Home Banking Computer Interface. HBCI ist ein Verschlüsselungsverfahren für Homebanking, welches die weniger sicheren PINs und TANs ablösen soll.  Das Hauptproblem bei PINs und TANs ist es, dass diese irgendwo auf der Festplatte abgespeichert werden und ausgespäht  werden können. Ein weiteres Problem ist die Möglichkeit einer Man-in-the-Middle Attacke.  Bei HBCI wird eine Chip-Karte der Bank und ein Kartenleser verwendet. Die Verschlüsselung übernimmt die HBCI-Software. Eine weitere Verbesserung ist das iTAN-Verfahren.  Dabei werden alle TANs, die von den Banken an den Kunden ausgegeben werden, durchnummeriert. Bei einer Finanztransaktion wird eine iTAN mit einer bestimmten Nummer angefordert.  Hat ein Angreifer sich durch Phishing oder durch eine Man-in-the-Middle Attacke  eine iTAN illegal beschafft, so weiss er nicht, welche Nummer diese iTAN hat und es nützt ihm auch nichts bei allen Transaktionen, die eine andere iTAN Nummer anfordern. Die beschaffte iTAN ist für den Angreifer praktisch wertlos.  iTAN-Verfahren sollten mit einer BEN (Bestätigungsnummer) arbeiten. Noch besser als das iTAN-Verfahren, welches durch Man-in-the-Middle-Attacken angreifbar ist sind mTANs (mobile TANs), welche auf das Handy des Kunden gesendet werden.                                           

Die Transaktionsnummer oder TAN ist ein Passwort mit einmaliger Verwendung. Sie wird beim Electronic Banking oder Onlinebanking eingesetzt. Neben der PIN, der Persönlichen Identifikationsnummer, mit welcher man sich als rechtmässiger  Benutzer eines Online Kontos authentifiziert, dient die TAN dazu, jede Transaktion einzeln mit einer anderen, gültigen TAN zu authentifizieren. Berechtigte Personen erhalten dazu eine Liste von TANs. Die TAN gilt als Unterschrift (Signatur) einer  Transaktion. Gefahren sind bekannt durch Phishing Attacken, bei denen TANs unberechtigter Weise (niemand darf TANs abfragen, auch ein Kreditinstitut wird niemals einen Kunden nach einer TAN oder PIN fragen)  abgefragt werden.

iTAN, mTAN, chipTAN
Als Gegenmittel gelten indizierte TANs (iTAN), d.h., die TANs in der Liste sind nummeriert und es wird  bei einer Transktion eine bestimmte zu einer Nummer gehörige iTAN verlangt. Eine andere Methode ist die mTAN, die durch Handy (via SMS) zugeschickt wird und nur für einen begrenzten Zeitraum gültig ist für eine bestimmte Transaktion. 
Eine weitere Möglichkeit, Online Banking sicherer zu machen ist die chipTAN. Die chipTAN ist ein optisches Verfahren, dass ohne Verbindung zum Internet auskommt und deswegen als besonders sicher gilt.  Die chipTAN arbeitet mit z.B. der EC-Karte und einem Lesegerät, Mit der EC-Karte wird die TAN generiert: der TAN-Generator wird vor den Bildschirm gehalten mit einsteckender Chipkarte. Auf dem Bildschirm erscheint ein schwarz/weiss blinkender  Flickercode: dort werden die Daten zur Transaktion und zur Generierung der chipTAN erfasst. Die chipTAN ist auch nur begrenzt gültig für eine bestimmte Transaktion. 

Dem NEOGRID Redaktionsteam liegen Informationen vor, wonach es bei einer gelungenen Online Banking  Transaktion, die jedoch aus Versehen mit dem falschen Adressat bzw. der falschen Kontonummer versehen ist, keine Rückführungspflicht der Bank, im Gegensatz zu Überweisungsvorlagen, gibt.  Aus Kulanzgründen ist es jedoch möglich, dass die Bank eine freiwillige Rückführung vornimmt.                                     

Unter Phishing (Password Harvesting fishing) versteht man den illegalen Versuch, an Login Daten oder PIN und TAN von Onlinebanking Daten usw. zu kommen. Im Allgemeinen ist die Phishing Attacke mit einer e-Mail Attacke verbunden. Man wird unter  Angabe eines gefälschten Hyperlinks aufgefordert, seine Login Daten (PIN und TAN) einzugeben. Der Hyperlink führt nicht auf die echte Internetseite des betreffenden Instituts, sondern auf eine gefälschte Seite. Somit können Login-Daten  an den Urheber der Attacke weitergeleitet werden. Um Phishing Attacken zu vermeiden, sollte man immer per Hand die Internet-Adresse des jeweiligen Instituts (Finanzinstitut, Internet-Shop etc.) eingeben. Auch eine wirksame Firewall und  Antivirenprogramme sind erforderlich, damit der Angreifer nicht eine automatische Umleitung per Trojaner installieren kann oder einen Keylogger platzieren kann (ein Keylogger zeichnet Tastatureingaben auf, somit auch Logindaten). Niemals dem Hyperlink  einer E-Mail folgen, wenn es um Bankdaten oder ähnliches geht. Kreditinstitute fordern niemals zur Eingabe von Login Daten wie PIN oder TAN auf! Methoden der Verschleierung sind sehr ähnliche Domainnamen (URLs). Aus www.kaesebank.de wird  www.kaesebanc.de oder www.käsebank.de.

iTAN, BEN, mTAN
Eine wirksame Verbesserung ist das iTAN Verfahren. Dabei werden alle  iTANs nummeriert und bei einer Finanztransaktion wird eine iTAN mit einer bestimmten Nummer angefordert. Erbeutete iTANs sind dann für den Angreifer schwer verwertbar.  Denn er weiß weder, welche Nummer ihr zugeordnet ist, noch kann er bestimmen, welche iTAN-Nummer bei der nächsten Transaktion angefordert wird.  Ein Angreifer müsste dann genau die iTAN besitzen die angefordert wird und darum wissen. Dies ist praktisch auszuschliessen, es sein denn, ein Rechner ist mit einem speziellen Trojaner infiziert, der in der Lage ist, diese iTAN zu verwenden.  Man-in-the-Middle Attacken auf das iTAN Verfahren sind auch möglich. Deswegen ist es sinnvoll, wenn das Kreditinstitut eine BEN (Bestätigungsnummer) zur Bestätigung verwendet, um zu sehen, ob die iTAN nicht abgefangen wurde.  Sicherer als das iTAN-Verfahren ist die mTAN (mobile TAN), die mit einer Übermittlung der TAN über SMS oder ähnliche Dienste auf das Handy des Kunden arbeitet. Auch zu empfehlen ist HBCI.  Auch sinnvoll ist es, bei Aufruf der Electonic-Banking Seite das Zertifikat des Browser mit den Angaben des Kreditinstitutes (MD5 und SHA1-Fingerprints) zu vergleichen. Angaben befinden sich auf den Sicherheitsseiten der Banken.