Blog

2-Faktor-Authentifizierung – So schützen Sie ihre Online Transaktionen

Miles and more fintech authentifizierung
Was kommt nach den TAN Listen im Online Banking? (© Miles & More GmbH)

Neue Sicherheitsstandards für Online-Transaktionen

Grundsätzlich kann 2-Faktor Authentifizierung in jedem Bereich eingesetzt werden. Von dem entsperren des Smartphones, über Kreditkarten Transaktion, bis hin zum Zugang zu Onlinebanking. Im Folgenden fokussieren wir uns auf den aus unserer Sicht relevantesten letzten Punkt: Zugang und Abwicklung von Onlinebanking. Denn, im Rahmen der neuen Zahlungsdienste-Richtlinie (PSD II) sollen zukünftig die gestiegenen Anforderungen zur Gewährleistung des Datenschutzes und der Sicherheit von elektronischen Zahlungen stärker berücksichtigt werden. Vor allem bei der Eingabe von sensiblen Daten im Internet wird es zunehmend schwieriger, sich vor Hackern und Phishing-Angriffen zu schützen. Ein Problem, das schon seit Beginn des Online-Bankings existiert und dennoch bleibt DIE ideale Lösung ausstehend. Denn diese sollte nicht nur völlige Sicherheit für Bank und Kunden bieten, sondern auch möglichst unkompliziert sein! 

Als Teil der „Strong Customer Authentication“-Regeln der PSD II soll hier die „2-factor authentication“ Abhilfe schaffen. Korrekt übersetzt bedeutet dies „2-Faktor Authentisierung“, geläufiger in den Diskussionen ist aber der Begriff „2-Faktor Authentifizierung“. Bereits der Begriff „2-Faktor“- oder sogar Multifaktor-Authentisierung, klingt sperrig und birgt Diskussionspotential. 

Er verdeutlicht, dass hierfür mehrere Schritte erforderlich sind, was nicht nur zusätzlich zeitlichen Aufwand bedeutet, sondern auch manch einen Nerv kosten kann, denn ein Passwort alleine kann diesen Anforderungen nicht gerecht werden.

Welche unterschiedlichen Faktoren gibt es denn?

Generell werden die jeweiligen Faktoren in folgende drei Kategorien zusammengefasst:

Die Kategorie „Besitz“ / „Haben“ umfasst jenen physischen Gegenstand, der ausschließlich im Besitz des Kontoinhabers ist bzw. sein sollte, wie beispielsweise eine Bankkarte, TAN-Generator, Schlüssel oder das eigene Smartphone. Größte Schwachstelle dieses Faktors ist die zeitaufwendige Wiederbeschaffung bei Verlust. Würde man alleine auf diesen Faktor setzen, könnten bei Verlust des Gegenstandes die Zugangsvoraussetzungen in falsche Hände geraten. Auch deshalb wird hier schon heute in der Regel ein zweiter Faktor zur Identifizierung und somit Nutzung verwendet. 

Faktoren aus der Kategorie „Wissen“, wie z.B. Passwörter, PINs oder Antworten auf Sicherheitsfragen ergänzen die Kategorien „Besitz“ / „Haben“ schon heute bei den meisten schützenswerten Anwendungen.Auch die Schwachstelle dieses Faktors ist die Wiederbeschaffung bei Verlust. Zwar lässt sich Wissen zweifelsohne leichter wiederherstellen als Besitz, es kommt einem aber auch leichter abhanden. Denn vergessen kann man komplexe Zugangsdaten schnell, besonders, wenn man sie nicht regelmäßig benutzt oder, wie natürlich empfohlen, regelmäßig ändert.

Um die Schwachstellen Vergessen und Verlust der schon lange etablierten Verfahren aufzufangen, wird ein dritter Faktor zur Authentifizierung zugelassen. Die Kategorie „Inhärenz“, die Möglichkeit sich mit ganz individuellen biometrischen Daten, wie dem Fingerabdruck, der Stimme oder sogar der Iris zu authentisieren. Erst seit einigen Jahren auf dem Massenmarkt angekommen, stellen diese Merkmale besondere Anforderungen an Schutz und Verschlüsselung. Denn während Bankkarten oder Passwörter bei Verlust oder Diebstahl ausgetauscht werden können, sind persönliche Merkmale einzigartig und unersetzbar. „Inhärenz“ stellt somit den praktischsten aber auch sensibelsten Faktor dar.

Wie sicher und handlich sind die bisher angewendeten Verfahren?

Wer heute über 30 Jahre jung ist und in Deutschland lebt, hat wahrscheinlich online Banking mit einer TAN Liste kennengelernt. Offline und somit sicher vor Hackern bekam der Kunde eine physische Liste mit einer Vielzahl von Transaktionsnummern zugesendet, die bei der Onlineüberweisung als Einmalkennwort verwendet und im Anschluss durchgestrichen werden konnten. Da hierbei allerdings eine beliebige TAN der Liste, unabhängig von den Transaktionsdaten, verwendet werden konnte, bietet dieses Verfahren keinen Schutz vor Phishing, bei dem der Kunde auf eine vermeintlich von der Bank stammende Seite weitergeleitet wird, auf der er seine Zugangsdaten eingibt um eine Überweisung zu initiieren. Während im Eingabefeld der gewünschte Empfänger und Betrag angezeigt wird, könnte eine Software im Hintergrund diese Daten abfangen, Empfänger und Betrag beliebig verändern und somit das Konto des Überweisenden plündern. Um diese Schwachstelle zu beheben, wurde das indizierte TAN-Verfahren (iTAN) entwickelt, bei dem der Nutzer aufgefordert wird eine bestimmte, nummerierte TAN aus seiner Liste zu verwenden, die ausschließlich für die eingetragenen Transaktionsdaten gültig ist. Abgesehen davon, dass die Beschaffung und Aufbewahrung der TAN Listen umständlich und nicht nutzerfreundlich sind, ist es leider auch hier möglich mit Hilfe von Trojanern auf dem verwendeten Computer umzuleiten und zu verändern, weshalb auch das iTAN-Verfahren voraussichtlich ab Herbst diesen Jahres der Vergangenheit angehören wird

Weiterhin werden seitens diverser Banken Authentisierungsverfahren per TAN-Generator, smartTAN oder chipTAN empfohlen, die aufgrund der zwei voneinander getrennten Geräten und der eigens für die Transaktion generierten TANs zusätzliche Sicherheit bieten. Auch Kombinationen mit dem QR-TAN- oder PhotoTAN-Verfahren, bei denen ein individueller Code, der die auftragsbezogene TAN enthält, gescannt wird, sind möglich. Die zusätzlich benötigte, geschlossene Hardware ist dabei ein kaum zu unterschätzender Sicherheitsfaktor, gefühlt und auch tatsächlich. Allerdings verursacht dies auch Kosten und gilt in Zeiten des Smartphones fast schon als unzumutbar. Dagegen ist die mTAN, bei der die generierte TAN per SMS an die hinterlegte Telefonnummer des Kontoinhabers versendet wird, wesentlich unkomplizierter. Auch hier entstehen jedoch Kosten, welche die meisten Banken an den Endkunden weiterreichen. Die Sicherheit des Verfahrens ist davon abhängig, welche Informationen die SMS enthält, dies unterscheidet sich von Bank zu Bank. Wird in der SMS lediglich das Datum und die einzugebende TAN angezeigt, ist nicht nachvollziehbar welche Transaktion mit deren Eingabe freigegeben wird. Deshalb ist die konkrete Angabe der Überweisungsdaten, wie der Transaktionsnummer, Kontodaten des Empfängers und dem zu transferierenden Betrag, auf die sich die TAN bezieht, sinnvoll. Vor Phishing oder duplizierten SIM-Karten ist der Kunde jedoch auch hier nicht geschützt. Wie auch beim pushTAN-Verfahren per App, werden die Daten zwar über zwei voneinander getrennte Kanäle versendet, jedoch immer noch (meist) über die selbe Hardware. Beim pushTAN-Verfahren wird neben der mobilen Banking-App noch zusätzlich die jeweilige pushTAN-App auf dem mobilen Gerät installiert und mit Hilfe der von der Bank physisch zugesendeten Zugangsdaten eingerichtet. Soll eine Online-Überweisung durchgeführt werden, kann die hierfür generierte TAN in der pushTAN-App abgerufen werden. Sind beide Apps auf demselben Gerät installiert, kann die TAN per Knopfdruck auch einfach direkt an die Banking-App übermittelt werden und die Zahlung wird initiiert. Aufgrund der einfachen Abwicklung, erfreut sich diese Authentisierungsmethode höchster Beliebtheit. Wer allerdings sämtliche Daten handlich auf einem einzigen Gerät haben möchte, sollte dieses besonders gut vor Malware schützen.

Welche Möglichkeiten der Authentifizierung könnte es zukünftig geben?

Mit der zunehmenden Digitalisierung gewöhnen wir uns immer mehr an schnelle und intuitive Abwicklungen per Smartphone. Ob beim Versenden von Nachrichten oder dem Onlineshopping, jeder Schritt und jeder Klick zu viel könnte ein potentielles Transaktionsabbruchsrisiko darstellen, das gilt auch fürs Online-Banking. Deshalb möchten und sollten FinTechs ebenso wie traditionelle Banken sich mit dem Trend der biometrischen Authentisierung vermehrt auseinandersetzen, um den modernen Technologieunternehmen in Nichts nachzustehen. Man muss dabei jedoch vermeiden, die Sicherheit der Daten gegen Bequemlichkeit einzutauschen. Hier sind die Finanzdienstleister gefragt, Sicherheit bei größtmöglicher Nutzerfreundlichkeit zu gewährleisten. Zwei Faktoren, die maßgeblich entscheidend sind für den Erfolg jeder neuen Finanzinnovation. Aber auch die Nutzer sind gefragt, sich mit den Risiken und möglichen Präventivmaßnahmen auseinandersetzen, denn durch sichere Passwörter, Anti-Virenprogramme und dem bewussten Umgang mit seinen Daten und Geräten, kann der Verbraucher selbst bereits im ersten Schritt der Authentisierung, erhebliche Sicherheitslücken schließen. 


Sie erreichen das Miles & More FinTech-Team unter

fintech@miles-and-more.com

Um Ihr Website-Erlebnis zu personalisieren und zu verbessern, werden Cookies verwendet. Mit der weiteren Nutzung dieser Website akzeptieren Sie unsere Cookie Policy