SMS2App im Bankensektor

Die Kombination von mTAN und PushTAN bringt Vorteile und Sicherheit



Das Thema Finanzen ist ein sehr persönlicher Bereich, in dem Werte wie Zuverlässigkeit und Vertrauen eine essentielle Rolle spielen. Viren und Hacker verunsichern die Kunden und lösen laufend Debatten um die Sicherheit von Online- und Mobile-Banking-Services aus. Insbesondere der TAN-Versand ist häufig im Fokus der Diskussionen.


websms bietet seit kurzem die SMS2App-Technologie, die PushTAN mit mTAN für den Einsatz im Bankensektor kombiniert. Wie die unterschiedlichen Systeme funktionieren, wie sicher mTAN und PushTAN wirklich sind, und wieso der Einsatz von SMS2App Vorteile und Sicherheit steigert, lesen Sie im Folgenden.



mTAN und PushTAN stoßen an Ihre Grenzen


mTAN gehört zu den gegenwärtig in Österreich am weitesten verbreiteten Methoden im Online Banking: Der Kunde erstellt seinen Auftrag Online und erhält zum Autorisieren der Überweisung eine TAN via SMS auf sein Mobiltelefon. Das Verfahren stößt an seine Grenzen, sobald kein SMS-Empfang möglich ist (Ausland, schlechte Mobilfunkabdeckung,…) oder der Kunde keinen Internetzugang für die Auftragserstellung hat.
Beim PushTAN Verfahren benötigt der Kunde ein Smartphone oder Tablet und muss sich für die PushTAN-Funktion freischalten lassen. In der Banking-App erstellt er den Auftrag. Die TAN zur Überweisungsbestätigung wird in die ebenfalls Passwort-geschützte TAN-App geschickt. Verfügt der Kunde allerdings über keine Datenverbindung, ist weder die Einstellung noch die Autorisierung des Auftrags mittels TAN möglich. Ein eindeutiger Schwachpunkt dieses Verfahrens ist, dass alle Schritte der Überweisung auf einem Gerät stattfinden und ein potentieller Angreifer somit nur ein Gerät hacken muss.

SMS2App nutzt die Vorteile beider Verfahren


SMS2App von websms kombiniert mTAN und PushTAN und somit deren Vorteile. Die TAN-App selbst wird von websms kostenlos zur Verfügung gestellt und kann von jeder Bank in dem von ihr gewünschten Design konfiguriert und als eigene App angeboten werden. Der Kunde registriert sich in der App und validiert seine Handynummer – eine eigene Freischaltung ist grundsätzlich nicht notwendig. Er erstellt seinen Auftrag in der Banking App oder im Web und fordert per Mausklick eine TAN an.
Bei der Zusendung der TAN überprüft das websms System automatisch, ob der Kunde über die App am Smartphone erreichbar ist. In diesem Fall wird die Nachricht in die passwortgeschütze TAN-App zugestellt. Hat der Kunde keine TAN-App installiert oder fehlt aktuell die Datenverbindung, wird die TAN per SMS zugestellt. Das System wird auf diese Weise unabhängiger von Datenverbindungen, Auslandsaufenthalten und Kundenvorlieben (Handymodell, App-Nutzung…).

Desweiteren besteht die Möglichkeit, die intelligente SMS2App Logik mittels vorgefertigter Schnittstellen in eine bestehende PushTAN-App zu integrieren. Auf diese Weise wird automatisch im Falle der Nichterreichbarkeit eines Empfängers über die PushTAN-App (keine Datenverbindung, App nicht installiert) eine Fail-Over-SMS mit den TAN-Daten an den Empfänger gesendet.

Die Zuverlässigkeit im Versand ist bei websms durch stabile Systeme und langjährige Erfahrung in diesem Bereich gegeben: IPsec, HTTPS, Direktanbindungen zu den Mobilfunkbetreibern und Ausweichrouten machen websms zum verlässlichen Partner im mobilen Bereich.
Der Sicherheitsaspekt der SMS2App Methode ist ebenfalls bedeutend:

  • Der Inhalt der Nachricht (also die TAN) wird von websms nicht über den Google- bzw. Apple-Server geschickt. Die App erhält nur die Information, dass eine Nachricht zur Abholung vorliegt. Der Inhalt der Nachricht selbst liegt am gesicherten websms Server und wird verschlüsselt in die App übertragen.
  • Desweiteren ist die TAN-App passwortgeschützt und im Fall eines Trojaners müssten gleich 2 Apps gehackt werden: die Banking-App und die TAN-App.
  • Optional bietet websms eine zusätzliche End-to-End-Verschlüsselung an, wodurch für den sehr unwahrscheinlichen Fall, dass eine Nachricht trotz aller Sicherheitsvorkehrungen abgefangen werden sollte, der Empfänger die TAN nicht lesen kann (nochmalige Passworteingabe zur Entschlüsselung der Nachricht erforderlich).

Die websms Sicherheitsexperten raten grundsätzlich, dass man immer auf eine Zwei-Faktor-Authentifizierung setzen, also zwei getrennte Geräte benutzen sollte (Online Banking App immer nur am PC/dem Notebook und SMS2App am Handy). "Nur auf diese Weise wird die Überweisung zu einem echten Zwei-Faktor-Verfahren, bei dem Angreifer zwei Geräte in Besitz nehmen müssen", erklärt Martin Mrvka, Head of IT bei websms.

Zusätzliche Vorteile für Banken


Für die Banken bedeutet der Einsatz von SMS2App neben der besonders zuverlässigen Zustellung der Transaktionscodes eine beachtliche Reduktion der Kommunikationskosten, da Push-Nachrichten wesentlich kostengünstiger sind. Desweiteren erübrigt sich ein separates Handling von mTAN und PushTAN Kunden – denn das websms System entscheidet automatisiert, über welchen Weg die TAN zugestellt wird.

Überblick über die Vor- und Nachteile der 3 Verfahren


mTAN PushTAN SMS2App
TAN Empfang ohne Datenverbindung
TAN Empfang bei unsicheren Routen (Ausland)
Sicherheit durch 2FA
Überweisung ohne SMS-fähiges Gerät (z.B. Tablet)
Überweisung ohne Smartphone (ältere ZG)
Zusätzlicher Passwortschutz bei TAN-Erhalt
Geringe Kommunikationskosten für die Bank

SMS2App Technologie


Erfahren Sie mehr über die SMS2App Technologie und die Einbindung dieser Lösung in Ihre Softwareanwendung. Gerne beraten Sie unsere erfahrenen Kundenbetreuer auch persönlich.


Mehr über SMS2App
Quellen:
http://www.focus.de/finanzen/banken/tid-34577/betrug-mit-mobilen-transaktionsnummern-welches-online-banking-ist-jetzt-noch-sicher-push-tan-die-neueste-methode_aid_1152953.html