Display TAN von NFC-TAN

INNOVATIONSforBANKS 2014: Mobile Banking Sicherheit im Fokus

Heute und morgen findet die Konferenz Innovations for Banks des Bankingclub statt. Einen Schwerpunkt bildeten heute Mobile Payment und Mobile Banking, insbesondere die Sicherheitsaspekte.

Mit „Display TAN“ zeigte Dr. Bernd Borchert von der Uni Tübingen das vermutlich handlichste Chipkarten-TAN-Gerät der Welt: Es wird einfach direkt in die Karte integriert (siehe die Grafik oben, von www.nfc-tan.com).  Das Smartphone sendet per Bluetooth oder NFC die Transaktion an die Karte. Ein Display in der Karte zeigt die zu signierende Transaktion an, per OK-Button bestätigt der Nutzer. Der Kartenchip generiert dann die TAN, das tut er schon bei heutigen chipTAN-Verfahren. Wiederum per Bluetooth/NFC gehen die Daten zurück ans Smartphone. Solche Karten existieren bereits, als Kosten wurden 9€ / Stück genannt, das ist im Vergleich mit üblichen Chipkarten-TAN-Geräten eher günstig, um Vergleich mit Standard-Karten natürlich sehr teuer.

Mehr zur Diskussion um Sicherheitsverfahren im Mobile Banking und ums Mobile Payment:

Es wurde kurzfristig kontrovers diskutiert, wie sich die unterschiedlichen Mobile TAN-Verfahren zueinander verhalten. Auf der einen Seite stehen die Verfahren, die Spezialhardware (Chipkarten) nutzen, um Transaktionen zu signieren, auf der anderen Seite die App-basierten Lösungen, wie sie Star Finanz mit Push Tan oder Postbank mit BestSign anbieten. Konsens war, dass ein separates Secure Hardware Device natürlich den besten Schutz ermöglicht. Ich habe zu bedenken gegeben, dass die Banken mit den TAN-Apps aber ja auf einen konkreten Kundenbedarf reagieren, den jeder in den Kommentaren zur App im iTunes-Store nachlesen kann. Im anschließenden Gespräch haben dann auch Hardliner zugegeben, dass Banken ja an anderer Stelle auch nicht auf maximale Sicherheit setzen, sondern abwägen. So bieten sie etwa keine gehärteten Browser an.

Sehr konsensfähig war die Forderung, dass die Bankserver bei der Verarbeitung „mitdenken“ sollen. Normale Datenanalysen können erkennen, ob eine Transaktion typisch für einen Kunden ist oder auffällig. Das ist noch nicht einmal Big Data. Und im Zweifelsfall kann man auffällige Transaktionen dann erst einmal stoppen und über einen anderen Kanal beim Kunden eine weitere Bestätigung einholen.

Deutlich wurde der der Wunsch, dem Nutzer komfortable Lösungen mit einem akzeptablen Sicherheitsniveau zu bieten, statt an isolierten Stellen Sicherheitsmaximierung auf Kosten der Usability zu betreiben. Und um es klar zu sagen: Die eingangs genannte Display TAN ist für mich ein sehr attraktives Angebot. Dann hätte ich einen sicheren TAN-Generator immer dabei. Verliere ich die Karte, muss ich sie ohnehin sperren lassen. Ob ich 9€ für ein separates Gerät zahle oder für eine Karte mit Zusatzfunktionen, ist auch schon egal. Ich hoffe, dass der Ansatz Anklang findet!

VeroPay Mobile Payment

Über Mobile Payment berichteten VeroPay und Visa. VeroPay ist in Österreich bereits im produktiven Einsatz und arbeitet daran, über neue Partner im Handel seinen Einsatzbereich auszuweiten. Der Ansatz:

„Wir wollen mit dem Smartphone zahlen, aber nur, wenn es sicher ist. Die einfache Konsequenz: Auf dem Handy dürfen nur anonyme Bezahlcodes gespeichert werden.“

So geht’s: Die App lädt besagte anonyme Bezahlcodes. Der Zugriff darauf ist per PIN geschützt. An der Kasse wird ein Code als QR-Code angezeigt, von der Kasse eingescannt und über die VeroPay-Infrastruktur an die Bank zur Auslösung der Zahlung weitergeleitet. PIN eingeben, Handy zeigen, scannen, fertig. Die Höhe der Zahlung sieht man an am Kassenbon, nicht anhand des Bezahlcodes. Dafür funktioniert das Ganze aber auch ohne Mobilfunknetz beim Bezahlvorgang, man braucht kein NFC, es geht mit jedem Provider. Zur Sicherheit gibt es ein Limit von 200€ pro Tag, das von der Bank vor Ausführung einer Zahlung geprüft wird.

VeroPay bietet eine White Label Lösung für Banken an, die damit den aktuell vorne liegenden Apps des Handels etwas entgegensetzen können. Wobei das Konzept auf Kooperation mit dem Handel ausgelegt ist: in Österreich integrieren die Händler den VeroPay-Aufruf als Bezahlverfahren in ihre eigenen Apps.

Auch Visa ist nicht untätig. Wie immer bei Visa und Mastercard gibt es eher zu viele Ansätze. Lieber hätten wir ja den einen, entscheidenden, der sich am Markt durchsetzt… Neben V.me fürs Online-Shopping fand ich vor allem die Idee spannend, Peer to Peer Zahlungen zu ermöglichen, ohne dass der Empfänger des Geldes sich für dieses Verfahren registriert haben muss. Er benötigt nur eine Visa-Karte. Der Sender kann den Empfänger dann per Telefonnummer auswählen, der Betrag wird dem Kartenkonto gutgeschrieben.

Die Konferenz geht morgen noch weiter. Um 12 Uhr darf ich selber referieren zu „Moneyfaktur. Das Modell für zukunftsweisendes Digitales Banking.“ Ich freue mich schon auf einen spannenden High Noon :)

Elmar Borgmeier

Gestaltet Online Finance seit 1997. Glaubt an die Symbiose von Finance und IT. Ist Mitgründer und Chief Innovation Officer der syngenio AG. Moderator des JAX Finance Day. Berater für Next Generation Finance. Philosophiert gern über IT und realisiert noch lieber konkrete Lösungen.

Kommentar (1) Schreibe einen Kommentar

  1. Schoen kurz dargestellt, Danke.
    Hier noch eine aktuelle Einschaetzung zum Thema Mobile Banking Sicherheit vom Verantwortlichen bei der UBS (Seite 14/15)
    http://www.six-interbank-clearing.com/dam/downloads/en/clearit/59/edition.pdf
    Er empfiehlt Limits und/oder Whitelisting bei mobilen Ueberweisungen. Und er hofft auf sichere Smartphone-Architekturen – das größte Problem ist dabei ein sicheres Display, ein sicherer Rechenbereich+Speicher im Smartphone (Trusted Zone oder Secure Element) ist leider nicht genug.
    B. Borchert

    Antworten

Schreib einen Kommentar

Pflichtfelder sind mit * markiert.


Top