STRATEGIE29. April 2019

chipTAN ausgeflickert – die neuen Verfahren im Test

chipTAN ersetzt Flicker
Es geht zu Ende …ITFM

Von allen chipTAN-Varianten wird der sogenannte Flickercode am häufigsten eingesetzt. Warum sich das gerade ändert und welche Spielarten von chipTAN es sonst noch gibt, behandelt dieser Artikel im Detail

von Rudolf Linsenbarth

Rudolf Linsenbarth
ChipTAN ist in Deutschland eine der populärsten 2-Faktor-Methoden im Online Banking. Abgesichert wird es über den Smartcard Chip der girocard. Genauer durch das dieser Bankkarte zu Grunde liegende SECCOS Betriebssystem. Da aber selbst Banken, die ihre Kreditkarten mit dem SECCOS Betriebssystem ausstatten, chipTAN dort nicht implementiert haben, ist der Einsatz de facto auf die girocard begrenzt.

chipTAN manuell

Das chipTAN Verfahren wurde erstmals 2006 auf der CEBIT vom Deutschen Genossenschafts-Verlag vorgestellt. Für eine Transaktion sind neben den Online-Banking-Zugangsdaten auch eine girocard, sowie ein TAN-Generator notwendig. chipTAN-Geräte verschiedener Hersteller sind von der Deutschen Kreditwirtschaft standardisiert. Dadurch sind sie untereinander austauschbar und nicht an die Karten eines bestimmten Kreditinstitutes gebunden.

Sofern die im Display angezeigten Daten vor der Bestätigung auf ihre Richtigkeit geprüft werden, schützt das Verfahren vor Phishing– bzw. Man-in-the-Middle-Angriffen. Bei einem Verlust der girocard können mit einem beliebigen TAN-Generator, weiterhin TANs generiert werden. Der Finder muss dann aber auch im Besitz der Online-Banking-Zugangsdaten sein. Wenn eine Bankkarte gesperrt ist, lehnt das Kreditinstitut die mit dieser Karte erzeugten TANs ab.

chipTAN-Verfahren - auch mit bankfremden Karten
Rudolf Linsenbarth

Nachdem eine Überweisung im Online-Banking erfasst wurde, wird ein (Start-)Code am Bildschirm angezeigt. Nun muss die persönliche Bankkarte in den TAN-Generator eingesteckt werden und der (Start-)Code über das Ziffernfeld des TAN-Generators eingetippt und bestätigt werden. Bei den meisten Instituten muss danach noch die Empfängerkontonummer / IBAN und der Betrag der Überweisung eingetippt werden. Nach Eingabe der TAN im Online-Banking wird der Auftrag ausgeführt.

chipTAN comfort / Sm@rt-TAN optic (Flickercode)

Ab 2010 wurde die Möglichkeit geschaffen, die Auftragsdaten nicht mehr nur manuell, sondern auch per optischer Schnittstelle zu übertragen. Bei der Postbank und den Sparkassen firmiert diese Variante unter der Bezeichnung „chipTAN comfort“, während die Genossenschaftsbanken dafür „Sm@rtTAN plus“ und „Sm@rt-TAN optic“ verwenden.

Auf der Rückseite des TAN-Generators befinden sich fünf optische Sensoren. Nachdem eine Überweisung im Online-Banking erfasst wurde, erscheint am Bildschirm eine Grafik, die fünf flackernde Schwarz-Weiß-Flächen enthält. Als nächstes steckt man wiederum die girocard in den TAN-Generator hält ihn vor die Flickergrafik. Daraufhin erfolgt eine Datenübertragung über die Lichtsignale. Hierbei werden die äquivalenten Daten der manuellen Eingabe übertragen. Der weitere Ablauf ist dann mit „chipTAN manuell“ identisch.

Das optische Übertragungsverfahren Flickercode, mit seinen schnell blinkenden weißen Balken auf schwarzem Hintergrund, ist für Personen mit Epilepsierisiko nicht geeignet, weil dadurch epileptische Anfälle ausgelöst werden können.

Kritisiert wird an diesem Verfahren außerdem, dass das Gerät bei einigen Displaytypen den Flickercode nicht zu erkennen scheint. Hier hilft es dann oftmals, das Gerät in einem leicht schrägeren Winkel an den Bildschirm zu halten oder die direkte Einstrahlung von Lichtquellen auf dem Monitor zu verhindern. Zusätzlich lässt sich auch die die Größe der Balken verändern oder die Flicker-Geschwindigkeit anpassen

Die Nutzung des Flickercode auf dem Smartphone ist daher, im Gegensatz zur Anwendung am PC, eher überschaubar.

Autor Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mo­bi­le Pay­ment, NFC, Kun­den­bin­dung und di­gi­ta­ler Iden­ti­tät. Er ist seit über 15 Jah­ren in den Be­rei­chen Ban­ken, Con­sul­ting, IT und Han­del tä­tig. Lin­sen­barth ist pro­fi­lier­ter Fachautor und Praktiker im Fi­nanz­be­reich und kom­men­tiert bei Twit­ter un­ter @holimuk die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.

chipTAN USB

Voraussetzung für die Nutzung hierbei ist derzeit noch eine separate Finanzsoftware für das Online-Banking, die „chipTAN USB“ unterstützt. Dazu gehören:
1. ALF-BanCo
2. Bank X
3. Banking 4
4. MacGiro
5. MoneyMoney
6. Moneyplex
7. Profi cash
8. SFirm
9. StarMoney
10. WISO mein Geld
11. VR-Networld Software

Da die Sparkassen HBCI mit Chipkarte bis Ende 2021 einstellen wollen, haben sie mit der Umstellung ihrer Kunden auf chipTAN USB begonnen. Folgende TAN-Generatoren mit USB-Anschluss sind für chipTAN USB geeignet:
1. DIGIPASS 870
2. tanJack Bluetooth
3. tanJack USB
4. cyberJack go plus
5. cyberJack one
6. cyberJack wave

Diese Geräte, falls vor 2018 gekauft, benötigen zuvor ein kostenpflichtiges Upgrade:
1. cyberJack secoder
2. cyberJack RFID standard
3. cyberJack RFID komfort

chipTAN Bluetooth

Das „chipTAN Bluetooth“ Verfahren ist vor allem als sicheres und komfortables Online-Banking mit mobilen Geräten gedacht. Ein Abgreifen des Flickercodes am Display ist nicht mehr nötig. Die Sicherheitstechnik beruht ebenfalls auf dem chipTAN-Verfahren.

Die Überweisungsdaten werden wie beim chipTAN-Verfahren überprüft und freigegeben. Die TAN wird erzeugt und nach einem Tastendruck per Bluetooth an die Online-Banking Anwendung übertragen. Voraussetzung ist neben einem Bluetooth-fähigen TAN-Generator eine passende Software, die Bluetooth unterstützt. Die folgenden Banking Anwendungen sind dafür geeignet:
1. Banking 4 (Subsembly GmbH) Android, iOS
2. MoneyMoney (MRH applications GmbH) macOS X
3. REINER SCT Online Banking (REINER SCT) Android, iOS
4. StarMoney (StarFinanz GmbH) iOS
5. VR-Banking (Fiducia & GAD IT AG) Android, iOS

Passende Hardware hierzu:
1. tanJack Bluetooth
2. cyberJack one
3. cyberJack wave

chipTAN QR und Sm@rt-TAN photo

Diese beiden Verfahren sind ein weiterer und augenscheinlich erfolgreicher Versuch, den Flickercode abzulösen. Das Prinzip dahinter ist schlicht und einfach. Die Daten zur TAN-Berechnung werden bei den Sparkassen in einen QR-Code und bei den Genossenschaftsbanken in einen Farbmatrix-Code gepackt.

Letzterer darf aber nicht mit „photoTAN“ verwechselt werden, wie er beispielsweise bei der Commerzbank zum Einsatz kommt. Dieses ursprünglich von dem Startup Cronto und mittlerweile von OneSpan übernommene Verfahren, wird auch bei Deutscher Bank, ING-DiBa, HypoVereinsbank oder Volkswagen Bank verwendet. Im Folgenden geht es nur um den Einsatz des Farbmatrix-Code im Zusammenhang mit chipTAN, wie ihn die Genossenschaftsbanken unter der Bezeichnung „Sm@rtTAN photo“ vermarkten.

Der Farbmatrix-Code ist dabei genau wie der QR-Code zunächst nur als Datencontainer zu betrachten. Dabei werden die Transaktionsdaten verschlüsselt als mehrfarbige Mosaikgrafik, basierend auf den RGB Farben Rot, Grün und Blau, sowie zusätzlich Weiß und Schwarz angezeigt. Der Vorteil gegenüber dem QR-Code war früher, dass für das Auslesen eine einfachere und preiswertere Hardware eingesetzt werden konnte. Mit der digitalen Weiterentwicklung hat sich dieser Punkt aber egalisiert.

Rudolf Linsenbarth

Ich habe die Verfahren in unterschiedlichen Konstellationen gegeneinander getestet. Für meine Tests hatte ich zwei verschiedene Lesegeräte im Einsatz. Zum einen den tanJack photo QR von REINER SCT, das andere Gerät war der Digipass 882 Hybrid von OneSpan.

Beide Geräte können sowohl den QR Code, als auch den Farbmatrix-Code verarbeiten. Damit Reiner SCT das machen kann, wurde die Nutzung des von Cronto entwickelten Codes lizenziert.

Als Ergebnis lässt sich festhalten, das Scannen eines Farbmatrix-Code schlägt den des Flicker-Code bereits um Längen und zwar mit beiden Geräten. Noch deutlicher wird der Unterschied, wenn man den QR Code mit dem tanJack photo QR erfasst. Hier genügt es bereits, den TAN-Generator in Richtung Bildschirm zu halten.

Rudolf Linsenbarth
Die obigen Codes enthalten jeweils die Information für eine Überweisung in Höhe von 10 € an Brot für die Welt. Der linke QR-Code wurde im Online-Banking einer Sparkasse erzeugt, der rechte im Online-Banking einer Volksbank.

Rudolf Linsenbarth

Beim Scannen der Codes sieht man dann auch Unterschiede in der Transaktionsdatenanzeige. Die Sparkassen (Finanz Informatik) nutzen den TAN-Standard HHD 1.3.2, während die Genossenschaftsbanken (Fiducia & GAD IT AG) schon bei Version HHD 1.4 sind. Bei den Sparkassen beschränkt sich daher die Anzeige auf die 10-stellige Kontonummer und den Betrag. Der Volksbankkunde sieht den Geschäftsvorfall (hier SEPA-Überweisung), Betrag und die komplette IBAN, bevor er zur TAN-Generierung weiterklickt.

Beim QR-Code-Verfahren ist mir noch folgender Punkt aufgefallen. Ich habe mir nach der Eingabe der Überweisung auch die Eingabedaten für „chipTAN manuell“ notiert. Im Einzelnen war das:

1. Startcode = 88101886
2. Letzte 10 Stellen der IBAN = 0500500500
3. Betrag = 10,00

Diese Gelb markierten Werte hätte ich also alternativ zur manuellen chipTAN-Generierung eingeben können. Meine Erwartung war also, dass ich diese Werte auch genauso im QR-Code wiederfinden würde.
Ein Scan per QR-Code App förderte aber die folgenden Text Strings zutage:
1. DK
2. Y@ÃSN NAK ND^u{h{tqp¨

Rudolf Linsenbarth

Auf meine Frage, was das zu bedeuten hätte, erfuhr ich, dass bei der Definition des Standards beschlossen wurde, alle Eingabewerte zusätzlich noch einmal per symmetrischer Verschlüsselung zu verschleiern. Ob es das wirklich braucht, lasse ich mal so stehen. Entscheidend für die Sicherheit ist einzig allein der geheime Schlüssel, der im SECCOS Betriebssystem der Bankkarte gespeichert ist. Dabei ist es völlig unerheblich, ob irgendwer die Eingabedaten im Klartext lesen kann oder nicht.

Ein weiterer Punkt ist, dass noch nicht alle Banken den Schwenk vom Flickercode hin zu chipTAN QR oder Sm@rtTAN photo vollzogen haben. Mit dabei sind auf jeden Fall alle Volks- und Raiffeisenbanken, die GLS Bank, die BW Bank und Teile der Sparkassen. Wer noch fehlt, sind die DKB, die Deutsche Apotheker- und Ärztebank, die Postbank und die Sparda-Banken. Auch die von mir getestete Dortmunder Sparkasse war noch nicht lieferfähig.

Hierfür hat REINER SCT ein Browser Plug-In entwickelt, das einen Flickercode in einen entsprechenden QR Code umwandelt. Das Plug-In gibt es sowohl für Chrome, als auch für den Mozilla Firefox. Dieses kurze Video zeigt das Verfahren im Einsatz

chipTAN per ReinerSCT
Rudolf Linsenbarth

Das Plug-In funktionierte im Test einwandfrei. Für den Einsatz am Smartphone musste ich dann aber schon etwas tiefer in die Trickkiste greifen. Für die Sparkassen App und auch für den Chrome Browser unter Android greift das Plug-In nämlich nicht. Aber nach Installation von Mozilla Firefox konnte ich den QR-Code dann im Mobile Banking auch auf dem Smartphone zum Einsatz bringen.

Neben den beiden von mir getesteten Geräten bieten Gemalto, OneSpan und REINER SCT jeweils noch einen TAN-Generator ohne Farbmatrix-Code-Unterstützung an. Wer also sicher ist, dass er vorerst kein Konto bei einer Genossenschaftsbank eröffnet, oder das Plug-In von REINER SCT als dauerhafte Lösung verwenden will, kann hier noch einmal 2 bis 3 Euro sparen.

Nicht unerwähnt lassen möchte ich an dieser Stelle, dass die QR-Code-Lösung „QRTAN+“ der „1822 direkt“ genauso wenig mit „chipTAN QR“ zu tun hat, wie das „photoTAN“ der Commerzbank mit „sm@rt-TAN photo“ der Genossen.

Fazit

chipTAN QR oder Sm@rt-TAN photo sind auf jeden Fall eine Verbesserung des in die Jahre gekommenen Flickercodes, mit dem ich mich nie wirklich anfreunden konnte. Neben der schnelleren Übertragung gefällt die übersichtlichere Anzeige der Transaktionsdaten im Display des TAN-Generators. Zudem sind beide von mir getesteten Geräte nicht mit Knopfzellen, sondern mit jeweils drei handelsüblichen AAA Batterien ausgestattet, das sollte für mehrere Jahre Online-Banking ausreichen. Schade nur, dass bei den Sparkassen jeder Regionalfürst selber entscheiden darf, wann in seinem Reich der Fortschritt Einzug hält.Rudolf Linsenbarth

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert