Photo-TAN heißt das Online-Sicherheits-Verfahren, dass nach der Commerzbank nun auch ihre Direktbankentochter comdirect offeriert. Die „Rüstungsspirale“ im Online-Brokerage dreht sich damit weiter.
Kunden der Direktbank comdirect können seit 9. April ihre Online-Transaktionen per photoTAN freigeben. Das Verfahren gilt aktuell als recht sicher und ist auch für die Nutzer gut zu handhaben. Nach Angaben der Bank bieten nur wenige Banken weltweit bisher photoTAN an – die Raiffeisen Schweiz hat es zum Beispiel im Einsatz.
Und so läuft’s: Auf seinem Computer-Bildschirm erhält der Kunde ein mehrfarbiges kryptographisches Bild angezeigt, das in verschlüsselter Form die Auftragsdaten sowie die Transaktionsnummer (TAN) enthält. Mit einer vorher im App-Store oder bei Google Play heruntergeladenen App auf dem Smartphone kann diese Grafik direkt vom Bildschirm eingelesen werden. Der Kunde erhält dann auf seinem Smartphone sofort die Auftragsdaten zur Bestätigung sowie die TAN angezeigt, mit der er nun einen Auftrag freigeben kann. Die TAN muss man dann wie üblich in dem dafür vorgesehenen Feld am Rechner eingeben, um seine Transaktion freizugeben.
Zwischen Smartphone und Online-Banking besteht keine Verbindung – die Kanaltrennung erhöht die Sicherheit. Um das neue Verfahren nutzen zu können, erhalten Kunden zunächst von comdirect einen individuellen Code, mit dem die App aktiviert wird. Zudem werden sämtliche Transaktionsdaten ausschließlich verschlüsselt übertragen, und die TAN ist jeweils nur für einen Auftrag gültig. Entwickelt wurde das photoTAN-Verfahren vom britischen Unternehmen Cronto, einem Spin-off der Universität Cambridge.
Auch die Direktbank 1822direkt hat seit Ende 2012 ein ähnliches Verfahren im Betrieb. Auch bei ihrem QR-TAN-Verfahren wird das Smartphone mit Hilfe einer App zu einem TAN-Generator. Die Transaktionsnummer wird mittels eines QR-Codes (zweidimensionaler Code, QR steht für „Quick Response“) errechnet – so entsteht die QR-TAN. Das funktioniert so: Der Kunde muss seinen Auftrag im Online-Banking vollständig ausfüllen, dann erhält er den QR-Code angezeigt. Der muss mit dem Smartphone gescannt und anschließend bestätigt werden. Dann wird die Überweisung abgeschlossen, eine TAN-Eingabe ist nicht erforderlich.
Nach Informationen des Sicherheitsportals heise Security sei davon auszugehen, dass mit der Aktivierung eine Signierung des Smartphones und des TAN-Geräts einhergeht; andernfalls könnte auch mit der App auf einem anderen Smartphone der Code beim Online-Banking ausgelesen werden. Die Commerzbank lasse sich hierbei allerdings aus Sicherheitsgründen nicht in die Karten schauen.
Wenn Sie sich einen Überblick über die derzeit gängigen Sicherungsverfahren im Online-Banking und –Brokerage verschaffen wollen, finden Sie in einem Beitrag von mir auf www.biallo.de die wichtigsten Infos rund ums Thema. Dass Online-Banking-Sicherheit ein heikles Thema ist und bleibt, zeigen die Schadensdaten, die das Bundeskriminalamt mit der IT-Branchenvereinigung Bitkom gemeinsam erhebt. Allerdings sind die aktuellsten Daten von 2011.
Ein sehr Informativer Beitrag. Vielen Dank dafür. Ich habe gestern zum Thema "Smartphones hacken" einen sehr interessanten Beitrag bei N-tv gesehen. Wirklich erschreckend wie leicht es Hackern fällt ahnungslose Opfer auzuspionieren. Ich werde mich von jetzt an mehr um meine Sicherheit kümmern.
Quelle
Trotz allem wird Online Banking immer häufiger genutzt. Hier muss sich im Bereich der Sicherheit einfach noch viel mehr tun, damit Häcker keine Chancen mehr haben.