Nachtrag im Jahr 2017: Zwischenzeitlich gilt das mTAN-Verfahren nicht mehr als sicher, es empfiehlt sich stattdessen die Verwendung eines zusätzlichen Geräts oder einer App auf dem Smartphone als TAN-Generator. (Quelle)

Schon länger gibt es bei meiner Bank die Möglichkeit, sich die Transaktionsnummern per SMS auf das Handy schicken zu lassen. Bis vor kurzem hat mich das wenig interessiert, schließlich mache ich Überweisungen bisher sowieso immer von zu Hause und habe nicht vor, das unterwegs zu tun.

Kürzlich las ich dann in einer Computerzeitschrift einen Bericht über die Sicherheit der verschiedenen TAN-Verfahren und da schneidet die mTAN wirklich sehr gut ab.

Die Grundidee ist, einen Teil der sicherheitsrelevanten Kommunikation vom PC loszulösen.

Sollte der Rechner, mit dem man Online-Banking macht, kompromittiert sein oder die Verbindung zur Bank abgefangen werden, bieten herkömmliche TAN-Verfahren wenig Schutz. Ein Angreifer könnte einem weitgehend die gewohnte Website der Bank zeigen und man würde ihm ohne es zu merken alle Daten (Kontonummer, PIN und iTAN) geben, die er dann nutzen könnte.

Die mTAN bekommt man für jede Überweisung per SMS auf sein Mobiltelefon geschickt und man sieht in der SMS auch einen Teil der Überweisungsdaten. Ein Angreifer müsste also mein Mobiltelefon in seinen Besitz bringen und gleichzeitig meine Kontonummer und PIN von mir bekommen. Das ist wirklich fast unmöglich, vor allem weil ich nach Verlust des Telefons ja selbstverständlich kein Online-Banking mehr machen würde, ohne die Telefonnummer vorher sperren zu lassen.

Also, fragt eure Bank, ob sie mTAN anbietet – Postbank, Sparda, Volksbanken und Sparkassen tun das bereits. Bei meiner Bank ist der Service kostenlos.