken verwenden, wird laut den Kommentaren aber nicht umgesetzt.
Im Artikel wurde zudem eine gebräuchliche Lösung erwähnt, bei welcher ein kleiner Generator mit Uhrzeit und persönlichem Schlüssel einen Code generiert.
Meine deutsche Bank, die BW|Bank, geht einen ähnlichen Weg und nutzt dazu den kleinen Generator Digipass 250 der Firma Vasco.
Wie ich selbst testen konnte, sind diese als erste Sicherheitsstufe mit dem Konto bzw. dem Onlinebankingaccount gekoppelt. Bei Transaktionen wird dann eine ausschließlich für diese Transaktion gültige TAN generiert. Dafür muss die Kontonummer des Geldempfängers eingegeben werden. Vermutlich spielt außerdem die Uhrzeit eine Rolle, da der Code nur eine kurze Zeit gültig ist.
Durch die Bindung an die Überweisung wird das Onlinebanking mit PIN und TAN selbst bei einer Man-in-the-Middle-Angriff ausreichend sicher. Die Sicherheit der Lösung hat sich die BW|Bank vom Fraunhofer Institut für sichere Informationstechnologie testen lassen. Zusätzlich haben sie zusammen Sicherheitsinformationen zusammengestellt, welche eine generelle Gültigkeit für Onlinebanking haben.
Dem sicheren Onlinebanking steht also auch ohne HBCI-Chipkarte mit einfachem PIN/TAN nichts mehr im Wege. Einzig und allein, wenn der Angreifer den TAN-Generator und den PIN in die Hand bekommt, kann das Konto ausgeräumt werden – aber das ist eine theoretische Lücke, die bei allen Lösungen gegeben ist.