Spin-Off der Uni Tübingen entwickelt TAN-Generator – eingebaut in die Bankkarte

Es ist eine naheliegende Idee, den TAN-Generator für Online Banking in die Bankkarte zu integrieren. Der Vorteil ist klar: der Benutzer braucht kein Extra-Gerät – und für die Bank bedeutet das weniger Kosten. Jedoch scheiterte es bis jetzt an der Technologie. SmartDisplayer Technologie und ein Spin-Off des Fachbereichs Informatik der Universität Tübingen haben nun die Innovation geschafft.  Dr. Bernd Borchert stellt die neuartige Lösung im Detail vor.

Leider fehlten bisher die technischen Voraussetzungen um die Bankkarte mit dem TAN-Generator zu verheiraten: Für eine trojaner-sichere TAN-Erzeugung ist ein Display auf der Karte notwendig, auf dem die Überweisungsdaten noch einmal angezeigt werden. Dazu kommen Buttons für die Bestätigung beziehungsweise den Abbruch durch den Bankkunden, und eine Funkverbindung für die komfortable Übertragung der Überweisungsdaten zur Karte beziehungsweise die Rückübertragung der TAN.

Funktionsfähige Bankkarte mit TAN-Generator und Bluetooth Low Energy

Bei der heute gestarteten “CARTES“-Messe (vom 4. bis zum 6. November in Paris) wurde
nun zum ersten Mal eine Karte vorgestellt, die alle notwendigen Eigenschaften besitzt:

Vor allem Mobile Banking wird mit diesem TAN-Generator sehr komfortabel, denn der Bankkunde braucht nichts weiter als das, was er sowieso dabei hat (“True Mobility”): Smartphone/Tablet und Bankkarte:
Beim Online Banking wird das Smartphone des Bankkunden zum Übertragungsgerät vom PC zur Bankkarte:

Die Display-TAN Karte ist so flexibel, dünn und robust wie eine übliche Bankkarte. Die Karte hält 5 Jahre und 3500 Überweisungen. Die TAN-Erzeugung hält sich an den sog. OATH/OCRA Standard. Der Preis für die Karte ist vergleichbar mit dem eines Extra-Gerät TAN-Generators.

Das Funk-Verfahren ist Bluetooth Smart, auch Bluetooth Low Energy BLE genannt. Damit werden praktisch alle neuen Smartphones erreicht: ab iPhone 4s, iPad 3, Android 4.3 und Windows Phone 8.1.

Kryptografische Nonce vereitelt Funk-Angriffe

Auf den ersten Blick scheinen Funk-Angriff auf das Verfahren ein Sicherheits-Problem darzustellen. Das ist nicht der Fall: durch eine sogenannte kryptografische Nonce wird jede Art von Funk-Angriff vereitelt. Die einzigen verbleibenden Angriffe auf das Verfahren sind die gleichen wie die auf alle TAN-Generator Verfahren: die Angriffe, die auf die Unaufmerksamkeit des Bankkunden bei der Bestätigung setzen, und die sogenannten Social Engineering Angriffe von der Art “Dies ist ein Gewinnspiel”, “Dies ist eine Test-Überweisung”, etc.

Auf eine einfache Integrierbarkeit in bestehende Bankkarten-Infrastrukturen wurde geachtet: Die Display-TAN Karten können als blanko Plastikkarten geliefert werden, die alles für Display-TAN nötige schon enthalten. Die Kartendruckerei der Bank bedruckt anstatt leerer blanko Plastikkarten diese Karten und montiert den Bank-Chip darauf. Der Bank-Chip und der Display-TAN-Chip haben keine Verbindung. Die Personalisierung von Bank-Chip und Display-TAN-Chip findet anschließend bei der Bank statt.

Die Display-TAN Karte ist gemeinsames Projekt des Kartenproduzenten SmartDisplayer Technologie Ltd. aus Taiwan, der sich schon seit 1998 auf Display-Karten spezialisiert hat (damals noch 3mm dick und starr), und einem Spin-Off des Fachbereichs Informatik der Universität Tübingen, das das Gesamtverfahren und die Smartphone Software konzipiert und entwickelt hat.

Mehr Informationen zum Display-TAN Verfahren sind auf www.display-tan.com zu finden.aj