Kaay Display-TAN
En

Vergleich von Display-TAN und Smartphone-TAN (= App-TAN)

In letzter Zeit haben viele Banken TAN-Verfahren herausgebracht, die das Smartphone des Bankkunden zum TAN-Generator machen, kurz Smartphone-TAN. Das sind in Deutschland z.B. Push-TAN (Sparkassen), Photo-TAN/App (Commerzbank, Deutsche Bank), oder BestSignMobil (Postbank). Gemeinsam ist den Smartphone-TAN Verfahren (auch App-TAN genannt), dass das authentisierende Credential in der App-Datenbank im Smartphone abgespeichert wird.

Varianten Smartphone-TAN. Es gibt Smartphone-TAN Varianten, was die Übermittlung der Überweisungsdaten angeht (Push-TAN per Internet Push-Nachricht, Photo-TAN per 2D-Code vom Bildschirm). In einigen Lösungen wird ein Extra-Passwort auf der App abgefragt (Push-TAN), bei anderen nicht (Photo-TAN). Einige Smartphone-TAN Lösungen erlauben Mobile Banking, also TAN-Generierung auf dem gleichen Gerät (Photo-TAN bei Deutsche Bank), andere nicht (Photo-TAN bei Commerzbank), und einige sind nur für Mobile Banking vorgesehen (BestSignMobil).

Aktivierung Smartphone-TAN. Das Smartphone-TAN Credential findet bei fast Varianten seinen Weg in die App-Datenbank, indem die App per Kamera einen 2D-Code einliest, der per Papier-Brief von der Bank an den Bankkunden geschickt wurde.

Sicherheit Smartphone-TAN. Das Problem bei allen Smartphone-TAN Varianten ist das abgespeicherte Credential. Es liegt im Speicher des Smartphones und kann durch Smartphone-Trojaner, die das Betriebssystem infiltriert haben, einfach kopiert werden (ein Betriebssystem-Trojaner hät sich nicht an das ''Sandbox'' Prinzip). Wenn der Trojaner auch noch das Passwort abhört, wenn es vom Bankkunden ins Smartphone eingegeben wird, kann der Trojaner vom Smartphone aus zu einem beliebigen Zeitpunkt eine beliebige Betrugsüberweisung ausführen, indem er sich per Smartphone-Internet bei der Bank einloggt, und zwar ohne dass der Bankkunde davon etwas merkt. Alternativ schickt der Trojaner die abgehörten Informationen per Internet an seinen Master, der dann von einem beliebigen Rechner aus die Betrugsüberweisungen ausführen kann.

Keine Schadensfälle bislang. Alle App-Lösungen sind also im Prinzip sehr unsicher, genauso wie es solche Lösungen auf dem PC sind und dort schon seit den 90er Jahren nicht erlaubt sind. Praktisch haben allerdings die Banken, die Smartphone-TAN einsetzen, nach eigenen Angaben aktuell noch keine signifikanten Probleme mit solchen Trojanerangriffen auf Smartphone-TAN. Als Erklärungen dafür gelten, dass das Sandbox-Prinzip (''eine App kann nicht die Daten einer anderen App lesen'') und der bei Smartphones an der Oberfläche fehlende ''root'' Zustand für Angreifer Hürden sind, die beim PC nicht so ausgeprägt sind.

Regulatoren. Es besteht also die Gefahr, dass Hacker die verschiedenen Smartphone-TAN Verfahren mittelfristig aushebeln werden. Dazu kommt, dass die Regulatoren BaFin, EBA, EZB, DK, etc. die Smartphone-TAN Verfahren aus Sicherheitsgründen auf den Index setzen könnten, oder zumindest einschränken könnten. Z.B. geht die Definition von ''strong customer authentication'' in der EBA-Richtlinie vom Dezember 2014 schon in die Richtung, dass zumindest Mobile Banking mit Smartphone-TAN nicht mehr erlaubt sein sollte. Ein Kompromiss könnte eventuell so aussehen, dass nur geringe Beträge per Smartphone-TAN überwiesen werden dürfen.

Secure Element. Manche Smartphones haben ein Secure Element, in dem das Credential abspeichert werden kann. Beispielsweise stellt die KeyChain im iPhone halbwegs eines dar, auch die SIM Karte könnte als eines dienen. Der Name Secure Element ist aber irreführend, denn die Unsicherheit von Smartphone-TAN bleibt bestehen: Das Bank-Credential im Secure Element kann zwar nicht mehr vom Trojaner gestohlen werden, aber es kann missbraucht werden: Der Trojaner schickt eine Betrugsüberweisung an das Secure Element, und das Secure Element wird eine TAN dafür generieren und sie dem Trojaner übergeben, der sie an die Bank schickt, wo die Betrugsüberweisung augeführt werden wird - denn das Secure Element kann nicht unterscheiden (und die Bank auch nicht), ob es sich eine Betrugsüberweisung oder eine vom Benutzer eingegebene handelt!

Social Engineering. Als Sicherheitsvorteil der Smartphone-TAN Lösungen gegenüber Display-TAN muss erwähnt werden, dass das Display bei den Smartphones größer ist und aus diesem Grund Social Engineering Angriffe besser abgewehrt werden können, denn auf einem großen Display kann man den Nutzer z.B. deutlich drauf hinweisen ''Dies ist eine echte Überweisung! - es ist kein Test und auch kein Gewinnspiel!''. Nach Angaben von Banken sind Social Engineering Angriffe momentan ein viel größeres Problem als Trojanerangriffe.

Zusammenfassung Sicherheit. Zusammengefasst spiegelt sich die prinzipielle Unsicherheit von Smartphone-TAN (noch) nicht in der von den Banken wahrgenommenen Gefahrensituation wider.

Usability. Auf den ersten Blick scheinen die Smartphone-TAN Verfahren und Display-TAN ungefähr gleich bequem zu sein, wobei ein Extra-Passwort wie bei PushTAN den Vergleich schon eher zugunsten von Display-TAN ausfallen lassen sollte. Das ist aber nur der Blick auf den Überweisungsprozess. Es kommen noch zwei Aspekte dazu, die den Vergleich eindeutig für Display-TAN ausfallen lassen: 1. Bei Handy-Wechsel oder -Verlust ist es ein unangenehmer Aufwand für den Bankkunden, das neue Credential zu bekommen, und es dauert auch ein paar Tage. Bei Display-TAN gibt es keinen Aufwand. 2. Es gibt die Tendenz zu mehreren mobilen Geräten. Mit Display-TAN kann den Benutzer auf jedem der Geräte direkt Mobile Banking ausführen, bei Smartphone-TAN nur auf dem, auf dem das Credential gespeichert ist, und diese Gerät muss er für Online Banking auf einem seiner anderen Geräte dabei haben.

Ein Sicherheit- vs. Usability-Vergleich der Mobile Banking Verfahren ist hier skizziert: pdf DisplayTANS

Kosten. Die Kosten für die Smartphone-TAN Verfahren sind deutlich geringer als die von Display-TAN, aber nicht Null, denn z.B. bei der Aktivierung und bei jedem Handy-Wechsel/Verlust entstehen die Porto-Kosten für die Bank.

Mehr InformationenDemo AppsAPIMehr FunktionaltätenLinksKontakt
Workflows
IBAN
Vergl. App-TAN
Weitere Informationen
Friendly Fraud
PSD2-Compliance
Business Partner
Android App
iOS App
Windows App
API Version 1
API Version 2
SDK/Library
Display-TAN/soft
Seed Perso
Display-PIN
Online Banking Demo
IoT Anwendungen
nfc-tan.com
smartdisplayer.com
borchert-it-sicherheit.com
YouTube Playlist ''Technology Cards''
Über uns
Kontakt
Impressum
Privacy Policy