Online-Banking mit chipTAN ersetzt die TAN-Liste
Online-Banking flexibel, sicher und bequem – ganz ohne Papier. Das bietet Ihnen das chipTAN-Verfahren. Beim chipTAN-Verfahren generieren Sie Ihre TAN (Trans-Aktions-Nummer) einfach und vor allem sicher selbst.
Die Vorteile liegen auf der Hand:
- Sie erstellen Ihre TAN einfach selbst – jederzeit und an jedem Ort.
- Jede TAN wird individuell für Ihren Auftrag erzeugt und kann nicht anderweitig verwendet werden.
- Sie benötigen keine TAN-Listen im Papierformat mehr.
Was ist chipTAN?
Das chipTAN-Verfahren ist momentan eines der sichersten OnlineBanking-Verfahren. Anstelle Ihrer gewohnten TAN-Liste in Papierform verwenden Sie einen TAN-Generator und Ihre Sparkassen-Card (Debitkarte). Die Anwendung zur Ermittlung der TAN befindet sich auf dem Chip Ihrer Karte – daher die Bezeichnung chipTAN.
Wie funktioniert chipTAN?
Die TAN wird mithilfe eines sicheren Verfahrens aus auftragsbezogenen Daten errechnet. Diese Daten geben Sie über die Tastatur des TAN-Generators ein oder lesen die Daten mittels optischer Signale von Ihrem PC-Bildschirm in den TAN-Generator ein. Hierzu ist der TAN-Generator mit optischen Sensoren ausgestattet. Die so ermittelte TAN ist nur für diesen einen Auftrag gültig. Das sorgt für die hohe Sicherheit.
Wie wechsle ich zu chipTAN?
Die Umstellung auf chipTAN kann durch Sie direkt online erfolgen. Sie benötigen für diesen Vorgang einen TAN-Generator und Ihre Sparkassen-Card (Debitkarte). Beides erhalten Sie in Ihrer Sparkasse.
Kostet das chipTAN-Verfahren etwas?
Das chipTAN-Verfahren ist natürlich kostenlos. Lediglich für den chipTAN-Generator sollten Sie mit einmaligen Kosten von ca. 10 Euro rechnen.
Tilo Schauer
9. Dezember 2011 — 19:25
Hallo Henry,
zu jedem Sicherungsverfahren finden sich zahlreichen Nachrichten in den Medien. Oft werden dabei relevante Dinge weggelassen, nur teilweise oder spektakulär beschrieben. Wie der jeweilige Anwender mit einem Sicherheitsmedium umgeht, spielt dabei auch eine wesentliche Rolle. Bei der Auswahl von Sicherungsmedien erkenne ich oft, dass Komfort vor Sicherheit gewinnt.
Damit nicht jeder Teilnehmer alle Sicherungsmedien am Markt ausführlich studieren und testen muss, hat die Sparkasse das übernommen. Wenn Sie hier Zweifel oder Sicherheitsfragen haben, wenden Sie sich bitte direkt an die Experten im ElectronicBanking.
Wie im Blog bereits geschrieben, sieht sich die Sparkasse in der Pflicht, nicht nur das zweitsicherste Verfahren, sondern das sicherste Verfahren anzubieten. Wer chipTAN bei der Sparkasse Pforzheim Calw nicht nutzen möchte, findet hier weitere sehr sichere Verfahren:
https://www.sparkasse-pforzheim-calw.de/firmenkunden/electronic_banking/online-banking/details/index.php?n=%2Ffirmenkunden%2Felectronic_banking%2Fonline-banking%2Fdetails%2F&IFLBSERVERID=IF@@011@@IF
Freundliche Grüße
Tilo Schauer
henry g.
7. Dezember 2011 — 23:31
vielleicht ist dies im text untergegangen, aber ich
hatte gesagt dass es sich hier um mehrere konten handelt,
und nicht nur um meines und MEINE entscheidung. und auch,
dass sowohl bankfachleute als auch IT-experten zum thema
gehoert wurden.
hr schumacher, wenn sie sorgfaelting (und neutral) im internet und mit fachleuten konsultieren, werden sie zu
JEDEM, also auch ihrem, verfahren jede menge negatives,
fallbeispiele und ’stories‘ finden. gerade das chipTAN verfahren hat zzt, nach anfaenglicher euphorie, sehr maessige presse.
unterschaetzen sie es nicht was es heisst, erfahrene
kunden zu bevormunden. gerade die haetten es verdient,
eine eigene wahl zwischen verschiedenen systemen selbst
treffen zu koennen.
mfg, henry
Rolf Schumacher
1. Dezember 2011 — 13:18
Hallo Henry,
als Kreditinstitut sieht sich die Sparkasse in der Pflicht, ihren Kunden das beste und sicherste Verfahren für das OnlineBanking anzubieten. Dies ist aus Sicht der Sparkasse das chipTAN-Verfahren. Sicherlich ist es nicht immer praktikabel noch ein weiteres Gerät „mitzuschleppen“. Aus meiner Sicht und Erfahrung ist das mittlerweile eigentlich auch nicht mehr unbedingt nötig. Denn zumindest in Deutschland ist ein TAN-Generator inzwischen dermaßen verbreitet, dass man sich so ein Gerät problemlos leihen kann. Dies ist mir z. B. bei meinem letzten Urlaub an der Hotelrezeption gelungen. Für chipTAN kann ein x-beliebiger Tan-Generator verwendet werden, auch von einem anderen Kreditinstitut (kleine Einschränkung: Unterstützung der Spezifikation HHD 1.4 notwendig). Wichtig ist, dass man seine eigene SparkassenCard parat hat, diese sollte man auf Reisen sowieso nicht vergessen. 😉
Mir persönlich ist eine erhöhte Sicherheit wichtiger als eine gewisse Bequemlichkeit. Zumal es bei einer TAN-Liste aus Papier auch passieren kann, dass man diese nicht dabei hat…
Freundliche Grüße
Rolf Schumacher
henry g.
29. November 2011 — 12:40
Hallo, der hier oben schreibenden Kunden sind nicht die einzigen, die damit nicht einverstanden sind, und sich einen Bankenwechsel vor 2012 ueberlegen. Auch wir (Plural) haben dies sorgfaeltig ueberdacht, und mit IT- und Bankfachleuten besprochen, und sind gerade dabei, eine neue Bank einzurichten und das Konto bei der SpK Pforzheim Calw zu schliessen – schade. Aber noch ein Geraet, egal wie klein, kommt nicht in Frage. Mit Sicherheit ist das Ding dann wenn mans braucht 500km entfernt.
Beste Gruesse, Henry
Rolf Schumacher
7. Oktober 2011 — 15:46
Hallo Andreas B.,
ja, das ist korrekt, der TAN-Generator ist beliebig austauschbar und die Kontonummer wird oft und gerne als Anmeldename benutzt. Dies muss aber nicht so sein, jeder Kunde kann seinen Anmeldenamen frei wählen (max. 15-stellig), dieser darf aber in der jeweiligen Sparkasse nur ein einziges Mal vorhanden sein. Der Anmeldename hat sicherheitstechnisch aber nur eine geringe Bedeutung, die eigentlichen Sicherheitsmedien sind PIN und TAN. „Lediglich 5 Zeichen“ ist ebenfalls korrekt, aber für diese 5 Zeichen hat man nur 3 Versuche zur Verfügung, danach wird der Zugang automatisch gesperrt.
Das Angriffsszenario „Diebstahl der SparkassenCard“ ist zwar theoretisch vorstellbar, spielt aber in der Praxis überhaupt keine Rolle. Auch der Klau eines Handys kommt (zumindest wegen OnlineBanking-Bertrugs) nicht vor.
Die Phisher arbeiten im großen Stil und dies ausschließlich elektronisch. Durch Trojaner werden auf einen Schlag hunderttausende Zugangsdaten erbeutet, da macht sich niemand die Mühe, von einer Karte physischen Besitz zu erlangen.
Ob eine Papier-TAN-Liste digitalisiert und verschlüsselt wird, ist der Phishing-Szene vollkommem egal. Der Phisher will eben nicht ein Sicherheitsmedium knacken, egal ob dies eine TAN-Liste, eine Karte oder ein Handy ist. Dem Phisher genügt, dass der Kunde ihm seine TAN’s „freiwillig“ übermittelt oder, etwas aufwendiger, er auf einem fremden PC oder auf einem SmartPhone einen Trojaner platziert, der dem OnlineBanking-Teilnehmer etwas vorgaukelt.
Je ein Beispiel:
1. „Die Bank führt einen Sicherheitscheck durch, bitte geben Sie alle TAN’s aus Ihrer Liste in dieses Formular ein.“
Zu einfach? Da fällt niemand mehr darauf rein? Weit gefehlt. Diese Methode hat immer noch Erfolg. Meine Kollegen/innen im ElectroniBanking und ich können nur täglich den Kopf schütteln, wie vertrauensselig viele unserer Kunden das angebotene Formular vollständig ausfüllen.
2. Falls sich ein entsprechender Trojaner auf dem Kunden-PC befindet, wird die eigene Überweisung lediglich vorgetäuscht. Der OnlineBanking-Teilnehmer sieht „seine“ Überweisung zwar am PC-Bildschirm, unsichtbar im Hintergrund wurde die Zahlung aber bereits geändert. Im Glauben, die korrekte Überweisung loszusenden, gibt der Teilnehmer eine TAN ein und sendet damit den gefälschten Auftrag „sicher“ auf die Reise. Gleichzeitig wurde vom Trojaner auch noch der Kontosaldo und die Umsätze „angepasst“. Bis der Kunde bemerkt, dass er getäuscht wurde, ist das Geld schon längst bei der Empfängerbank verfügt.
Ja, wenn Sie Ihre SparkassenCard verlieren, können Sie zusätzlich zur erschwerten Bargeldbeschaffung auch keinen Online-Zahlungsverkehr mehr tätigen. Die Bargeldbeschaffung wiegt m. E. aber schwerer, hier kann Ihnen im Notfall aber Ihr Kundenbetreuer helfen.
Der heise-Artikel stammt aus 2008. Er ist nicht falsch (die meisten Artikel aus heise.de zum Thema OnlineBanking sind fachlich sehr fundiert), aber die Betrachtung hat sich gegenüber damals sehr verändert. Neue Sicherungsverfahren, die nur in sehr gering verbreitet sind, werden nicht angegriffen und gelten daher als sicher. Ein gutes Beispiel in diesem Zusammenhang ist das im Artikel erwähnte HBCI-Verfahren mit Chipkarte. Das Verfahren ist auch heute noch sicher, aber nur, da es mangels Masse (Anzahl der Nutzer) nicht angegriffen wird.
Das Problem bei der mTAN (bei uns heißt sie smsTAN) ist, dass auch hier neben einem intelligenten PC ein ebenso intelligentes Smartphone eingesetzt wird. Wie beim PC kann auch ein SmartPhone mit einem Banking-Trojaner infiziert werden. Diese Trojaner leiten die SMS-Nachricht mit der TAN ganz einfach an das Handy des Phishers weiter. Ist beides gegeben, also Trojaner auf dem Kunden-PC + Trojaner auf dem Kunden-Smartphone, hat es der Phisher noch einfacher als mit der gedruckten TAN-Liste.
Der TAN-Generator ist dagegen ein dummes Gerät. Er kann lediglich ein paar Daten anzeigen und ist immun gegen Trojaner. Er zeigt auch immer die Daten an, die tatsächlich über die Leitung gehen, auch wenn die Überweisungsmaske am PC etwas anderes anzeigt.
Auch bei chipTAN sind bereits die ersten Trojaner aufgetaucht. Diese rechnen ebenfalls wieder mit der Gutgläubigkeit unsere Kunden und gaukeln Dinge vor wie z. B. „Bestätigen Sie bitte die Auftrags-ID 5220063 und Ihren Überweisungshöchstbetrag von 5.000,00 Euro“. Tatsächlich wird aber eine Überweisung über 5.000 Euro zu Gunsten der Phisher-Kontonummer 5220063 ausgeführt. Im TAN-Generator wird dieser Betrugsversuch aber angezeigt: „Kontonummer 5220063“, „Betrag 5.000,00“. Also „Kontonummer“, nicht „Auftrags-ID“. Fällt der Kunde trotzdem darauf rein, ist das Geld erst mal weg.
Auch dieses Beispiel zeigt, dass nie das Sicherungsmedium angegriffen wird, sondern immer die schwächsten Stellen im System, in diesem Fall also der PC und der Mensch, der ihn bedient. Dies sage ich ohne jeglichen Vorwurf an unsere OnlineBanking-Kunden. Das Vertrauen, das eine Bank und besonders eine Sparkasse bei ihren Kunden genießt, ist teilweise enorm und wird von den Phishern gnadenlos ausgenutzt. Deshalb Vorsicht: Nicht jede Meldung, bei der Sparkasse draufsteht, stammt tatsächlich von der Sparkasse,
Ich bin der Ansicht, dass die Sparkasse mit chipTAN das derzeit sicherste Verfahren einsetzt. smsTAN wird kritisch gesehen, da nach der Abschaffung der gedruckten TAN-Liste steigende Schadenszahlen in diesem Bereich erwartet werden. Nach der aktuellen Bedrohungslage ist smsTAN aber auf jeden Fall der gedruckten TAN-Liste vorzuziehen.
Freundliche Grüße
Rolf Schumacher
Electronic Banking
Andreas B.
5. Oktober 2011 — 11:58
Sehr geehrter Herr Schumacher,
das Lesegerät für chipTan ist beliebig austauschbar. Gehen wir von einem Szenario aus, dass ein Geldbeutel geklaut wurde bzw. eine Kontokarte im Automaten vergessen wurde. Die Login-ID steht meist auf der Karte (= Kontonummer), das chipTAN Lesegerät kann sich jeder Amateur besorgen: ein voll-funktionsfähiger TAN-Generator liegt also vor.
1. Beim mobileTAN-Verfahren hätte ich die Möglichkeit gehabt, das Mobiltelefon gegen Fremdzugriff entsprechend abzusichern. Sobald jemand meine Kontokarte hat, trennen ihn zukünftig lediglich 5 Zeichen von seinem Glück. Selbst wenn das Mobiltelefon vollkommen blank ist: wenn sowohl Geldbeutel wie auch Handy geklaut werden, macht das keinen Unterschied. In beiden Verfahren hat man einen vollumfänglichen TAN-Generator.
2. Die auf Papier gedruckte iTAN-Liste hatte man seither wenigstens nach dem Scan digitalisieren, verschlüsseln und vernichten können.
3. Sollte man seine Kontokarte im Ausland verlieren, ist man aufgeschmissen: kein Bargeldbezug per Karte, keine Überweisung per Online-Banking.
4. Alle Großbanken unterstützen das Verfahren: Deutsche Bank + Postbank (mobileTAN), Commerzbank (photoTAN via Handy), HypoVereinsbank (mobileTAN), außerdem: einige Volksbanken und einige Sparkassen. Ist das wirklich alles unsicher?
Lesenswert hierzu auch die c’t: http://www.heise.de/ct/artikel/Zahl-oder-Karte-291676.html
Mit freundlichen Grüßen
Andreas B.
Rolf Schumacher
27. September 2011 — 10:08
Hallo U.D.,
im Vorfeld der Umstellung habe ich selbst sowohl smsTAN als auch chipTAN ausführlich getestet.
Ja, smsTAN ist etwas komfortabler. Es sind deshalb ausschließlich Sicherheitsgründe, die die Sparkasse zu der Entscheidung pro chipTAN bewogen haben.
Freundliche Grüße
Rolf Schumacher
Electronic Banking
U.P.
23. September 2011 — 19:06
Trotz Ischerheitsproblemen hatte ich seit Beginn meines online bankings NIE Probleme mit der TAN Liste oder illegale Abbuchungen o.ä.
Andere Banken scheinen die smsTAN ja für sicher zu befinden und shcliesslich möchte ich noch als Kunde selbst
entscheiden können, welches Sicherungsverfahren ich verwenden möchte.
Das Argument der Sicherheit erscheint mir nicht das einzige Argument für die Entscheidung der Sparkasse zu sein.
Schade! Dann werd ich wohl doch die Bank wechseln.
Mit freundlichen Grüßen
Rolf Schumacher
20. September 2011 — 14:00
Hallo U.D.,
das iTAN-Verfahren mit der TAN-Liste wird derzeit flächendeckend abgelöst. Die Sparkasse Pforzheim Calw hat sich als Ersatz für das chipTAN-verfahren als das aktuell sicherste Verfahren entschieden. smsTAN ist aus Sicherheitsgründen keine Alternative, da massive Angriffe auf dieses System befürchtet werden, sobald die TAN-Liste im deutschen Kreditgewerbe abgelöst ist.
Neutrale Artikel zu diesem Thema finden Sie unter heise online, z. B. http://www.heise.de/security/meldung/Angriffe-auf-deutsche-mTAN-Banking-User-1221951.html
Wie jedes elektronische Gerät kann natürlich auch der TAN-Generator mal kaputt gehen. Die Sparkasse hat bisher die wenigen defekten Geräte, die bei ihr erworben wurden, kostenlos getauscht.
Freundliche Grüße
Rolf Schumacher
Electronic Banking
U.P.
17. September 2011 — 16:25
Hallo!
Ich finde es sehr schlecht, dass keine Alternative angeboten wird und überlege einen Bankenwechsel.
Sorry, aber ständig noch ein Gerät mit herumzutragen, dass ich ja auch verlieren oder was gestohlen werdne kann, sehe ich nicht ein.
Mir reicht die TAN Liste völlig, mit einer SMS aufs Handy bin ich auch einverstanden, aber noch ein Gerät?? Nein danke.
Abgesehen von den „natürlich nur kleinen“ Zusatzkosten frage ich mich, was ist, wenn der Generator versagt (kommt bei Technik ja vor)?
Mit freundlichen Grüßen
Girokonto
7. Februar 2011 — 19:37
Ich finde es gut, dass die Sparkasse die Sicherheit beim online-banking höher einschätzt als die Mobilität. Optimal wäre natürlich ein verfahren, welches beides ermöglicht.
Die TAN Übermittlung per SMS war mir noch nie wirklich geheur, deswegen benutze ich auch noch eine TAN-Liste, die auch aber auch so gut wie nie unterwegs mitnehme, da man sie viel zu leicht verlieren könnte.
Ich finde daher eine Umstellung auf chipTAN wirlich gut und lobenswert.
Tilo Schauer
28. Oktober 2010 — 07:55
Hallo „Herbie“,
der Dienst SMS ist für die Übermittlung von vertraulichen Daten nicht konzipiert. Viele Mobilfunkgeräte sind mit medialen Betriebssystemen ausgestattet und verfügen über einen Internet-Zugang. Viren und Trojaner können hier Einzug halten.
Wir möchten nicht nur ein bequemes, sondern auch ein sehr sicheres Verfahren anbieten. Wir haben uns daher für das zur Zeit sicherste PIN/TAN-Verfahren entschieden, der chipTAN.
Die SparkassenCard in Verbindung mit einem TAN-Generator bietet durch die Medientrennung zum Internet höchste Sicherheit bei der Berechnung einer chipTAN.
Bitte nutzen Sie OnlineBanking nur an Rechnern, deren Sicherheitseinrichtungen Sie kennen. Mehr zum Thema Sicherheit finden Sie unter https://www.sparkasse-pforzheim-calw.de/sicherheit.
Freundliche Grüße
Tilo Schauer
Herbie
27. Oktober 2010 — 07:24
Hallo,
warum, frage ich Sie, kann die Sparkasse Pforzheim nicht ein einfaches MobileTan System anbieten, wie es inzwischen Standard ist im Bankgeschaeft.
Warum verwendet die Sparkasse Pforzheim ein unnoetiges Spezialverfahren, zu dem man noch zusaetzliche Geraetschaften braucht und das ueberhaupt nicht flexibel ist. Ich z.B. bin viel unterwegs und mache meine Bankgeschaefte immer wieder auf einem anderen Rechner. Mein Handy habe ich sowieso dabei.
MfG Herbie