Online-Banking und Absicherung per chipTAN USB – Teil 6

In den vorhergehenden Teilen habe ich einen Blick auf die Authentifizierung von Transaktionen beim Online-Banking von vielen Banken per chipTAN-Verfahren oder ähnlich geworfen. In Teil 4 ging es um die Frage, was sich Kunden von ihren Banken eigentlich in Sachen Service (Beratung, Apps etc.) wünschen und Teil 5 befasste sich mit der Sicherheit von Apps zum Online-Banking. Im letzten Teil möchte ich noch ein Authentifizierungsverfahren, nämlich chipTAN USB, ansprechen, was ebenfalls eingesetzt werden kann.


Anzeige

Ich gestehe, chipTAN USB hatte ich selbst gar nicht auf dem Radar, als ich den ersten Beitrag Postbank: App und/oder SealOne statt chipTAN – Teil 1 geschrieben habe. Erst Nutzerkommentare brachten den Hinweis, dass es auch Chipkarten-Leser mit USB-Anschluss gäbe.

chipTAN USB als Sicherheitsmethode

Bei chipTAN USB handelt es sich schlicht um ein weiteres Sicherheitsverfahren, um Transaktionen beim Online-Banking zu authentifizieren. Die Sparkassen möchten dieses Verfahren verstärkt beim Online-Banking (neben chipTAN QR und photoTAN, als Sm@rt-TAN photo bezeichnet) einsetzen. Daher gibt es im Sparkassenshop beispielsweise den nachfolgend gezeigten tanJack USB plus-Kartenleser.

tanJack USB plus chipTAN USB-Leser

Der Hersteller Reiner SCT beschreibt auf dieser Upgrade-Seite kurz das Verfahren sowie die Möglichkeiten eines Upgrades. Neben den Sparkassen unterstützen wohl auch eine Reihe weiterer Banken diesen Leser. Zudem gibt es noch eine Bluetooth-Variante dieser Sicherheitslösung.


Anzeige

Was wird gebraucht?

Um chipTAN USB als Sicherheitsverfahren einzusetzen, muss die Bank dieses Verfahren unterstützen. Ist dies gegeben, benötigt der Kunde neben seinem Online-Banking-Zugang einen chipTAN USB-Leser – wie oben beschrieben. Dieser Leser wird per USB-Schnittstelle mit einem Rechner, auf dem das Online-Banking abgewickelt wird, verbunden.

Um Transaktionen beim Online-Banking per chipTAN USB-Leser zu bestätigen, muss die Debitkarte der betreffenden Bank (EC-Karte, Bankkarte) im Leser stecken. Dann verifiziert das Lesegerät die beim Online-Banking angeforderten Daten, zeigt diese im Display des Lesegeräts an und und liefert, nach Bestätigung des Benutzers, einen passenden Transaktionscode (TAN) zurück.

Um chipTAN USB als Sicherheitsverfahren einzusetzen, kann aber kein Online-Banking per Browser auf den Webseiten der Bank verwendet werden. Vielmehr benötigt das Verfahren eine Banking-Software, die den Austausch der TAN zwischen Rechner und USB-Kartenleser unterstützt. Reiner SCT listet hier die Produkte (z.B. StarMoney, WISO mein Geld, Banking 4W/X, Lexware FinanzManager/Quicken, Alf Banco, Moneyplex, MacGiro und MoneyMoney, VR-Networld Software, Profi cash auf. Auch IT-Finanzmagazin.de führt einige dieser Software-Pakete und auch kompatible Lesegeräte auf.

Vor- und Nachteile von chipTAN USB

Die Verwendung von chipTAN USB besitzt aus Sicherheitssicht den Vorteil, dass eine Debitkarte (z.B. EC-Karte) zur Authentifizierung zum Einsatz kommt. Nur wer Zugriff auf diese Karte hat, kann Online-Banking machen. Gleichzeitig erfolgt die Authentifizierung mittels TAN über zwei verschiedene Geräte (chipTAN USB-Leser und Banking-Rechner). Vor allem wenn viele Buchungen (Überweisungen) auszuführen sind, hat chipTAN USB den Vorteil, dass das manuelle Übertragen der TANs in die Online-Banking-Software entfällt – die Übertragung vom Lesegerät an die Software erfolgt ja über USB-Verbindung (oder ggf. Bluetooth). Im Notfall kann i.d.R. auch eine manuelle TAN-Übertragung in die Online-Banking-Lösung durchgeführt werden.

Als Nachteil gegenüber chipTAN QR etc. sehe ich persönlich den höheren Preis für die Lesegeräte sowie der Zwang, eine Banking-Software zu verwenden. Zudem ist man abhängig, dass eine funktionierende USB-Verbindung (oder Bluetooth-Verbindung bei BT-Lesern) besteht. Letzteres ist theoretisch zwar kein Problem, aber die Erfahrungen mit Windows zeigen, dass es in der Vergangenheit immer wieder Fälle gab, wo Updates die USB- oder Bluetooth-Schnittstelle über Wochen lahm gelegt haben.

Auch könnte es mit der Treiberunterstützung für künftige Windows-Versionen oder Linux hapern. Hier muss man im Einzelfall klären, ob es Probleme gibt. chipTAN USB lässt sich auch nicht mit Smartphone oder Table zum Online-Banking kombinieren. Wenn diese Einschränkungen bekannt/berücksichtigt sind, halte ich das Sicherheitsverfahren durchaus für eine gute Sache.

Damit möchte ich die Artikelreihe abschließen. Ich habe die diversen Sicherheitsverfahren, die aktuell von den Banken hauptsächlich angeboten werden, vorgestellt und die Besonderheiten erwähnt. Die Beiträge sind untereinander verlinkt. Im Grunde hat der Online-Banking-Kunde die freie Wahl, welches Verfahren er zur Absicherung seines Online-Banking verwendet. Vielleicht hilft die Artikelreihe ja dem einen oder anderen Nutzer durch den Dschungel der Authentifizierungsverfahren.

Artikelreihe
Postbank: App und/oder SealOne statt chipTAN – Teil 1
Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2
Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens – Teil 3
Online-Banking und Apps: Was die Kunden wünschen – Teil 4
Online-Banking und die Sicherheit von Banking-Apps – Teil 5
Online-Banking und Absicherung per chipTAN USB – Teil 6

Ähnliche Artikel
Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?
Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse
Der Edge Effizienzmodus verursacht Probleme beim Flicker-Code beim Onlinebanking mit TAN-Generator
Festes SA SQL-Passwort bei windata 9-Banking-Software
DKB: Online-Banking im Firefox und Opera blockiert?
Banking Startup Dave gehackt, Daten in Hackerforen
Nächste Runde: FluBot-Banking-Malware (Mai 2022)
Online-Banking: mTAN und Banking-Apps unsicher


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Online-Banking und Absicherung per chipTAN USB – Teil 6

  1. Luzifer sagt:

    ***********************
    Als Nachteil gegenüber chipTAN QR etc. sehe ich persönlich den höheren Preis für die Lesegeräte sowie der Zwang, eine Banking-Software zu verwenden
    ***********************
    Naja entweder man möchte sicheres OnlineBanking oder Bequemlichkeit und Billig!
    Beides zusammen kriegst du nicht. Wer da meint zu geizen hat es dann auch verdient, sorry!

    Es gibt einfach ein paar Sachen im Leben da ist Geiz kontraproduktiv.

    • Luzifer sagt:

      /Edit/

      Auch das Argument mit Tablet oder Smartphone ist falsch: StarMoney gibt es auch für iOS und Android und mit nem ReinerSCT Smartcardreader mit Bluetooth funktioniert das auch da.

      Banking Software gegenüber Bankenwebsites hat auch viele Vorteile:
      die können einfach mehr! Man hat einen Spezialisten der eine Software sicher und aktuell halten muss und nicht zig Bankingseiten/Apps die nur so strotzen von Bugs.

      Bequemlichkeit und Geiz in Verbindung mit Geldtransfers ist einfach eine saublöde Idee!

      • Günter Born sagt:

        Nun ja, ohne eine Grundsatzdiskussion auslösen zu wollen. Sehr valide scheinen mir die Ausführungen "höhere Kosten = höhere Sicherheit" und Geiz ist geil nicht wirklich zu sein.

        Die Entscheidung für oder gegen chipTAN USB (oder BT) würde ich persönlich von der Zahl der Buchungen und dem gewünschten/benötigten Komfort festmachen. Bei vielen Buchungen pro Tag oder Monat wird man nicht um chipTAN USB herum kommen. Gegenüber chipTAN QR erhöht sich die Sicherheit um 0 %.

        Und dass eine Banking-Software per se die Sicherheit erhöht, wäre mir auch neu. War da nicht was? Mal in der obigen Artikelliste den Beitrag zu windata ansehen. Und ggf. hier im Blog nach den Namen von Banking-Software suchen und schauen, ob wann was geknallt hat.

        Ich sehe den Faktor Komfort bei Banking-Software – persönlich brauche ich das nicht (selbst nicht für die Buchungen der freiberuflichen Tätigkeit). Ein aktueller Browser samt chipTAN-Leser reicht vollkommen. Aber die Entscheidung trifft jeder letztendlich selbst. Da möchte ich niemanden bevormunden – sind ja alles erwachsene Menschen, die hier mitlesen.

        • Paul sagt:

          Ich habe den ReinerSCT tanJack Bluetooth
          Dieser kann auch über USB angeschlossen werden und kann auch flicker code. Also "mit Alles".
          Man kann/konnte (auf den PC) den normalen Webzugang verwenden. Für Firefox gibt es ein Plugin.

          Der Grund für mich für dieses Gerät war aber, das ich beim Kobil sehr oft vor leeren CR Zellen stand. (*)
          Beim ReinerSCT scheint das eh kein Problem zu sein aber durch den USB Anschluß kann ich zudem den Reader Sonntag Abend bei leeren Zellen einfach an eine Powerbank oder dem Handy anschließen und muß nicht 8 Euro an der Tanke für überlagerte CR hinlegen um eine Eilüberweisung machen zu können.

          Nervig beim Flickercode sind diese modernen Touch screens.

          Der Nachteil von USB ist das Plugin so das man keinen fremden Rechner verwenden kann wenn sie das nicht schon installiert haben.
          Aber das gilt auch für das klobige teurere unsichere SealOne.
          Das kann ich nur an Rechnern benutzen, an denen ich Software installieren darf.

          Und bitte nicht immer nur die TANvenerator Funktion sehen. Genaudo zum Sicherheits Konzept gehört das eigene Display und die eigene Tastatur nebst einen kleinen Betriebssystem.
          Das sind die Punkte die eine App nicht liefern kann.

          (*) inzwischen gute und preiswerte CR gibt es bei Ikea.
          Auch die Zellen von Aldi und Lidl sind gut und preiswert. Finger weg von allen anderen "Marken" : Diese werden in Supermärkten überteurt angeboten und manchmal liegen sie schon sehr lange da rum. Unbenutzte Zellen Kühlschrank frostfrei in dichten Plastebeuteln lagern)

          • Günter Born sagt:

            Die neuesten Reader von Reiner SCT laufen inzwischen mit Mignon-Zellen im AAA-Format. Ich denke, die Hersteller haben da auf das CR-Knopfzellen-Problem reagiert – wobei ich bei meinem chipTAN-Leser die einmal vor 2 Jahren ersetzen musste – hielten ca. 4 Jahre.

  2. janil sagt:

    Soll doch jeder halten, wie er möchte.
    Mir persönlich reicht chipTAN QR, allerdings brauche ich auch keine Bankingsoftware.
    Nochmals Danke für diese sehr ausführliche Serie über das Thema.

  3. Paul sagt:

    Natürlich meint "fremde Rechner" :
    Fremde *vertrauenswürdige* Rechner, z. B. den in der Firma.
    Leider bietet keine Bank einen echten OTP-Login an, wie man es bei VPNs kennt.
    D. H. Man würde sein Password verbrennen, wenn man am Hotel Rechner oder Internet shop Banking macht.
    Einen Vorteil hat das Seal one:
    Es erlaubt keine Barabhebung. Aber auch daran haben manche Banken gedacht und bieten schelluberweisungen via Western union & Co an, das auch nur per TAN ausgeschaltet werden kann.
    Das wollen Betrüger : Anonymes Bargeld.

  4. Paul sagt:

    Banking software hat auch den Vorteil für die Banken, dss sie absurd Groß sind und man si schnell seinen Smartphone Speicher voll hat, was Konkurrenz fernhält…

  5. Andreas K. sagt:

    Mir ist letztens beim Ausmisten der BTX-Vertrag mit der Sparkasse in die Hände gefallen. Das waren noch Zeiten. Nach dem manuellen Erfassen der ersten Zahlungen kam dann die erste Software für Banking auf, T-Online Banking. Über viele Jahre lief diese schlanke Software tadellos, bis sie vor einigen Jahren eingestellt wurde.
    Der große Vorteil von Banking-Software sehe ich in der Historie, bei mir bis 2008, sowie den gespeicherten Adressdaten. Was da der Browser bietet, kann ich nicht sagen.

    • Paul sagt:

      Eindrucksvoll fand ich eine Docu in der der CCC zeigte wie das Passwort im Klartext über die Telefonleitung im Keller ging obwohl es auf dem Bildschirm ja total sicher ausgesternt war!
      Was für Hitech die Graue Post damals anbieten konnte.
      Profis ebend.
      30 Jahre nach der Mondlandung…
      und? Wir haben es überlebt.
      Niiiie wurde ein Betrug mit BTX bekannt, ausser der Demo vom CCC.

  6. Steter Tropfen sagt:

    Banking-Software? Für Otto Normalverbraucher, der im Monat eine Handvoll Überweisungen machen will? Das treibt die Leute doch massenhaft zu PayPal!

    Ich hatte mal von einer Bank StarMoney bekommen, nur um zwei Sparbriefkonten verwalten zu können. Sprich, einmal im Quartal die Umbuchung der Zinserträge aufs Referenzkonto anweisen. Später gab's die Zinsen nur noch jährlich, und als ich eines Tages wieder ins Konto wollte, hieß es, meine Softwareversion sei doch völlig veraltet, ich solle die neue, deutlich teurer gewordene Version kaufen.
    Bin dann auf das kostenlose Hibiscus umgestiegen. Jedes Mal, wenn ich das brauchte, musste ich mich wieder neu mit der Software vertraut machen. So viele Möglichkeiten, so mega-unübersichtlich für Nicht-Profis!
    Ganz zu schweigen von der Windows-Abhängigkeit. Wie war das: Sogar mit Windows 8.1 gibt's jetzt schon Probleme.

    Wer sich für seine geschäftlichen Angelegenheiten einen Sekretär halten kann, bitteschön, soll der das erlernen. Aber für den normalen Kunden, der inzwischen Dinge selbst machen muss, die er früher am Schalter seinen Kundenbetreuer erledigen ließ, ist der Aufwand mit teurer Hardware und Spezialsoftware entschieden zu hoch!

  7. wie in email sagt:

    Hallo,
    Vielleicht ein Trigger für Sie -hier oder 50+.
    Bin gerade von Sparda-Bank München böse überrascht worden. Wollte zugesandte neue BankCard für Onlinebanking (Chip-TAN, Flickercode) registrieren. Ging in die Hosen, da Chip-Abmessungen der neuen Karte kleiner sind und es so nicht mehr mit dem ReinerSCT Generator funktioniert! So war dann erstmals alte Karte für Online gesperrt, Neue nicht registrierbar.
    Telefon-Service hat alte Bankcard dann wieder (bis Ablaufdatum) reaktiviert und gesagt dass neuer Generator gekauft werden muss. Überlege (auch aus anderen Gründen) Beziehung zu kündigen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.