Lokaler Einzelhandel - zweiter Akt

Wisst ihr noch neulich, als ich versuchte, einen Handbrems-Griff für das Fahrrad von K2 in einem Fachgeschäft hier vor Ort zu kaufen?

Ich habe der Versuchung widerstanden, online zu bestellen und bin dann in einem Fahrrad-Laden in der Nachbarstadt tatsächlich fündig geworden. Ohne Probleme bekam ich das entsprechende Ersatzteil und es war mit 5,95 Euro auch nicht sehr teuer. An der Kasse allerdings wurde mein "Ich möchte gern mit Karte zahlen." mit dem leider sehr oft gehörten Satz "Das geht erst ab 10 Euro." beantwortet. Zum Glück hatte ich auch Bargeld dabei, so dass ich nicht abermals mit leeren Händen den Laden verlassen musste.

Ich verstehe das Dilemma des Einzelhändlers. Bei kleinen Beträgen fällt die Transaktionsgebühr, die er an seinen Provider zahlen muss, natürlich mehr ins Gewicht als bei größeren Zahlungen. Allerdings sollte hier eine Mischkalkulation kein Problem sein. Momentan ist der Druck auf den Einzelhandel hierfür wohl noch nicht groß genug, denn so wie ich haben die meisten Menschen noch Bargeld dabei, wenn sie zum Einkaufen gehen. Erst wenn vermehrt Kunden den Laden ohne Kauf verlassen, weil sie schlicht nicht bezahlen können, wird sich das ändern.

Kontaktlos mit dem Handy bezahlen - jetzt mit Google Pay

Vor ungefähr einem halben Jahr habe ich hier schonmal aufgeschrieben, wie ich mithilfe der App von boon. kontaktlos mit dem Handy in dem ein oder anderen Geschäft bezahle. Und mittlerweile wird man auch in vielen Läden nicht mehr wie ein Ausserirdischer angeschaut, wenn man sein Smartphone an das Bezahl-Terminal hält. Aber immer wieder erlebe ich, dass Kassiererinnen oder Kassierer ganz erstaunt sind und meinen Bezahlvorgang mit "Das sowas bei uns funktioniert, wusste ich gar nicht." kommentieren.

Next Level - Google Pay

Google Pay Logo

Seit rund einer Woche ist nun Google Pay in Deutschland gestartet und zu meiner Freude ist auch Boonpayment/Wirecard bei den Banken dabei, die den Dienst gleich zu Anfang unterstützen.

Der Umstieg war relativ einfach. Ich musste die aktuelle Version von Google Pay sowie eine neue Version der boon-App auf dem Smartphone installieren. Nach dem Öffnen der boon-App konnte ich meine virtuelle Mastercard mit Google Pay verknüpfen. Das bestehende Guthaben sowie die Einkaufshistorie wurde natürlich von der alten App übernommen. Sobald das Hinzufügen der Karte zu Google Pay erfolgt ist, kann man loslegen.

Vorteile zur alten App

Ein Manko der alten App war, dass ich zum Bezahlen immer erst die App öffnen und die PIN eingeben musste. Danach hatte ich dann 60 Sekunden Zeit, die Zahlung durchzuführen. Mit Google Pay muss keine App geöffnet werden. Durch das Anhalten des Smartphones an das Zahlungsterminal wird der Dienst automatisch aktiviert. Eine Zahlung bis 25 Euro wird ohne weitere Eingaben einfach durchgeführt. Bei größeren Beträgen verlangt mein BlackBerry Priv das Gerätekennwort, bevor die Zahlung durchgeführt wird. Hat eurer Smartphone einen Fingerabdruck-Scanner, kann man sich natürlich auch damit autorisieren. Auf jeden Fall geht das Bezahlen bei mir jetzt noch schneller und bequemer.

Alle Daten zu Google?

Natürlich muss ich damit leben, dass Google jetzt auch noch meine Bezahlvorgänge dem großen Datensatz über mich hinzufügen kann. Zunächst möchte der Internet-Riese diese Daten allerdings nicht für Werbezwecke nutzen, auch verdient Google zur Zeit nichts an den mit dem Pay-Dienst durchgeführten Zahlungen. Ob das auch in Zukunft so bleiben wird, bleibt abzuwarten.

Ein Vorteil ist, dass bei jeder Zahlung ein einmaliges Token erzeugt wird, das anstelle der "echten" Kreditkartennummer an das Terminal übermittelt wird. Hierdurch können zumindest Händler und Terminal-Provider meine Daten nicht mehr zu Profiling-Zwecken nutzen.

Fazit

Mir gefällt der neue Google-Dienst. Die Akzeptanz-Stellen sind die gleichen wie bei meiner bisherigen Lösung, der "alten" boon-App. An allen Terminals, die Mastercard kontaktlos akzeptieren, funktioniert auch das Bezahlen mit Google Pay.

Übrigens habe ich über meine ersten Erfahrungen mit Google Pay auch in der Folge 29 vom Nerdzoom-Podcast mit Marius und Max gesprochen, die ich euch hiermit auch ans Herz legen möchte. :-)

Wie schaut es denn bei euch aus? Nutzt ihr jetzt auch Google Pay oder einen anderen Dienst, um mit dem Smartphone zu bezahlen? Lasst es mich in den Kommentaren wissen.

Kontaklos mit dem Handy bezahlen

In einer Zeit, in der immer mehr online im Internet bestellt und gekauft wird, gehen zunehmend weniger Menschen an den sogenannten Point-of-Sale, in den Laden vor Ort, um dort einzukaufen. Und wenn man das dann doch tut, möchte man möglichst bequem dort bezahlen. Und das Bezahlen mit Bargeld weicht immer mehr der Kartenzahlung - jetzt auch fast überall kontaktlos - und in Zukunft der einfachen Bezahlung mit dem Smartphone und dessen NFC-Funktionalität. Ich habe das in den letzten Wochen mal im Selbstversuch ausprobiert und hier sind meine Erlebnisse im beschaulichen Nordhessen.

Die Vision

Beim Einkaufen nicht mehr darüber nachdenken, wieviel Geld man im Geldbeutel hat, ist mit den Kartenzahlungen in den Geschäften ja bereits schon länger Realität. Allenfalls in kleinen Läden oder bei Kleinbeträgen tun sich viele Händler noch schwer, Plastikgeld anzunehmen. Wie wäre es nun, wenn man auch auf die Karten ganz verzichten könnte und einfach mit einer App auf dem Smartphone bezahlen könnte, das man ja sowieso immer dabei hat? Diese Vision ist bereits Wirklichkeit und kann in der Praxis schon genutzt werden.

Das Werkzeug

Für meinen kleinen Selbstversuch habe ich mich für die App boon. entschieden. Die App wird von der Boonpayment, einer Marke der Wirecard Card Solution Ltd. angeboten. Nach der einfachen Anmeldung mit Handynummer, E-Mail und Adresse erhält man eine virtuelle Mastercard auf dem Android-Smartphone, mit der man dann über die NFC-Schnittsstelle Zahlungen abwickeln kann. Auf iOS-Geräten funktioniert das nicht so einfach, da Apple seine NFC Schnittstelle nur für das hauseigene Zahlverfahren Apple-Pay zur Verfügung stellt. Man kann boon. auch an Apple-Pay anbinden, leider ist die Akzeptanz in Deutschland noch nicht oder nur mit einigen Tricks möglich. Eine sinnvolle Anwendung ist also hier bei uns momentan nur mit Android-Smartphones möglich.

Die zur Verfügung gestellte Karte ist eine sogenannte PrePaid-Karte, die vor der Nutzung mit Guthaben aufgeladen werden muss. Dies kann mittels einer Überweisung erfolgen, bei der das Guthaben dann nach 1-2 Tagen zur Verfügung steht. Alternativ kann ich auch über eine bestehende Kreditkarte aufladen. In diesem Fall steht das Guthaben sofort zur Verfügung, die Aufladung wird allerdings dann auch mit 1% des Ladebetrages berechnet (mindestens 1 Euro).

In der Basisversion des boon.-Kontos kann ich als Nutzer im Monat maximal 100 Euro aufladen. Mit einem Update auf die Plus-Variante, die ich inzwischen nutze, sind dann Aufladebeträge bis zu 5000 Euro im Monat möglich. Hierzu musste ich online noch weitere Identitäts- und Adressnachweise einreichen.

Die Nutzung des boon.-Kontos ist in den ersten 12 Monaten kostenlos, danach fallen 0,99 Euro pro Monat an.

Die Realität

Als stolzer boon.-Nutzer zog ich nun los, um mit der neuen App in den Geschäften zu bezahlen. Grundsätzlich funktioniert das bei allen Mastercard-Kontaktlos-Akzeptanzstellen. Hierbei muss man bei uns in der Provinz allerdings einige Einschränkungen beachten.

Zum einen ist die Aktzeptanz von Kreditkarten bei uns leider immer noch sehr verpöhnt. Viele Händler schrecken die höheren Provisionen im Vergleich zur Girocard-Zahlung ab. Auch haben gefühlt nur wenige Menschen eine Kreditkarte im Geldbeutel, eine Girocard/Bankcard seiner Hausbank dagegen jeder.

Dann die Kontaklos-Funktion an den Terminals. Hier hat sich die Situation in den letzten Monaten stark verbessert. Fast alle Terminals sind inzwischen in der Lage, kontaktlose Zahlungen durchzuführen. Meiner Erfahrung nach sind gerade die Terminals bei den Händlern, die Kreditkarten akzeptieren, vielfach auch schon für die kontaklose Zahlungen ausgerüstet.

Viele Händler haben nach wie vor ein Problem damit, kleine Beträge mittels Kartenzahlung anzunehmen. Ofmals findet man noch kleine Zettel und Schilder mit dem Hinweis "Kartenzahlung erst ab X Euro", wobei der Betrag zwischen 5 und 20 Euro schwankt. Das liegt wohl daran, dass es meistens eine Mindestprovision gibt, die der Händler für eine Transaktion bezahlen muss. Je niedriger der Betrag ist, umso größer ist der Anteil der Kosten am Umsatzbetrag.

Letztendlich gibt es dann auch noch das Kassenpersonal, welches oftmals nicht vollständig mit den Möglichkeiten und Funktionen der eingesetzten Terminals vertraut ist. Schon bei Nutzung der Kontaklos-Funktion meiner Girocard habe ich oft das Problem, dass die KassiererInnen nicht einsehen, das Terminal zu mir zu drehen, da sie die Karte unbedingt selbst in das Terminal einstecken wollen. Sicher gibt es noch genug Kunden, die damit überfordert sind, die kontaktbehaftete Karte richtig herum in das Gerät einzustecken. Das hält den Betrieb auf und daher hat es sich in vielen Geschäften eingebürgert, dass das vom Kassenpersonal gemacht wird. Gerade mit Einführung der kontaktlosen Bezahlung ist es aber wichtig, dass ich als Kunde meine Karte nicht mehr aus der Hand gebe. Hier muss also wieder ein Umdenken stattfinden.

Ich versuche natürlich schon in der Kassenschlange anhand der Beschilderung festzustellen, ob Kreditkarten und Kontaktlos-Bezahlung möglich sind. Wenn das nicht ersichtlich ist, frage ich den/die KassiererIn, ob das Terminal bereits kontaktlose Bezahlungen ermöglicht, das wissen inzwischen erfreulich viele. Bei Unsicherheiten hilft ein freundliches "Ich probiere es einfach mal" und ein beherzter Versuch meinerseits, mit der boon.-App zu bezahlen. Wenn es nicht funktioniert, steige ich halt auf die Girocard um, die natürlich immer noch beim Einkaufen dabei ist.

Eine extreme Reaktion hatte ich kürzlich an der Kasse eines großen Elektrofachmarkts in Kassel, wo die Verkäuferin beim Anblick meines Bezahlversuchs mit der App leicht panisch wurde. So erklärte sie mir, dass sie bei Kreditkartenzahlungen mit Unterschrift meinen Personalausweis sehen müsste und auch alle möglichen Personalien von mir aufschreiben müsse. Zum Glück ist bei der Bezahlung mit der virtuellen Karte der boon.-App normalerweise keine Unterschrift mehr nötig und die Zahlung ging ohne weitere Formalitäten vonstatten. Allerdings habe ich bei einigen Geschäften auch schon mal unterschreiben müssen, unabhängig von der Höhe des Bezahlbetrags.

Fazit

Das Bezahlen mit dem Smartphone macht Spaß. Auch wenn es die oben beschriebenen Hürden und Schwierigkeiten gibt, finde ich es super bequem und ein bisschen freue ich mich auch über die öfters vorkommenden verwirrten Blicke der Leute hinter mir in der Schlange. :-)

Es wird sicher noch einige Zeit dauern, bis man den Geldbeutel ganz zu Hause lassen kann, aber die Bezahlung mit dem Smartphone ist stark im kommen. Auch Banken und Sparkassen haben bereits Projekte gestartet, Kreditkarten und auch die Girocard virtuell auf die Telefone zu bringen.

So bequem die bargeldlose Zahlung auch ist, so problematisch ist natürlich auch weiterhin die Datensammlung, die bei der Nutzung entsteht. Wärend die Barzahlung weitgehend anonym erfolgt, hinterlasse ich bei der bargeldlosen Variante immer eine Datenspur, die eine Profilbildung ermöglicht. Ich bin gespannt wie hier die Entwicklung weiter geht. Wir Deutschen hängen ja bekanntlich sehr am Bargeld, wie lange die Banken da noch mitspielen, bleibt abzuwarten.

Habt ihr schonmal mit dem Smartphone bezahlt? Wie sind eure Erfahrungen und Erwartungen?

 

Onlinebanking-Sicherungsverfahren: PushTAN Verfahren der Sparkasse ist angreifbar

Bereits als ich das PushTAN-Verfahren im Juli 2014 hier auf dem Blog vorstellte, hatte ich Zweifel, ob sich die Trennung der beiden Sicherheitsfaktoren auf einem Gerät sicher darstellen lässt.

Und nun hat Vincent Haupert auf einem Vortrag beim 32C3 in Hamburg demonstriert, wie er zunächst eine ältere Version der PushTAN-App und dann auch die aktuellste angreifen konnte und Zahlungen, die auf dem selben Androidhandy ausgeführt wurden, bei der Anzeige uns Ausführung manipulieren konnte. Dabei wird dem Nutzer die von ihm gewünschte Transaktion sowohl in der Banking-App als auch in der PushTAN-App angezeigt, im Hintergrund wird jedoch eine Überweisung mit einem anderen Betrag an einen anderen Empfänger gesendet.

Leider ist zu befürchten, dass auch die TAN-Apps anderer Bankengruppen einem gleichartigen Angriff ebenfalls nicht standhalten würden. Ein echtes Zwei-Faktor-Verfahren scheint nur auf getrennten Geräten möglich zu sein. Die Nutzung der App für eine Überweisung, die man zum Beispiel auf seinem PC ausführt und dann die TAN über die App auf dem Smartphone anzeigen lässt, ist wiederum ähnlich sicher wie das MobileTAN bzw. SMS-TAN-Verfahren. Hier müssen immerhin zwei Geräte gekapert werden, um einen Angriff möglich zu machen.

Und hier ist das Video von Vincent Hauperts Vortrag, das sehr interessant und kurzweilig ist. ;-)

IT Dienstleister und ihre Angst vor Banking Software

Alle paar Wochen ruft mich ein Kunde an, der eine Banking-Software nutzt und nun einen neuen Computer bekommen hat. Ja, der IT-Dienstleister hat alle Daten vom alten Rechner gesichert, aber jetzt ist die Banking-Software weg.

Verdammt, ich frage mich immer, wieso es ein professioneller Dienstleister nicht hinbekommt, eine Software mit den zugehörigen Daten von einem PC zum anderen zu transferieren. Ich habe manchmal den Eindruck, so eine Finanzsoftware ist für manche Dienstleister wie so ein heißes Eisen, das man lieber nicht anfasst. Es ist doch gar nicht so schwer, darum hier eine kurze Universalanleitung:

Jedes Bankingprogramm bietet eine Backup-Funktion an. Nutzt die einfach und speichert die Daten auf ein externes Speichermedium. Auf dem neuen Rechner wird die Software dann neu installiert. Ja, ich weiß, oftmals hat der Kunde die Original-CD der Software nicht mehr oder weiß nicht, wie die Software jemals auf seinen Rechner gekommen ist. Tipp: Meistens haben die Kunden einen Kontakt zur ihrer Bank, der eventuell mit einer CD oder einem Download-Link aushelfen kann. Wenn eine Software von CD installiert wird, muss man meist noch ein Online-Update durchführen, um diese auf den neuesten Stand zu bringen. Danach die Datensicherung vom externen Speichermedium zurücksichern und der Kunde kann wieder mit seiner Software arbeiten.

Und wenn ihr euch unsicher seid: Ruft doch den EBL-Berater des Kunden bei seiner Bank an und fragt nach bevor ihr den alten Rechner entsorgt oder platt macht. Ist immer noch besser, als den Kunden ohne seine Software und ohne seine alten Daten sitzen zu lassen. Dieser ruft dann nämlich bei uns an und wir müssen das ganze dann gerade biegen.

Ja ich weiß, eigentlich ist der Kunde ja für seine Datensicherung selbst verantwortlich und sollte auch wissen, wo er seine Originaldatenträger aufbewahrt. Aber als Dienstleister könnt ihr da ja auch etwas für den Kunden mitdenken. Und wir in der Bank sind euch auch dankbar, wenn wir nicht alles beim Kunden zeitaufwendig neu installieren und einrichten müssen, was mit einer Datensicherung in ein paar Minuten erledigt gewesen wäre.

Danke. ;-)

PS: Ich weiß natürlich, dass viele IT-Dienstleister das natürlich so machen und einen PC-Tausch so abwickeln, dass der Kunde nachher wie gewohnt weiter arbeiten kann. Aber oft habe ich bei mir mit Kunden zu tun, wo das eben nicht so toll klappt. Und deswegen wollte ich hier grad mal meinen Frust loswerden. Dafür ist so ein Blog ja auch mal ganz gut.

Onlinebanking-Sicherungsverfahren: pushTAN

BankingIch schreibe hier im Blog immer mal wieder, wenn es Neuigkeiten zu den Sicherungsverfahren im Onlinebanking gibt. Hier nochmal die bisherigen Artikel dieser Reihe:

1. Teil: SMS-TAN

2. Teil: Chip-TAN (SmartTAN)

3. Teil: HBCI-Kennung

4. Teil: HBCI-Chipkarte

5. Teil: photoTAN

Heute geht es um ein Verfahren, dass es seit kurzem und bisher nur bei der Sparkassen-Organisation gibt: die pushTAN.

Funktionsweise

Bei der pushTAN handelt es sich, wie der Name schon vermuten lässt, um ein PIN/TAN Verfahren, bei dem die TAN über ein zweites Medium getrennt vom Onlinebanking übertragen wird. Ähnlich wie bei der mobile/SMS-TAN erhält der Kunde die TAN zu seiner Transaktion auf sein Handy. Der Unterschied ist, dass die Übertragung nicht über eine SMS erfolgt, sondern über eine spezielle App, die auf dem iOS- oder Android-Gerät installiert werden muss.

Der Kunde erhält einen Registrierungsbrief, mit dem er die App mittels eines QR-Codes mit seinem Onlinebanking verbinden muss. Um eine TAN zu erhalten, gibt man im Onlinebanking den Auftrag ein, danach geht man in die pushTAN-App und meldet sich mit dem dort vergebenen Zugangspasswort an. Die App zeigt dann noch einmal die Auftragsdaten, die wie bei allen Zwei-Schritt-TAN-Verfahren vom Kunden nochmals sorgfältig zu prüfen sind. Danach zeigt die App die TAN an, die im Onlinebanking zur Freischaltung des Auftrags eingegeben werden muss.

Ein ausführliches Erklärvideo (Update am 29.12.2015: Das Video ist nicht mehr aufrufbar. Stattdessen gibt es eine Erklärseite zum Verfahren auf sparkasse.de) findet man zum Beispiel auf der Seite der Sparkasse Hannover. Nutzen kann man das Verfahren bisher im Internetbanking der Sparkassen und in den Finanzsoftware-Produkten StarMoney und SFirm.

Sicherheit

Bei der SMS- bzw. mobileTAN raten die Banken davon ab, das Banking auf dem selben Smartphone durchzuführen, auf welches die TAN-SMS gesendet wird. Bei der pushTAN hält die Sparkasse die Trennung der Kanäle für so sicher, dass das Verfahren ausdrücklich für die gleichzeitige Nutzung auf einem Gerät empfohlen wird.

Man kann also auf einem Smartphone die Sparkassen Banking-App und die pushTAN-App nutzen. Ob das wirklich sicher ist, wird die Zukunft zeigen. Durch die kurze Zeit, die das Verfahren auf dem Markt ist und die Beschränkung auf nur eine Bankengruppe sind die Erfahrungen noch zu gering. Es ist noch keine Schadsoftware bekannt, die die pushTAN angreift. Zumindestens sollte man als Zugangspasswort für die pushTAN-App nicht das gleiche Passwort wie für das Onlinebanking selbst nutzen.

Einsatzmöglichkeiten und Fazit

Das pushTAN Verfahren schliesst eindeutig eine Lücke. Für Kunden, die das Banking mit dem Smartphone nutzen, gab es bislang keine bequeme Möglichkeit, über ein Zwei-Schritt-Verfahren an eine TAN zu kommen. Ich bin etwas skeptisch, ob die Trennung der Kanäle auf einem Gerät einer Schadsoftware standhalten wird. Momentan ist es aber eine gute Möglichkeit, auch mobil sicher Onlinebanking zu betreiben, so man denn ein Konto bei einer Bank der Sparkassengruppe hat.

 

Onlinebanking Transaktionen an mobilen Geräten absichern

Die meisten Banken in Deutschland haben inzwischen die statischen TAN- oder iTAN-Listen abgeschafft und sind auf sicherere Verfahren mit einem zweiten Kommunikationsweg umgestiegen. Dazu gehören neben dem HBCI-Banking via Chipkarte oder Schlüsseldatei die neuen Verfahren SMS-TAN, ChipTAN und ganz neu die PhotoTAN. Alle diese Verfahren haben einen Nachteil. Sie können an mobilen Geräten - vor allem an Smartphones - entweder gar nicht oder nur mit großen Unbequemlichkeiten benutzt werden. Jeder, der schon mal mit einem TAN-Generator einen Flickercode von einem Smartphone-Bildschirm gescannt hat, wird das bestätigen können.

Auf der diesjährigen CeBIT habe ich bei der Firma Reiner-SCT ein Gerät gesehen, das sich auch mit mobilen Geräten gut nutzen lässt. Es handelt sich um den cyberJack wave, einen RFID-Chipkartenleser, der über Bluetooth kommuniziert. Er kann sowohl als HBCI-Kartenleser als auch zum generieren von TANs nach dem ChipTAN-Verfahren benutzt werden. Durch die Übertragung mittels Bluetooth ist beim ChipTAN-Verfahren kein Flickercode mehr notwendig. Außerdem ist das kontaktlose Lesen des elektronischen Personalausweises möglich. Der Leser ist also ein echtes Multitalent.

Der Leser wird zur Zeit mit einigen Anwendungen und Apps deutscher Banken getestet und kann dort wohl in naher Zukunft genutzt werden. Einziges Manko dürfte für viele Nutzer der Preis sein, der wohl um die 150 Euro liegen dürfte.

Onlinebanking-Sicherungsverfahren: photoTAN

Vor einiger Zeit schrieb ich eine Artikelreihe zu den verschiedenen Sicherungsverfahren beim Onlinebanking. Hier sind nochmal die Links zu den bisherigen Artikeln:

1. Teil: SMS-TAN

2. Teil: Chip-TAN (SmartTAN)

3. Teil: HBCI-Kennung

4. Teil: HBCI-Chipkarte

Jetzt gibt es ein weiteres Sicherungsverfahren, welches seit kurzer Zeit der 1822direkt und der Commerzbank angeboten wird: die photoTAN.

Funktionsweise

Beim photoTAN Verfahren werden die Transaktionsdaten ähnlich wie beim ChipTAN-Verfahren an ein unabhängiges Gerät übertragen, welchen daraus die einmalig nutzbare und zeitlich begrenzte TAN erzeugt.

Das Verfahren nutzt dazu einen farbigen Barcode, der an einen QR-Code erinnert. Bei jeder Transaktion wird ein solches Code-Bildchen angezeigt. Mittels einer APP, die es für iOS- und Android-Geräte gibt, kann der Kunde den Code abfotografieren. Die APP zeigt die Transaktionsdaten wie Empfänger und Betrag der Überweisung an, die der Kunde mit den eingegebenen Daten vergleichen muss und dann eine TAN erzeugen kann.

Damit die TAN nicht mit beliebigen Geräten erzeugt werden kann, muss der Kunde die APP auf jedem benutzten Gerät mit einem Freischaltcode für seinen Onlinebanking-Zugang aktivieren. Es können also mehrere Geräte mit der APP genutzt werden.

Für Kunden, die kein kompatibles Smartphone besitzen, bietet die Bank ein separates Lesegerät an, welches ebenfalls die APP enthält, um die TAN zu generieren. Das Gerät ist mit ca. 15 Euro etwas teurer als die gängigen ChipTAN-Geräte.

Eine Demo-Version der APP der Commerzbank kann unter http://www.crontosign.com/  ausprobiert werden.

Sicherheit

Die Sicherheit ist aufgrund des unabhängigen Übertragungsweges gegeben. Auch hier ist, wie bei der ChipTAN, ein wichtiges Sicherheitskriterium, dass der Kunde die Transaktionsdaten genau mit den gewünschten Daten vergleicht. Nur so können Manipulationen im Browser erkannt und verhindert werden. Mit der Aktivierung mittels Freischaltcode ist sichergestellt, dass die APP nur TANs für einen bestimmten Onlinezugang erstellen kann. Das Problem dürfte hier wie auch beim SMS-Verfahren die Sicherheit des Smartphones selbst sein. Hier ist die Frage, wie gut die APP vor Manipulation, z.B. bei der Anzeige der Transaktionsdaten geschützt ist.

Einsatzmöglichkeiten und Fazit

Die photoTAN ist praktisch auch im mobilen Einsatz, da das Smartphone ohnehin meist dabei ist. Es stellt eine weitere alternative Möglichkeit dar, sicher und einfach Onlinebanking-Transaktionen zu autorisieren.

Schutz vor Trojanern in Banking-Software

Disclaimer: Die in diesem Blogeintrag behandelte "VR-Networld-Software" wird im Finanzverbund der Volks- und Raiffeisenbanken vetrieben, dem auch mein Arbeitgeber angehört. Dieser Artikel stellt meine persönliche und private Meinung dar und ist keine offizielle oder beauftragte Darstellung meines Arbeitgebers.

Onlinebanking-Trojaner haben es momentan meist auf die Banking-Portale der Banken im Internet abgesehen. Nutzer von Finanzsoftware-Produkten sind momentan noch relativ sicher vor solchen angriffen. Die Nutzung der HBCI-Schnittstelle FIN/TS, die große Vielfalt der Softwareprodukte und die geringere Nutzerzahl stellt für die Entwickler von Schadsoftware noch einen zu hohen Aufwand im Vergleich zum möglichen Ertrag dar. Und doch ist es nur eine Frage der Zeit, bis auch Finanzsoftware-Produkte ins Visier der Betrüger geraten und mit entsprechenden Trojanern angegriffen werden. Denkbar wären zum Beispiel Programme, die eine eigene FIN/TS Schnittstelle mitbringen und die Masken der eigentlich genutzten Software nachahmen, um den Bediener in diesen Masken zur Eingabe von PIN- und TAN-Nummern zu bewegen.

Die VR-Networld-Software, die im Finanzverbund der Volks- und Raiffeisenbanken vertrieben wird, hat in der aktuellen Version 4.20 bereits Sicherheitsmechanismen eingebaut, die solche Trojaner-Attacken verhindern soll.

Mit Brief und Siegel

Alle sicherheitsrelevanten Dialoge werden mit einem Siegel gekennzeichnet, wie hier zum Beispiel die PIN-Eingabe bei einer Online-Transaktion.

PIN-Eingabe VR-Networld

Im Siegel wird in einer Laufschrift die gerade durchgeführte Aktion und ein vom Benutzer festgelegter individueller Text eingeblendet. Der individuelle Text wird beim ersten Start der Anwendung nach einer Neuinstallation oder nach dem Update auf die Version 4.20 abgefragt:

Abfrage des individuellen Siegeltextes

Der Laufschrift-Text wird zusätzlich noch in einem kleinen Banner am Mauszeiger angezeigt, wenn der Mauszeiger in der Dialogmaske positioniert ist. Das sieht man hier in der Maske zur Eingabe einer Überweisung (Klicken zum Vergrößern):

Eingabemaske mit Banner am Mauszeiger

Das Banner am Mauszeiger kann in den Einstellungen der Software deaktiviert werden, da dieses Feature doch relativ störend bei der Eingabe von Daten sein kann.

Im Fokus

Bei der VR-Networld-Software öffnen sich Dialogmasken in eigenen Unterfenstern. Eine Schadsoftware könnte also eine eigene Maske in einem Fenster öffnen, das vom Benutzer nicht als "anwendungsfremdes" Fenster erkannt werden kann. Hierfür hat die Software in der unteren Statusleiste ein Icon implementiert, das mit einem gelben Ausrufungszeichen davor warnt, wenn die Anwendung nicht mehr den Fokus hat. Der nachfolgende Screenshot zeigt die VR-Networld Software und ein geöffnetes Notepad-Fenster im Vordergrund (Klicken zum Vergrößern):

Notepad im Vordergung

Fazit

Die Hersteller von Finanzsoftware müssen Maßnahmen ergreifen, um Ihre Produkte vor zukünftigen Angriffen von Schadsoftware zu schützen. Wie diese Maßnahmen aussehen können, zeigt die neue Version der VR-Networld-Software. Andere Hersteller werden nachziehen oder haben bereits ähnliche Mechanismen in ihre Software eingebaut. Wenn Ihr Softwareprodukte kennt, die bereits solche Verfahren eingebaut haben, wäre ich für einen Hinweis in den Kommentaren dankbar.

Ein TAN-Generator für mehrere Banken

Jetzt hat man erfolgreich sein Onlinebanking auf das neue ChipTAN/SmartTAN-Verfahren umgestellt und fragt sich als Kunde mit mehreren Bankverbindungen, ob man den erworbenen TAN-Generator wohl auch für andere Banken nutzen kann. Kommt drauf an.

Die Spezifikation ist wichtig

Die TAN-Generatoren arbeiten nach bestimmten Sicherheitsspezifikationen. Die neueste Spezifikation nennt sich "HDD 1.4" und wird zum Beispiel von Volks- und Raiffeisenbanken ausschließlich für das SmartTAN-Verfahren zugelassen. Ältere Geräte mit der Spezifikation "HDD 1.3" oder älter, können bei diesen Kreditinstituten nicht eingesetzt werden. Wenn man sich also einen TAN-Generator kauft, sollte man immer darauf achten, einen 1.4er zu bekommen. Erkennen kann man diese Geräte in der Regel an einer Kennzeichnung mit "1.4" oder "HDD 1.4" auf der Rückseite. Fehlt diese Kennzeichnung, dürfte es sich wahrscheinlich um ein älteres Modell handeln.

Gerätetyp abfragen

Bei einigen Instituten muss man für die Umstellung auf das ChipTAN/SmartTAN-Verfahren den Gerätetyp angeben. Dieser lässt sich wie folgt abfragen. Nach dem Einstecken der zugehörigen Bankkarte drückt man die Taste "TAN" und gibt dann die "09" und "OK" ein. Der Gerätetyp wird dann auf dem Display angezeigt.