Sparkasse stellt um: Ist ChipTAN QR wirklich sicherer als das manuelle Verfahren?
Ich mag PushTAN nicht! Erstens möchte ich mein Smartphone nicht bei einer Bank registrieren, zweitens graust es mich bei dem Gedanken was ich alles machen muss, wenn mein Telefon verloren geht oder gar gestohlen wird und drittens ist mir einfach nicht klar warum ein unterwegs stehlbares Gerät sicherer sein soll als ein TAN-Generator den ich sicher zu Hause liegen habe plus meine Bankkarte.
Also habe ich mich seit jeher für ChipTAN entschieden. Statt meines Smartphones bräuchte ein Angreifer also Zugriff auf meinen PC sowie meine Bankkarte und dazu noch mein Online-Banking-Passwort. Bislang gab es bei der Sparkasse dafür die manuelle TAN-Eingabe in den Generator, aber zum Jahrewechsel hat die Bank komplett auf TAN-Generatoren mit QR-Code umgestellt.
Für mich zunnächst ärgerlich, weil das gleichzeitig oft die Anschaffung eines neuen TAN-Gerätes notwendig macht, Hersteller Reiner SCT dürfte sich freuen. Aber was bringt die Umstellung den Kunden und der Bank überhaupt? Ist das QR-Verfahren sicherer? Angeblich schon.
Verschiedene Sicherheitsstufen beim manuellen ChipTAN
Etwas schwierig bei der Bewertung wird es wenn man bedenkt, dass es beim manuellen ChipTAN mehrere Verfahren oder Sicherheitsstufen gab. Die einfachste Möglichkeit war: Man tippt am PC Überweisungsdaten ein, die Banking-Webseite spuckt daraufhin einen Startcode aus, den Nutzende in ihren TAN-Generator tippen. Daraufhin zeigt der Generator die TAN an, die es im Browser einzutippen gilt – Überweisung bestätigt.
Warum gilt das manuelle ChipTAN als potenziell unsicher?
Ein potentieller Angreifer hätte es hier vergleichsweise leicht. Sofern eine Malware auf dem PC installiert ist, könnte er den im Browser angezeigte Startcode manipulieren, im Hintergrund für diesen Code neue Überweisungsdaten generieren und statt 100 Euro an Max Mustermann würde die TAN z.B. 5.000 Euro an Hackerman verifizieren.
Wie funktioniert ChipTAN QR im Detail?
Hier würde QR ChipTAN sicherer sein. Die Webseite zeigt statt Startcode nun einen QR Code, der sämtliche Überweisungsdaten integriert. Der Generator scannt den Code und zeigt alle Daten an. Der aufmerksame Nutzer würde nun erkennen: Ups, 5.000 Euro an Hackerman kann nicht richtig sein, das breche ich ab. Der weniger aufmerksame, durchklickende User unter Zeitdruck könnte freilich dennoch darauf reinfallen. Der Sicherheitsvorteil besteht hier also vor allem für aufmerksame Nutzende.
Ist ChipTAN QR sicherer als die stärkste manuelle ChipTAN-Variante?
Aber in meinem Fall erforderte das alte, manuelle TAN-Verfahren zusätzlich die aktive Eingabe der letzten 10 Ziffern der IBAN und zusätzlich noch den Betrag. Diese stärkste Variante des „alten“ Verfahrens machte es quasi unmöglich, dass man derartige Fehler übersieht. Während unaufmerksame Nutzer auch beim QR ChipTAN einfach weiterklicken könnten, muss ich beim manuellen Verfahren aktiv den gewünschten Betrag und IBAN eintippen und somit bestätigen, was deutlich sicherer war.
Ist ChipTAN QR wirklich sicherer als manuelles ChipTAN?
ChipTAN QR ist also zwar potentiell sicherer als einfache manuelle Verfahren, sofern User auch aufmerksam hinschauen statt durchzuklicken, aber nicht sicherer als die stärkste manuelle ChipTAN-Variante mit aktiver IBAN- und Betragseingabe.
Warum stellt die Sparkasse von manuellem ChipTAN auf ChipTAN QR um?
Vorteile gibt es vor allem beim Komfort und der Vereinheitlichung. Beim manuellen Verfahren sind Tippfehler und Zahlendreher nicht ungewöhnlich, mehr Transaktionen wurden abgebrochen, mehr Support war oft nötig. Für die Banken lohnt sich das neue System also. Für Kunden entfällt das lästige Abtippen von IBAN und Betrag.
Müssen Kunden für die Umstellung einen neuen TAN-Generator kaufen?
Sofern das aktuelle TAN-Gerät noch kein QR kann ja. Ich werde mir notgedrungen einen neuen TAN-Generator kaufen müssen. Das sind nicht unerhebliche Kosten, wenn der Generator inklusive Versandkosten 30 Euro aufwärts kostet. Je nachdem wie oft eine Bank solch einen Chip-Wechsel durchführt, sollte man diese „laufenden“ Kosten bei der Entscheidung für eine Bank mit berücksichtigen. Erinnere ich mich recht, hat die Sparkasse erst Ende 2022 einen ähnlichen Wechsel vollzogen.
