< Der Kaninchenstall | Selfoss 2.11 erschienen >

Onlinebanking-Sicherungsverfahren: pushTAN

BankingIch schreibe hier im Blog immer mal wieder, wenn es Neuigkeiten zu den Sicherungsverfahren im Onlinebanking gibt. Hier nochmal die bisherigen Artikel dieser Reihe:

1. Teil: SMS-TAN

2. Teil: Chip-TAN (SmartTAN)

3. Teil: HBCI-Kennung

4. Teil: HBCI-Chipkarte

5. Teil: photoTAN

Heute geht es um ein Verfahren, dass es seit kurzem und bisher nur bei der Sparkassen-Organisation gibt: die pushTAN.

Funktionsweise

Bei der pushTAN handelt es sich, wie der Name schon vermuten lässt, um ein PIN/TAN Verfahren, bei dem die TAN über ein zweites Medium getrennt vom Onlinebanking übertragen wird. Ähnlich wie bei der mobile/SMS-TAN erhält der Kunde die TAN zu seiner Transaktion auf sein Handy. Der Unterschied ist, dass die Übertragung nicht über eine SMS erfolgt, sondern über eine spezielle App, die auf dem iOS- oder Android-Gerät installiert werden muss.

Der Kunde erhält einen Registrierungsbrief, mit dem er die App mittels eines QR-Codes mit seinem Onlinebanking verbinden muss. Um eine TAN zu erhalten, gibt man im Onlinebanking den Auftrag ein, danach geht man in die pushTAN-App und meldet sich mit dem dort vergebenen Zugangspasswort an. Die App zeigt dann noch einmal die Auftragsdaten, die wie bei allen Zwei-Schritt-TAN-Verfahren vom Kunden nochmals sorgfältig zu prüfen sind. Danach zeigt die App die TAN an, die im Onlinebanking zur Freischaltung des Auftrags eingegeben werden muss.

Ein ausführliches Erklärvideo (Update am 29.12.2015: Das Video ist nicht mehr aufrufbar. Stattdessen gibt es eine Erklärseite zum Verfahren auf sparkasse.de) findet man zum Beispiel auf der Seite der Sparkasse Hannover. Nutzen kann man das Verfahren bisher im Internetbanking der Sparkassen und in den Finanzsoftware-Produkten StarMoney und SFirm.

Sicherheit

Bei der SMS- bzw. mobileTAN raten die Banken davon ab, das Banking auf dem selben Smartphone durchzuführen, auf welches die TAN-SMS gesendet wird. Bei der pushTAN hält die Sparkasse die Trennung der Kanäle für so sicher, dass das Verfahren ausdrücklich für die gleichzeitige Nutzung auf einem Gerät empfohlen wird.

Man kann also auf einem Smartphone die Sparkassen Banking-App und die pushTAN-App nutzen. Ob das wirklich sicher ist, wird die Zukunft zeigen. Durch die kurze Zeit, die das Verfahren auf dem Markt ist und die Beschränkung auf nur eine Bankengruppe sind die Erfahrungen noch zu gering. Es ist noch keine Schadsoftware bekannt, die die pushTAN angreift. Zumindestens sollte man als Zugangspasswort für die pushTAN-App nicht das gleiche Passwort wie für das Onlinebanking selbst nutzen.

Einsatzmöglichkeiten und Fazit

Das pushTAN Verfahren schliesst eindeutig eine Lücke. Für Kunden, die das Banking mit dem Smartphone nutzen, gab es bislang keine bequeme Möglichkeit, über ein Zwei-Schritt-Verfahren an eine TAN zu kommen. Ich bin etwas skeptisch, ob die Trennung der Kanäle auf einem Gerät einer Schadsoftware standhalten wird. Momentan ist es aber eine gute Möglichkeit, auch mobil sicher Onlinebanking zu betreiben, so man denn ein Konto bei einer Bank der Sparkassengruppe hat.

 

Trackbacks

Trackback-URL für diesen Eintrag

Dieser Link ist nicht aktiv. Er enthält die Trackback-URI zu diesem Eintrag. Sie können diese URI benutzen, um Ping- und Trackbacks von Ihrem eigenen Blog zu diesem Eintrag zu schicken. Um den Link zu kopieren, klicken Sie ihn mit der rechten Maustaste an und wählen "Verknüpfung kopieren" im Internet Explorer oder "Linkadresse kopieren" in Mozilla/Firefox.

www.allnetflat-24.de am : PingBack

Keine Einträge vorhanden

Hommel-Net Weblog am : Onlinebanking-Sicherungsverfahren: PushTAN Verfahren der Sparkasse ist angreifbar

"Onlinebanking-Sicherungsverfahren: PushTAN Verfahren der Sparkasse ist angreifbar" vollständig lesen
Bereits als ich das PushTAN-Verfahren im Juli 2014 hier auf dem Blog vorstellte, hatte ich Zweifel, ob sich die Trennung der beiden Sicherheitsfaktoren auf einem Gerät sicher darstellen lässt. Und nun hat Vincent Haupert auf einem Vortrag beim 32C3 in

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Besim Karadeniz am :

*

Die Sparkasse erlaubt sich dafür aber den Quatsch, dass die App zum Generieren von Push-TAN nur auf nicht-gerooteten Android-Smartphones laufen mag. Andererseits vielleicht auch ganz gut so, denn man erlaubt sich darüber hinaus auch noch die Peinlichkeit, pro Push-TAN sagenhafte 5 Cent in Rechnung zu stellen.

Besim Karadeniz schrieb auch: Aus dem Maschinenraum der Enterprise.

Kommentar schreiben

Gravatar, Twitter, Pavatar, MyBlogLog, Favatar Autoren-Bilder werden unterstützt.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Wenn Du Deinen Twitter Namen eingibst wird Deine Timeline in Deinem Kommentar verlinkt.
Bewirb einen Deiner letzten Artikel
Dieses Blog erlaubt Dir mit Deinem Kommentar einen Deiner letzten Artikel zu bewerben. Bitte gib Deine Blog URL als Homepage ein, dann wird eine Auswahl erscheinen, in der Du einen Artikel auswählen kannst. (Javascript erforderlich)
(Bedingung: 1 Kommentare geschrieben)
tweetbackcheck