Mobile Banking und der zweite Faktor – neun Verfahren

Bankgeschäfte am Handy – also Mobile Banking – abwickeln, gab es vor 10 Jahren noch nicht. Selbst die Abfrage des Kontostands war allenfalls per SMS-Nachricht möglich. Mittlerweile ist das Thema vom differenzierenden Faktor zum „Must have“ mutiert. Doch damit beginnen auch schon die Probleme!

von Rudolf Linsenbarth

Beim Online Banking am PC war über Jahre PIN/TAN das Mittel der Wahl. Mit dem Mobile Banking sind allerdings einige Verfahren so nicht nutzbar, und mit der PSD2 kommen neue Anforderungen hinzu:

1. Zwei Faktoren: Konkret sind zwei Faktoren aus den Bereichen Wissen, Besitz und Inhärenz (Biometrie) gefordert 2. Unabhängigkeit: Das bedeutet, der Bruch einer der beiden Faktoren darf nicht gleichzeitig zum Bruch des anderen Faktors führen
3. Dynamik Linking: Der zweite Faktor muss Bezug auf die Transaktion nehmen, die gerade ausgeführt werden soll

Die neun Verfahren – und was sie können

1. TAN-Liste – iTAN
Die TAN-Liste, der Dinosaurier zur Absicherung von Banktransaktionen, hat jetzt endgültig das Ende ihres Lebenszyklus erreicht. Seit Jahren ist sie ein Kandidat auf den Streichlisten der Aufsichtsbehörden. Bis heute konnte sie zumindest als iTAN-Liste überleben. Aber ein Dynamik Linking ist damit nicht mehr zu machen. Man darf gespannt sein, wie einige Institute für Ersatz sorgen.

2. SMS TAN
Die SMS ist für die Banken wahrscheinlich eines der teuersten Verfahren, um eine Überweisung zu autorisieren. Viele Privatkunden erhalten eine Sprach- und SMS-Flat schon für deutlich unter 10 €. Firmen dagegen kaufen ihre SMS nach wie vor zum Stückpreis ein. Der liegt dann bei ca. 6 Cent je SMS. Allein deshalb sind viele Banken auf der Suche nach einem Ersatz. Außerdem bietet die SMS keine Unabhängigkeit. Aus Sicherheitsgründen wird der Einsatz in Kombination mit einer Mobile Banking App von den allermeisten Banken unterbunden. Einige achten zusätzlich darauf dass eine SMS TAN auch nicht in den Mobilen Browser eingegeben werden kann.

3. CHIP/TAN
CHIP/TAN ist ein anderer Klassiker des Online Banking am PC. Hierbei wird mittels Challenge-Response geprüft ob derjenige, der die Transaktion gerade ausführen will, im Besitz der zum Konto gehörigen girocard ist. Mittels Flicker Code werden Daten an ein Lesegerät übertragen. In diesem steckt die girocard. Das Lesegerät leitet die Start-Daten an den Krypto-Chip in der Karte weiter. Dort wird dann eine TAN als Antwort berechnet. Zusätzlich werden die Transaktionsdaten im Lesegerät angezeigt. Somit ist die Anforderung an das Dynamic Linking erfüllt.

Allerdings ist die Übertragung des Flicker Codes schon am PC ein mühseliges Geschäft. Am Handy ist das Verfahren völlig unbrauchbar. Die Firma Reiner SCT bietet Lesegeräte, bei denen die Code-Übertragung der flatternden Balken substituiert werden kann.

4. CHIP/TAN Bluetooth
Bluetooth Kopplung lautet die Lösung beim tanJack Bluetooth und beim cyberJack Wave. Der cyberJack Wave kann dazu noch den Personalausweis auslesen und verhilft den iPhone-Besitzern damit zu einem weiteren Nutzungsszenario.

5. CHIP/TAN QR
Eine weitere Möglichkeit ist der tanJack photo QR. Statt per Flicker-Code werden die Informationen einem QR-Code entnommen. Bei einem ersten Versuch war das Handling am Smartphone gut zu bewerkstelligen. Ein Testbericht folgt. Der Preis dieses Gerätes liegt etwas unterhalb des tanJack Bluetooth. Außerdem spart man sich die nervige Bluetooth-Kopplung.

Der tanJack photo QR kann auch als Lesegerät für das neue Farbcode-Verfahren einiger Banken aus dem genossenschaftlicher Lager verwendet werden.

6. photoTAN
photoTAN geht auf eine Erfindung von Steven Murdoch vom University College London zurück. Darauf aufbauend gründete er 2005 ein Spin-Off namens Cronto. Dieses wurde dann 2013 von VASCO übernommen. VASCO selber nennt sich seit 2018 OneSpan. Bei deutschen Banken ist der Haupteinsatz eine White-Label-App, die die Kunden sich auf ihr Smartphone installieren. Damit können sie einen QR ähnlichen Farbcode im Online Banking der Webseite erfassen, um daraus eine TAN zu ermitteln. Außerdem kann die photoTAN-App genutzt werden, um direkt eine Transaktion in der Mobile Banking App am Smartphone zu autorisieren.

OneSpan bietet weiterhin eine separate Hardware namens DIGIPASS zur Erfassung und Auswertung des Farbodes. Diese war bisher im Markt aber nur mäßig erfolgreich.

Seit neuestem gibt es aber auch eine Geräteserie, die nach dem CHIP/TAN-Prinzip arbeitet und im genossenschaftlichen Banken Lager bereits Anklang findet.

7. BestSign
Seal One kapselt für sein Verfahren BestSign digitale Signaturen in eigene Hardware oder Apps. Banken können dann das Seal One Framework für nahezu alle Geschäftsvorfälle mit ihren Kunden verwenden. Die Nutzung ist dabei auch nicht an eine bestimmte Bank gebunden, sondern Multi Banking fähig. Seal One will damit einen digitalen “Füller” bereitstellen, mit dem der Kunde Transaktionen sicher unterzeichnet. Die Bank kann entweder eine eigene App zur Signierung der Transaktionen ausgeben oder diese Funktion als Plug-in in die eigene Mobile Banking-App integrieren. Um die Hardware-Variante in Verbindung mit einer Mobile Banking App zu verwenden, muss der Kunde eines der beiden Geräte, Seal One 7300pro oder Seal One 8300pro, erwerben. Die Kopplung erfolgt dann per Bluetooth, die Freigabe per Knopfdruck. Bisher kommt BestSign in Deutschland bei der Postbank zum Einsatz. Weitere Nutzer des Seal One Frameworks sind paydirekt, dort unter dem Namen signdirekt, sowie Verimi.

8. eTAN
Dieses hardwarebasierte Verfahren zur Transaktionsautorisierung bieten nur wenige Banken an. Die Produkte kommen nach meinem Wissen alle vom selben Hersteller OneSpan (vormals VASCO). Das eTAN-Verfahren funktioniert so, dass die Kunden in der App oder auf der Webseite eine Kontrollnummer angezeigt bekommen. Wenn sie diese dann in ihr eTAN-Gerät eingeben, wird eine TAN zur Autorisierung der Transaktion angezeigt. Ich nenne das Verfahren gerne Tamagotchi-Banking. Erhältlich ist die dazu notwendige Hardware bei der AUDI und Volkswagen Bank unter dem Namen Bankey. Die Consors Bank hat ein etwas anders aussehendes Gerät und bezeichnet dies schlicht als TAN-Generator. Nach derzeitigem Stand der Dinge ist das Verfahren aber nicht PSD2-konform. AUDI und die Volkswagen Bank werden es wohl gegen die photoTAN-Lösung tauschen.

9. App-basierte Lösungen
Dies ist die mit Abstand größte Gruppe, und eine Klassifizierung ist nicht so einfach. Mögliche Einteilungen wären ein oder zwei App Lösungen, Push-TAN oder Signaturlösungen, Freigabe mit PIN oder Biometrie etc. Die Apps haben Namen wie pushTAN (Sparkassengruppe), VR-SecureGo und VR-SecureSIGN (Genossenschaftsbanken), oder eben auch photoTAN und BestSign. Alle bisher gefundenen Apps lassen sich zusammen mit der jeweiligen Mobile Banking App aus gleichem Hause verwenden. Zudem unterstützen alle bisher gesehenen Programme, die App2App Kommunikation. Das heißt nach Autorisierung in der „TAN-App“ wird diese Information direkt durchgereicht und man muss nicht noch einmal manuell eine Zahl von einer App in die andere App übertragen.

Die neuen „Smartphone Banken“ 1822 mobil, bankomo, bunq, Fidor, Kontist, N26 und Yomo verzichten daher konsequenter Weise auf eine separate Autorisierungs-App. Bei ihnen ist das bereits integraler Bestandteil der Mobile Banking App.

Der nächste Beitrag enthält einen Überblick, welche Bank mit welchem Verfahren hier am Start ist.Rudolf Linsenbarth