Unsere Banken sind ja seit geraumer Zeit gefordert, sich um Alternativen zum iTAN-Verfahren Gedanken zu machen.
iTANs sind so unsicher nicht, bieten sie doch die Möglichkeit, eine spezielle TAN vorzugeben. Auf seinem TAN-Zettel also die Richtige per Nummer suchen und nur die kann man dann für die nächste Transaktion verwenden. So dass es im Gegensatz zu früher nichts mehr nützt, einfach nur TANs von jemandem abzugreifen um damit dann Schaden anzurichten. Aber auch das ist nicht der Weisheit letzter Schluss, schließlich arbeitet auch die kriminelle Seite immer weiter. Und man setzt an ganz anderen Stellen an. Und genau deshalb sollten schon längst neue Methoden eingeführt sein.
Aber so easy ist es nicht, denn es braucht nicht nur einen höheren Sicherheitslevel, sondern etwas, was jedermann gut bedienen kann, Akzeptanz eben. Für denjenigen, der gut mit Technik zurechtkommt, gibt es aber schon ein paar Parallelangebote. Auch bei der Deutschen Bank zum Beispiel, wie die PhotoTAN. Kein Allheilmittel, kein Mittel gegen Man-In the Middle-Attacken, aber bestimmt eine Verbesserung und sicherlich ein Komfortmerkmal. Da ich damit ein paar Erfahrungen habe und das Ganze in mein Thema passt, hier ein bisschen was dazu…
Möchte man einen Auftrag abschließen (Überweisung, Service etc.), dann statt TAN-Listen die PhotoTAN nutzen. Am Bildschirm wird einem ein farbiger 2D-Code angeboten, welchen man mit Handy-App oder Lesegerät mit der eingebauten Kamera „scannt“. Dann wird ein Code angezeigt, den man im Online-Formular eingibt. Das war’s schon.
OK, aber wie kommt man dahin?
Besagte App gibt es für alle drei gängigen Mobile-Plattformen (Android, iOS, Windows Phone), muss man im Store downloaden. Will man statt Handy ein Lesegerät (hat einen moderaten Preis) bestellt man das über die Website der Bank. Die Ersteinrichtung ist etwas komplizierter, aber auch für das normale Leutchen zum zurechtkommen. Am Anfang steht der Antrag, hat man den online gemacht, kommt nach ein paar Tagen der Brief mit dem Aktivierungscode nach Hause, vergleichbar mit einem PIN-Brief. Der hat auch einen 2D-Code aufgedruckt. Die noch jungfräuliche Handy-App fordert nach dem ersten Aufruf das Scannen dieses Codes auf dem Briefpapier. Damit kann ich meine Geräte anlernen, man kann also auch mehrere Geräte mit seinem Konto verknüpfen.
Und hat man das auf der Reihe, ist es in allem ein guter Tipp und funktioniert in der Praxis auch gut an verspiegelten Bildschirmen. Ich bevorzuge witzigerweise das Lesegerät, weil es mit nur einem Knopfdruck bereit ist. Da gehen Aufträge schneller als bei allen anderen Verfahren. Ansonsten geht das Mobile-Phone zu Hause genauso, braucht man also nichts Neues zu kaufen. Von unterwegs reicht das Smartphone auch, denn die „Meine Bank“-App macht das Ganze direkt.
Schaut doch einfach ‚mal auf den News eurer Bankwebsite nach, was es dort Nettes gibt und traut euch!
PS.: Ja, um zu Hause überhaupt etwas machen zu können, muss ich mich zuerst wie gewohnt auf der Website der Bank anmelden. Da bleibt alles beim alten. Mehr Sicherheit gibt es vielmehr dadurch, dass meine TANs jetzt auf meinem Mobile und unter einem individuellen Hardware-Schlüssel zeitnah generiert werden und diese nicht auf einem Zettel herumlungern. Neben dem Wissensmerkmal (Zugangsdaten) ist also das Besitzmerkmal (mein persönliches Gerät) eingeführt. Recht alte Praxis in der Security. Heißt aber auch, dass ich mit meinem Besitz achtsam umgehen muss. Handy oder Lesegerät also nicht „irgendwo“ rumliegen lassen und am besten den Logscreen aktivieren. Sonst ist der zusätzliche Vorteil eventuell schnell wieder weg…