Kernpunkt bei der nun entwickelten Methode ist ein Kontrollbild, das dem Bankkunden vor der Freigabe einer Überweisung angezeigt wird. Darin enthalten sind die wichtigsten Daten zur Finanztransaktion sowie die Anforderung der gewünschten Transaktionsnummer. «iTANplus gehört wie das mobileTAN Verfahren zu den Zwei-Schritt-Verfahren und ist eine Verbesserung des regulären iTAN-Verfahrens», erläutert Judith Probst, Sprecherin von Fiducia, auf Anfrage von pressetext. iTANplus sei zwar wesentlich sicherer als die bekannte iTAN-Methode, jedoch genauso bequem und einfach zu handhaben.
Geburtsdatum des Kunden in digitalem Wasserzeichen
Der Online-Bankkunde muss bei iTANplus – wie bereits von iTAN gewohnt – die für die Transaktion erforderlichen Daten in die Maske eingeben. Nachdem diese Informationen an den Server der Bank gesendet worden sind, erzeugt die e-Banking-Software das erforderliche Kontrollbild und sendet es zurück an den Rechner des Kunden. Es zeigt die iTAN-Anforderung zusammen mit den Transaktionsdaten. Des weiteren scheint zudem das Geburtsdatum des Kunden in einem digitalen Wasserzeichen auf. Nachdem der Kunde Betrag, Bankleitzahl und Empfängerkontonummer sowie Geburtsdatum auf Richtigkeit geprüft hat, gibt er die Transaktion frei. Dazu muss er die angeforderte TAN aus seinem iTAN-Bogen in das Eingabefeld eingeben. Diese Nummer ist nur für diese eine Transaktion gültig und verfällt nach fünf Minuten, erläutert Probst.
Das Kontrollbild ähnelt den CAPTCHA-Feldern, die von Webforenbetreibern genutzt werden, um Spam zu vermeiden. Die Felder, in denen verzerrte Buchstaben und Zahlen angezeigt werden, sind nicht maschinenlesbar und können nur von einem Menschen gelöst und in das Eingabefeld übertragen werden. «Sämtliche Transaktionsdaten werden im iTANplus-Kontrollbild dargestellt. Dadurch wird gewährleistet, dass die angeforderte TAN auch wirklich zu dem angezeigten Geschäftsvorfall gehört. Sollten Transaktionsdaten beispielsweise durch eine man-in-the-middle-Attacke manipuliert worden sein, können Kunden dies sofort erkennen und somit einen Missbrauch verhindern», so Probst.
Klassisches iTAN-Verfahren geknackt
Das klassische iTAN-Verfahren gilt bereits seit einiger Zeit als geknackt . Bei dieser Methode wird der Kunde nach einer bestimmten indizierten Nummer in der TAN-Liste gefragt. An sich kann ein Betrüger, der einen iTAN in die Hände bekommt, damit nichts anfangen. Es sei denn, der Phisher positioniert sich im Rahmen eines man-in-the middle-Angriffes zwischen dem Kunden und seiner Onlinebank. Dazu schiebt er dem Benutzer eine gefälschte Webseite unter, fordert vertrauliche Daten an, fängt diese ab und setzt sie umgehend zur Freigabe einer Überweisung ein. IT-Entwickler suchen daher nach zusätzlichen Sicherheitsfunktionen, mit denen das Sicherheitsniveau gehoben werden kann. Fiducia zieht mit iTANplus hier ein zusätzliches Sicherheitsnetz ein, das dem Kunden eine zusätzliche Kontrollmöglichkeit gibt. (pte/mc/pg)