Startseite Navigation Inhalt Kontakt Sitemap
Die Finanzinstitute sind bestrebt, E-Banking so sicher wie möglich zu machen. Dabei kommen verschiedene Anmeldeverfahren und Technologien zum Einsatz. Nachfolgender Überblick geht auf aktuell verwendete Verfahren und Technologien ein und erklärt, wie sie funktionieren.

TAN (Streichliste)

Beim klassischen TAN-Verfahren erhält der Kunde vom Finanzinstitut ein Passwort oder eine PIN und eine Liste mit Zeichenfolgen (TANs) in Papierform zugeschickt. Beim Login und allenfalls bei weiteren Aktionen muss er die erste beziehungsweise nächste noch nicht verwendete TAN der Liste in die Login-Maske des E-Bankings eingeben und dann streichen, da sie nur einmal verwendet werden darf. Die TAN ist eine Ergänzung zu Passwort oder PIN. Das Passwort oder die PIN, die TAN und die Identifikationsnummer  werden gleichzeitig zum Finanzinstitut geschickt und überprüft. Wenn alle TANs auf der Liste verwendet wurden, erhält der Kunde vom Finanzinstitut eine neue Liste.

Tipps:

  • Bewahren Sie die Liste mit Zeichenfolgen (Streichliste) an einem sicheren Ort auf.
  • Speichern Sie die Liste mit Zeichenfolgen (Streichliste) nicht elektronisch ab.
  • Schreiben Sie keine Passwörter und PINs auf, es sei denn, Sie halten die Notiz unter Verschluss.
  • Geben Sie Ihr Passwort oder Ihre PIN ausschliesslich in der Login-Maske Ihres E-Bankings ein.

iTAN

Beim iTAN-Verfahren erhält der Kunde vom Finanzinstitut eine Liste mit indexierten Zeichenfolgen (iTANs). Beim Login tippt er seine Identifikationsnummer und sein Passwort  oder seine PIN in die Login-Maske des E-Bankings ein und übermittelt die Daten zum Finanzinstitut.

Das Finanzinstitut bestätigt dem Kunden die ihm vorliegenden Daten (z. B. Name des Kunden und Zeitpunkt der letzten Anmeldung) und fragt nach einer bestimmten iTAN. Der Kunde tippt die angefragte iTAN ein und übermittelt sie als Bestätigung zum Finanzinstitut.

Der Kunde kann sein Login also nicht mehr mit der nächsten gültigen TAN legitimieren, sondern wird vom Finanzinstitut aufgefordert, eine bestimmte, zufällige, durch eine Positionsnummer gekennzeichnete iTAN aus seiner aktiven Liste einzugeben.

Tipps:

  • Bewahren Sie die iTAN-Liste an einem sicheren Ort auf.
  • Speichern Sie die iTAN-Liste nicht elektronisch ab.
  • Schreiben Sie keine Passwörter und PINs auf, es sei denn, Sie halten die Notiz unter Verschluss.
  • Geben Sie Ihr Passwort oder Ihre PIN ausschliesslich in der Login-Maske Ihres E-Bankings ein.

 

iTAN-Verfahren im Überblick

mTAN (Mobile-TAN oder SMS-TAN)

Wie der Name schon vermuten lässt, nutzt dieses Verfahren neben dem Internet einen zusätzlichen Kommunikationskanal, das Mobilfunknetz. Nach dem Login mit Identifikationsnummer und Passwort oder PIN übermittelt das Finanzinstitut den Zugangscode (mTAN) mittels SMS. Erst nach Eingabe des Zugangscodes wird der Zugriff auf das Konto gewährt. Zudem müssen potenziell gefährliche Transaktionen mittels mTAN bestätigt werden. Eine Bestätigung ist nicht bei allen Überweisungen notwendig. Viele Systeme merken sich wiederkehrende Zahlungsempfänger eines Kunden, so dass nicht mehr jede Überweisung bestätigt werden muss.

Der zusätzliche Kommunikationskanal  erschwert Angreifern das Abfischen von TANs.

Tipps:

  • Überprüfen Sie bei der Bestätigung der Transaktion zwingend die zu signierenden Daten.
  • Bewahren Sie Ihr Mobiltelefon nicht gemeinsam mit Ihren Zugangsdaten auf.
  • Benutzen Sie fürs E-Banking nicht das Mobiltelefon.
  • Schreiben Sie keine Passwörter und PINs auf, es sei denn, Sie halten die Notiz unter Verschluss.
  • Geben Sie Ihr Passwort oder Ihre PIN ausschliesslich in der Login-Maske Ihres E-Bankings ein.

 

mTAN-Verfahren im Überblick

eTAN

Beim eTAN-Verfahren erhält der Kunde vom Finanzinstitut ein Passwort oder eine PIN und einen elektronischen TAN-Generator. Dieser zeigt auf einem Display die zu verwendende eTAN an. Der TAN-Generator verfügt über eine genaue Uhrzeit, die mit einer Uhr beim Finanzinstitut synchronisiert ist, und so dafür sorgt, dass die angezeigte eTAN synchron zum Server ist. Ansonsten ist das Login-Verfahren mit dem TAN-Verfahren identisch.

Tipps:

  • Bewahren Sie den elektronischen TAN-Generator an einem sicheren Ort und nicht gemeinsam mit Ihren Zugangsdaten auf.
  • Schreiben Sie keine Passwörter und PINs auf, es sei denn, Sie halten die Notiz unter Verschluss.
  • Geben Sie Ihr Passwort oder Ihre PIN ausschliesslich in der Login-Maske Ihres E-Bankings ein.

Chip-TAN

Für das Chip-TAN-Verfahren benötigt der Kunde vom Finanzinstitut ein Passwort oder eine PIN, einen Kartenleser und eine Bankkarte. Beim Login muss der Kunde eine Identifikationsnummer und sein Passwort oder seine PIN eingeben. Danach zeigt die Website des Finanzinstituts einen einmaligen Code zur Eingabe auf dem Kartenlesegerät (Challenge-Wert) an und fragt nach dem zugehörigen Zutrittscode des Kunden (Response-Wert). Dieser wird mit Hilfe des Kartenlesers und der Bankkarte unter Angabe des angezeigten Codes (Challenge-Wert) generiert.

Tipps:

  • Bewahren Sie die Bankkarte an einem sicheren Ort und nicht gemeinsam mit Ihren Zugangsdaten auf.
  • Schreiben Sie keine Passwörter und PINs auf, es sei denn, Sie halten die Notiz unter Verschluss.
  • Geben Sie Ihr Passwort oder Ihre PIN ausschliesslich in der Login-Maske Ihres E-Bankings ein.

 

Chip-TAN-Verfahren im Überblick

USB-Stick mit gehärtetem Browser

Beim Verfahren mittels USB-Stick kommt ein gehärteter Browser auf einem schreibgeschützten USB-Stick zum Einsatz. Der Browser lässt sich wie ein auf dem Rechner installierter Browser bedienen, mit dem Unterschied, dass ein Angreifer einen gehärteten Browser nicht manipulieren kann. Dadurch wird die Aktivierung bösartiger Software verhindert.

Der gehärtete Browser startet in der Regel automatisch, wenn der Stick am USB-Port eingesteckt wird.  Über den gehärteten Browser kann sich der Kunde nun wie gewohnt im E-Banking anmelden. Für das Login wird eines der oben beschriebenen Login-Verfahren eingesetzt.

Tipps:

  • Bewahren Sie den USB-Stick nicht gemeinsam mit Ihren Geheimelementen auf.
  • Schreiben Sie keine Passwörter und PINs auf, es sei denn, Sie halten die Notiz unter Verschluss.
  • Geben Sie Ihr Passwort oder Ihre PIN ausschliesslich in der Login-Maske Ihres E-Bankings ein.

USB-Stick mit gehärtetem Browser und Zertifikat

Dieses Verfahren gleicht dem oben beschriebenen Verfahren «USB-Stick mit gehärtetem Browser». Zusätzlich kommt jedoch ein persönliches Zertifikat zum Einsatz. Dieses Zertifikat wird vom Finanzinstitut oder einer Zertifizierungsstelle ausgestellt. Zusätzlich zum Stick wird für das Login ein Passwort benötigt.

Tipps:

  • Bewahren Sie den USB-Stick nicht gemeinsam mit Ihren Geheimelementen auf.
  • Schreiben Sie keine Passwörter und PINs auf, es sei denn, Sie halten die Notiz unter Verschluss.
  • Geben Sie Ihr Passwort oder Ihre PIN ausschliesslich in der Login-Maske Ihres E-Bankings ein.

Zone Trusted Information Channel (ZTIC)

Beim ZTIC-Verfahren kommt ein USB-Device zum Einsatz. Dieses erhöht die Sicherheit, indem es via Computer des Kunden eine sichere Verbindung zum Server des Finanzinstituts aufbaut und dem Kunden die Aufgabe abnimmt, die Authentizität des Servers zu überprüfen. So lässt das ZTIC-Device nur sichere SSL/TLS-Verbindungen mit bekannten, vorkonfigurierten Servern zu.

Vom Server des Finanzinstituts via Webseite empfangene Transaktionsdaten werden sicher auf das ZTIC-Device übertragen und dort dem Kunden garantiert unverfälscht angezeigt (analog mTAN). Die Transaktion wird erst ausgelöst, nachdem sie durch den Kunden mittels Tastendruck autorisiert wurde.

Wie bei den beiden oben beschriebenen Verfahren mittels USB-Stick kann Malware das ZTIC-Device zurzeit nicht angreifen und infizieren.

Hier finden Sie ein Video (YouTube) welches das ZTIC-Verfahren vorstellt.

Tipps:

  • Bewahren Sie das USB-Device nicht gemeinsam mit Ihren Geheimelementen auf.
  • Schreiben Sie keine Passwörter und PINs auf, es sei denn, Sie halten die Notiz unter Verschluss.
  • Geben Sie Ihr Passwort oder Ihre PIN ausschliesslich in der Login-Maske Ihres E-Bankings und/oder Ihres E-Banking-Devices (TAN-Generator etc.) ein.

 

Zone Trusted Information Channel (ZTIC)-Verfahren im Überblick

Flicker-TAN

Für das Flicker-TAN-Verfahren (Optisches-TAN-Verfahren) benötigt der Kunde ein Passwort oder eine PIN und einen so genannten Flicker-TAN-Generator. Der Flicker-TAN-Generator unterscheidet sich von einem gewöhnlichen TAN-Generator dadurch, dass er fünf Sensoren aufweist, über welche er optische Informationen (den sogenannten Flicker-Code) aufnehmen kann. Im Weiteren ist er mit einer Tastatur oder einem Fingerprint-Leser ausgestattet.

Nachdem eine Transaktion erfasst wurde, erscheint auf dem Bildschirm des Kunden-PCs eine Grafik, welche aus fünf flackernden schwarzen und weissen Flächen besteht. Die flackernden Flächen transportieren die garantiert unverfälschten Informationen der soeben getätigten Transaktion. Wird der Flicker-TAN-Generator mit den optischen Sensoren gegen den Bildschirm gehalten, so kann er die vom Finanzinstitut gesendeten Informationen aufnehmen, decodieren und anzeigen (analog dem mTAN-Verfahren). Auf diesem Weg kann der Kunde die ausgelöste Transaktion verifizieren und daraufhin autorisieren.

Das Verfahren schützt vor Angriffen, welche Transaktionen manipulieren (z. B. Man-in-the-Browser-Angriffen), sofern der Bankkunde die auf dem Display angezeigten Transaktionsdaten vor dem Bestätigen auf ihre Richtigkeit hin überprüft.

Tipps:

  • Bewahren Sie den Flicker-TAN-Generator an einem sicheren Ort und nicht gemeinsam mit den weiteren Zugangsdaten auf.
  • Schreiben Sie keine Passwörter und PINs auf, es sei denn, Sie halten die Notiz unter Verschluss.
  • Geben Sie Ihr Passwort oder Ihre PIN ausschliesslich in der Login-Maske Ihres E-Bankings ein.

 

Flicker-TAN-Verfahren im Überblick

Photo-TAN

Für das Photo-TAN-Verfahren (Optisches-TAN-Verfahren) benötigt der Kunde ein Passwort oder eine PIN und ein Smartphone. Auf dem Smartphone muss die Photo-TAN-App installiert sein, welche die optischen Informationen aufnehmen und entschlüsseln kann. Anstelle eines Smartphones kann auch ein eigenständiges Photo-TAN-Lesegerät verwendet werden.

Nachdem eine Transaktion erfasst wurde, erscheint auf dem Bildschirm des Kunden-PCs ein statisches, farbiges Mosaik. Das Mosaik transportiert die garantiert unverfälschten Informationen der soeben getätigten Transaktion. Diese Informationen können mithilfe der Kamera vom Smartphone oder Lesegerät aufgezeichnet, dann entschlüsselt und auf dem Display des verwendeten Endgeräts angezeigt werden (analog dem mTAN-Verfahren). Auf diese Weise kann der Kunde getätigte Transaktionen verifizieren und autorisieren.

Das Verfahren schützt vor Angriffen, welche Transaktionen manipulieren (z. B. Man-in-the-Browser-Angriffen), sofern der Bankkunde die auf dem Display angezeigten Transaktionsdaten vor dem Bestätigen auf ihre Richtigkeit hin überprüft.

Tipps:

  • Bewahren Sie das Photo-TAN-Lesegerät an einem sicheren Ort und nicht gemeinsam mit den weiteren Zugangsdaten auf, respektive beachten Sie alle für Smartphones geltenden Sicherheitsempfehlungen.
  • Schreiben Sie keine Passwörter und PINs auf, es sei denn, Sie halten die Notiz unter Verschluss.
  • Geben Sie Ihr Passwort oder Ihre PIN ausschliesslich in der Login-Maske Ihres E-Bankings ein.

 

Photo-TAN-Verfahren im Überblick

Mobile ID

Das Anmeldeverfahren mit der Mobile ID ist demjenigen mit dem mTAN auf den ersten Blick sehr ähnlich – aber keinesfalls gleich. Bei der Mobile ID kommt auch ein Mobiltelefon zum Einsatz (unterstützt werden alle gängigen Endgeräte und mobilen Betriebssysteme wie Apple iOS, Android, Blackberry, Microsoft Windows Phone oder Symbian) und die Daten werden ebenfalls über einen zusätzlichen Kommunikationskanal (Mobilfunknetz) übertragen. Der entscheidende Unterschied ist, dass die SIM-Karte des Mobiltelefons bei diesem Verfahren eine wichtige Rolle spielt: Auf der SIM-Karte ist die Mobile ID zur verschlüsselten Datenübertragung gespeichert – die dazu benötigten Schlüssel werden erst bei der Aktivierung der Mobile ID generiert und direkt auf der SIM-Karte abgespeichert. Der zusätzliche, verschlüsselte Kommunikationskanal zur Mobile ID SIM-Karte hindert Angreifer beim Abfangen von Login- oder Transaktions-Anfragen. Die Mobile ID fähige SIM-Karte muss gegebenenfalls beim Provider beantragt werden (je nach Alter der bereits vorhandenen SIM-Karte).

Beim Login muss auf der Webseite des Finanzinstituts die Identifikationsnummer und allenfalls das Passwort oder die PIN eingegeben werden. Daraufhin erscheint auf dem Mobiltelefon eine Meldung, welche zu bestätigen ist (z. B. «OK» oder «Empfangen»). Nun muss auf dem Mobiltelefon die persönliche Mobile ID PIN eingegeben werden. Erst danach wird der Zugriff auf das Konto gewährt.

Auch bei diesem Anmeldeverfahren kann optional eine Transaktionsbestätigung eingesetzt werden: Wenn eine sensitive Transaktion erfasst wurde, erscheint auf dem Mobiltelefon eine Meldung mit den Transaktionsdaten, welche zu bestätigen ist (z. B. «OK» oder «Empfangen»). Die Transaktion wird ausgelöst, indem die Mobile ID PIN auf dem Mobiltelefon eingegeben wird. Eine solche Bestätigung ist jedoch nicht bei allen Überweisungen notwendig. Viele Systeme können sichere von unsicheren Zahlungsempfängern unterscheiden, so dass nicht jede Überweisung bestätigt werden muss.

Tipps:

  • Überprüfen Sie bei der Bestätigung der Transaktion zwingend die angezeigten Daten.
  • Bewahren Sie Ihr Mobiltelefon nicht gemeinsam mit Ihren Zugangsdaten auf.
  • Benutzen Sie fürs E-Banking nicht das Mobiltelefon, auf welchem Sie die Mobile ID Meldungen erhalten.
  • Schreiben Sie keine Passwörter und PINs auf, es sei denn, Sie halten die Notiz unter Verschluss.
  • Geben Sie Ihr Passwort oder Ihre PIN ausschliesslich in der Login-Maske Ihres E-Bankings ein.
  • Geben Sie Ihre persönliche Mobile ID PIN ausschliesslich auf Ihrem Mobiltelefon ein.

 

Mobile ID-Verfahren im Überblick

Push-TAN

Für das Push-TAN-Verfahren (App basiertes TAN-Verfahren) benötigt der Kunde ein Passwort oder eine PIN und ein Smartphone. Auf dem Smartphone muss die speziell dafür vorgesehene App des Finanzinstitutes installiert sein, an welche die Push-Meldungen über eine verschlüsselte Internetverbindung gesendet werden.

Beim Login muss auf der Webseite des Finanzinstituts die Identifikationsnummer oder der Benutzername und allenfalls das Passwort oder die PIN eingegeben werden. Daraufhin erhält der Kunde eine Push-Meldung auf sein Smartphone. Öffnet der Kunde die App, wird er zur Eingabe seiner individuellen App PIN aufgefordert. Nachdem er diese eingegeben hat, wird in der App die TAN angezeigt, die er wie gewohnt auf der Webseite des Finanzinstituts eingibt. Erst danach wird der Zugriff aufs E-Banking gewährt.

Auch bei diesem Anmeldeverfahren kann optional eine Transaktionsbestätigung eingesetzt werden: Wenn eine sensitive Transaktion erfasst wurde, erscheint auf dem Smartphone ebenfalls eine Push-Meldung. Der Kunde öffnet die App und gibt seine individuelle App PIN ein. Die Transaktion wird erst freigegeben, wenn der Kunde die in der App angezeigte TAN wie gewohnt auf der Webseite des Finanzinstituts eingibt. Eine solche Bestätigung ist aber nicht bei allen Überweisungen notwendig. Viele Systeme können sichere von unsicheren Zahlungsempfängern unterscheiden, so dass nicht jede Überweisung bestätigt werden muss.

Das Verfahren schützt vor Angriffen, welche Transaktionen manipulieren (z. B. Man-in-the-Browser-Angriffen), sofern der Bankkunde die auf dem Display angezeigten Transaktionsdaten vor dem Bestätigen auf ihre Richtigkeit hin überprüft.

Tipps:

  • Überprüfen Sie bei der Bestätigung der Transaktion zwingend die zu signierenden Daten.
  • Geben Sie keine verzögert eintreffenden Anmelde-Anfragen frei.
  • Bewahren Sie Ihr Smartphone nicht gemeinsam mit Ihren Zugangsdaten auf.
  • Benutzen Sie fürs E-Banking nicht das Gerät, auf welchem Sie die App installiert haben und die Meldungen erhalten.
  • Schreiben Sie keine Passwörter und PINs auf, es sei denn, Sie halten die Notiz unter Verschluss.
  • Geben Sie Ihr Passwort oder Ihre PIN ausschliesslich auf der Webseite Ihres Finanzinstituts ein.
  • Geben Sie Ihre persönliche App PIN ausschliesslich auf Ihrem Smartphone ein.

 

Push-TAN-Verfahren im Überblick

 

Aargauische KantonalbankBaloise Bank SoBaBanca del Ceresio SABanca del SempioneBancaStatoBank CoopBank LinthBanque CIC (Suisse)Basellandschaftliche KantonalbankBasler KantonalbankFreiburger KantonalbankBanque Cantonale du JuraBanque Cantonale NeuchâteloiseBanque Cantonale VaudoiseBerner KantonalbankBanca Popolare di Sondrio (SUISSE)cash zweiplusClientisCornèr Bank AGCredit Suisse (Schweiz) AGGlarner KantonalbankGraubündner KantonalbankHypothekarbank LenzburgJulius BärLuzerner KantonalbankMigros BankNidwaldner KantonalbankObwaldner KantonalbankPiguet GallandPostFinanceSchaffhauser KantonalbankSchwyzer KantonalbankTriba Partner Bank AGUBSUrner KantonalbankValiant Bank AGVP BankWalliser KantonalbankZuger KantonalbankZürcher Kantonalbank