Onlinebanking-Sicherungsverfahren: pushTAN

Geschrieben von Mario Hommel am Sonntag, 6. Juli 2014

Banking Ich schreibe hier im Blog immer mal wieder, wenn es Neuigkeiten zu den Sicherungsverfahren im Onlinebanking gibt. Hier nochmal die bisherigen Artikel dieser Reihe:

1. Teil: SMS-TAN

2. Teil: Chip-TAN (SmartTAN)

3. Teil: HBCI-Kennung

4. Teil: HBCI-Chipkarte

5. Teil: photoTAN

Heute geht es um ein Verfahren, dass es seit kurzem und bisher nur bei der Sparkassen-Organisation gibt: die pushTAN.

Funktionsweise

Bei der pushTAN handelt es sich, wie der Name schon vermuten lässt, um ein PIN/TAN Verfahren, bei dem die TAN über ein zweites Medium getrennt vom Onlinebanking übertragen wird. Ähnlich wie bei der mobile/SMS-TAN erhält der Kunde die TAN zu seiner Transaktion auf sein Handy. Der Unterschied ist, dass die Übertragung nicht über eine SMS erfolgt, sondern über eine spezielle App, die auf dem iOS- oder Android-Gerät installiert werden muss.

Der Kunde erhält einen Registrierungsbrief, mit dem er die App mittels eines QR-Codes mit seinem Onlinebanking verbinden muss. Um eine TAN zu erhalten, gibt man im Onlinebanking den Auftrag ein, danach geht man in die pushTAN-App und meldet sich mit dem dort vergebenen Zugangspasswort an. Die App zeigt dann noch einmal die Auftragsdaten, die wie bei allen Zwei-Schritt-TAN-Verfahren vom Kunden nochmals sorgfältig zu prüfen sind. Danach zeigt die App die TAN an, die im Onlinebanking zur Freischaltung des Auftrags eingegeben werden muss.

Ein ausführliches Erklärvideo (Update am 29.12.2015: Das Video ist nicht mehr aufrufbar. Stattdessen gibt es eine Erklärseite zum Verfahren auf sparkasse.de) findet man zum Beispiel auf der Seite der Sparkasse Hannover. Nutzen kann man das Verfahren bisher im Internetbanking der Sparkassen und in den Finanzsoftware-Produkten StarMoney und SFirm.

Sicherheit

Bei der SMS- bzw. mobileTAN raten die Banken davon ab, das Banking auf dem selben Smartphone durchzuführen, auf welches die TAN-SMS gesendet wird. Bei der pushTAN hält die Sparkasse die Trennung der Kanäle für so sicher, dass das Verfahren ausdrücklich für die gleichzeitige Nutzung auf einem Gerät empfohlen wird.

Man kann also auf einem Smartphone die Sparkassen Banking-App und die pushTAN-App nutzen. Ob das wirklich sicher ist, wird die Zukunft zeigen. Durch die kurze Zeit, die das Verfahren auf dem Markt ist und die Beschränkung auf nur eine Bankengruppe sind die Erfahrungen noch zu gering. Es ist noch keine Schadsoftware bekannt, die die pushTAN angreift. Zumindestens sollte man als Zugangspasswort für die pushTAN-App nicht das gleiche Passwort wie für das Onlinebanking selbst nutzen.

Einsatzmöglichkeiten und Fazit

Das pushTAN Verfahren schliesst eindeutig eine Lücke. Für Kunden, die das Banking mit dem Smartphone nutzen, gab es bislang keine bequeme Möglichkeit, über ein Zwei-Schritt-Verfahren an eine TAN zu kommen. Ich bin etwas skeptisch, ob die Trennung der Kanäle auf einem Gerät einer Schadsoftware standhalten wird. Momentan ist es aber eine gute Möglichkeit, auch mobil sicher Onlinebanking zu betreiben, so man denn ein Konto bei einer Bank der Sparkassengruppe hat.

Trackbacks

Trackback-URL für diesen Eintrag

Dieser Link ist nicht aktiv. Er enthält die Trackback-URI zu diesem Eintrag. Sie können diese URI benutzen, um Ping- und Trackbacks von Ihrem eigenen Blog zu diesem Eintrag zu schicken. Um den Link zu kopieren, klicken Sie ihn mit der rechten Maustaste an und wählen "Verknüpfung kopieren" im Internet Explorer oder "Linkadresse kopieren" in Mozilla/Firefox.

www.allnetflat-24.de am Montag, 29. Dezember 2014: PingBack

Keine Einträge vorhanden

Hommel-Net Weblog am Dienstag, 29. Dezember 2015: Onlinebanking-Sicherungsverfahren: PushTAN Verfahren der Sparkasse ist angreifbar

"Onlinebanking-Sicherungsverfahren: PushTAN Verfahren der Sparkasse ist angreifbar" vollständig lesen

Bereits als ich das PushTAN-Verfahren im Juli 2014 hier auf dem Blog vorstellte, hatte ich Zweifel, ob sich die Trennung der beiden Sicherheitsfaktoren auf einem Gerät sicher darstellen lässt. Und nun hat Vincent Haupert auf einem Vortrag beim 32C3 in

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Besim Karadeniz am Sonntag, 6. Juli 2014:

Die Sparkasse erlaubt sich dafür aber den Quatsch, dass die App zum Generieren von Push-TAN nur auf nicht-gerooteten Android-Smartphones laufen mag. Andererseits vielleicht auch ganz gut so, denn man erlaubt sich darüber hinaus auch noch die Peinlichkeit, pro Push-TAN sagenhafte 5 Cent in Rechnung zu stellen.

Kommentar schreiben

Name

E-Mail

Homepage

Antwort zu

Kommentar

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.

Ich bin damit einverstanden, dass meine Daten gespeichert werden. Weitere Details finden sich in der Datenschutzerklärung.

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

Phone*

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Daten merken?

Bei Aktualisierung dieser Kommentare benachrichtigen

Manuel zu Iptables Firewall - Wann beim Portforwarding ein DNAT nicht genug ist

Mi, 07.06.2023 09:41

Ich bekam die Erklärung dieses Problems letztens mündlich. Es nochmal deta [...]

Mario Hommel zu Eine Tasse Kaffee am Sonntagmorgen 001

Sa, 29.04.2023 08:04

Hallo Martin, die von dir angesprochenen Punkte habe ich im Text angesproc [...]

Martin zu Eine Tasse Kaffee am Sonntagmorgen 001

Di, 25.04.2023 23:18

Was soll denn diese "umsonst Mentalität"? Wenn ich als Publisher Conten [...]

vinzv zu Eine Tasse Kaffee am Sonntagmorgen 001

Fr, 21.04.2023 10:16

Ich nutze Inoreader. Da gibt es so ein Kaffeetassen-Icon, das auf Klick ve [...]

Mo, 03.04.2023 08:59

Ich nutze FreshRSS, da kann man für die Feeds erweiterte Einstellungen mac [...]