Erfahrungsbericht REINERSCT tanJack optic CX Online Banking TAN Generator für ChipTAN
Wie sicher ist Online-Banking?
Leider ist Online-Banking nicht so besonders sicher. Aber warum ist das so und was kann man dagegen unternehmen?
Schauen wir uns zum Anfang verschiedene Online-Banking Verfahren an:
Klassisches TAN-Verfahren (TAN)
Bei diesem Verfahren erhält der Banking-Kunde eine Liste mit Transaktionsnummern zugeschickt. Wird online eine Überweisung usw. vorgenommen, muss man eine beliebige Nummer dieser Liste in ein bestimmtes Feld eingeben. Diese TAN kann nur ein Mal benutzt werden und verliert dann ihre Gültigkeit.
Achtung: Diese Form der TANs ist sehr unsicher. Fällt Hackern bzw. Pishern auch nur einige Zahlen dieser Liste in die Hände (bzw. auf den Bildschirm) können beliebige Überweisungen usw. ausgeführt werden. Natürlich muss auch das Bankpasswort bekannt sein, was man aber schnell durch entsprechende Programme abgreifen kann.
Indizierte TAN-Liste (iTAN)
Bildquelle: Wikipedia
Diese Liste ist erst einmal im Prinzip wie die klassische TAN Liste. Jedoch steht vor jeder Zahl noch eine Nummer (Zähler, Index), normalerweise mit 1 beginnend. Wird z. B. eine Überweisung ausgeführt, darf nicht eine beliebige Nummer der Liste gewählt werden, sondern es wird von der Bankseite vorgegeben, welche TAN verwendet werden muss, z. B. die TAN mit der Nummer 53.
Auch dieses Verfahren wird durch Hacker angegriffen. So wird z. B. durch Schadsoftware der Bankkunde aufgefordert, mehrere TANs inklusive der Indexnummern einzugeben. Oder es werden bestimmte Nummern vorgegeben und abgefragt. Da die Seiten oder Programme in der Maske täuschend echt, wie die Bankseite aussehen, bemerkt der Kunde diesen Betrug oft nicht.
Noch schlimmer wird es bei einem Man-in-the-middle-Angriff. Der Hacker schaltet sich zwischen Ihrer Bank und Ihrem Bildschirm. Sie sehen Ihre Überweisung auf dem Bildschirm mit den eingegebenen Kontodaten und dem Betrag, aber in Wirklichkeit läuft im Hintergrund eine ganz andere Transaktion ab.
Beispiel: Sie wollen eine Rechnung für gekaufte Unterhemden in Höhe von 25 € an Bader überweisen. Dazu rufen Sie Ihre Bankingseite auf, merken aber nicht, dass Sie im Hintergrund auf einen täuschend ähnlich aussehende Seite umgeleitet wurden. Dann melden Sie sich wie üblich an und füllen das Überweisungsformular aus. Im Hintergrund jedoch wird von den Hackern bei der Bank eine ganz andere Überweisung ausgefüllt. Nämlich 7.000 € auf ein völlig anderes Konto. Das kann auch ein deutsches Konto sein oder auch ein ausländisches. Sie senden nun Ihre Überweisung ab und werden dann nach einer bestimmten iTAN gefragt, welche Sie eingeben. Jedoch in Wirklichkeit wird diese Nummer von den Hackern im Hintergrund für Ihre Überweisung in Höhe von 7.000 € benutzt. Den Betrug erkennen Sie nicht so schnell, da sogar die Anzeige des Umsatzes manipuliert wird. Sie sehen nur, dass 25,00 € von Ihrem Konto abgegangen sind.
Da im Prinzip jeder darauf hereinfallen kann, ist auch dieser Verfahren als nicht sicher zu bewerten!
Mobile TAN (mTAN)
Um das Abgreifen der Transaktionsnummern zu erschweren, wurde die mobile TAN eingeführt. Hier wird ein zusätzliches Kommunikationsmittel, das Handy, ins Spiel gebracht. Nachdem Sie die Überweisung eingegeben haben, wird durch die Bank an eine vorher hinterlegte und überprüfte Handynummer, die entsprechende Transaktionsnummer gesendet, welche dann zum Abschluss einzugeben ist.
Dieses System galt lange Zeit als sehr sicher. Leider haben sich aber auch hier einige Sicherheitsmängel herausgestellt. Vor allem dadurch, dass aus den ursprünglichen Handys mit reiner Telefonfunktion, Smartphones mit umfangreichen Möglichkeiten geworden sind. Im Prinzip sind Smartphones nichts anderes als Computer, mit denen man auch telefonieren kann. Die weite Verbreitung von z. B. Android macht solche Smartphones attraktiv für Hacker. So ist es jetzt genauso wie beim PC. Es werden Víren und Trojaner eingesetzt, welche das Smartphone infizieren und die TAN abfangen und weiter an den Hacker leitet. Wenn der Hacker also bereits das Bankzugangspasswort herausgefunden hat, dann ist er mittels des infizierten Smartphones in der Lage, selbst Überweisungen zu erstellen und sich mittels der abgefangenen und umgeleiteten TAN zu legitimieren.
Andere Möglichkeiten sind die Bestellung einer zweiten SIM-Karte oder das Kopieren der vorhanden SIM-Karte.
chipTAN-Verfahren
Dieses Verfahren kann manuell oder optisch durchgeführt werden. Es wird dazu ein entsprechender TAN Generator benötigt. Bei diesem Verfahren geben Sie wie üblich am Bildschirm auf Ihrer Bankseite die Überweisungsdaten ein. Im nächsten Bildschirm wird nun beim optischen Verfahren ein sogenannter Flickercode erzeugt. Das sind fünf Balken, welche auf dem Bildschirm in einer Frequenz flimmern. Diese Balken übermitteln so an den TAN-Generator die Überweisungsdaten (Kontonummer, Bankleitzahl und Betrag). Zusätzlich wird zur Erzeugung der TAN die Geldkarte des Instituts benötigt. Diese wird in den TAN Generator eingesteckt und dann wird aus den übermittelten Informationen und der Chipkarte die entsprechende Transaktionsnummer ermittelt, welche man dann am Bildschirm eingeben muss. Die TAN gilt nur für diese eine Überweisung und nur für diesen Empfänger und Betrag. Ein Hacker hat keine Möglichkeit, die Zahlung irgendwie umzulenken.
Beim manuellen Verfahren müssen die Daten wie Kontonummer, Bankleitzahl und Betrag des Empfängers manuell in den TAN Generator eingegeben werden. Da das recht umständlich ist, würde ich das optische Verfahren in jedem Fall vorziehen.
TAN Generator für ChipTAN
Bis zum Umstieg auf Chip TAN habe ich auch das smsTAN-Verfahren der Sparkasse benutzt. Dies schien mir sehr sicher und bequem, bis die Meldung durch die Presse kam, dass auch dieses System umgangen worden ist.
Als einzig bislang sicheres System wurde das chipTAN System empfohlen. Also habe ich mir den TAN Generator von Reinersct gekauft. Das Modell ist ja sehr preiswert. Die Lieferung erfolgte sehr schnell. Hier nun mein Erfahrungsbericht dazu:
Erfahrungsbericht zum REINERSCT tanJack optic CX Online Banking TAN Generator für ChipTAN
Lieferumfang:
- TAN Generator mit zwei CR-2025 Zellen
- Kurze Hinweise auf der Innenseite der Verpackung
Design:
Der TAN-Generator besteht vollständig aus schwarzer Plastik. Er ist ca. 6,6 cm breit, 8,3 cm lang und 1,5 cm hoch. Das Gewicht beträgt etwa 51 Gramm.
Auf der Vorderseite befindet sich oben ein kleines LCD-Display von etwa 4,5 cm Länge. Rechts an der Seite gibt es vier Tasten (F, C, €, OK), welche untereinander angeordnet sind. Links daneben gibt es eine Abdeckung, welche man nach links aufschieben kann. Darunter verbirgt sich ein Zahlenfeld mit den Zahlen 0 bis 9, Komma, hoch und runter und einer TAN-Taste. Die TAN-Taste und die Kommataste sind doppelt belegt, mit hoch und runter Pfeilen.
Auf der Rückseite befindet sich das Batteriefach zum Aufziehen. Darunter sind zwei CR-2025 Zellen.
Vorn besitzt das Gerät fünf Fotodioden und ganz hinten hat es einen Schlitz zum Einstecken der Bankkarte oder Geldkarte.
Fotos vom Rainersct tanJack optic CX
Kaufmöglichkeit des Rainersct tanJack optic CX bei Amazon:
Rainersct tanJack optic CX bei Amazon kaufen
Update 2023 - Wichtiger Hinweis: Das Flickr-Verfahren wird durch chipTAN-QR abgelöst. Dazu wird ein neuer TAN-Generator benötigt. Ich empfehle den REINER SCT tanJack photo QR I Chip chipTAN-Tan Generator.
Inbetriebnahme und Bedienung des Rainersct tanJack optic CX:
Zur ersten Inbetriebnahme reicht es aus, am Batteriefach den Isolationsstreifen herauszuziehen. Das Gerät meldet sich dann mit der Versionsnummer, bei mir die V 5.7. nach einigen Sekunden geht die Anzeige von allein aus. Damit ist es auch schon einsatzbereit.
Der Generator unterstützt zwei Arten, die Generierung von TANs mit optischer Unterstützung (chipTAN comfort/SmartTAN optic (Flickering)) oder das manuelle Verfahren (chipTAN manuell/Sm@rtTAN plus/SecureTAN plus1)
Optisches chipTAN-Verfahren:
Ich persönlich benutze das optische Verfahren, dies ist von der Handhabung und Sicherheit einfach optimal.
Das optische Verfahren funktioniert so, dass sobald man die Überweisung online ausgefüllt und abgeschlossen hat, auf dem Bildschirm ein Flickercode erscheint. Das sind fünf schwarze Balken, welche auf dem Bildschirm vor sich hin flimmern. Um diese auszulesen, ist es notwendig, die Bankkarte hinten in den TAN-Generator zu stecken und die F-Taste zu drücken. Es steht jetzt auf dem Bildschirm „Übertragung aktiviert“. Nun hält man den Generator leicht schräg an den Flickercode auf dem Bildschirm. Dieser muss sich genau zwischen den beiden weißen Dreiecken, welche vorne auf dem Gerät sind, befinden. Sollte die Anzeige zu groß oder zu klein sein, dann gibt es in der Regel auf dem Bildschirm ein Plus oder Minuszeichen, womit man die Größe des Flickercodes genau einstellen kann.
Das Lesegerät liest mithilfe der optischen Sensoren den Code aus und entschlüsselt ihn. Er enthält die Kontonummer des Empfängers und die Höhe des Geldbetrages, welcher überwiesen werden soll. Ist alles in Ordnung, dann kann man die OK-Taste drücken und es wird eine fünfstellige Transaktionsnummer erzeugt, welche man dann im Formular auf der Bankingseite eingeben kann.
Manuelles chipTAN-Verfahren:
Beim manuellen Verfahren wird zuerst die Abdeckung links zur Seite geschoben, damit man Zugriff auf das Ziffernfeld hat. Dann wird die Bankkarte hinten eingeschoben. Danach drückt man die TAN-Taste und gibt über die Tastatur den Start-Code ein und bestätigt mit der OK-Taste. Dieser wird nach dem Ausfüllen des Überweisungsformulars am Bildschirm des Computers angezeigt, z. B. den Startcode 1044976. Es erscheint dann z. B. auf dem Display „Überweisung Inland“, dann mit OK bestätigen und danach werden Daten zur Eingabe verlangt, nämlich die Kontonummer des Empfängers, die Bankleitzahl und der Betrag. Dieser Vorgang wird jeweils mit der OK-Taste abgeschlossen. Zum Schluss wird die TAN-Nummer angezeigt und diese muss dann in das vorgesehene Formularfeld am Computer eingetragen werden.
Geldkartenfunktion:
Man hat außerdem die Möglichkeit festzustellen, welcher Geldbetrag sich noch auf der Geldkarte befindet. Dazu benötigt man natürlich eine entsprechende Geldkarte oder eine Bankkarte mit Geldkartenfunktion.
Um den enthaltenen Betrag zu überprüfen, steckt man die Karte in den Schlitz des Gerätes und drückt vorn auf das €-Zeichen. Es erscheint die Aufschrift „Menü-Geldkarte“ und wenn man danach auf OK drückt, wird der noch vorhandene Geldbetrag angezeigt. Nimmt man nun noch die Pfeiltasten zu Hilfe, dann kann man die letzten Bezahlvorgänge auf der Geldkarte abfragen bzw. sich anzeigen lassen..
ATC (Application Transaction Counter) auslesen
Der ATC zeigt an, wie viele TANs bereits erzeugt wurden. Dies ist eventuell für eine Synchronisierung mit der Bank erforderlich. Dazu bei eingesteckter Bankkarte die TAN-Taste gedrückt halten, bis „ATC-Anzeige aktiviert“ erscheint und danach „Startcode“. Nun die TAN-Taste nochmals drücken und man kann im Display den ATC-Wert ablesen.
Menü: In das Menü kommt man bei eingesteckter Bankkarte durch das Drücken der €-Taste und dann mit den Pfeiltasten.
Fazit zum Rainersct tanJack optic CX:
Bei der Auswahl des Verfahrens sollte man auf jeden Fall das optische Verfahren wählen. Es geht einfach viel schneller als das manuelle, wo man von Hand anfängt, die Informationen wie Kontonummer, Bankleitzahl und Betrag einzutippen.
Ich benutze dieses Gerät nun schon seit einigen Jahren (2013 gekauft) und es funktioniert noch immer ausgezeichnet. Es ist klein, leicht, handlich und sehr einfach zu bedienen und vor allem ist es sicher. Die originalen Batterien sind auch noch drin, halten also nun schon über vier Jahre lang.
Das Online-Banking per optischer Erkennung geht damit schnell und vor allem sicher. Das Sicherheitsrisiko ist minimal. Einzig, wenn Ihre Bankkarte, einschließlich der Bankzugangsdaten jemanden mit bösen Absichten in die Hände fallen würde, besteht ein kleines Risiko. Durch die Sperrung der Karte nach Verlust wäre dieses Risiko aber bereits beseitigt.
Zusätzlich verfügt der TAN-Generator über die Möglichkeit, die Geldkartenfunktion der EC-Karte auszulesen. Da ich diese noch nie ausprobiert hatte, habe ich die EC-Karte am Geldautomaten mit 25 Euro aufgeladen und habe dann Briefmarken und zwei Fahrkarten gekauft. Am Rainersct tanJack optic CX kann man sich das aktuelle Geldkartenguthaben und die letzten 15 Abbuchungen sowie drei Aufladevorgänge anzeigen lassen. Auch das funktioniert problemlos.
Ich kann den TAN-Generator auf jeden Fall weiterempfehlen. Er ist gut zu bedienen und sicher in der Anwendung. Außerdem ist das Gerät sehr preiswert. Einzige Kritikpunkte sind die schwergängige Abdeckung der Tastatur und das bei schlechten Lichtverhältnissen nur schwierig abzulesende Display. Hier wäre eine zuschaltbare Hintergrundbeleuchtung nicht schlecht gewesen.
Was gefällt mir gut:
- sehr gute Verarbeitung
- geringer Preis
- Batterien bei Lieferung bereits enthalten
- lange Laufzeit der Batterien
- unterstützt optisches und manuelles chipTAN
- minimiert das Sicherheitsrisiko beim Online-Banking auf ein Minimum
- kann die Geldkarte auslesen
- zusätzliche Abdeckung über den Zahlentasten, um versehentliches Bedienen zu vermeiden
- Selbstabschaltung nach 30 Sekunden ohne Eingabe
- eine ausführliche Bedienungsanleitung kann man sich im Internet herunterladen
Was gefällt mir nicht so gut:
- bei ungünstigen Lichtverhältnissen kann man schlecht sehen, wann das Lesen des Flickercodes abgeschlossen ist. Ein Tonsignal wäre schön und /oder auch eine Hintergrundbeleuchtung
Download der ausführlichen Bedienungsanleitung:
In der Innenseite der Verpackung stehen erste Hinweise zur Bedienung. Die komplette Bedienungsanleitung für den REINERSCT tan Jack optic CX können Sie hier herunter laden. Sie ist 13 Seiten lang und erklärt ganz genau die Bedienung des Gerätes.
Neues Verfahren chipTAN-QR löst den Flickr-Code ab
Oktober 2023: Zunehmend wird der alte Flick-Code durch die Anzeige eines QR-Codes abgelöst. Mit der Zustellung einer neuen Debit-Card wird vermutlich das Generieren einer TAN über den Flicker-Code nicht mehr möglich sein. Es wird dann ein TAN-Generator benötigt, welcher chipTAN-QR unterstützt. Siehe dazu weiter oben unter Kaufmöglichkeiten.
Vielen Dank für die Bewertung dieses Beitrags.
- Details
- Geschrieben von Gero Kurtz
- Hauptkategorie: Erfahrungsberichte
- Kategorie: Haushaltselektronik
Kommentare powered by CComment