Das QR-Tan-Verfahren
Wie funktioniert es? Warum ist der QR-TAN so besonders sicher?
Zeitgemäße Lösungen entstehen meist aus der Notwendigkeit heraus, sich den dynamisch ändernden Lebensgewohnheiten der Menschen anzupassen, so auch im Rahmen des Online-Banking. Mit steigender Nutzerzahl von Tablets und Smartphones wurde ebenso das Bedürfnis der Bankkunden geweckt hier kürzere, bequemere aber gleichzeitig sicherere Wege zu schaffen, Online Banking so einfach wie möglich zu machen. Derweilen schien das Online Banking als alleiniger Prozess schon wie ein Meilenstein. Nein, nein… hier fängt es gerade erst an. Technik, die begeistert!
Seit wir die Möglichkeit haben, einfach und unkompliziert von zu Hause jegliche Bankgeschäfte zu erledigen, wurde uns bereits einiges erleichtert und Wege erspart. Dies alles im Rahmen der Möglichkeit des Online Banking. Dabei meint Online Banking: bequem, vor dem heimischen Rechner Bankgeschäfte erledigen zu können. Das Verfahren "Online Banking" setzt einen PC sowie einen ausreichenden Internetzugang, der die Verbindung zum Bankunternehmen mit Modem, ISDN-Karte oder DSL-Modem herstellen kann, voraus. Die Bank erteilt im Gegenzug dazu ihren Kunden eine persönliche PIN-Nummer zur Identifikation sowie einen TAN-Nummernbogen, meist wird dieser per Post zugestellt oder kann bei der betreuenden Bank direkt abgeholt werden, der als zusätzliches Sicherungselement bei diversen Transaktionen dient. Das Verfahren des Online Banking beinhaltet dabei unterschiedlichste Dienstleistungen des Bankunternehmens, dazu gehören u.a. die Erteilungen von Kapital- und Geldanlage-Aufträgen, die Einsicht in die aktuellen Umsätze sowie die Möglichkeit Daueraufträge zu erteilen und Überweisungen in das In-sowie Ausland zu tätigen. Dabei müssen natürlich stets neue Sicherungssysteme eingeführt werden, damit die Daten am heimischen Computer nicht für Dritte einsehbar werden und schließlich zum Missbrauch führen. Daher werden die auf Papierformat geführten TANs bald der Vergangenheit angehören und gegen QR-TANs ausgetauscht.
Einführung des Zweiwege-Verfahren mit Photo- und QR-TANs
Banken setzen heute anstatt auf die inzwischen als konventionell geltenden TAN-Listen in Papierform auf moderne Zweiwege-Verfahren. Für Bankkunden bedeutet das neben PC und funktionierenden Internet noch ein zweites Gerät zur Verfügung zu haben. Mit diesem erhält man seine TANs. Bisher lief die TAN-Übermittlung über Mobilfunkgeräte, auf denen in Form einer SMS die entsprechenden Daten übertragen wurden. Marktführend sind dabei die Commerzbank mit dem Photo-TAN-Verfahren und die 1822 Direkt mit dem QR-TAN-Verfahren. Beide Banken verwenden Apps, die dann wiederum die entsprechenden TANs auf dem Smartphone des Nutzers berechnen.
QR-TANs – Funktionsweise
Seit Jahresbeginn 2013 bieten die Commerzbank und die 1822 Direkt die neuen TAN-Verfahren an. Der von der 1822 Direkt eingeführte QR-TAN ist dem Photo-TAN-Verfahren der Commerzbank sogar noch ein Schritt voraus. Nicht nur das auf das Versenden einer SMS verzichtet wird, die 1822 Direkt hat sogar ein Verfahren mit einer Funktion entwickelt, mit welcher komplett auf die Erstellung eines TANs verzichtet werden kann. Das funktioniert folgender Maßen: die dafür bereitgestellte App stellt eine chiffrierte Verbindung zum Server des Bankunternehmens her, womit zeitgleich der Überweisungsauftrag freigegeben wird. Dementsprechend muss der Kunde an dieser Stelle keinen TAN mehr eingeben.
Mehr Sicherheit mit QR-TANs beim Online-Banking
Um ein sicheres Online-Banking zu gewährleisten, müssen zwei Grundvoraussetzungen erfüllt werden.
- Überweisung und Übertragung bzw. Berechnung der TAN darf nicht auf demselben Gerät stattfinden. Dementsprechend wird ein 2. Kommunikationsmedium oder Gerät von Nöten, auf welchem die TAN angezeigt werden kann.
- Die angeforderte TAN muss unbedingt an eine Überweisung gebunden sein. Dementsprechend gilt TAN pro Überweisung.
Des Weiteren sollte man wissen, dass es sichere und unsichere TANs gibt. Zurückblickend liefen Überweisungen bis vor kurzem so, dass jede Finanztransaktion mit der Eingabe einer TAN autorisiert und abgeschlossen wurde. Die richtige TAN fand der Kunde auf seiner Liste, in dem nach Eingabe der Überweisungsdaten eine Nummer angegeben wurde, die wiederum einer entsprechenden TAN auf der Liste zugeordnet war. Leider schützte dieses eigentlich als recht sicher geltende Verfahren nicht vor Trojanern. Gerade Banking-Trojaner wie Sinowal hatten die Eigenschaft die übertragenen Daten abzufangen und somit die Browseranzeige zu manipulieren. So konnten eigenständig Beträge mit der TAN überwiesen werden, die der Nutzer zuvor noch eingegeben hat. Durch zwei nicht miteinander verbundene Kommunikationswege können Überweisungen nicht mehr durch Malware wie Trojaner manipuliert werden.
Das neue TAN-Verfahren: der QR-TAN
Wie bereits erwähnt, ermöglicht die kostenlose QR-TAN-App, wie sie z.B. von der 1822direkt angeboten wird, ein Online Banking mit einem kompletten Verzicht auf TANs. Diese App ist für Android-Systeme oder iOS für jegliche Smartphone-Typen entwickelt wurden.
Der Kunde erhält von der 1822direkt per Post einen Aktivierungsbrief, in welchem sich ein Code für die entsprechende Aktivierung befindet als auch der QR-Code. Beide Codes ermöglichen dem Nutzer über den jeweiligen App-Store wie Google Play bzw. ITunes die App zu finden und auf dem Smartphone zu aktivieren. Somit wird gleichzeitig eine Verknüpfung mit dem eigenen Konto hergestellt. Nachdem die App nun erfolgreich auf dem Smartphone aktiviert wurde, wird künftig beim Online Banking durch die Bank der QR-Code angezeigt, den der Nutzer schließlich mit der neu erworbenen App mit seinem Smartphone scannt. In der App wird schließlich die Zusammenfassung des Überweisungsvorganges angezeigt.
Möglich ist auch das halbautomatische Verfahren, abhängig vom jeweiligen Internetzugriff, ob nun über WLAN oder LAN. Dabei wird eine verschlüsselte Verbindung zur Bank des Kunden durch die App aufgebaut, die zur Autorisierung der angeforderten Überweisung führt. Hier haben wir den Beweis: das komplette Verfahren funktioniert komplett ohne TANs.
Jedoch: erst nachdem der Kunde den entsprechenden Klick im Browser getätigt hat, wird die Überweisung endgültig freigegeben. Sollte dem Nutzer kein Internet zur Verfügung stehen, gibt es immer noch die Möglichkeit der Nutzung des manuellen Modus. Dabei wird durch die App aus dem bereits existierenden und gescannten QR-Code die herkömmliche TAN errechnet. Diese muss der Kunde anschließend im Browser eingeben und so seine Überweisung freigeben. Natürlich muss im vorausgehenden Schritt immer das Passwort eingegeben werden.
Welche Banken bieten QR-TAN-Verfahren an?
Welche Zugangsverfahren zum Online-Banking verschiedene Banken anbieten, zeigen Ihnen die jeweiligen Detailseiten unseres Girokonto-Vergleichs sowie unser Ratgeber zum Thema Sicherheit beim Online-Banking.