STRATEGIE5. Oktober 2020

Online Banking und der Tod der TAN auf Raten

photoTAn der Commerzbank
Commerzbank

TAN-Verfahren zur Absicherung im Online Banking haben eine lange Geschichte. Lange schien es unter anderem so, als würden sie sogar die Banken selber überdauern. Aber mittlerweile stößt das Verfahren an seine Grenzen. Ein Ende ist absehbar. Ein Grund dafür ist auch die PSD2. Aber wie heißt es so schön: „Totgesagte leben länger!“. Ob das auch für die TAN gilt, soll hier einmal beleuchtet werden.

von Rudolf Linsenbarth

TAN-Verfahren (TAN=TransAktionsNummer) gehen auf die Zeiten des Btx-Onlinebankings zurück. Alfred Richter, der technische Leiter der heutigen norisbank, soll diesen Zugriffschutz 1976 zunächst für den internen Gebrauch entwickelt haben.

Im Anfang wurde den Kunden eine TAN-Liste auf Papier zugesandt. Jede TAN konnte nur einmal für eine beliebige Transaktion verwendet werden. Nach einem Anstieg der Betrugsfälle wurde das Verfahren durch die sogenannte iTAN-Liste ersetzt. Hierbei konnte die Bank aus einer Feldmatrix ähnlich wie beim „Schiffe versenken“ vorgeben, welche TAN für die aktuelle Transaktion gefordert wird.

Autor Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
Parallel dazu wurde die SMS TAN „erfunden“. Die wurde nun per SMS auf das Handy geschickt. Dem österreichischen Unternehmen TeleTan wurde dafür 2002 sogar ein Patent erteilt. Dieses ist aber von keiner Bank jemals anerkannt worden. Daher klagt TeleTan seit 2006 gegen diverse Banken und hat, gegen die Sparda Bank West im Oktober 2019 vor dem Bundesgerichtshof Recht bekommen.

Neben SMS wurden TAN-Verfahren aber auch in anderer Weise technisch umgesetzt. Da gibt es zum einen die sogenannten die CHIP/TAN-Verfahren, bei denen Kryptografie, mit Hilfe des Smartcard Chips in der girocard, zum Einsatz kommt. Des Weiteren existieren Geräte, die selbständig das TAN-OTP (One Time Passwort) aus dem Startwert errechnen können.

Ab damit ins Smartphone …

Das Aufkommen der Smartphones schließlich ermöglichte TAN-Apps eine zusätzliche Umsetzung von 2FA-TAN Verfahren. Hierzu wurde der Berechnungs-Algorithmus einfach in Software gegossen und fertig war die neue Lösung. Vorteil für die Banken, hierbei waren nur geringe Modifikationen am bestehenden Backend notwendig. Eingriffe in die vielfach monolithische Infrastruktur, sind dort nicht gerade beliebt.

Wenn eine Bank im Jahr 2018, die TAN als 2FA-Verfahren einsetzen wollte, gab es die folgende Auswahl:

1. TAN-Liste / iTAN-Liste
2. Hardware OTP-Geräte
3. SMS TAN
4. Chip/TAN
5. TAN-App

TAN-Listen, egal in welcher  Ausprägung, wurden durch die PSD2 gekillt. Sie erfüllten die Vorgaben der Transaktionsbindung einfach nicht mehr. Der Einsatz im Online Banking ist seit September 2019 nicht mehr zulässig. Ähnliches gilt für einfache OTP Hardware,  wo z.B. nur eine 6 stellige Kontrollnummer als Startwert eingetippt werden musste. Überlebt haben dagegen die Geräte von OneSpan, hier erfolgt die Start­wert­über­tragung mittels Farbmatrix-Code. Dadurch kommen größere Informationsblöcke zum Einsatz. Diese enthalten dann auch die von der PSD2 geforderten Informationen über den aktuellen Geschäftsvorfall, den der Kunde mittels TAN freigeben soll.

Die SMS TAN ist bei den Banken eigentlich ein ungeliebtes Kind, da es im Betrieb mit erheblichen Kosten verbunden ist. Im Gegensatz zu den Privatkunden, die vielfach eine SMS Flatrate haben, müssen gewerbliche Kunden meist Preise ab 6 Cent aufwärts für eine SMS berappen. Das läppert sich bei großen Banken. Hinzu kommt noch das Risiko, von TeleTan wegen Patentverletzung verklagt zu werden. Außerdem gehört SMS TAN zu den eher unsicheren Verfahren. Fast alle Banken schließen die gleichzeitige Nutzung von SMS TAN, in Kombination mit der Banking App auf dem Smartphone, in ihren AGBs aus. Ich kann mir gut vorstellen, dass die Bankenaufsicht der SMS TAN, ähnlich wie den TAN-Listen, den Hahn abdreht.

UX der Flicker-TAN? Unterirdisch.
Flicker-UX? Unterirdisch.ITFM

Das Chip/TAN Verfahren (hier mein großes Review dazu aus dem letzten Jahr) mit dem umständlichen Flickr Code war bisher eine einzige Zumutung. Den neuen Geräten mit QR- oder Farbmatrix-Code kann aber ein gutes Handling attestiert werden. Auch das große Display, auf dem die freizugebende Transaktion sehr übersichtlich angezeigt wird, trägt zu einem guten Nutzererlebnis bei.

Also alles gut?

Nicht ganz, wer eine Multibanking-App verwendet und dort für das Einloggen bei mehreren Konten jedes Mal eine andere Karte in das Gerät stecken muss, der ist ziemlich schnell frustriert. Ähnlich unhandlich wird es beim PSD2 XS2A (Access to Account) Zugriff auf das eigene Girokonto.

Trotzdem wird der Markt für das Chip/TAN-Verfahren nicht vom einen auf den anderen Tag implodieren. Wer seine Bankgeschäfte ausschließlich zu Hause am PC über die Webseite seiner Bank macht, und das ist derzeit noch die überwiegende Mehrheit der Deutschen (wenn sie überhaupt am Online Banking teilnehmen), ist mit Chip/TAN gut bedient.

Reiner SCT

Die Firma Reiner SCT, einer von 3 Anbietern für Chip/TAN-Leser, scheint sich der Sache aber nicht mehr ganz so sicher zu sein. Man möchte gerne Reiner zum Schutzheiligen des Online Banking machen. Also für Chip/TAN selbst, sehe ich da keine Notwendigkeit. Im Gegensatz zu den Mitbewerbern Kobil und OneSpan, hat Reiner aber nur Eier im Chip/TAN-Körbchen. Das nutzt vor allem eine Kundengruppe, die demografisch gesehen nicht anwachsend ist. Wer hier wirklich einen Schutzheiligen braucht, sollte man noch einmal überlegen.

Auch um die explizite TAN-App ist es nicht wirklich gut bestellt. Ein Kunde, der von seiner Bank 2 getrennte Apps für Banking und SCA (Strong Customer Authentication) erhalten hat, müsste für jeden SCA-pflichtigen Vorgang, die TAN von einer App in die andere übertragen. Das ist von der UX her jetzt nicht der Brüller. Daher haben die Banken für beide Apps, die ja aus dem selben Haus kommen, einen Vertrauenskanal für eine App2App-Kommunikation gebaut.

Was aber macht ein Kunde, der eine Multibanking-App von einem anderen Hersteller verwendet? Richtig der muss wieder tippen. Hier ist aus Sicherheitsgründen keine App2App-Kommunikation denkbar. Daher gibt es bei den TAN-Apps ein Zurückrudern auf breiter Front.

Der neue Trend heißt OOB (Out Of Band), die Transaktion wird auf einem separaten Kanal freigegeben. Das heißt, egal an welchem Device man sein Online Banking ausführt, für jede Transaktionsfreigabe bekommt man eine Push-Nachricht auf das Smartphone mit der installierten 2FA App. Dort autorisiert man die Transaktion, entweder durch Freigabe mit einem biometrischen Merkmal (Fingerprint/FaceID) oder man tippt eine PIN ein.

photoTAN-Scan mit FarbmatrixcodeRudolf Linsenbarth

Viele Banken haben diesen Umbau bereits hinter sich, wie die bekannte „Photo TAN“ der Commerzbank von OneSpan. Hier hat man die App um die oben beschriebene Komponente erweitert und nennt das Ganze jetzt photoTAN-Push. Nur wenn das Smartphone keine Online-Verbindung hat und das Backend dieses erkennt, gibt es den Fallback zum „klassischen“ photoTAN-Scan. Alles klar?

Sind die Push-TAN-Apps damit beerdigt? Ja und nein. Die Banken behelfen sich derzeit damit, die TAN in den Hintergrund zu drängen, sie also unsichtbar zu machen. Das ist aber zunächst nur ein Kurieren am Symptom. Wie eine gute SCA für das Online Banking der Zukunft aussehen sollte, werde ich in weiteren Artikeln behandeln.

Der Begriff TAN, als Gattungsklasse für SCA-Banking, ist aber stark in den Köpfen der Kunden verankert. Die Targobank z.B. hat ihre 2FA App direkt als easyTAN eingeführt. Ob da unter Haube jetzt wirklich ein TAN-Verfahren drinsteckt, weiß ich nicht.

Manchmal sind es auch die Bezeichnungen, die unsterblich sind!”Rudolf Linsenbarth

Digitale Identität in Deutschland Status - die Übersicht
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben.

Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.

NameEndk. GwG KYCSSIeIDVideo-IDAuto-IDBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxx (high)xWebsite
eemaID StandardardisierungWebsite
Electronic Identificationx (substantial)xxWebsite
esatus xWebsite
europeantrustassociationID StandardardisierungWebsite
epayxxVor-Ort AuslesenWebsite
giropayAltersverifikationWebsite
ID-idealxSchaufensterprojekt aus dem Bereich "Sichere Digitale Identitäten“ des BMWiWebsite
ID4meID StandardardisierungWebsite
Identifyxx (substantial)xWebsite
identity Trust Managementxx (high)xWebsite
IDENTO.ONExWebsite
IDENTTxx (substantial)xxVideo- und Selfservice-IdentifizierungWebsite
IDnowxx (substantial)xxWebsite
IDUnionxID Union ist eine Blockchain Website
iSignthisID Check/FraudWebsite
JolocomxWebsite
Klarnax (substantial)Website
LissixLISSI ist eine WalletWebsite
majorel (ehem. Arvato)xx (substantial)xWebsite
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
Nectx (substantial)xVerifikation von AusweisenWebsite
netsxVerifikation von AusweisenWebsite
Onfido x (substantial)xWebsite
OPTIMOS 2.0ID PlattformWebsite
PXL Vision xVerifikation von AusweisenWebsite
RegulaxVerifikation von Ausweisen Website
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
Solarisbankxx (substantial)Website
Spherity xWebsite
Swisscomx (substantial)Website
ti&mxxWebsite
VERIFAIxWebsite
verifeyexVerifikation von Ausweisen und Video IdentWebsite
Verify-U xx (substantial)xWebsite
Veriffx (substantial)xWebsite
Verimixx (substantial)Website
WebIDxx (substantial)xWebsite
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern.
Ich habe dabei die folgenden Kohorten identifiziert.

Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt.
Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas.

Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben.

Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot.
Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“.

Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus,
dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt.
Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.

NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Authentic VisionxWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DaonxxxWebsite
DashlanexWebsite
easy LoginxWebsite
Electronic IdentificationxxxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
heyloginxWebsite
HID GlobalxxWebsite
Hardware Security SDKxWebsite
HYPR xxxWebsite
IDEExxWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanxx + HWxxWebsite
Onfido xxxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
privacyID3AxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite
YESxWebsite

Signatur Lösungen

In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.

NameTSP-X.509
QES
eSignatur
Anbieter
TSP-X.509
nonQES
Link
AdobexWebsite
BankverlagxWebsite
Bundesagentur für ArbeitxWebsite
BundesnotarkammerxWebsite
Ca-CertxWebsite
DGNxWebsite
DocuSignxxWebsite
D-TrustxWebsite
EasySendxWebsite
Electronic IdentificationxxxWebsite
GlobalSignxxWebsite
IntarsysxWebsite
NamirialxxWebsite
OneSpanxWebsite
OpenLimitxWebsite
ScrivexWebsite
SignaturitxxWebsite
Swisscom Trust ServicesxWebsite
TelesecxWebsite
xitrustxWebsite
Yousign xxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst.
Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich.

Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet.
Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.

NameConsulting ZertifizierungSoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
Authentic VisionxSichere Hardware FaktorenWebsite
BSIxConsulting/ZertifizierungWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
DERMALOGxxBiometrische Identifikation
Ausweislegeräte
Website
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GovernikusxeID ServerWebsite
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
Risk.Ident FRIDAxVerhaltensbasierte Identifikation/BetrugserkennungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SRC GmbHxConsulting/ZertifizierungWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxGlobale Identity LösungenWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.

NameLink
aidientWebsite
authenteqWebsite
IDENTOSWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
SK ID SolutionsWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
yptokeyWebsite

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert