Online-Banking

Commerzbank testet Handy-Foto zur TAN-Erzeugung

12.11.2008

Ist das die Killer-Applikation für das Foto-Handy? - Die Commerzbank probiert derzeit aus, ob sich das Abfotografieren eines farbigen Barcodes mit dem Mobiltelefon als Ersatz für die Eingabe einer Transaktionsnummer (TAN) eignet.

So funktioniert das Photo-TAN-Verfahren.
Foto: Commerzbank

Als weltweit erste Bank, so die Eigenwerbung, teste die Commerzbank in einem Pilotversuch mit dem britischen IT-Sicherheitsspezialisten Cronto das "PhotoTAN-Verfahren": Zur Freigabe einer Überweisung generiert die Bank eine verschlüsselte Barcode-Grafik, in der die Überweisungsdaten enthalten sind. Diese Grafik fotografiert der Kunde mit einem handelsüblichen Handy vom Bildschirm seines PCs ab, woraufhin die Bilddaten in eine sechsstellige Transaktionsnummer (TAN) umgewandelt werden. Der Vorteil für den Kunden: Im Unterschied zum Mobile-TAN-Verfahren entstehen keine SMS-Kosten.

Auch im Vergleich mit Chip-TAN-Verfahren, schneide die Photo-TAN-Technik besser ab, beteuert die Commerzbank. Chip-TANs werden beispielsweise mit Lesegeräten für EC-Karten generiert. Dieses Verfahren erfordert unter anderem Doppeleingaben von Transaktionsdaten - in der Web-Maske und im Endgerät. (Mehr zum Thema Online-Banking und Sicherheit finden Sie unter: "20 Banken-Portale im Test".)

Mit jedem Handy-Provider

"Immer mehr Kunden wollen ihre Überweisungen mobil und flexibel über das Internet ausführen; sie erwarten bequeme und gleichzeitig sichere Lösungen", erläutert Kai Buchholz-Stepputtis, Leiter Security Consulting & Research der Commerzbank. Diese beiden Eigenschaften vereine das Photo-TAN-Verfahren, das am Computer Security Lab der Cambridge University entwickelt wurde.

Die neue Technik erfordert, so die Commerzbank, keine Installation zusätzlicher Programme auf dem PC. Zudem sei sie nicht an einen bestimmten Mobilfunk-Provider gebunden. Um den Barcode dekodieren und nutzen zu können, müsse der Kunde lediglich eine von der Bank übermittelte Handy-Software herunterladen.

Der Bildcode wird von der Bank elektronisch signiert und verschlüsselt. Auf diese Weise lasse er sich, wie der Finanzdienstleister verspricht, "sicher und unverfälscht" in das mobile Endgerät übertragen. Eventuelle Trojaner auf dem Computer ließen sich damit umgehen.

Auch ohne Foto-Handy?

Die Erkenntnisse aus dem jetzt beginnenden Pilotversuch will die Commerzbank auch dem Bundesverband deutscher Banken und dem Zentralen Kreditausschuss zur Verfügung stellen. In einem nächsten Schritt könnten laut Buchholz-Stepputtis bankübergreifende Standards erarbeitet werden. Sie würden es der Kreditwirtschaft ermöglichen, kostengünstig Standalone-Geräte anzubieten, mit denen sich das Verfahren auch ohne ein Foto-Handy anwenden ließe. (qua)