Da die EU die Benutzung von iTANs verbietet (wieso maßt sich die EU sowas an ?? – ist doch Sache der Banken), bietet die ING-Bank (außer einem gesonderten TAN-Generator oder den mTANs) die Nutzung einer App auf dem Handy an. Der Zugriff erfolgt durch Eingabe von gerade mal 5! Ziffern auf dem Handy. Transaktionen müssen durch diese 5 Ziffern bestätigt werden. Mir scheint, das ist nicht sonderlich sicher.
Was ist die Meinung der Sicherheitsexperten?
Hallo Herr Vonau,
Ihre Anfrage war der Anlass, dass ich jetzt auf meinem Smartphone die App Foto-TAN meiner Bank installiert habe. Diese ist ein reiner TAN-Generator für die Verwendung beim Online-Banking am PC – nicht mit dem Smartphone.
Details sind in https://www.wikibanking.net/onlinebanking/verfahren/phototan/ beschrieben. Die App erzeugt auf dem Smartphone ein 6stellige TAN, die ich am PC eintippen muss. Das Verfahren ist so sicher, wie das Smartphone. D.h., wenn ich dieses verliere, ist nicht nur der (bei der Bank mit seiner Seriennummer registrierte) „TAN-Generator“ weg, sondern ich kann auch nicht die Bank anrufen, um mein Konto zu sperren: Telefonzellen gibt´s ja auch keine mehr.
Der Unterschied zum mobilen TAN (mTAN), bei dem die TAN von der Bank generiert auf ein Handy geschickt wird, ist, dass bei der mTAN nur die Handy-Rufnummer registriert ist. Wenn ein Betrüger sich eine SIM-Karte für meine Rufnummer ausstellen lässt, kann auf mein Konto zugreifen, wenn er die Anmeldedaten und die PIN kennt. Er braucht dazu mein Handy nicht.
Eine Home-Banking App erfordert einen zweiten Weg für die TAN, was aber unterwegs nicht so einfach ist, wie in https://www.vr-banking-app.de/vr-securego.html beschrieben. Ein richtiger Medienbruch ist das nicht, auch wenn ich die TAN zwischendurch aufschreiben muss.
VG
noha