E-Banking 01.08.2019, 08:45 Uhr

chipTAN, pushTAN und Co.: Was bedeutet das?

Wir haben uns bei der Nutzung von Onlinebanking an smsTAN gewöhnt. Doch was ist schon wieder eine chipTAN? Und wozu ist die Mobile ID da? Computerworld erklärt die einzelnen Begriffe.
(Quelle: UBS/ZKB)
Wer seine Zahlungen per E-Banking erledigt, hat sich sicher an den Begriff smsTAN gewöhnt. Die Bank prüft mit dem Versand der Transaktionsnummer (TAN) Ihre Mobilfunknummer, dazu verschickt sie beim smsTAN-Verfahren einen Code per SMS. Doch da gibt es noch die Kartenleser und vielleicht haben Sie auch von pushTAN und photoTAN gelesen. Wir erklären Ihnen diese Begriffe.

chipTAN

Kartenleser der UBS
Quelle: UBS/zvG
Beim chipTAN-Verfahren werden drei getrennte Komponenten verwendet: eine Bankkarte, ein (TAN-)Generator und das Onlinebanking. Beim Generator kann es sich entweder um ein Kartenlesegerät oder um einen USB-Stick handeln. Der Generator verfügt nicht über Internetzugriff und kann somit nicht von extern angegriffen oder beeinflusst werden. Der Generator erzeugt die Transaktionsnummer (TAN). Die TAN wird auf dem Chip der eingesetzten (Bank-)Karte errechnet. Daher kommt der Name chipTAN. Ein Beispiel hierfür ist der gelbe Kartenleser der PostFinance. Trotz neuem E-Finance-Login kann das Kästli weiterhin verwendet werden. Bei der UBS gibt es die Login-Möglichkeit der Access Card mit Kartenleser. Die Zürcher Kantonalbank verwendet bei Bestandskunden noch eine «kleine Menge» von ZKB IdentyKeys (USB-Stick), wie uns auf Anfrage mitgeteilt wurde.
Die TAN (Transaktionsnummer) wird auftragsbezogen erstellt und ist nur für kurze Zeit gültig. Das chipTAN-Verfahren ist auch unter den Namen smartTAN oder eTAN bekannt.
Die Erzeugung der TAN kann folgendermassen erstellt werden:
  • chipTAN manuell: Hierbei müssen die Überweisungsdaten nicht nur am PC, sondern auch am TAN-Generator eingegeben werden.
  • chipTAN optisch/QR: Diese Variante ist ein wenig komfortabler. Der Kunde tippt die Überweisungsdaten online ein. Die Bank rechnet diese um und zeigt sie in Form eines (QR-)Codes. Sie stecken die Karte in den TAN-Generator und halten das Gerät vor die Grafik, damit die Auftragsdaten eingelesen werden. Dies erspart Ihnen das manuelle Eintippen. Die Daten müssen i.d.R. noch bestätigt werden, dann wird die TAN erstellt.
chipTAN wird seit mehreren Jahren als etabliertes Login-Verfahren für E-Banking verwendet. Laut Sicherheitsexperten von Eset gilt chipTAN aus heutiger Sicht als sicheres Verfahren.
Nachteil dieses Verfahrens: Wenn man den TAN-Generator nicht bei sich hat, kann man keine Bankgeschäfte erledigen.

pushTAN (TAN2go)

Das pushTAN-Verfahren (TAN2go) ist ein eher neueres Login-Verfahren. Laut der Schweizerischen Bankiervereinigung wird es in der Schweiz z.B. durch die Firma Crealogix seit September 2018 angeboten. Wie stark pushTAN in der Schweiz verbreitet ist, konnte man uns bei der Bankiervereinigung nicht sagen.
Login-Verfahren von Crealogix
Bei der Crealogix Gruppe beobachtet man, dass in der Schweiz (und international) immer mehr Banken auf das pushTAN-Verfahren setzen – inbesondere, um das smsTAN-Verfahren abzulösen. Die Erfahrungen mit pushTAN seien sehr positiv: «Die Lösung vereinfacht für Bankkunden das Login und reduziert somit die Komplexität. Der Nutzer benötigt weder ein Zusatzgerät noch eine separate Authentifizierungs-App», sagt Oliver Weber, Chief Executive Officer Crealogix Switzerland.
Bei dieser Fintech-Lösung erhält ein Anwender eine Pop-up-Nachricht innerhalb der Banking-App. Gemäss dem Unternehmen muss der Nutzer auch bei Autorisierungen von Überweisungen die Banking-App nicht verlassen.
Beim pushTAN-Verfahren des Digital-Banking-Software-Anbieters findet der Freigabeprozess innerhalb der Banking-App statt. Das heisst, die Kommunikation des Onlinebankings über den Autorisierungs-Server zur Banking-App findet innerhalb eines sogenannten gehärteten Kanals statt. «Es handelt sich bei pushTAN also um eine kundenfreundliche und sichere Lösung, die Kundendaten vor Zugriffen Dritter schützt», sagt Weber weiter.
Für die Banken liege der Vorteil der pushTAN bei niedrigeren Kosten (SMS) und dass die Lösung ohne grossen Aufwand in die App integriert werden kann.
Bei der Crealogix-Lösung ersetzen biometrische Verfahren – Face ID und Fingerprint – die Verwendung von Passwörtern. PushTAN bietet einen zweiten Authentifizierungsfaktor an. Die verschiedenen Verfahren (Biometrik, PIN, pushTAN) werden in dieser Lösung kombiniert, was eine hohe Sicherheit bietet.
Weder die ZKB noch die UBS setzen auf die Technologie von Crealogix.

smsTAN/mTAN und photoTAN

smsTAN/mTAN

Das SMS-Verfahren, auch mTAN genannt, wird seit vielen Jahren für E-Banking verwendet und ist wohl das bekannteste. Das kleine m steht für mobile. Die Bank prüft lediglich Ihre Mobilfunknummer, dazu verschickt sie beim mTAN-Verfahren einen Code per SMS. Dieser muss nach der erfolgreichen Passworteingabe auf der E-Banking-Webseite eingetippt werden.
Dieses Verfahren ist bequem und man ist nicht auf ein separates Gerät angewiesen, wie z.B. das gelbe Kästli der PostFinance. Auch die Bankkarte ist nicht nötig; ein Bankkunde benötigt lediglich einen PC oder Laptop und ein Smartphone.
Doch die Kehrseite der Medaille ist, dass das mTAN-Verfahren in der Vergangenheit bereits vereinzelt ausgerickst wurde. Der Melde- und Analysestelle Informationssicherung MELANI wurden beispielsweise 2016 mehrere Fälle gemeldet, bei denen es Hackern mittels Smartphone-Malware gelang, die Bestätigungs-Codes (mTAN) auf dem Handy des Bankkunden abzufangen und danach für E-Banking-Betrug zu verwenden.

photoTAN

photoTAN ist ein Verfahren, bei dem ein farbiges Mosaik mit der Smartphone-Kamera oder mithilfe eines photoTAN-Geräts vom Bildschirm abfotografiert wird. Damit wird ein einmaliger Passwortzusatz (TAN) generiert.
photoTAN im Einsatz – hier am Beispiel der ZKB
Quelle: ZKB/zVg.
Um photoTAN nutzen zu können, braucht man eine App der eigenen Bank und einen Aktivierungscode. Der Code wird einem i.d.R. per Post zugeschickt.
Bei der ZKB wird für Neukunden ausschliesslich die photoTAN verwendet. Via photoTAN-App wird über das Smartphone oder Tablet die photoTAN beim E-Banking zum Login und zur Freigabe von Zahlungen verwendet. Nach dem Scannen wird eine TAN auf dem mobilen Display angezeigt, die man beim E-Banking eintippt. Alternativ gibt es ein photoTAN-Lesegerät.
Gemäss Webseite verwendet z.B. auch Raiffeisen die photoTAN, ebenfalls wahlweise über die App oder ein photoTAN-Gerät. Wie Raiffeisen auf der Webseite schreibt, sei die photoTAN derzeit das «sicherste Login-Verfahren für E-Banking in der Schweiz».

Mobile ID und welche Verfahren nutzen Schweizer Banken?

Mobile ID

Alternativ können Sie das Smartphone als ID fürs E-Banking nutzen. Dazu benötigen Sie eine Mobile-ID-fähige SIM-Karte und ein Smartphone.
Ein gewöhnliches Login (zum Beispiel in einem Shop) erfolgt anhand eines Benutzernamens in Kombination mit einem Passwort. Das ist relativ unsicher, denn Angreifer können durch Betrug oder Diebstahl an diese Login-Daten gelangen und diese missbrauchen. Es ist leider auch immer noch so, dass viele Nutzer viel zu unsichere Passwörter einsetzen.
Auf der Mobile-ID-fähigen SIM-Karte ist eine kleine Anwendung integriert. Diese Anwendung kann verschlüsselte Nachrichten in Form sogenannter stiller SMS empfangen, entschlüsseln, verschlüsseln und versenden. Das erlaubt beispielsweise dem Bank-Server, via Mobile ID auf einem separaten Kanal mit dem Smartphone des Kunden zu kommunizieren und sich dort das Login bestätigen zu lassen. Mit dem eigentlichen Betriebssystem Ihres Geräts kommt die Mobile ID kaum in Berührung.
Wer sich in Ihrem Namen beispielsweise in Ihr PostFinance-Konto einloggen will, braucht bei aktivierter Mobile ID nicht einfach bloss einen SMS-Code abzufangen. Er muss physisch im Besitz genau Ihrer SIM-Karte sein und muss exakt Ihre persönliche PIN zu dieser Mobile ID eingeben. Und genau das macht einen Missbrauch nach heutigem Kenntnisstand fast unmöglich.
Sowohl UBS als auch ZKB verzichten auf Mobile ID, wie wir auf Anfrage erfahren haben. Bei der ZKB sagt ein Sprecher zu PCtipp: «Im Rahmen der Ablösung von mTAN verfolgten wir unter anderem auch die Mobile ID. Zum damaligen Zeitpunkt überzeugte uns die Performance der Lösung sowie die Verbreitung der unterstützten SIM-Karten noch nicht. Die Lösung erfüllt unsere hohen Ansprüche an die Sicherheit in allen Belangen und bietet noch weitere Ausbaumöglichkeiten», so der ZKB-Sprecher. Man beobachte den Markt aktiv.
Die UBS setzt ganz auf die UBS-Access-App, die laut Sprecher vor jedem Login ins E- oder Mobile-Banking die Sicherheit des Smartphones prüfe. «Gegen Mobile ID sprechen der globale Trend zur Virtualisierung von SIM-Karten sowie fehlende Möglichkeiten zur Integration in unser eigenes digitales Sicherheitskonzept», so ein UBS-Sprecher.
So kommen Sie zur Mobile ID
Prüfen Sie entweder bei Ihrem Mobilfunkanbieter oder auf mobileid.ch, ob Ihre aktuelle SIM-Karte Mobile-ID-fähig ist
Quelle: mobileid.ch/Screenshot
Klären Sie ab, ob Ihr Telekomanbieter eine Mobile ID anbietet. Allgemeine Informationen, wie Sie die Mobile ID aktivieren, finden Sie auf der Webseite mobileid.ch. Geben Sie dort unter Jetzt Aktivieren Ihre Mobilnummer ein. Falls Ihre SIM-Karte nicht kompatibel ist, erhalten Sie sofort eine entsprechende Information. Bei Sunrise ist uns bekannt, dass die Mobile ID bei Prepaid-Kunden nicht funktioniert (siehe Screenshot).

Welche Verfahren nutzen Schweizer Banken?

Wir haben bei der UBS und der Zürcher Kantonalbank (ZKB) nachgefragt, welche Verfahren sie nutzen – und welche nicht.
Die ZKB fokussiert bei Neukunden ausschliesslich auf photoTAN. Bei Bestandskunden gibt es noch mTAN sowie eine «kleine Menge» an ZKB-IdentyKeys (USB-Stick).
Die UBS verzichtet auf smsTAN, pushTAN sowie Mobile ID und setzt auf das selbstentwickelte Verfahren der UBS-Access-App. Dieses ist ähnlich wie photoTAN (siehe im Artikel), ergänzt durch eine PIN.
Beim Mobile-Banking-Login bietet die UBS ausserdem Gesichtserkennung via Face ID von Apple (iPhone) und andere biometrische Verfahren wie z.B. Touch ID an. Allerdings nur als zusätzlichen Authentisierungsfaktor neben einer PIN oder verbunden mit eingeschränktem Funktionsumfang. Das heisst, ein Kunde hat Kontoeinsicht mit biometrischer Authentisierung, aber kann keine Transaktionen durchführen.
Die PostFinance verwendet, wie in diesem Artikel erwähnt, weiterhin chipTAN (Kästchen) und hat kürzlich ein neues E-Banking-Login via PostFinance-App lanciert (Computerworld hat berichtet). Das E-Finance-Login funktioniert mit Fingerprint und Gesichtserkennung.


Das könnte Sie auch interessieren