Mobile Banking per Display-TAN: Sicher und gleichzeitig komfortabel

Chip-TAN, SMS-TAN, Smartphone-TAN: Es gibt einige Verfahren, zwischen denen Banken und Kunden derzeit wählen können, wenn sie mobil bezahlen wollen. Bis ins Detail überzeugen konnte jedoch keine der Methoden, denn Experten wissen: sie sind entweder sicher oder eben komfortabel, beides gleichzeitig war bisher nicht möglich. Das könnte sich ändern, denn ein Spin-Off der Uni Tübingen hat die Display-TAN entwickelt: eine multifunktionale Bankkarte, die Sicherheit und Komfort bietet. Wir haben mit dem Entwickler des Verfahrens, Dr. Bernd Borchert von der Uni Tübingen, über die Funktionsweise und die Vorteile für Banken und Kunden gesprochen.

Dr. Borchert, erklären Sie doch in einem Satz, was es mit Ihrem Display-TAN-Verfahren auf sich hat.

BBFotoBorchert: Display-TAN ist, kurzgesagt, ein in die Bankkarte integrierter TAN-Generator. Das Verfahren verbindet die Eigenschaften einer herkömmlichen EC-Karte mit der Funktionsweise eines TAN-Generators und macht das Überweisen dadurch nicht nur deutlich komfortabler, sondern auch sicherer. Ich habe also mein Smartphone und brauche ansonsten nur meine EC-Karte. Sie ist mit einem mit einem „An/OK“ und „Aus/Cancel-Button“ und einem Display ausgestattet, unterscheidet sich ansonsten aber nicht von ihren Vorgängern.

Welche Vorteile bietet Display-TAN gegenüber den Verfahren, die momentan angeboten werden?

Borchert: Die Vorteile für den Kunden sind offensichtlich: Ich benötige lediglich mein Smartphone und meine Bankkarte, wenn ich eine Überweisung durchführen will. Ich brauche kein zusätzliches Gerät, für das ich zahlen und das ich immer griffbereit haben muss. Selbst, wenn die Kosten für die Display-TAN Karte vom Kunden getragen würden, wären diese nicht höher als bei der Investition für einen TAN-Generator. Darüber hinaus gibt es vier grundlegende Anforderungen, die ein Verfahren wie unseres erfüllen muss um einen echten Vorteil zu bieten: es muss sicher, benutzerfreundlich, flexibel und zuverlässig sein. Was einleuchtend klingt, ist in der Umsetzung hoch kompliziert: keine der derzeit am Markt verfügbaren Methoden erfüllt alle diese Anforderungen gleichzeitig.

Und Ihr Verfahren erfüllt all diese Basic Needs?

Borchert: Ja. Um noch genauer zu werden: Es gibt sichere Methoden, die umständlich sind und benutzerfreundliche Methoden, denen der hundertprozentige Sicherheitsaspekt fehlt. Beim SMS-TAN-Verfahren steht ganz eindeutig die Benutzerfreundlichkeit im Vordergrund, leider wird jedoch der Sicherheits- und Mobilitätsaspekt vernachlässigt. Gleiches gilt für das Smartphone-TAN-Verfahren. Die Chip-TAN Methode hingegen ist sicher, verliert aber in den beiden anderen Punkten. Alle drei genannten Methoden sind nicht hundertprozentig zuverlässig. Unsere hingegen erfüllt alle Anforderungen, weshalb wir auch davon überzeugt sind, dass die Banken sich dafür interessieren werden.

Für welche Bereiche kann Ihre Display-TAN Karte genutzt werden?

Borchert: Wir haben das Verfahren an der Uni Tübingen absichtlich für drei verschiedene Szenarien entwickelt, die in unserer digitalisierten Gesellschaft an immer mehr Bedeutung gewinnen. Darunter fallen: Mobile Banking, das mir Überweisungen ermöglicht ohne an Ort und Zeit gebunden zu sein; Mobile Shopping Payment, das das Bezahlen direkt auf Händlerseite einschließt und das klassische Online-Banking von zu Hause aus am Computer.

Nehmen wir das Beispiel „Mobile Banking“. Was genau wären die Handlungsschritte aus Sicht des Nutzers, also Bankkunden?

Borchert: Ich nehme mein Smartphone zur Hand und logge mich in die Banking App ein, indem ich wie gewohnt meine Kontonummer und mein Online-Passwort eintrage. Im Anschluss rufe ich das Eingabeformular zur Überweisung auf, gebe die entsprechenden Daten ein und schicke es ab. Nun kommt der Clou: Der Bankserver antwortet auf dem Smartphone, dass er eine TAN für die Überweisung haben möchte. Ich, als Bankkunde, schalte das Karten-Display durch einen Button auf meiner EC-Karte ein und halte sie an mein Smartphone. Dieses schickt die Überweisung per Bluetooth an die Display-Karte, auf der zunächst die Zielkontonummer erscheint. Ich bestätige mit dem Button „Ok“, woraufhin mir der Überweisungsbetrag gezeigt wird. Nach einem erneuten „Ok“ wird eine TAN erzeugt und automatisch an das Smartphone geschickt, welches sie per Internet an die Bank weiterleitet. Dort findet die Überprüfung und Überweisung dann statt.

Ihr Verfahren basiert auf einer Funk-, also Bluetooth-Übertragung. Welche Vorteile bietet das?

Borchert: Wir haben vor einiger Zeit ein ähnliches Verfahren entwickelt das auf NFC basierte. Wir haben uns dann aber für Bluetooth entschieden, da iPhones und iPads NFC nicht unterstützen, bzw. keine direkten Schnittstellen anbieten. Darüber hinaus sind einige Bankkarten schon mit NFC ausgestattet. Damit hätten wir zwei NFC-Antennen in einer Karte, was faktisch nicht möglich ist.

Und Bluetooth erfüllt alle Sicherheitsfaktoren? Ist ein Angriff nicht auch bei diesem Verfahren realisierbar?

Borchert: Alle vom Smartphone per Bluetooth zur Karte geschickten Informationen sind verschlüsselt. Die Karte gibt bei Bluetooth-Kontaktierungen keinerlei Informationen – wie beispielsweise Kontonummern – preis. Das bezieht sich insbesondere auch auf den auf der Karte gespeicherten geheimen Schlüssel.

Einige Banken stellen in letzter Zeit ihren Kunden Apps zur Verfügung, mit denen das Smartphone des Bankkunden zum TAN-Generator gemacht wird. Haben die Banken dadurch bereits die Mobilität, die Sie mit Display-TAN erreichen wollen?

Borchert: Praktisch alle Banken in Deutschland bieten inzwischen ein Smartphone-TAN Verfahren an oder haben es zumindest in der Pipeline. Das Hauptproblem dabei liegt jedoch wieder beim Sicherheitsfaktor: Das Smartphone ist – wie jeder Computer – ein unsicheres Gerät. Die größte Gefahr sind dabei Trojaner, die sich heimlich in das Smartphone Betriebssystem einnisten – die Bank-App mit ihren wenigen Rechten kann sich gegen das übermächtige infiltrierte Betriebssystem nicht wehren, sie kann die Infiltration nicht einmal entdecken. Zumindest, wenn der Trojaner gut gemacht ist. Dazu kommt ein weiteres Problem: Sobald der Bankkunde sein Smartphone wechselt – und wir wissen alle, wie oft das vorkommt, sei es, weil es verloren geht, gestohlen wird, defekt ist oder wir einfach ein neues haben wollen – steht er vor einem unangenehmen Aufwand: Er muss der Bank Bescheid geben, er muss auf den daraufhin von der Bank geschickten Brief warten, das neue Gerät muss initiiert werden, usw…. So gesehen kann die Display-TAN als eine Erweiterung der Smartphone-TAN gesehen werden, bei der die TAN-Generierung vom Smartphone auf die Bankkarte ausgelagert wird. Unser Verfahren hat die beiden eben genannten Probleme nicht.

Angenommen eine Bank entscheidet sich dazu, die Display Card einzuführen. Wäre die Lösung sofort einsatzbereit?

Borchert: Ja, die DisplayCard ist bereits heute einsatzbereit, sie ist seit Dezember 2014 lieferbar. Sie hält 5 Jahre und 2000 Überweisungen und birgt für die Bank noch weitere Vorteile, als nur dem Bankkunden etwas Gutes zu tun: Die Bank hat im Betrugsfall beispielsweise absolute Rechtssicherheit. Auch hält sie mit unserem Verfahren die verschärften europäischen Bestimmungen im Online-Banking und gerade auch im Bereich des Mobile-Banking ein. Die Herausforderungen, die durch EBA, MaSI, PSDII usw. entstehen, sind nicht zu unterschätzen und wurden von uns berücksichtigt.

Kommentar unseres GFT Mobile Payment Experten Bernd-Josef Kohl:berndkohl
„Bereits jeder zweite Bundesbürger nutzt Online Banking für den Zahlungsverkehr, FinTechs drängen berechtigterweise mit neuen Entwicklungen in den Markt. Für die Banken gilt jetzt: Sie müssen für die Trends in diesem Sektor Methoden anbieten, die den Nutzer aufgrund ihres Komfort überzeugen, sonst laufen sie Gefahr, ihre Kunden an einen Alternativanbieter zu verlieren. Gleichzeitig müssen sie ihre Verbraucher schützen und den europaweiten Richtlinien und Standards nachkommen. Sicherheit und Komfort sind und bleiben die beiden Elemente, die Banken und Kunden im Bereich Mobile Payment wollen und brauchen. Das von Dr. Borchert entwickelte Verfahren erfüllt meines Erachtens alle Voraussetzungen, um beide Parteien hier langfristig aneinander zu binden.“

Core Application Renewal

Finanzhäuser gleichen teils Technologiemuseen: Die digitale Transformation beginnt im Backend. Zu unserem neuesten Whitepaper:

Read more