Online Banking und der Tod der TAN auf Raten
Commerzbank
TAN-Verfahren zur Absicherung im Online Banking haben eine lange Geschichte. Lange schien es unter anderem so, als würden sie sogar die Banken selber überdauern. Aber mittlerweile stößt das Verfahren an seine Grenzen. Ein Ende ist absehbar. Ein Grund dafür ist auch die PSD2. Aber wie heißt es so schön: „Totgesagte leben länger!“. Ob das auch für die TAN gilt, soll hier einmal beleuchtet werden.
von Rudolf Linsenbarth
TAN-Verfahren (TAN=TransAktionsNummer) gehen auf die Zeiten des Btx-Onlinebankings zurück. Alfred Richter, der technische Leiter der heutigen norisbank, soll diesen Zugriffschutz 1976 zunächst für den internen Gebrauch entwickelt haben.Im Anfang wurde den Kunden eine TAN-Liste auf Papier zugesandt. Jede TAN konnte nur einmal für eine beliebige Transaktion verwendet werden. Nach einem Anstieg der Betrugsfälle wurde das Verfahren durch die sogenannte iTAN-Liste ersetzt. Hierbei konnte die Bank aus einer Feldmatrix ähnlich wie beim „Schiffe versenken“ vorgeben, welche TAN für die aktuelle Transaktion gefordert wird.
Rudolf Linsenbarth beschäftigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Linsenbarth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.Neben SMS wurden TAN-Verfahren aber auch in anderer Weise technisch umgesetzt. Da gibt es zum einen die sogenannten die CHIP/TAN-Verfahren, bei denen Kryptografie, mit Hilfe des Smartcard Chips in der girocard, zum Einsatz kommt. Des Weiteren existieren Geräte, die selbständig das TAN-OTP (One Time Passwort) aus dem Startwert errechnen können.
Ab damit ins Smartphone …
Das Aufkommen der Smartphones schließlich ermöglichte TAN-Apps eine zusätzliche Umsetzung von 2FA-TAN Verfahren. Hierzu wurde der Berechnungs-Algorithmus einfach in Software gegossen und fertig war die neue Lösung. Vorteil für die Banken, hierbei waren nur geringe Modifikationen am bestehenden Backend notwendig. Eingriffe in die vielfach monolithische Infrastruktur, sind dort nicht gerade beliebt.
Wenn eine Bank im Jahr 2018, die TAN als 2FA-Verfahren einsetzen wollte, gab es die folgende Auswahl:
1. TAN-Liste / iTAN-Liste2. Hardware OTP-Geräte
3. SMS TAN
4. Chip/TAN
5. TAN-App
TAN-Listen, egal in welcher Ausprägung, wurden durch die PSD2 gekillt. Sie erfüllten die Vorgaben der Transaktionsbindung einfach nicht mehr. Der Einsatz im Online Banking ist seit September 2019 nicht mehr zulässig. Ähnliches gilt für einfache OTP Hardware, wo z.B. nur eine 6 stellige Kontrollnummer als Startwert eingetippt werden musste. Überlebt haben dagegen die Geräte von OneSpan, hier erfolgt die Startwertübertragung mittels Farbmatrix-Code. Dadurch kommen größere Informationsblöcke zum Einsatz. Diese enthalten dann auch die von der PSD2 geforderten Informationen über den aktuellen Geschäftsvorfall, den der Kunde mittels TAN freigeben soll.
Die SMS TAN ist bei den Banken eigentlich ein ungeliebtes Kind, da es im Betrieb mit erheblichen Kosten verbunden ist. Im Gegensatz zu den Privatkunden, die vielfach eine SMS Flatrate haben, müssen gewerbliche Kunden meist Preise ab 6 Cent aufwärts für eine SMS berappen. Das läppert sich bei großen Banken. Hinzu kommt noch das Risiko, von TeleTan wegen Patentverletzung verklagt zu werden. Außerdem gehört SMS TAN zu den eher unsicheren Verfahren. Fast alle Banken schließen die gleichzeitige Nutzung von SMS TAN, in Kombination mit der Banking App auf dem Smartphone, in ihren AGBs aus. Ich kann mir gut vorstellen, dass die Bankenaufsicht der SMS TAN, ähnlich wie den TAN-Listen, den Hahn abdreht.
ITFM
Das Chip/TAN Verfahren (hier mein großes Review dazu aus dem letzten Jahr) mit dem umständlichen Flickr Code war bisher eine einzige Zumutung. Den neuen Geräten mit QR- oder Farbmatrix-Code kann aber ein gutes Handling attestiert werden. Auch das große Display, auf dem die freizugebende Transaktion sehr übersichtlich angezeigt wird, trägt zu einem guten Nutzererlebnis bei.
Also alles gut?
Nicht ganz, wer eine Multibanking-App verwendet und dort für das Einloggen bei mehreren Konten jedes Mal eine andere Karte in das Gerät stecken muss, der ist ziemlich schnell frustriert. Ähnlich unhandlich wird es beim PSD2 XS2A (Access to Account) Zugriff auf das eigene Girokonto.
Trotzdem wird der Markt für das Chip/TAN-Verfahren nicht vom einen auf den anderen Tag implodieren. Wer seine Bankgeschäfte ausschließlich zu Hause am PC über die Webseite seiner Bank macht, und das ist derzeit noch die überwiegende Mehrheit der Deutschen (wenn sie überhaupt am Online Banking teilnehmen), ist mit Chip/TAN gut bedient.
Reiner SCT
Die Firma Reiner SCT, einer von 3 Anbietern für Chip/TAN-Leser, scheint sich der Sache aber nicht mehr ganz so sicher zu sein. Man möchte gerne Reiner zum Schutzheiligen des Online Banking machen. Also für Chip/TAN selbst, sehe ich da keine Notwendigkeit. Im Gegensatz zu den Mitbewerbern Kobil und OneSpan, hat Reiner aber nur Eier im Chip/TAN-Körbchen. Das nutzt vor allem eine Kundengruppe, die demografisch gesehen nicht anwachsend ist. Wer hier wirklich einen Schutzheiligen braucht, sollte man noch einmal überlegen.
Auch um die explizite TAN-App ist es nicht wirklich gut bestellt. Ein Kunde, der von seiner Bank 2 getrennte Apps für Banking und SCA (Strong Customer Authentication) erhalten hat, müsste für jeden SCA-pflichtigen Vorgang, die TAN von einer App in die andere übertragen. Das ist von der UX her jetzt nicht der Brüller. Daher haben die Banken für beide Apps, die ja aus dem selben Haus kommen, einen Vertrauenskanal für eine App2App-Kommunikation gebaut.
Was aber macht ein Kunde, der eine Multibanking-App von einem anderen Hersteller verwendet? Richtig der muss wieder tippen. Hier ist aus Sicherheitsgründen keine App2App-Kommunikation denkbar. Daher gibt es bei den TAN-Apps ein Zurückrudern auf breiter Front.
Der neue Trend heißt OOB (Out Of Band), die Transaktion wird auf einem separaten Kanal freigegeben. Das heißt, egal an welchem Device man sein Online Banking ausführt, für jede Transaktionsfreigabe bekommt man eine Push-Nachricht auf das Smartphone mit der installierten 2FA App. Dort autorisiert man die Transaktion, entweder durch Freigabe mit einem biometrischen Merkmal (Fingerprint/FaceID) oder man tippt eine PIN ein.
Rudolf Linsenbarth
Viele Banken haben diesen Umbau bereits hinter sich, wie die bekannte „Photo TAN“ der Commerzbank von OneSpan. Hier hat man die App um die oben beschriebene Komponente erweitert und nennt das Ganze jetzt photoTAN-Push. Nur wenn das Smartphone keine Online-Verbindung hat und das Backend dieses erkennt, gibt es den Fallback zum „klassischen“ photoTAN-Scan. Alles klar?
Sind die Push-TAN-Apps damit beerdigt? Ja und nein. Die Banken behelfen sich derzeit damit, die TAN in den Hintergrund zu drängen, sie also unsichtbar zu machen. Das ist aber zunächst nur ein Kurieren am Symptom. Wie eine gute SCA für das Online Banking der Zukunft aussehen sollte, werde ich in weiteren Artikeln behandeln.
Der Begriff TAN, als Gattungsklasse für SCA-Banking, ist aber stark in den Köpfen der Kunden verankert. Die Targobank z.B. hat ihre 2FA App direkt als easyTAN eingeführt. Ob da unter Haube jetzt wirklich ein TAN-Verfahren drinsteckt, weiß ich nicht.
Manchmal sind es auch die Bezeichnungen, die unsterblich sind!”Rudolf Linsenbarth
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/112326
Schreiben Sie einen Kommentar