Zusendung der TAN-Daten  per SMS: Sind die neuen Verfahren sicher?
Kunden tragen die Kosten

Jahrelang wurde die TAN-Daten für das Online-Banking auf dem Papier verschickt. Das wird von vielen Banken geändert. Die TAN-Nummern sollen dann per SMS verschickt werden. Natürlich ist auch das neue Verfahren nicht völlig sicher.

Das alte Verfahren wurde jedoch immer wieder noch unsicherer eingestuft. Zum Beispiel konnten Kriminelle mit einem Programm namens SpyEye über manipulierte Webseiten die Tastatureingaben von Online-Banking-Nutzern "abgreifen". Das Programm arbeitete so raffiniert, dass es sogar selbstständig Geldbeträge auf fremde Konten der Kriminellen überwies. 
Wer auf seinem Rechner einen Virenschutz hatte, war dabei finanziell abgesichert: Den Ausfall musste die Bank tragen. 

Das einfache, "alte" TAN-Verfahren wurde aufgrund der Sicherheitslücken geändert. Bei dem alten Verfahren konnte der Kunde die Transaktionsnummer (TAN) noch frei wählen.  Bei dem neuen Verfahren erhält der Nutzer eine Liste mit durchnummerierten TANs. Wenn der Kunde eine Überweisung tätigen will, fordert die Bank zur Bestätigung eine ganz bestimmte TAN von dieser Liste an. Für eine neue Überweisung eines Cyberkriminellen wäre eine neue TAN notwendig, die ihm nicht vorliegt, es sei denn, weil er Zugriff auf die TAN-Liste hat. 

Die Sicherheit beim Online-Banking im Umgang mit TAN-Daten soll noch weiter erhöht werden. Die Postbank nutzt ab April 2011 das sogenannte "Chip-TAN-Verfahren". Hierbei kommt ein TAN-Generator zum Einsatz, ein Mini-Computer, welcher eine TAN erzeugt, die nur für eine bestimmte Transaktion und nur wenige Minuten gültig ist.
 
Wiederum andere Banken setzen auf mobile TANs. Beim "mTAN-Verfahren" werden die TAN-Daten per SMS an das Kundenhandy gesendet. Auch hier gilt die jeweilige TAN nur für eine einzige Überweisung und ist nur für kurze Zeit gültig. Dauert es mit der Eingabe der TAN zu lange, muss der Kunde eine neue Nummer anfordern.   

Da die Daten nur und speziell für eine bestimmte Überweisung übermittelt werden, ist das Verfahren sicherer, als wenn TAN-Daten für mehrere Überweisungen auf dem Papier vorliegen und kopiert, gefilmt oder auf andere Art abgegriffen werden können.  Der Nachteil: Während bisher die Banken die Kosten für das TAN-Übermittlungsverfahren getragen haben, wird zukünftig auch der Kunde zur Kasse gebeten: Bei dem Modell der Postbank  muss der Kunde den TAN-Generator kaufen. Die billigste Variante kostet rund zehn Euro. Bei dem anderen Übermittlungsmodell der Banken über eine mobile TAN (mTAN) muss der Kunde neun Cent pro SMS bezahlen.

Aber auch die neuen TAN-Übermittlungsverfahren sind nicht sicher. Aktuell wird gewarnt vor einem Programm, das Smartphones angreift und "mTANs" mitliest. Die Datenspionage funktioniert dabei über einen Umweg: Auf  dem PC des Nutzers wird heimlich eine Software installiert, die aktiv wird, wenn der Nutzer eine Online-Banking-Seite aufruft. Dabei werden von der Software in die "echte" Bankwebseite zusätzliche, "unechte" Felder und Nachrichten eingeblendet, die ursprünglich nicht zu der Online-Banking-Seite gehören und von dem "kriminellen Programm" hinzugefügt werden. Dort wird der Nutzer aufgefordert, seine Mobilfunknummer und das Handymodell anzugeben. Daraufhin wird ihm per SMS ein Link geschickt. Wenn er auf den Link klickt, lädt er sich einen Schädling auf sein Smartphone, der ab diesem Zeitpunkt alle "mTans" mitliest. Jedem Nutzer von Online-Banking sei deshalb geraten, auf Missbrauchmöglichkeiten dieser Art beim Aufruf von Online-Bankingseiten besonders zu achten..

Die Applegeräte iPhone und iPad (nur iPads mit Handyfunktion) speichern, die Orte, wo sich ihre Nutzer zu bestimmten Zeitpunkten aufgehalten haben. Zwei Programmierer, Alasdair Allan und Pete Warden, haben dies entdeckt und eine Software entwickelt, mit der man seine gespeichertern Vorratsdaten sehen kann.

Integriert in Smartphones ist eine Funktion, wodurch die Geräte ständig ihren Aufenthaltsort kennen. Bekannt wurde jetzt, dass iPhone und iPad die Daten zu den Aufenthaltsorten regelmäßig abspeichern und sie an den Rechner des Nutzers übertragen, sobald dieser sein Smartphone oder seinen Tabletcomputer mithilfe der Software iTunes abgleicht.

Alasadair Allan und Pete Warden haben ein Programm namens iPhone-Tracker geschrieben, mit dem die Apple-Nutzer die über sie gespeicherten Daten lesen und darstellen lassen können.

Zu dem Thema Datenspeicherung per iPhone oder iPad passt die Diskussion in der BRD zur Datenspeicherung bei den Mobilfunkanbietern: Mobilfunk-Provider speichern den Ort und die Zeit, wenn ein Handy auf ein Funknetz zugreift.
Dies dient der Abrechnung der Kosten beim Kunden. Die Speicherung geht in der Regel bis zu 90 Tage. Die EU fordert sogar mindestens ein halbes Jahr Speicherungsfrist, um der Polizei in bestimmten Fällen die Ortungsdaten für Ermittlungen zur Verfügung stellen zu können. Datenschützer sehen hierin die Gefahr einer Totalüberwachung aus zu geringem Anlass. Wobei fest zu stellen ist, dass die Daten im Vergleich zu den iPad und iPhone-Daten weitaus besser geschützt sind (s.u.)

Sehr konkret veranschaulicht wurden die Möglichkeiten einer solchen Totalüberwchung durch ZEIT ONLINE, die in Form einer Grafik die Kommunikationsdaten des Politikers Malte Spitz von den Grünen veröffentlichten. Ein Blick auf den vorliegenden Link lohnt sich.

In ähnlcher Weise speichern die iPhone- und iPad-Geräte Längen- und Breitengrad, wobei das Verfahren auf den Positionen von Handyfunkzellen basiert, was zwar weniger präzise ist als mit GPS, aber wahrscheinlich weniger Strom verbraucht, so vermutet Alasdair Allan. Die Datei enthält zu jeder Position einen Zeitstempel in Sekunden, seit  dem 1. Januar 2001.

Über die Häufigkeit der Datenspeicherung wird angenommen, dass das Gerät die Daten bei jedem Einloggen in eine neue Funkzelle aktualisiert. Laut Alasdair Allan und Pete Warden ist die Funktion erst in ab dem Betriebssystem iOS 4 enthalten. Von früheren Versionen werden die Daten also nicht gespeichert. Im Zweifel wird demanch etwa seit einem Jahr aufgezeichnet, wo sich ein Nutzer von iPhone- oder iPad-Geräten jeweils aufgehalten hat.

Die aufgezeichneten Daten werden nicht verschlüsselt. Sie liegen offen in einem XML-Format vor. Das bedeutet, dass alle Personen, die Zugriff auf ein Gerät selbst oder den abgleichenden Computer haben, die Daten einsehen können. Das können zum Beispiel Lebensgefährten oder Freunde sein. Apple selbst scheint die Daten nicht abzurufen. Das nehmen Alsdair Allan und Pete Warden zumindest an, weil sie keine Belege gefunden haben, dass die Dateien an Apple geschickt wurden.
 
Die beiden Programmierer nehmen weiterhin an, dass Apple für die Zukunft Anwendungen plant, die auf den Daten aufbauen.

Wer verhindern will, dass seine Ortungsdaten gespeichert werden, kann die Ortungsfunktion seines Gerätes abschalten und allen Anwendungen untersagen, diese zu verwenden. Das ist grundsätzlich problemlos einstellbar, wobei natürlich dann einige Angebote wie Kartendienste oder Foursquare nicht oder nur eingeschränkt funktionieren können.
Wer die Datenspeicherung zwar grundsätzlich zulassen, die Informationen aber schützen will, hat auch Möglichkeiten, das zu tun: iTunes bietet an, alle Daten, die bei der Synchronisation übertragen werden, zu verschlüsseln. Somit kann nur jemand die Datei auslesen, der den Verschlüsselungscode kennt.

Interessant ist vieleicht auch die Frage: Inwieweit informiert Apple seine Kunden über das Verfahren?
In den sehr klein geschriebenen Geschäftsbedingungen für iPhone und iPad steht: "Indem Sie ortsbasierte Dienste auf Ihrem iPhone verwenden, erklären Sie sich damit einverstanden, dass Apple, seine Partner und Lizenznehmer Ihre Ortungsdaten und -abfragen übertragen, sammeln, verwalten, verarbeiten und verwenden, um Ihnen diese Produkte und Dienste anbieten und sie optimieren zu können."