Display-TAN ist ein in die Bankkarte integrierter TAN-Generator, inkl. Display und Bluetooth
Display-TAN ist ein Mobile Banking Verfahren, das gleichzeitig sicher und mobil ist:
• Display-TAN ist sicher, denn die TAN wird auf der Bankkarte erzeugt - nicht auf dem Smartphone!
• Display-TAN ist mobil in dem Sinne, dass der Bankkunde für Mobile Banking nur das braucht, was er sowieso dabei hat: Smartphone und Bankkarte.
Außerdem ist Display-TAN bequem, denn es muss nichts getippt werden - Klicken reicht!
Heutzutage werden viele finanzielle Transaktionen vom Smartphone aus ausgeführt, und zwar nur mit dem Smartphone, d.h. ohne TAN-Generator etc. Das Kunden-Smartphone könnte aber mit einem Trojaner infiziert sein, der die Transaktionen des Kunden manipuliert, denn der Trojaner kann auf dem Smartphone jedes dafür notwendige Credential des Kunden ausspionieren oder missbrauchen: Passwort, SMS, geheimer Schlüssel, Fingerprint, etc.
Smartphones sind also unsicher. Ausgehend von diesem Problem ist die Grundidee von Display-TAN die folgende: Der geheime Schlüssel und die TAN-Erzeugung wird vom Smartphone auf die Bankkarte ausgelagert. So ist der geheime Schlüssel und die TAN-Erzeugung sicher vor Smartphone-Trojanern.
Und warum Display und Bluetooth?
Hardware. Das wesentliche Element des Display-TAN Verfahrens ist eine Bankkarte, die ein Display und ein Bluetooth Modul hat, und trotzdem so dünn, flexibel, robust und haltbar ist wie eine übliche Bankkarte.
Sicherheit. Display-TAN ist deshalb besonders sicher, weil alles Sicherheitskritische auf der Karte stattfindet (und nicht auf einem potentiell unsicheren Endgerät wie PC, Laptop, Tablet oder Smartphone): 1. Der geheime Schlüssel der Bank wird auf der Karte gespeichert, 2. die Transaktionsdaten werden dort noch einmal manipulationssicher angezeigt, und 3. wird dort abschließend die TAN erzeugt. Die Bluetooth-Verbindung vom Smartphone zur Karte kann nicht abgehört und auch nicht manipuliert werden, denn es werden nur Daten übertragen, die vom Bankserver vorher verschlüsselt wurden, und zwar individuell für diese Karte.
Benutzerfreundlichkeit. Die besondere Benutzerfreundlichkeit von Display-TAN besteht darin, dass der Bankkunde keinen extra TAN-Generator braucht. Das ist vor allem bequem beim Mobile Banking, denn der Bankkunde braucht nichts anderes als das, was er sowieso dabei hat: Smartphone und Bankkarte. Außerdem muss der Bankkunde nichts tippen: keine TAN, keine Überweisungsdaten - das wird alles per Bluetooth übertragen, der Bankkunde muss nur prüfen und klicken. Sogar die langen IBANs können bequem zeilenweise mit ein paar OK Klicks bestätigt werden.
Online Payment. Weil mit GiroPay, Sofortüberweisung, etc. immer mehr Internet-Zahlungen als Überweisungen ausgeführt werden, ist Display-TAN automatisch auch ein Internet-Zahlungsverfahren - viel sicherer als z.B. PayPal oder Kreditkarte, und trotzdem praktisch genauso bequem (kein extra Gerät, kein Tippen außer Username/Passwort)
Kein Pairing. Es gibt keine Kopplung (Pairing) mit dem Smartphone. Das ist möglich, weil alles Sicherheitskritische sich auf der Karte abspielt, nicht auf dem Smartphone. Ohne Kopplung ist der Bankkunde nicht an ein Endgerät gebunden, d.h., er kann mehrere mobile Endgeräte abwechselnd für Mobile Banking nutzen, und noch weitere Endgeräte jederzeit hinzunehmen.
Form. So dünn und flexibel wie eine übliche Bankkarte (ISO/IEC 7810).
Lebensdauer. 5 Jahre und 2000 Überweisungen.
Haltbarkeit. Der Kartenproduzent hat für seine Display-Karten eine nachgewiesene Ausfallquote von ≤ 1% über die gesamte Karten-Lebensdauer.
Verfügbarkeit. Lieferbar.
Mobile Banking. Das neue Verfahren ist oben im Video dargestellt. Im Bild unten wird es aus Benutzersicht für Mobile Banking skizziert - also für Überweisungen vom Smartphone oder Tablet aus, wofür das Display-TAN Verfahren besonders geeignet ist.
Der Bankkunde braucht für die TAN-Generierung nichts zu tippen - er muss nur prüfen und klicken.
Mehr Workflows für Online Banking und Payment sind auf der Seite Workflows zu finden.
Display-TAN ist das erste und einzige Mobile Banking TAN-Verfahren, das trojanersicher UND mobil ist!
Aus dem gleichen Grund ist Display-TAN auch das einzige Mobile Banking TAN-Verfahren, das gleichzeitig mobil ist UND sicher gegen Friendly Fraud.
Display-TAN ist auch für IBANs ideal geeignet, denn die langen IBAN Zielkontonummern können mit 3 oder 4 Klicks bequem vom Bankkunden bestätigt werden, augengerecht Zeile für Zeile, siehe das Beispiel rechts und die IBAN Seite.
Weitere Details zum Verfahren sind auf der Seite Weitere Informationen zu finden, zu den Themen Sicherheit, Usability, Integration von Display-TAN in die Bankkarte, Buttons auf der Karte, Display-TAN als Erweiterung von NFC-TAN TAN-Erzeugungs-Algorithmus.
Für einen Vergleich von Display-TAN mit Smartphone-TAN (= App-TAN) hinsichtlich Sicherheit/Usability/Kosten siehe diese extra Seite.
Praktisch alle Smartphone und Tablet Modelle seit 2013 haben Bluetooth Smart (auch Bluetooth Low Energy BLE genannt) eingebaut: ab iPhone 4s, ab iPad 3, ab Android 4.3. Fast alle neueren Laptops und einige PCs sind ebenfalls BLE-fähig, d.h. sie können direkt mit der Karte kommunizieren.
iPhone/iPads. Der Hauptgrund für die Wahl von Bluetooth anstatt NFC sind iPhones und iPads: die iOS Geräte haben keine ausreichende NFC-Schnittstelle - die seit Mai 2017 bestehende NFC-tag Schnittstelle reicht nicht aus.
Stabilität. Außerdem ist Bluetooth in der Karten-Handhabung viel komfortabler und stabiler: Bei NFC muss man die Karte fest an das Smartphone halten, während bei Bluetooth der Abstand bis zu einem Meter sein kann und die Verbindung auch bei Bewegung völlig stabil ist.
Sicherheit. Alle per Bluetooth an die Karte übertragenen Daten sind vom Bankserver mit dem individuellen geheimen Schlüssel der Karte verschlüsselt, d.h., Abhören oder Manipulieren ist nicht möglich.
30. August 2017. Netknights/Koelbel: Securing Bank Transactions
1. Juni 2017. Fraunhofer SIT, Darmstadt, Workshop Mobile und Embedded Security, Vortragsfolien: Die Sicherheit von Smartphones als IoT Fernsteuerungsgeräte
1. Dez. 2016, Stuttgarter Zeitung: Fintech-Event - Abschnitt über Display-TAN
Ältere Presse
Artikel zum Thema
23. 11. 2018, NOZ: BSI Chef: Schadprogramme auf jedem Gerät
15. 11. 2018, Heise: PSD2 - Was passiert mit unseren Bankkonten
6. 9. 2018, Computerwoche: Voice/Video Kloning als Gefahr für biometrische Lösungen
19. 6. 2018, Mennes/Vasco, IT-Finanzmagazin: PSD2/RTS Definition SEE
12. 4. 2018, IT-Finanzmagazin: Vorbehalte mobiles Bezahlen
8. 4. 2018, IT-Finanzmagazin: FaceID für Online Banking
29. 3. 2018, Vasco Blog: PSD2 - Dynamic Linking
9. 2. 2018, Handelsblatt: Amazon stoppt Kontozugriff per Alexa
29. 1. 2018, Security Intelligence: Consumer Study Authentication
8. 1. 2018, Focus Online: PDS2
29. 12. 2017, RT: ,
28. 12. 2017, Heise/CCC/Haupert: Aushebeln der Härtungs-Software für Banking Apps, Interview netzpolitik.org, Video CCC Vortrag
7. 12. 2017, Trustonic, R. Dyke: Unwrapping PSD2 RTS
14. 12. 2017, Samsung: Device-side Security: Samsung Pay, TrustZone, and the TEE
13. 12. 2017, IT-Finanzmagazin: Banking-Sicherheit: Mobile Apps, APIs und die PSD2
12. 12. 2017, IT-Finanzmagazin: PSD2: Die finalen RTS – was bedeuten sie für Banken?
27. 11. 2017, IT-Finanzmagazin: PSD2-RTS zu X2A veröffentlicht
24. 11. 2017, Computerbild: Instant Payment kommt
23. 11. 2017, Süddeutsche: Online Banking Apps sind anfällig für Hacker (FAZ dazu, Reaktion DK)
20. 11. 2017, Trustonic, R. Dyke: In the Game of Trusts, Verify is the King
17. 11. 2017, HBR: Hackers are targeting your mobile phone
3. 11. 2017, BILD (Schlagzeile): Neue EU-Richtlinie für Banken - Warum Ihre Kontodaten in höchster Gefahr sind! (Version Computerbild)
22. 10. 2017, GS1: Mobile-in-Retail Studie
17. 10. 2017, IT-Finanzmagazin/BSI: BSI rät von WLAN Nutzung beim Online Banking ab
Ältere Artikel
Umfragen 2017: Der Mehrheit der Deutschen ist Mobile Banking zu unsicher
17. 10. 2017, GFT Technologies (56% Ablehnung, Seite 12): Mobile Payment Marktanalyse 2017
26. 9. 2017, VISA (59% Ablehnung): Studie Digitales Bezahlen
31. 5. 2017, ING-Diba (68% Ablehnung, Seite 4): Die Vertrauensfrage
Android App. Demo Apps für Display-TAN gibt es für
SDK. Libraries/SDKs mit der Kern-Funktionalität der Display-TAN App, die in bestehende Bank-Apps eingebaut werden können, gibt es für Android, iOS und Windows.
Display-TAN ist ein gemeinsames Projekt von
Flyer, Folien, Zeitschriftenartikel, etc.: