Onlinebanking-Sicherungsverfahren: photoTAN

Vor einiger Zeit schrieb ich eine Artikelreihe zu den verschiedenen Sicherungsverfahren beim Onlinebanking. Hier sind nochmal die Links zu den bisherigen Artikeln:

1. Teil: SMS-TAN

2. Teil: Chip-TAN (SmartTAN)

3. Teil: HBCI-Kennung

4. Teil: HBCI-Chipkarte

Jetzt gibt es ein weiteres Sicherungsverfahren, welches seit kurzer Zeit der 1822direkt und der Commerzbank angeboten wird: die photoTAN.

Funktionsweise

Beim photoTAN Verfahren werden die Transaktionsdaten ähnlich wie beim ChipTAN-Verfahren an ein unabhängiges Gerät übertragen, welchen daraus die einmalig nutzbare und zeitlich begrenzte TAN erzeugt.

Das Verfahren nutzt dazu einen farbigen Barcode, der an einen QR-Code erinnert. Bei jeder Transaktion wird ein solches Code-Bildchen angezeigt. Mittels einer APP, die es für iOS- und Android-Geräte gibt, kann der Kunde den Code abfotografieren. Die APP zeigt die Transaktionsdaten wie Empfänger und Betrag der Überweisung an, die der Kunde mit den eingegebenen Daten vergleichen muss und dann eine TAN erzeugen kann.

Damit die TAN nicht mit beliebigen Geräten erzeugt werden kann, muss der Kunde die APP auf jedem benutzten Gerät mit einem Freischaltcode für seinen Onlinebanking-Zugang aktivieren. Es können also mehrere Geräte mit der APP genutzt werden.

Für Kunden, die kein kompatibles Smartphone besitzen, bietet die Bank ein separates Lesegerät an, welches ebenfalls die APP enthält, um die TAN zu generieren. Das Gerät ist mit ca. 15 Euro etwas teurer als die gängigen ChipTAN-Geräte.

Eine Demo-Version der APP der Commerzbank kann unter http://www.crontosign.com/  ausprobiert werden.

Sicherheit

Die Sicherheit ist aufgrund des unabhängigen Übertragungsweges gegeben. Auch hier ist, wie bei der ChipTAN, ein wichtiges Sicherheitskriterium, dass der Kunde die Transaktionsdaten genau mit den gewünschten Daten vergleicht. Nur so können Manipulationen im Browser erkannt und verhindert werden. Mit der Aktivierung mittels Freischaltcode ist sichergestellt, dass die APP nur TANs für einen bestimmten Onlinezugang erstellen kann. Das Problem dürfte hier wie auch beim SMS-Verfahren die Sicherheit des Smartphones selbst sein. Hier ist die Frage, wie gut die APP vor Manipulation, z.B. bei der Anzeige der Transaktionsdaten geschützt ist.

Einsatzmöglichkeiten und Fazit

Die photoTAN ist praktisch auch im mobilen Einsatz, da das Smartphone ohnehin meist dabei ist. Es stellt eine weitere alternative Möglichkeit dar, sicher und einfach Onlinebanking-Transaktionen zu autorisieren.

tweetbackcheck