Onlinebanking-Sicherungsverfahren: pushTAN
Geschrieben von Mario Hommel am
Ich schreibe hier im Blog immer mal wieder, wenn es Neuigkeiten zu den Sicherungsverfahren im Onlinebanking gibt. Hier nochmal die bisherigen Artikel dieser Reihe:
Heute geht es um ein Verfahren, dass es seit kurzem und bisher nur bei der Sparkassen-Organisation gibt: die pushTAN.
Funktionsweise
Bei der pushTAN handelt es sich, wie der Name schon vermuten lässt, um ein PIN/TAN Verfahren, bei dem die TAN über ein zweites Medium getrennt vom Onlinebanking übertragen wird. Ähnlich wie bei der mobile/SMS-TAN erhält der Kunde die TAN zu seiner Transaktion auf sein Handy. Der Unterschied ist, dass die Übertragung nicht über eine SMS erfolgt, sondern über eine spezielle App, die auf dem iOS- oder Android-Gerät installiert werden muss.
Der Kunde erhält einen Registrierungsbrief, mit dem er die App mittels eines QR-Codes mit seinem Onlinebanking verbinden muss. Um eine TAN zu erhalten, gibt man im Onlinebanking den Auftrag ein, danach geht man in die pushTAN-App und meldet sich mit dem dort vergebenen Zugangspasswort an. Die App zeigt dann noch einmal die Auftragsdaten, die wie bei allen Zwei-Schritt-TAN-Verfahren vom Kunden nochmals sorgfältig zu prüfen sind. Danach zeigt die App die TAN an, die im Onlinebanking zur Freischaltung des Auftrags eingegeben werden muss.
Ein ausführliches Erklärvideo (Update am 29.12.2015: Das Video ist nicht mehr aufrufbar. Stattdessen gibt es eine Erklärseite zum Verfahren auf sparkasse.de) findet man zum Beispiel auf der Seite der Sparkasse Hannover. Nutzen kann man das Verfahren bisher im Internetbanking der Sparkassen und in den Finanzsoftware-Produkten StarMoney und SFirm.
Sicherheit
Bei der SMS- bzw. mobileTAN raten die Banken davon ab, das Banking auf dem selben Smartphone durchzuführen, auf welches die TAN-SMS gesendet wird. Bei der pushTAN hält die Sparkasse die Trennung der Kanäle für so sicher, dass das Verfahren ausdrücklich für die gleichzeitige Nutzung auf einem Gerät empfohlen wird.
Man kann also auf einem Smartphone die Sparkassen Banking-App und die pushTAN-App nutzen. Ob das wirklich sicher ist, wird die Zukunft zeigen. Durch die kurze Zeit, die das Verfahren auf dem Markt ist und die Beschränkung auf nur eine Bankengruppe sind die Erfahrungen noch zu gering. Es ist noch keine Schadsoftware bekannt, die die pushTAN angreift. Zumindestens sollte man als Zugangspasswort für die pushTAN-App nicht das gleiche Passwort wie für das Onlinebanking selbst nutzen.
Einsatzmöglichkeiten und Fazit
Das pushTAN Verfahren schliesst eindeutig eine Lücke. Für Kunden, die das Banking mit dem Smartphone nutzen, gab es bislang keine bequeme Möglichkeit, über ein Zwei-Schritt-Verfahren an eine TAN zu kommen. Ich bin etwas skeptisch, ob die Trennung der Kanäle auf einem Gerät einer Schadsoftware standhalten wird. Momentan ist es aber eine gute Möglichkeit, auch mobil sicher Onlinebanking zu betreiben, so man denn ein Konto bei einer Bank der Sparkassengruppe hat.