Für Bankkunden ist seit Herbst 2019 beim Online-Banking die 2-Faktor-Authentifizierung (2FA) vorgeschrieben - also noch ein weiteres Element neben Benutzername und Passwort zum Einloggen. Viele Banken setzen seither auf sechsstellige Transaktionsnummern, die - auf unterschiedliche Weise generiert - vom Smartphone abgelesen und in den Browser eingetippt werden müssen.

Viele Anwender empfinden das als lästig und wenig benutzerfreundlich. Auch Martin Zahner mag diese neuen TANs überhaupt nicht - und das liegt zum Teil sicherlich daran, dass er beim Schweizer Unternehmen Ergon arbeitet, das unkompliziertere 2FA-Verfahren im Angebot hat.

Herr Zahner, wie unsicher sind denn diese TANs, die zum Beispiel durch Abscannen eines Codes oder mittels Push auf dem Smartphone-Bildschirm erscheinen?

Martin Zahner: Ich möchte die Sicherheitsaspekte der TAN nicht in Verruf bringen. Die Einmaligkeit eines solches Codes zur Ergänzung des Passworts ist grundsätzlich schon eine sehr hohe Hürde. Die TAN-Produkte, die auf dem Markt sind, können wir als sicher bezeichnen. Es liegen wenige erfolgreiche Attacken vor, die wirklich auf Schwachstellen im TAN-Prozess zurückzuführen sind. Viele Apps setzen auf moderne Protokolle in der Übermittlung, bei der Verschlüsselung, bei der Trennung der Kanäle und so weiter. Nur die SMS-TAN gilt nachweislich als gefährdet.

Ein TAN-Prozess schützt aber nur dann, wenn er auch gut und stringent implementiert ist - was nicht immer der Fall ist. So finden Angreifer manchmal auch Lücken und nutzen diese aus. Je nach TAN-Verfahren gibt es unterschiedliche Risken. Als unsicher gilt die SMS-TAN, die die SMS als Transportweg nutzt. Die SMS kann mit erheblichem technischem Aufwand abgefangen werden. Das heißt, der Transportweg der TAN ist von entscheidender Bedeutung.

Als wirklich problematisch beurteile ich die Benutzerfreundlichkeit, die Sie ja schon erwähnt haben.

Das heißt, das eigentliche Problem ist die Mühe, die man hat, die Codes abzutippen. Was sind da die Alternativen?

Da gebe ich Ihnen recht. Für die Nutzerfreundlichkeit bei einem Login-Prozess, den man regelmäßig macht, ist das einfach unnötig. Die Banken möchten ja, dass die Nutzer sich täglich einloggen - und da gibt es eben eine ganz andere Usability-Hürde als zum Beispiel bei Social-Media-Kanälen, die ja auch sehr vertraulich sind. Da kann man zum Beispiel einfach die App öffnen.

Deshalb ist die TAN beim Online-Banking für mich ein No-go, weil es einfacher geht. Dass ich überhaupt ein Passwort eingeben muss, kann man ja schon hinterfragen, weil das eine Interaktion ist, die man sich sparen könnte. Natürlich kann ich es im Browser speichern. Aber wir gehen da stärker in die Richtung von passwortlosen oder sogar ganz eingabefreien Authentisierungsmethoden. Unsere Kunden können einfach das Online-Banking aufrufen, auf dem Smartphone OK drücken und fertig.

Es gibt ja verschiedene "zweite" Faktoren, die in die Kategorien Besitz, Wissen und Sein eingeordnet werden. Sind die alle gleich sicher oder unsicher?

Nicht der einzelne Faktor macht es aus, sondern es gilt, eine geschickte Mischung zu finden, die für den Anwendungsfall geeignet ist. Smartphones bieten starke Möglichkeiten durch die Kombination von Besitz und dem Prüfen von biometrischen Eigenschaften. Das ist verbunden mit der Annahme, dass das Smartphone Mechanismen hat, die sicherstellen, dass der User, der es mit dem Account gekoppelt hat, auch wirklich der Berechtigte ist. Man hat also hier die Möglichkeit, biometrische Informationen - Face-ID oder Fingerabdruck - in die Authentifizierung einzubeziehen.

Gibt es da unterschiedliche Sicherheitsniveaus?

Wir sind grundsätzlich der Meinung, dass diese eingebauten biometrischen Methoden in Smartphones relativ sicher sind. Face-ID lässt sich nicht leicht austricksen. Man könnte aber Gewalt anwenden - und schon ist man drin. Auch Fingerabdruckscanner wurden schon überlistet.

Aber die Kombination, dass man das Gerät besitzen und diese biometrischen Verfahren anwenden muss, das schließt gewisse Angriffskategorien aus. Und deshalb glauben wir, dass das fürs Einloggen oder die Abfrage des Kontostands "gut genug" ist. Bei weiteren Aktivitäten, zum Beispiel einer Überweisung ins Ausland oder eines ungewöhnlich großen Betrags kann man schärfere und immer höhere Hürden einbauen.

Das nennen wir Step-up-Verfahren. Also, man kommt einfach rein, sogar ohne Passwort, und dann wird’s sozusagen immer schwieriger, die nächste Stufe zu erreichen. Unsere Empfehlung ist, nicht schon zu Beginn eine hohe Authentisierungsebene einzufordern.

Und schließlich: Es gibt kein hundertprozentig sicheres Verfahren. Sicherheit ist eine Risikoabwägung. Deshalb sind Banken in vielen Fällen gegenüber den Kunden kulant, auch wenn es kein Versagen der Sicherheitsarchitektur war, weil das selten ist und sich insgesamt trotzdem rechnet.

Wissen Sie, warum sich viele Banken für das Abtippen der TAN entscheiden? Hat das Kostengründe?

Das Abtippen hat vielfach mit zwei Dingen zu tun. Zum einen ist es eine Art Standard. Wenn's die anderen machen, mach' ich's halt auch. Sprich: Es funktioniert, es hat sich bewährt, die User machen es ja mit. Und die Bank stört es auch nicht.

Zweitens verursacht es Aufwand, von der TAN wegzukommen. Wenn zum Beispiel eine Bank ein TAN-basiertes Verfahren für die Transaktionsbestätigung hat, dann macht es Sinn, das auch für den Login zu verwenden. Das ist ein Grund dafür, warum sich einfache Methoden noch nicht wirklich durchsetzen, weil sie in der Transaktionsbestätigung nicht unterstützt werden.

Denken Sie über Verfahren nach, wie man die Authentifizierung in Zukunft einfacher machen kann?

Jeden Tag! Das ist ein wichtiger Teil unserer Arbeit. Man muss verstehen: Hinter der Benutzeroberfläche laufen Prozesse in vielen Applikationen - nicht nur von der Bank, sondern auch von Drittanbietern -, die geschützt werden müssen. Das ist das große Thema Single-Sign-on für verschiedene Komponenten.

In der Authentisierung arbeiten wir daran, das friktionslos, also reibungslos zu gestalten. Wir wollen nicht mehr eine fixe Authentisierung erzwingen, sondern wir lernen von der Interaktion und setzen dann Authentisierungsmethoden ein, wenn wir das für richtig halten. Das ist der risikobasierte Ansatz, von dem ich schon sprach. Das ist unser Zielbild: Ohne Passwort, ohne Nutzerinteraktionen Sicherheit zu gewährleisten.

Wie sieht das konkret aus?

Wenn eine Authentisierung nötig ist, versuchen wir das möglichst einfach zu halten. Da geht der Trend in Richtung One-Touch. Eine Aktion poppt im Smartphone auf und man hat nur noch einen OK-Button. Das ist dann über den Fingerabdruck oder die Gesichtserkennung abgesichert.

Die nächste Stufe ist Zero-Touch - Authentisierung ohne aktives Approve-Signal. Das berührt aber das Spannungsfeld, was die Smartphone-Hersteller zulassen oder nicht, zum Beispiel, dass eine App Umgebungsgeräusche aufnehmen darf. Idealerweise haben Sie Ihr Smartphone in der Hosentasche, und das reicht für den Login bei der Bank. Vor allem das iPhone von Apple fördert dieses Verhalten in der Realität nicht, zum vermeintlichen Schutz des Nutzers.

Aber es ist das ultimative Ziel, dass das Smartphone als Authentisierungsmittel genutzt wird und der Besitzer es nicht einmal bedient: Er muss keine App öffnen, keine Benachrichtigung bestätigen. In der Bankpraxis ist das noch ein gewagter Gedanke - und deshalb ist das auch noch nicht als TAN-Ersatz im Gebrauch. Es wird aber schon für andere Bereiche genutzt.

Bezahlen Sie einfach mit Ihrem guten ... Gesicht!