Online-Banking mit Photo-TAN und QR-TAN

Statt auf klassische TAN-Listen setzen die Banken heute auf moderne Zweiwege-Verfahren und auf mit einzelnen Überweisungen verknüpfte TANs. Zweiwege-Verfahren bedeutet, dass der Kunde neben PC und Browser ein weiteres Gerät benötigt, um an seine TANs zu kommen. Bislang werden dazu vor allem Handys für den Empfang von SMS eingesetzt.

Das Photo-TAN-Verfahren der Commerzbank und das QR-TAN-Verfahren von 1822 Direkt setzen erstmals Apps ein, die die TAN auf dem Smartphone des Anwenders berechnen.

Das QR-TAN-Verfahren geht sogar noch einen Schritt weiter und enthält eine Funktion, die komplett auf TANs verzichtet. Dazu baut die App eine verschlüsselte Verbindung zum Server der Bank auf und gibt die Überweisung darüber frei. Der Kunde muss hier gar keine TAN mehr eintippen.

Damit ein Online-Banking-Verfahren als sicher gelten kann, müssen zwei Voraussetzungen erfüllt sein: Erstens darf die Überweisung nicht auf demselben Gerät erfolgen wie die Übertragung oder Berechnung der TAN. Man benötigt also einen zweiten Kommunikationsweg beziehungsweise ein zweites Gerät, auf dem die TAN dann angezeigt wird.

Zweitens muss die TAN an eine Überweisung gebunden sein. Das heißt, eine TAN gilt nur für die Überweisung von 100 Euro an Person A, nicht aber für die Überweisung von 1000 Euro an Person B.

Früher besuchte der Kunde mit dem Browser die Webseite seiner Bank. Nachdem er sich mit Kontonummer und PIN (Persönliche Identifikationsnummer) angemeldet hatte, konnte er Überweisungen vornehmen.

---

Jede Finanztransaktion musste er anschließend mit einer TAN (Transaktionsnummer) autorisieren, die von einer TAN-Liste auf Papier stammte.

Dieses Verfahren schützte jedoch nicht sicher vor Trojanern, weil jede TAN für beliebige Überweisungen genutzt werden konnte. Banking-Trojaner wie Sinowal konnten die übertragenen Daten abfangen, die Anzeige im Browser manipulieren und selbstständig Beträge mit der TAN überweisen, die der Nutzer eingegeben hatte.

Moderne Verfahren verwenden deswegen TANs, die mit einer bestimmten Überweisung verknüpft sind und die nur mit dieser einen Transaktion funktionieren. Die Bank berechnet für jede Überweisung eine neue TAN, die sie verbunden mit einer kurzen Zusammenfassung an den Kunden übermittelt. Der Kunde sieht die Zusammenfassung der Daten und kann sie prüfen, um anschließend die TAN im Browser einzugeben und seine Überweisung zu autorisieren.

Die Übertragung der TAN zum Kunden sollte nicht über das Gerät erfolgen, auf dem die eigentliche Überweisung durchgeführt wird. Ein zweiter Kommunikationsweg ist nötig.

Um die einmal gültige TAN zum Kunden zu übertragen, die dieser zur Freigabe seiner Überweisung benötigt, setzen die Banken auf moderne Zweiwege-Verfahren.

Der bekannteste Weg ist das mTAN-Verfahren, bei dem die Bank dem Kunden eine SMS mit einer kurzen Zusammenfassung der Überweisung und einer für einen kurzen Zeitraum gültigen TAN auf sein Handy schickt.

Durch die zwei getrennten Kommunikationswege kann kein Trojaner Überweisungen manipulieren – vorausgesetzt, der Kunde überprüft auch wirklich die im Lesegerät oder auf dem Smartphone zusammengefassten Überweisungsinformationen.

Ein Sonderfall ist das von der Star Finanz GmbH angekündigte Push-TAN-Verfahren. Soweit bisher bekannt, soll bei diesem Verfahren „ein und dasselbe mobile Gerät“ zum Einsatz kommen. Das klassische Zweiwege-Verfahren würde hier also wegfallen.

Ob sich dieses System wirklich bewährt, muss sich noch zeigen. Auf Nachfrage wollte Star Finanz keine weiteren Informationen über Push-TAN preisgeben, weil sich das System noch in der Testphase befinde.

Seit Jahresbeginn bieten die Commerzbank und die Online-Bank 1822 Direkt neue TAN-Verfahren an: Photo-TAN und QR-TAN.

Das Photo-TAN-Verfahren verzichtet auf das Versenden von SMS-Nachrichten, wie man es vom mTAN-System kennt. Stattdessen wird die Transaktionsnummer von einer App auf dem Smartphone des Nutzers vor Ort berechnet.

Das QR-TAN-Verfahren geht noch einen Schritt weiter. Hier wird nicht nur keine SMS mehr verschickt, es gibt sogar eine Funktion, bei der gar keine TAN mehr erstellt wird. Stattdessen bestätigt der Kunde die Überweisung über eine verschlüsselte Internetverbindung, die vom Smartphone aus direkt hergestellt wird.

Das Besondere an diesem zusammen mit dem britischen Unternehmen Cronto entwickelten Verfahren ist,  dass der Kunde hier eine kostenlose App auf seinem Smartphone installieren kann, die die TAN vor Ort berechnet.

Zunächst beantragt der Kunde bei der Commerzbank  den Wechsel zum neuen Photo-TAN-Verfahren. Die Bank sendet ihm dann einen Aktivierungsbrief per Post zu. Bis der Brief da ist, hat der Kunde Zeit, die Photo-TAN-App auf seinem Smartphone zu installieren. Die App ist sowohl für Android als auch für iOS erhältlich.

Mit der App scannt der Kunde anschließend seine „persönliche Aktivierungsgrafik“, die er mit dem Aktivierungsbrief per Post erhalten ist. Zuletzt meldet er sich auf den Online-Banking-Seiten seiner Bank an. Dort gibt er das Verfahren im Bereich „Verwaltung, TAN verwalten“ per Klick auf den Link „Aktivieren“ frei.

Nach der Aktivierung kann der Kunde beim Photo-TAN-Verfahren wie gewohnt seinen Browser nutzen, um zum Beispiel 100 Euro zu überweisen. Anschließend zeigt ihm die Bank im Browser eine farbige Grafik an, die er mit der App auf seinem Smartphone scannt.

Nun zeigt das Smartphone noch einmal die wichtigsten Informationen zu der Überweisung wie Kontonummer des Empfängers und Betrag sowie eine siebenstellige TAN an. Nachdem der Kunde die angezeigten Daten überprüft hat, gibt er die Transaktionsnummer im Browser ein, um die Überweisung zu autorisieren.

Die Smartphone-App ist durch die Aktivierung fest mit dem Konto des Kunden verknüpft. Es ist also nicht möglich, das Smartphone mit der aktivierten App einem Bekannten zu leihen, damit dieser eine Überweisung mit seinem Konto durchführen kann. Das Smartphone würde in diesem Fall eine Fehlermeldung anzeigen.

Wer kein Smartphone hat oder dieses nicht für Online-Banking nutzen will, der kann bei der Commerzbank auch ein Lesegerät für 14,90 Euro erwerben Das Bestellverfahren beschreibt diese Seite.

Auch die Online-Bank 1822 Direkt bietet kostenlose Apps für Android und iOS an, mit denen sich TANs auf dem Smartphone erstellen und fürs Online-Banking nutzen lassen. Aber nicht nur das: Die QR-TAN-App ermöglicht das Online-Banking sogar komplett ohne TANs.

Wie bei der Commerzbank erhält der Kunde als Erstes einen Aktivierungsbrief per Post. Darin befinden sich ein Aktivierungs-Code sowie ein QR-Code. Mit beiden lässt sich die in Google Play und Itunes zu findende App auf dem Smartphone aktivieren und mit dem eigenen Konto verknüpfen. Dabei legt der Kunde auch ein Passwort fest, mit dem er die App vor fremdem Zugriff schützt.

Nach der Aktivierung der App zeigt die Bank beim Online-Banking im Browser künftig einen QR-Code an. Diesen scannt der Kunde mit der App auf seinem Smartphone. Die App zeigt dann eine Zusammenfassung der Überweisung an.

Wenn das Smartphone jetzt entweder per WLAN oder Mobilfunk Zugriff auf das Internet hat, dann kann der Kunde das sogenannte halbautomatische Verfahren nutzen. Bei diesem Verfahren baut die App eine verschlüsselte Verbindung zur Bank auf und autorisiert darüber die Überweisung. Das ganze Verfahren funktioniert also komplett ohne eine TAN. Die endgültige Freigabe erfolgt aber weiterhin erst nach einem Klick des Kunden im Browser.

Hat das Smartphone keine Internetverbindung, dann kann der Kunde den manuellen Modus nutzen. Hier errechnet die App aus dem gescannten QR-Code vor Ort eine herkömmliche TAN, die der Kunde wie beim Photo-TAN-Verfahren im Browser eingibt, um seine Überweisung freizugeben.

Vor jeder Überweisung muss der Kunde außerdem das Passwort eingeben, das er beim Aktivieren der App festgelegt hat. Nach zehn Falscheingaben wird die App gesperrt.

Wer nicht Kunde von Commerzbank oder 1822 Direkt ist, der greift auf die bewährten Verfahren mTAN oder Chip-TAN zurück. Beide erfüllen die Voraussetzungen für sicheres Online-Banking.

Praktisch alle wichtigen Banken in Deutschland bieten das mTAN-Verfahren an, für das man nur ein Handy benötigt. Wer will, kann bei einigen Banken auch das Chip-TAN-Verfahren nutzen. Dafür braucht man aber ein zusätzliches Lesegerät.

mTAN steht für mobile TAN. Bei diesem auch SMS-TAN genannten Verfahren sendet die Bank dem Kunden eine SMS, in der eine Transaktionsnummer steht. Diese ist nur für die aktuelle Überweisung gültig.

Das mTAN-Verfahren bietet eine hohe Flexibilität, weil die meisten Kunden ihr Handy immer dabeihaben. Deswegen ist es auch relativ weit verbreitet. Manche Banken verlangen allerdings Gebühren für die versandten SMS, andere haben ein monatliches Freikontingent. Nur einige Banken wie die Postbank oder die GLS Bank bieten das Verfahren kostenlos an.

Neben der TAN stehen in der SMS auch der Betrag und die Kontonummer des Empfängers. Bevor der Kunde die TAN im Browser eingibt, um seine Überweisung zu autorisieren, sollte er diese angezeigten Daten überprüfen. Das soll verhindern, dass ein Trojaner die Transaktion heimlich manipuliert und mit der TAN eine andere Überweisung freigegeben wird.

Für Chip-TAN beziehungsweise Smart-TAN plus, wie das Verfahren von manchen Banken genannt wird, benötigt der Nutzer eine EC-Karte mit integriertem Chip und ein Lesegerät.

Ein geeignetes Gerät ist das TAN Optimus Comfort von Kobil, das rund 15 Euro kostet. Dieser TAN-Generator, in den der Kunde seine EC-Karte steckt, hat ein Display sowie eine Tastatur.

Wie bei den anderen modernen TAN-Verfahren ist die Transaktionsnummer auch bei Chip-TAN an eine bestimmte Überweisung gebunden. Der Betrag und die Kontonummer des Empfängers werden im Display des TAN-Generators angezeigt.

Zunächst startet der Kunde auf der Webseite seiner Bank eine neue Überweisung. Anschließend zeigt die Bank eine flackernde Grafik im Browser an, den Flickercode. Der Kunde hält nun sein Lesegerät an den Bildschirm, sodass die weißen Dreiecke auf dem Lesegerät mit den angezeigten Dreiecken auf dem Bildschirm übereinstimmen. Das ist mitunter etwas fummelig.

Anschließend sieht man zuerst die Kontonummer des Empfängers, dann die zu überweisende Summe und zuletzt die TAN auf dem Display des Lesegeräts. Weil das Display nur zweizeilig ist, erfolgt die Anzeige in drei aufeinanderfolgenden Schritten.

Sind alle Informationen korrekt, gibt der Kunde die Transaktionsnummer im Browser ein und autorisiert so seine Transaktion.