Hallo,

die comdirect hat z. Zt. drei Sicherheitsverfahren im Einsatz:

1. indizierte TAN
Wird von mir genutzt, aber …
der Einsatz der iTAN wird aufgrund der EU-Regulierung im Rahmen der PSD2 (Zahlungsdiensterichtlinie 2) ab Mitte 2019 nicht mehr zulässig sein.

2. mobile TAN
Ab dem 01.09.2018 wird für eine angeforderte und genutzte mobileTAN ein Entgelt von 0,09 Euro erhoben. mobileTAN für Wertpapieraufträge sind von der Bepreisung ausgenommen.

3. photoTAN
Beim photoTAN-Verfahren liest man mit seinem Smartphone eine farbige Grafik vom Monitor ein. Eine App entschlüsselt die Grafik. Anschließend bekommt man die TAN sowie die wichtigsten Transaktionsdaten auf dem Display angezeigt.

Ich habe noch kein Smartphone (ja – so etwas gibt es!), möchte mir aber eins anschaffen und zukünftig das photoTAN-Verfahren benutzen.

Was ich gerne wissen möchte: wie funktioniert beim photoTAN-Verfahren das Zusammenspiel Banking 4W / comdirect / Smartphone?

Ich bitte um Unterstützung. Vielen Dank!

Grüße
KHB

In ganz kurzen und groben Worten läuft es so ab:
1. Eine Banking-Anwendung (Browser oder lokale Anwendung, wie B4W) generiert aufgrund eines erfassten Auftrages einen Auftragsschlüssel, welcher in Form einer Grafik dargestellt wird, ähnlich eines QR-Codes.
2. Die spezielle App oder das Lesegerät liest und interpretiert diesen Schlüssel nach vorgegebenen Kriterien und zeigt daraufhin einige wesentliche zugehörige Auftragsdaten sowie die TAN für diesen Auftrag an. Ähnlich, wie das Lesen von QR-Codes zu einer Web-Adresse/URL führt.
3. Man erfasst dann die angezeigte TAN, was wieder vergleichbar ist mir dem Erfassen von TANs aus anderen Verfahren.
4. Durch das Übertragen der TAN an den Bankrechner wird der Auftrag freigegeben und ausgeführt.

Der Ablauf ist im Prinzip vergleichbar zwischen Browserbanking und lokalen Anwendungen, wie B4W oder anderen.
Allerdings empfehle ich Dir, zunächst etwas weiter zu recherchieren. Denn, um dieses Photo-TAN-Verfahren sicher zu verwenden, ist ein Lesegerät die bessere Wahl. Hier ist nur einer von vielen Berichten, welche Du im Netz finden kannst.

Photo-TAN: Apps der Deutschen Bank, Commerzbank und Norisbank angreifbar

Viele Grüße
Neptun

Bitte niemand verunsichern
Onlinebanking ist sicherer als papiergebunden

Des weiteren steht in dem Artikel, dass der Angriff nur möglich ist, wenn das Gerät manipuliert wurde und zudem die banking APP sowie die phototan auf einem Gerät installiert ist.
Dies ist in og Szenario nicht gegeben (banking 4w)

Hallo Neptun,

ich halte den ersten Absatz für sehr gelungen und hilfreich, den zweiten Absatz hättest Du Dir aber sparen können. Es ist JEDES Verfahren irgendwo angreifbar, auch eine iTAN Liste kann kopiert bzw. gestohlen werden. Das Onlinebanking über eine Finanzsoftware ist schon sehr sicher und wenn man bestimmte Regeln beachtet wie keine Überweisungen über eine
Banking-APP und empfang der Mobile-Tan über das gleiche Mobilgerät, auch kaum knackbar. Es macht keinen Sinn
Anwender zu verunsichern.

Es ist mir unerklärlich, wie man in eine freundliche Empfehlung eine Verunsicherung hinein interpretieren kann.

Daher nochmal zur Verdeutlichung:
1. Wenn ich es richtig verstanden habe, bezieht sich die Frage des Autors auf das Photo-TAN Verfahren
2. Er hat bisher noch kein Smartphone und erwägt, eines anzuschaffen
3. Meine Empfehlung besagt, dass das Photo-Tan-Verfahren mit Hilfe eines Lesegerätes sicherer ist als mit einer Smartphone-App.
4. An keiner Textstelle stelle ich Onlinebanking oder Banking-Programme in Frage!
5. Banking mit lokalen Anwendungen, wie B4W oder anderen, ist nach meiner Auffassung deutlich sicherer als Browserbanking.
6. Ein Smartphone ist eher zu hacken, als ein TAN-Lesegerät / TAN-Generator.
7. Bewußt scherzhaft: Die Anschaffung eines Lesegerätes ist günstiger als die eines Smartphones.

Ich würde es so fomulieren:

Das photoTAN-Verfahren ist ein recht "nettes" Verfahren, das Foto von dem farbigen Barcode geht schneller und zuverlässiger als die Flacker-Übertragung beim chipTAN-Verfahren anderer Banken. Man bekommt nach Anmeldung von der Bank einen Initialisierungs-Brief, mit dem man jederzeit neue photoTAN-Geräte initialisieren kann, angemeldete kann man jederzeit abmelden/deaktivieren. Somit ist ein Gerätewechsel eine Angelegenheit von Minuten - man muß nicht immer bei jedem Wechsel auf einen neuen Brief warten (wie bei chipTAN). Über HBCI (und damit in B4) funktioniert photoTAN natürlich auch.

Zu beachten wäre, dass man das Banking und den TAN-Empfang nicht auf dem gleichen Gerät durchführt, da es dabei Sicherheitslücken gibt (wurden von Wissenschaftlern demonstriert, in der Praxis aber wohl noch nicht vorgekommen). Zu bedenken ist aber auch: Beim photoTAN-Verfahren wird von den Banken die Verwendung auf dem gleichen Gerät nicht ausdrücklich verboten (so wie bei SMS-TAN). Das ist allerdings nicht weiter verwunderlich, da es ohne irgendwelche Manipulationen eh nicht möglich ist, die Barcodegrafik, die auf dem Display eines Smartphones dargestellt wird, mit dem selben Smartphone zu fotografieren...

Zu guter letzt: Man muss das Photo und die Erzeugung der TAN nicht zwingend auf einem Smartphone durchführen. Es gibt, wie Neptun62 richtig hinwies, auch photoTAN-Geräte. Diese sind nicht teuer und können bei der Aktivierung des Verfahrens von der jweiligen Bank mit bestellt werden. Wenn man also das Banking nur am heimischen Computer am Schreibtisch macht, ist es vielleicht sogar bequemer, das dort vorliegende TAN-Gerät zu benutzen als immer das Smartphone herbeizuholen. Manipulation durch Hacker ist bei einem Stand-Alone-Gerät natürlich auch eher ausgeschlossen.

Generell ist allerdings zu sagen, dass die modernen TAN-Verfahren allesamt sehr viel sicherer sind, als die TAN-Listen auf Papier. Und sicherer als der Standard-Papier-Überweisungs-Auftrag allemal.

Edit: Ich habe gerade bei der norisbank (Deutsche Bank Gruppe, die verwenden auch ein photoTAN-Verfahren) nachgeschaut, da ist die Zusendung des ersten photoTAN-Lesers sogar kostenlos, bei der comdirekt kostet es 24,90 EUR - und ist damit natürlich erheblich billiger als ein Smartphone

Danke!
Das war jetzt die ausführliche und, wie immer bei msa, perfekt ausformulierte Erklärung.

Grüße nach München

Hallo!

@Neptun62: Zunächst einmal herzlichen Dank für Ihre prompte und ausführliche Antwort vom Fr 17.08.2018 und den zweiten ergänzenden Forumeintrag von heute.

@infoman und @pingpong: In meiner Anfrage ging es nur um das Zusammenspiel „Banking 4W / comdirect / Smartphone“ und nicht um die Bewertung der Sicherheitsverfahren. Auch Ihnen ein Dankeschön für Ihre Mühe!

@msa: Auch Ihnen ein Dankeschön für die ausführlichen Hintergrundinformationen!

@Neptun62:Mir ist der Ablauf noch nicht ganz klar. Ich beschreibe einmal das Zusammenspiel, so wie ich es verstanden habe.

Schritt 1
Auf dem PC Login auf der Internetseite der comdirect.

Schritt 2
Auf dem PC Login auf Banking 4W. Das comdirect-Konto auswählen, das Überweisungsformular ausfüllen. Senden.

Schritt 3
Unter Banking 4W öffnet sich ein Popup-Fenster für die Eingabe einer TAN.

Schritt 4
Auf dem PC-Bildschirm erscheint auf der der Internetseite der comdirect ein farbiger Barcode.

Schritt 5
- Mit einem für jede Bankengruppe spezifischen Lesegerät oder
- mit einem Smartphone und einer für jede Bankengruppe spezifischen App
wird der farbiger Barcode auf dem PC-Bildschirm gescannt.

Schritt 6
Im Display des Lesegeräts oder des Smartphones erscheinen nun die Überweisungsdaten, die überprüft werden können, sowie eine TAN.

Schritt 7
Mit der nach Eingabe der TAN im Popup-Fenster von Banking 4W wird die Überweisung abgeschlossen.

Ist das so korrekt?

Gruß
KHB

Nein. Die Internetseite wird nicht benutzt, wenn man mit Software (also B4) arbeitet. Das Popup mit dem farbigen Barcode wird IM PROGRAMM B4 selbst erzeugt und dargestellt

Ablauf:
Schritt 1 entfällt
Schritt 2 ja
Schritt 3 und 4 erfolgen in einem Fenster im Programm B4
Schritt 5/6/7 ja

Fertig.

@msa: Danke für die schnelle Antwort!

Ich habe da nur ein Problem: Was ist "Programm B4"? Ich benutze Banking 4W, Build 6.10.4.6683.

Gruß
KHB

B4 ist nur die plattformneutrale Kurzform von Banking 4W. Es gibt das Programm ja auch für andere Betriebssysteme. Bisher heißt es bei Apple-Rechnern Banking 4X, bei Iphones Banking 4i und bei bei Android Banking 4A. Dies ist jedoch gerade im Umbruch, da der Hersteller eine plattformübergreifende Bezeichnung einführt, welche nun lediglich Banking 4 heißt. Dies ist dann eben abgekürzt "B4".

Noch eine kleine Ergänzung: Das "Lesegerät" aus Schritt 5 muss bei Neubeginn mit diesem TAN-Verfahren zunächst initialisiert werden, wie es msa in der langen Erklärung geschrieben hat. Danach kann man es mit allen Plattformen verwenden.


Grüße Neptun

@Neptun62: Vielen Dank für die Erläuterungen!

Ich habe gesucht, aber nichts gefunden: was muß ich tun, um von Banking 4W auf Banking4 zu wechseln?

Gruß
KHB

Hallo KHB,

das ist nicht erforderlich. Du bekommst nach Freigabe der neuen Version automatisch ein Update, sofern Du dies eingestellt hast.
Wenn Du allerdings früher an die überarbeitete Version kommen möchtest, kannst Du Dir gerne hier die Beta-Version herunterladen und installieren.
Banking 4W BETA
Oder direkt: https://subsembly.com/beta/TopBankingSetup.exe

Diese läuft nach unseren bisherigen Erfahrungen gut und stabil, wird jedoch noch nicht offiziell vom Support des Herstellers betreut. Unter Android und IOS, also für die Mobilgeräte, ist diese Version 7.x bereits freigegeben. Für Windows und Mac-OS steht die Freigabe noch aus.

statt Worte ist vielleicht ein Clip einfacher?
(bezogen auf die Basis-Anmeldung und Webbanking - letzteres entfällt ja bei Software-Einsatz)
https://www.youtube.com/watch?v=fsnfAOOfxt4

@Neptun62 und @infoman: Herzlichen Dank - ich hab's jetzt kapiert!

Gruß
KHB

Hallo KHB,

das ist prima!
Gib gerne hier Feedback, wenn Du es erfolgreich installiert und verwendet hast.

Grüße Neptun

Hallo zusammen,
Hallo Neptun,

das "hineininterpretieren" war keinesfalls böse gemeint! Das möchte ich von meiner Seite nochmals betonen!

Hier sind viele wirklich sehr nette, freundliche User unterwegs. Danke nochmals an die perfekt formulierte Erklärung
von msa und die Erklärungen aller anderen Beteiligten!

Viele Grüße
Michael

Hallo,

als ich dieses Thema eröffnet habe, ist beim Titel ein Schreibfehler unterlaufen. Ich bitte einen Moderator, diese Fehler zu korrigieren:

anstelle von "comdirect – Sicherheitsverfahren phtoTAN" muß es "comdirect – Sicherheitsverfahren photoTAN" heißen.

Vielen Dank!

Gruß
KHB

Moin,
so ein kleiner Schreibfehler ist doch nicht schlimm. Es weiss doch jeder, was gemeint ist!

@DBuessen: Es ist schon erstaunlich, wie Du mich mit zwei kurzen Sätzen in die Realität zurückgeholt hast!

Vielen Dank!

Gruß
KHB