TAN-Generator

Weil Transaktionsnummern auf Papierlisten ein Sicherheitsrisiko sein können, haben Banken vor längerer Zeit elektronische Verfahren wie den chipTAN-Generator eingeführt. Einem älteren Prototypen haben wir auf den Zahn gefühlt.

von Daniel Bachfeld

Um die Sicherheit beim Online-Banking zu erhöhen und Phishern den Garaus zu machen, haben viele Banken im Jahr 2008 auf sicherere Zweischrittverfahren umgestellt. Die Auftragseinreichung (etwa eine Überweisung) und die TAN-Übermittlung wurden zwei voneinander getrennte Prozesse. Die TAN wird nun von einem speziellen Kartenleser mit Tastatur erzeugt. Nach dem Einstecken der Girocard muss man einen online von der Bank übermittelten Überweisungszahlencode und die letzten sechs Ziffern des Zielkontos eingeben.

Hinter den Löchern verbergen sich die Fototransistoren.

Noch weiter geht das Zweischrittverfahren mit dem Flickercode, wie es etwa Sparkassen noch einsetzen. Nach Eingabe des Auftrags hält der Kunde seinen TAN-Generator mit eingebauten Fototransistoren vor den Bildschirm, auf dem die Bank mittels über die Webseite in fünf Felder einen Schwarzweiß-Blinkcode sendet. Ein Feld gibt dabei den Takt vor. Der Code enthält die Überweisungsdaten sowie weitere zur Berechnung einer TAN benötigte Daten. Das Gerät zeigt nach dem Einlesen des Codes den Überweisungsbetrag und das Konto an – eine Manipulation der Transaktion durch einen Betrüger oder Trojaner fällt sofort auf. Nach dem Drücken der Bestätigungstaste erhält man die TAN zur Eingabe auf der Webseite.

Innenleben

Der Mikrocontroller verbirgt sich unter dem schwarzen Klumpen, die Fototransistoren sitzen auf den Platinchen.

Die Tastenfelder werden wie beim Taschenrechner über Gummitasten kurzgeschlossen.

Unser Modell ist ein Vorserienmodell des Herstellers ReinerSCT, welches der Autor im Rahmen seiner Redakteurstätigkeit bei der c’t erhielt. Die Fototransistoren sind noch anders angeordnet als in aktuellen TAN-Generatoren mit Flicker-Code-Unterstützung. Im geöffneten Zustand zeigt sich das Innenleben. Die Fototransistoren sind an Operationsverstärker angeschlossen (LM324), die die Signale verstärken und für eine bessere Flankensteilheit sorgen. Die Platinen mit den Fototransistoren sind aufwendig händisch auf die Hautplatine gelötet. Die Ausgänge der Operationsverstärker führen zum Mikrocontroller – unter dem schwarzem Epoxidharzklumpen verborgen. Der Controller gewinnt aus den 4 Datenbits und dem Taktsignal die Daten zurück, die er an den Controller einer eingesteckten Chipkarte schickt. Der berechnet eine TAN, die er an den Mikrocontroller des TAN-Generators zurückschickt, der diese auf dem LC-Display anzeigt. Die Platinen mit den Fototransistoren lassen sich durchaus noch für eigene Projekte für optische Datenübertragung einsetzen oder als Lichtsensoren für Robotikexperimente. Das Auslöten stellt keine große Hürde dar. —dab