Das Display-TAN-Verfahren: Sicher und bequem zugleich

Blaue Dummy-Bankkarte mit integrierten Display für Display-TAN-Verfahren
© Franke Media – Display-TAN

TAN-Generator und Bankkarte kommen beim Display-TAN-Verfahren in einem und zwar in einer Bankkarte mit integriertem Display. Daher Display-TAN-Verfahren.

Die Kommunikation zur Karte findet via Bluetooth statt. Für das mobile Banking benötigen Nutzer also nicht mehr als ihre Bankkarte mit Display-Anzeige, die sich i. d. R. sowieso im Portemonnaie befindet. User ersparen sich dabei das Eintippen von TAN-Ziffern und haben innerhalb weniger Klicks ihren Zahlauftrag ausgelöst.

Die groben Fakten im Überblick

Die Hardware zum neuen Display-TAN-Verfahren besteht lediglich aus der Bankkarte mit integriertem Display zur Anzeige der Zahlungssumme und der erforderlichen TAN. In die Bankkarte ist zudem ein Bluetooth-Modul eingebaut. All diese Technik ändert jedoch kaum etwas am äußeren Erscheinungsbild der Bankkarte, denn sie bleibt wie die bisher üblichen Bankkarten zum Girokonto dünn, flexibel, haltbar und robust und passt damit weiterhin in jedes Portemonnaie.

Ein besonderes Alleinstellungsmerkmal dieser Bankkarte ist neben der hohen Benutzerfreundlichkeit die Sicherheit.

Es wird neben der Bankkarte kein weiterer TAN-Generator benötigt. Daraus ergeben sich besonders beim Mobile Banking enorme Vorteile, denn es wird kein zusätzliches Equipment benötigt außer eben dieser Bankkarte mit Display sowie dem Smartphone, welche User des Mobile Banking i. d. R. mit sich führen.

Info

Besonders wichtig erscheint uns der Sicherheitsaspekt. Sicheres Banking wird mit dieser Bankkarte groß geschrieben. Das funktioniert auch in der Umsetzung gut, da wirklich alle sicherheitskritischen Aspekte auf der Bankkarte stattfinden. Sie ist Speicherplatz für den geheimen Schlüssel, die notwendigen Transaktionsdaten, die auf der Karte wiederholt angezeigt werden und auf welcher auch die TAN erzeugt wird. Dabei kommunizieren Smartphone und Bankkarte via Bluetooth

Wie das Display-TAN-Verfahren funktioniert

Wie bereits erwähnt, liegt die eigentliche Idee des Display-TAN-Verfahrens in den Sicherheitsvorkehrungen direkt. »Die Grundidee von Display-TAN ist, alles Sicherheits-Kritische auf der Bankkarte stattfinden zu lassen: Der geheime Schlüssel des Bankkunden ist dort gespeichert (und nicht auf dem PC, Laptop, Tablet oder Smartphone), die Transaktionsdaten werden dort noch einmal manipulationssicher angezeigt und abschließend wird auf der Karte die TAN erzeugt.«1

Surftipp: Mobile Payment Anbieter im Überblick

Display-TAN-Verfahren besonders geeignet für Mobile Banking

Die derzeitige Funktionsweise des Display-TAN-Verfahrens wird an dieser Stelle vorwiegend aus User-Sicht beschrieben und erklärt. Wir beschränken uns in unserer Grafik vor allem auf das Mobile Banking, was heute zu den gängigen Zahlverfahren zählt und für dieses Verfahren besonders geeignet ist.

Eine schrittweise Erklärung zum Mobile Banking mit Display-TAN-Verfahren auf der Bankkarte: 

  • Der User meldet sich in der entsprechenden Banking App auf seinem Smartphone oder Tablet an. Dies tut er mit den ihm bekannten Login-Daten wie Kontonummer und Passwort.
  • Nun ruft der Kunde in seinem Bankaccount das gewünschte Überweisungsformular auf. In dieses gibt er die Daten ein und sendet es schließlich wie gewöhnlich ab.
  • Auf seinem Smartphone erhält der User die Antwort der Bank. Der Server informiert den User über den empfangenen Auftrag und fordert zur Auslösung eine TAN.
  • Nun kommt die Bankkarte zum Einsatz: Diese wird vom User „eingeschaltet“ via Button, damit das Karten-Display lesbar wird. Die Bankkarte wird nun in geringem Abstand an das Smartphone gehalten, damit die Bluetooth-Verbindung erfolgreich hergestellt werden kann.
  • Die Überweisungsdaten werden nun vom Smartphone auf die Bankkarte versendet. Auf dieser wird zuerst die Empfängerkontonummer sichtbar und muss mit einem »OK« bestätigt werden. Daraufhin erhält der Kunde auf der Karte die Anzeige des Überweisungsbetrages.
  • Ein zweites »OK« durch den User bestätigt und im gleichen Zuge die TAN erzeugt und wiederum auf das Smartphone gesendet und schließlich an die Bank online weitergegeben.
  • Im letzten Schritt prüft die Bank die TAN-Ziffern. Sind diese korrekt, kann die Überweisung durch die Bank ausgelöst werden.

Für den Bankkunden bedeutet dieses TAN-Generierungsverfahren nur »Klicken« und besonders wichtig: prüfen!

Ablauf einer Überweisung via Display-TAN-Verfahren
© Franke-Media – Display TAN-Verfahren – Funktionsweise

Ein zweiter Blick auf das TAN-Verfahren

Im Zuge einer intensiveren Recherche für Interessierte, haben wir die Punkte »Sicherheit«, »Usability« und die damit verbundenen »Kosten« noch einmal genauer unter die Lupe genommen.

Die eigentliche Entscheidungsgewalt über die gültige Generierung einer TAN ist nur dem User gegeben. Damit liegt der Sicherheitsaspekt allein bei ihm. Bestätigt dieser mit dem »OK« Button auf der Bankkarte die Korrektheit der Angaben zum Zahlungsempfänger sowie des Überweisungsbetrages, angezeigt auf dem Display der Bankkarte, ist er haftbar für die getätigte Überweisung. Er hat die Angaben gesehen und bestätigt.

Gefahr von Bluetooth-Angriffen sinkt  

Jegliche Daten, welche die Bankkarte erreichen, werden von dem entsprechenden Bankserver mit AES verschlüsselt und erst auf der Display-Karte selbst wieder entschlüsselt. Manipulationsangriffe via Bluetooth sind somit fast ausgeschlossen. Die Besonderheit liegt darin, dass nur Server und Bankkarte den AES-Schlüssel kennen und jede Bankkarte natürlich einen individuellen AES-Schlüssel besitzt. Auch Bluetooth-Sniffing von Überweisungsdaten ist damit ausgeschlossen.  

Prüfung senkt Risiko vor Man-in-the-Middle-Angriffen

Man-in-the-Middle-Angriffe durch Trojaner auf dem Smartphone sind jedoch weitaus gefährlicher als Funkangriffe wie bspw. das Bluetooth-Sniffing. Deswegen heißt es an dieser Stelle besondere Aufmerksamkeit auf die Prüfung der auf dem Display angezeigten Daten zu lenken. Ein Smartphone-Trojaner sendet während des Mobile Banking des Kunden eine betrügerische Überweisung an die Bank des Kunden als auch an seine Bankkarte. Auf dem Smartphone-Display sieht der Kunde jedoch nur die korrekte Eingabe der eingegebenen Überweisungsdaten. Schaut er nun auf das Display der Bankkarte kann er mit entsprechender Aufmerksamkeit (hoffentlich) feststellen, dass die Angaben nicht mehr übereinstimmen und in diesem Moment die Überweisung stoppen, in dem er diese nicht bestätigt.

An dieser Stelle wird ersichtlich, dass die beste Sicherheitstechnik nichts bringt, wenn Bankkunden während des Mobile Banking nicht auch die notwendige Aufmerksamkeit mitbringen. Schützen Sie sich selber, indem Sie stets volle Konzentration während Ihrer Bankgeschäfte zeigen.

Surftipp: So bleibt ihr Bankgeheinmis auch auf dem Smartphone geheim

Social Engineering

Versucht ein Trojaner einen Bankkunden zur Generierung einer TAN zu bringen, nennt sich dieser Betrugsversuch Social Engineering. Dabei wird der Bankkunde bewusst versucht in die Irre geführt zu werden. Dies bspw. mit dem Versuch einer vorgegaugelten Test-Überweisung bzw. durch ein Gewinnspiel, Auslosung etc. Bisher sind die Möglichkeiten der Banken begrenzt, dem Kunden an dieser Stelle zu bestätigen, dass es sich tatsächlich um eine echte Überweisung handelt. Aktuell geht dies über den Hinweis eines Aufdrucks mit dem Text »Money Transfer«, der dann so aussieht als wäre es ein Teil des Display.

Rechtlicher Schadensersatz

Durch die hohen Sicherheitsstandards bei diesem Verfahren kann ein eventuell entstandener Schaden durch Missbrauch bzw. Betrug wie durch ein Man-in-the-Middle-Angriff oder auch das Social Engineering als eine Unaufmerksamkeit bzw. »grobe Fahrlässigkeit« des Kunden ausgewiesen werden. Das weiß auch ein Kreditinstitut und wird dies dementsprechend nachweisen. »Aus dem Grund kann die Bank einem Schaden mit Display-TAN den Schadensersatz verweigern. Bei den weniger sicheren Verfahren wie SMS-TAN, iTAN, die app-basierten Verfahren und auch bei NFC-TAN ist die Situation umgekehrt.: Es könnte bei einem Schadenfall immer ein Trojaner gewesen sein, der den Betrug im Hintergrund ausgeführt hat, während der Bankkunde alles perfekt richtig gemacht hat. Die Bank muss also bei diesem Verfahren praktisch jeden Schaden ersetzen.«1

Gesamtfazit

Das Display-TAN-Verfahren scheint das bisher sicherste und gleichzeitig bequemste TAN-Verfahren für Endverbraucher zu sein (zumindest so lange bis ein neues TAN-Verfahren den Markt erobert).

Die wahrhaften Vorteile bei diesem Verfahren liegen vor allem darin, dass User kein extra mobiles Gerät mehr benötigten. Für TAN-Überweisungen werden nun nur noch die Bankkarte und das mobile Endgerät benötigt wie das Smartphone, was jeder stets bei sich trägt. Das spricht für wahre Mobilität, denn das Verfahren kann von überall aus mobil getätigt werden.

Banken dürften generell am Display-TAN-Verfahren interessiert sein, da die Kosten nicht wesentlich höher, wenn nicht sogar niedriger liegen, als bei anderen TAN-Verfahren aber die Sicherheit dafür umso garantierter ist.

Betrachtet man die Schadensersatzregelung ergeben sich für die Bank klare Vorteile im Vergleich zu anderen TAN-Verfahren. Mit dem Display-TAN wird die Fahrlässigkeit eines Kunden nachweislich und der Schadensersatz bleibt aus. Das sieht bei anderen Verfahren anders aus. Das sollte ebenso der Kunde stets im Auge behalten.

1 Zum Display-TAN-Verfahren

Weitersagen