PIN/TAN-Verfahren

Beim sogenannten PIN/TAN-Verfahren ist die PIN eine Zahlenkombination, die erforderlich ist, um sich per Internet-Browser auf den Online-Banking-Seiten der Bank für den Zugriff auf ein bestimmtes Konto zu authentifizieren. Diese PIN wird dem Kontoinhaber durch die Bank mitgeteilt. Für jede einzelne Transaktion ist sodann die Eingabe einer Transaktionsnummer (TAN) erforderlich. Der Kontoinhaber erhält von der Bank eine Liste von TANs, die jeweils einmal verwendet werden können, wobei die Einhaltung einer Reihenfolge nicht erforderlich ist (anders bei den sogenannten iTANs - Angabe einer bestimmten TAN aus der nummerierten Liste erforderlich - , eTANs - TAN wird durch Kunden bei Bedarf in elektronischem Zufallsgenerator, der von der Bank zur Verfügung gestellt wird, erzeugt - und mTANs - TAN wird dem Kunden auf Anforderung per SMS übersandt - , die vorliegend jedoch nicht in Rede stehen).1)

Um zu verhindern, dass Dritte den Datenverkehr zwischen Bank und Kunden „abhören“, werden die Verbindungen automatisch verschlüsselt (je nach verwendetem Internet-Browser und Bank unterschiedlich stark, aktuell zwischen 128 und 256 bit), was dadurch erkennbar ist, dass die Internetadresse statt mit http: mit https: beginnt und in der Statusleiste am unteren Rand des Internet-Browsers ein Schlosssymbol angezeigt wird. Die Verwendung des https-Protokolls ermöglicht zugleich eine Authentifizierung der Internetseite als echte Seite der Bank über ein Zertifikat. Ist das Zertifikat ungültig, erscheint bei den üblichen Internet-Browsern eine Warnmeldung.2)

Angriffe gegen das PIN/TAN-Verfahren

Um unbefugt an die Kontodaten nebst PIN und TAN eines Kontoinhaber zu gelangen sind die bekanntesten Möglichkeiten das Einschleusen von Malware auf den Rechner des Opfers und das PIN/TAN-Phishing.

siehe auch

1) , 2)
LG Köln, Urt. v. 5.12.2007 - 9 S 195/07