comdirect – Sicherheitsverfahren phtoTAN

In ganz kurzen und groben Worten läuft es so ab:
1. Eine Banking-Anwendung (Browser oder lokale Anwendung, wie B4W) generiert aufgrund eines erfassten Auftrages einen Auftragsschlüssel, welcher in Form einer Grafik dargestellt wird, ähnlich eines QR-Codes.
2. Die spezielle App oder das Lesegerät liest und interpretiert diesen Schlüssel nach vorgegebenen Kriterien und zeigt daraufhin einige wesentliche zugehörige Auftragsdaten sowie die TAN für diesen Auftrag an. Ähnlich, wie das Lesen von QR-Codes zu einer Web-Adresse/URL führt.
3. Man erfasst dann die angezeigte TAN, was wieder vergleichbar ist mir dem Erfassen von TANs aus anderen Verfahren.
4. Durch das Übertragen der TAN an den Bankrechner wird der Auftrag freigegeben und ausgeführt.

Der Ablauf ist im Prinzip vergleichbar zwischen Browserbanking und lokalen Anwendungen, wie B4W oder anderen.
Allerdings empfehle ich Dir, zunächst etwas weiter zu recherchieren. Denn, um dieses Photo-TAN-Verfahren sicher zu verwenden, ist ein Lesegerät die bessere Wahl. Hier ist nur einer von vielen Berichten, welche Du im Netz finden kannst.

Photo-TAN: Apps der Deutschen Bank, Commerzbank und Norisbank angreifbar

Viele Grüße
Neptun

Hallo Neptun,

ich halte den ersten Absatz für sehr gelungen und hilfreich, den zweiten Absatz hättest Du Dir aber sparen können. Es ist JEDES Verfahren irgendwo angreifbar, auch eine iTAN Liste kann kopiert bzw. gestohlen werden. Das Onlinebanking über eine Finanzsoftware ist schon sehr sicher und wenn man bestimmte Regeln beachtet wie keine Überweisungen über eine
Banking-APP und empfang der Mobile-Tan über das gleiche Mobilgerät, auch kaum knackbar. Es macht keinen Sinn
Anwender zu verunsichern.

Ich würde es so fomulieren:

Das photoTAN-Verfahren ist ein recht "nettes" Verfahren, das Foto von dem farbigen Barcode geht schneller und zuverlässiger als die Flacker-Übertragung beim chipTAN-Verfahren anderer Banken. Man bekommt nach Anmeldung von der Bank einen Initialisierungs-Brief, mit dem man jederzeit neue photoTAN-Geräte initialisieren kann, angemeldete kann man jederzeit abmelden/deaktivieren. Somit ist ein Gerätewechsel eine Angelegenheit von Minuten - man muß nicht immer bei jedem Wechsel auf einen neuen Brief warten (wie bei chipTAN). Über HBCI (und damit in B4) funktioniert photoTAN natürlich auch.

Zu beachten wäre, dass man das Banking und den TAN-Empfang nicht auf dem gleichen Gerät durchführt, da es dabei Sicherheitslücken gibt (wurden von Wissenschaftlern demonstriert, in der Praxis aber wohl noch nicht vorgekommen). Zu bedenken ist aber auch: Beim photoTAN-Verfahren wird von den Banken die Verwendung auf dem gleichen Gerät nicht ausdrücklich verboten (so wie bei SMS-TAN). Das ist allerdings nicht weiter verwunderlich, da es ohne irgendwelche Manipulationen eh nicht möglich ist, die Barcodegrafik, die auf dem Display eines Smartphones dargestellt wird, mit dem selben Smartphone zu fotografieren...

Zu guter letzt: Man muss das Photo und die Erzeugung der TAN nicht zwingend auf einem Smartphone durchführen. Es gibt, wie Neptun62 richtig hinwies, auch photoTAN-Geräte. Diese sind nicht teuer und können bei der Aktivierung des Verfahrens von der jweiligen Bank mit bestellt werden. Wenn man also das Banking nur am heimischen Computer am Schreibtisch macht, ist es vielleicht sogar bequemer, das dort vorliegende TAN-Gerät zu benutzen als immer das Smartphone herbeizuholen. Manipulation durch Hacker ist bei einem Stand-Alone-Gerät natürlich auch eher ausgeschlossen.

Generell ist allerdings zu sagen, dass die modernen TAN-Verfahren allesamt sehr viel sicherer sind, als die TAN-Listen auf Papier. Und sicherer als der Standard-Papier-Überweisungs-Auftrag allemal.

Edit: Ich habe gerade bei der norisbank (Deutsche Bank Gruppe, die verwenden auch ein photoTAN-Verfahren) nachgeschaut, da ist die Zusendung des ersten photoTAN-Lesers sogar kostenlos, bei der comdirekt kostet es 24,90 EUR - und ist damit natürlich erheblich billiger als ein Smartphone

Hallo!

@Neptun62: Zunächst einmal herzlichen Dank für Ihre prompte und ausführliche Antwort vom Fr 17.08.2018 und den zweiten ergänzenden Forumeintrag von heute.

@infoman und @pingpong: In meiner Anfrage ging es nur um das Zusammenspiel „Banking 4W / comdirect / Smartphone“ und nicht um die Bewertung der Sicherheitsverfahren. Auch Ihnen ein Dankeschön für Ihre Mühe!

@msa: Auch Ihnen ein Dankeschön für die ausführlichen Hintergrundinformationen!

@Neptun62:Mir ist der Ablauf noch nicht ganz klar. Ich beschreibe einmal das Zusammenspiel, so wie ich es verstanden habe.

Schritt 1
Auf dem PC Login auf der Internetseite der comdirect.

Schritt 2
Auf dem PC Login auf Banking 4W. Das comdirect-Konto auswählen, das Überweisungsformular ausfüllen. Senden.

Schritt 3
Unter Banking 4W öffnet sich ein Popup-Fenster für die Eingabe einer TAN.

Schritt 4
Auf dem PC-Bildschirm erscheint auf der der Internetseite der comdirect ein farbiger Barcode.

Schritt 5
- Mit einem für jede Bankengruppe spezifischen Lesegerät oder
- mit einem Smartphone und einer für jede Bankengruppe spezifischen App
wird der farbiger Barcode auf dem PC-Bildschirm gescannt.

Schritt 6
Im Display des Lesegeräts oder des Smartphones erscheinen nun die Überweisungsdaten, die überprüft werden können, sowie eine TAN.

Schritt 7
Mit der nach Eingabe der TAN im Popup-Fenster von Banking 4W wird die Überweisung abgeschlossen.

Ist das so korrekt?

Gruß
KHB

@msa: Danke für die schnelle Antwort!

Ich habe da nur ein Problem: Was ist "Programm B4"? Ich benutze Banking 4W, Build 6.10.4.6683.

Gruß
KHB

@Neptun62: Vielen Dank für die Erläuterungen!

Ich habe gesucht, aber nichts gefunden: was muß ich tun, um von Banking 4W auf Banking4 zu wechseln?

Gruß
KHB

statt Worte ist vielleicht ein Clip einfacher?
(bezogen auf die Basis-Anmeldung und Webbanking - letzteres entfällt ja bei Software-Einsatz)
https://www.youtube.com/watch?v=fsnfAOOfxt4

Hallo KHB,

das ist prima!
Gib gerne hier Feedback, wenn Du es erfolgreich installiert und verwendet hast.

Grüße Neptun

Hallo,

als ich dieses Thema eröffnet habe, ist beim Titel ein Schreibfehler unterlaufen. Ich bitte einen Moderator, diese Fehler zu korrigieren:

anstelle von "comdirect – Sicherheitsverfahren phtoTAN" muß es "comdirect – Sicherheitsverfahren photoTAN" heißen.

Vielen Dank!

Gruß
KHB

@DBuessen: Es ist schon erstaunlich, wie Du mich mit zwei kurzen Sätzen in die Realität zurückgeholt hast!

Vielen Dank!

Gruß
KHB