Wer seine Zahlungen per E-Banking erledigt, hat sich sicher an den Begriff SmsTAN gewöhnt. Die Bank verifiziert mit dem Versand der Transaktionsnummer (TAN) per SMS, ob wirklich Sie selbst sich einloggen – und nicht eine andere Person. Nur wer beim Login nebst Benutzername und Passwort auch die per SMS übermittelte TAN eingibt, kann sich an Ihrem Konto anmelden. Doch da gibt es noch die Kartenleser und vielleicht haben Sie auch von PushTAN und PhotoTAN gelesen. Wir erklären Ihnen diese Begriffe.

Beim ChipTAN-Verfahren werden drei getrennte Komponenten verwendet: eine Bankkarte, ein (TAN-)Generator und das Onlinebanking. Beim Generator kann es sich entweder um ein Kartenlesegerät oder um einen USB-Stick handeln. Der Generator verfügt nicht über Internetzugriff und kann somit nicht von extern angegriffen oder beeinflusst werden. Der Generator erzeugt die Transaktionsnummer (TAN). Die TAN wird auf dem Chip der eingesetzten (Bank-)Karte errechnet. Daher kommt der Name ChipTAN.

Ein Beispiel hierfür ist der gelbe Kartenleser der PostFinance. Obwohl die PostFinance letztes Jahr das E-Finance-Login überarbeitet hat (PCtipp berichtete), kann das Kästli weiterhin verwendet werden.

Bei der UBS gibt es auch 2020 noch die Login-Möglichkeit mit der Access Card mit Kartenleser. Die Zürcher Kantonalbank verwendet bei Bestandskunden noch eine «kleine Menge» von ZKB IdentyKeys (USB-Stick), wie uns auf Anfrage mitgeteilt wurde.

Die TAN (Transaktionsnummer) wird auftragsbezogen erstellt und ist nur für kurze Zeit gültig. Das ChipTAN-Verfahren ist auch unter den Namen SmartTAN oder eTAN bekannt.

Die Erzeugung der TAN kann folgendermassen erstellt werden:

ChipTAN wird seit mehreren Jahren als etabliertes Login-Verfahren für E-Banking verwendet. Laut Sicherheitsexperten von Eset gilt ChipTAN aus heutiger Sicht als sicheres Verfahren.

Nachteil dieses Verfahrens: Wenn man den TAN-Generator nicht bei sich hat, kann man keine Bankgeschäfte erledigen.

PushTAN (auch: TAN2go) ist ein eher neueres Login-Verfahren. Laut der Schweizerischen Bankiervereinigung wird es in der Schweiz z.B. durch die Firma Crealogix seit September 2018 angeboten. Wie stark PushTAN in der Schweiz verbreitet ist, konnte man uns bei der Bankiervereinigung nicht sagen.

Bei der Crealogix-Gruppe beobachtete man bereits 2019, dass in der Schweiz (und international) immer mehr Banken auf das PushTAN-Verfahren setzten – inbesondere, um das SmsTAN-Verfahren abzulösen. Dieser Trend hat sich fortgesetzt und die Kurve zeigt weiterhin nach oben, wie es auf Nachfrage heisst. Crealogix hat im Juni 2020 die 1-Millionen-Marke von PushTAN-Authentisierungen geknackt.

Bei dieser Fintech-Lösung erhält ein Anwender eine Pop-up-Nachricht innerhalb der Banking-App. Laut dem Unternehmen muss der Nutzer auch bei Autorisierungen von Überweisungen die Banking-App nicht verlassen.

Beim PushTAN-Verfahren des Digital-Banking-Software-Anbieters findet der Freigabeprozess innerhalb der Banking-App statt. Das heisst, die Kommunikation des Onlinebankings über den Autorisierungs-Server zur Banking-App findet innerhalb eines sogenannten gehärteten Kanals statt. «Es handelt sich bei PushTAN also um eine kundenfreundliche und sichere Lösung, die Kundendaten vor Zugriffen Dritter schützt», sagte Oliver Weber von Crealogix vergangenes Jahr zu PCtipp. Für die Banken liege der Vorteil der PushTAN bei niedrigeren Kosten (SMS) und dass die Lösung ohne grossen Aufwand in die App integriert werden kann.

Bei der Crealogix-Lösung ersetzen biometrische Verfahren – Face ID und Fingerprint – die Verwendung von Passwörtern. PushTAN bietet einen zweiten Authentifizierungsfaktor an. Die verschiedenen Verfahren (Biometrik, PIN, PushTAN) werden in dieser Lösung kombiniert, was eine hohe Sicherheit bietet.

Weder ZKB noch UBS nutzen das Digital Banking der Crealogix.

Im Frühling 2021 will Crealogix mittels einer E-ID und E-Signatur das Feature-Portfolio erweitern. Das Ziel sei, in Verbindung mit PushTAN und Push-Nachrichten «End-to-End-Use-Cases im Bereich Conversational Banking abzudecken», so eine Mediensprecherin auf Anfrage zu PCtipp.

Das SMS-Verfahren, auch mTAN genannt, wird seit vielen Jahren für E-Banking verwendet und ist wohl das bekannteste. Das kleine «m» steht für «mobile». Die Bank prüft lediglich, ob die Person, die sich in Ihr Bankkonto einloggt, auch im Besitz Ihrer Mobilfunknummer ist; und das dürften normalerweise immer nur Sie selbst sein. Dazu verschickt sie beim mTAN-Verfahren einen Code per SMS. Dieser muss nach der erfolgreichen Passworteingabe auf der E-Banking-Webseite eingetippt werden. 

Dieses Verfahren ist bequem und man ist nicht auf ein separates Gerät angewiesen, wie z.B. das gelbe Kästli der PostFinance. Auch die Bankkarte ist nicht nötig; ein Bankkunde benötigt lediglich einen PC oder Laptop und ein Mobiltelefon.

Doch die Kehrseite der Medaille ist, dass das mTAN-Verfahren in der Vergangenheit bereits vereinzelt ausgetrickst wurde. Der Melde- und Analysestelle Informationssicherung Melani (heute NCSC) wurden beispielsweise 2016 mehrere Fälle gemeldet, bei denen es Hackern mittels Smartphone-Malware gelang, die Bestätigungs-Codes (mTAN) auf dem Handy des Bankkunden abzufangen und danach für E-Banking-Betrug zu verwenden.

PhotoTAN ist ein Verfahren, bei dem ein farbiges Mosaik mit der Smartphone-Kamera oder mithilfe eines PhotoTAN-Geräts vom Bildschirm abfotografiert wird. Damit wird ein einmaliger Passwortzusatz (TAN) generiert.

Um PhotoTAN nutzen zu können, braucht man eine App der eigenen Bank und einen Aktivierungscode. Der Code wird einem i.d.R. per Post zugeschickt.

Bei der ZKB wird nach eigenen Angaben für Neukunden ausschliesslich die PhotoTAN verwendet. Via PhotoTAN-App wird über das Smartphone oder Tablet die PhotoTAN beim E-Banking zum Login und zur Freigabe von Zahlungen verwendet. Nach dem Scannen wird eine TAN auf dem mobilen Display angezeigt, die man beim E-Banking eintippt. Alternativ gibt es ein PhotoTAN-Lesegerät.

Gemäss Webseite verwendet z.B. auch Raiffeisen die PhotoTAN, ebenfalls wahlweise über die App oder ein PhotoTAN-Gerät. Wie Raiffeisen auf der Webseite schreibt, sei die PhotoTAN derzeit das «sicherste Login-Verfahren für E-Banking in der Schweiz».

Alternativ können Sie das Smartphone als ID fürs E-Banking nutzen. Dazu benötigen Sie eine Mobile-ID-fähige SIM-Karte und ein Smartphone.

Ein gewöhnliches Login (zum Beispiel in einem Shop) erfolgt anhand eines Benutzernamens in Kombination mit einem Passwort. Das ist relativ unsicher, denn Angreifer können durch Betrug oder Diebstahl an diese Login-Daten gelangen und diese missbrauchen. Es ist leider auch immer noch so, dass viele Nutzer viel zu unsichere Passwörter einsetzen.

Auf der Mobile-ID-fähigen SIM-Karte ist eine kleine Anwendung integriert. Diese Anwendung kann verschlüsselte Nachrichten in Form sogenannter stiller SMS empfangen, entschlüsseln, verschlüsseln und versenden. Das erlaubt beispielsweise dem Bank-Server, via Mobile ID auf einem separaten Kanal mit dem Smartphone des Kunden zu kommunizieren und sich dort das Login bestätigen zu lassen. Mit dem eigentlichen Betriebssystem Ihres Geräts kommt die Mobile ID kaum in Berührung.

Wer sich in Ihrem Namen beispielsweise in Ihr PostFinance-Konto einloggen will, braucht bei aktivierter Mobile ID nicht einfach bloss einen SMS-Code abzufangen. Er muss physisch im Besitz genau Ihrer SIM-Karte sein und muss exakt Ihre persönliche PIN zu dieser Mobile ID eingeben. Und genau das macht einen Missbrauch nach heutigem Kenntnisstand fast unmöglich.

Sowohl UBS als auch ZKB verzichten auf Mobile ID, wie wir auf Anfrage erfahren haben. Bei der ZKB sagt ein Sprecher zu PCtipp: «Im Rahmen der Ablösung von mTAN verfolgten wir unter anderem auch die Mobile ID. Zum damaligen Zeitpunkt überzeugte uns die Performance der Lösung sowie die Verbreitung der unterstützten SIM-Karten noch nicht. Die Lösung erfüllt unsere hohen Ansprüche an die Sicherheit in allen Belangen und bietet noch weitere Ausbaumöglichkeiten», so der ZKB-Sprecher. Man beobachte den Markt aktiv.

Die UBS setzt ganz auf die UBS-Access-App, die laut Sprecher vor jedem Login ins E- oder Mobile-Banking die Sicherheit des Smartphones prüfe. «Gegen Mobile ID sprechen der globale Trend zur Virtualisierung von SIM-Karten sowie fehlende Möglichkeiten zur Integration in unser eigenes digitales Sicherheitskonzept», so ein UBS-Sprecher.

Klären Sie ab, ob Ihr Telekomanbieter eine Mobile ID anbietet. Allgemeine Informationen, wie Sie die Mobile ID aktivieren, finden Sie auf der Webseite mobileid.ch. Mobile ID ist grundsätzlich ein Zwei-Faktor-Authentisierungsdienst, den verschiedene schweizerische Mobilfunkprovider den Kunden anbieten. Technisch verantwortlich zeichnet die Swisscom. Mittlerweile gibt es auch eine Mobile-ID-App (Android, iOS).

Gehen Sie unter www.mobileid.ch zu Jetzt Aktivieren und tippen Sie Ihre Handynummer ein. Falls Ihre SIM-Karte nicht kompatibel ist, erhalten Sie sofort eine entsprechende Information. Falls sie kompatibel ist, erhalten Sie via SMS einen vierstelligen Code, den Sie auf der Webseite eingeben. Sie werden einen QR-Code angezeigt bekommen sowie aufgefordert, die App herunterzuladen und den QR-Code zu scannen. Folgen Sie einfach den Instruktionen auf der Webseite.

Lesen Sie ausserdem unseren Tipp, wie Sie das Smartphone als ID fürs Banking oder die Steuererklärung verwenden können (Stand: 2018).

Wir haben bei der UBS und der Zürcher Kantonalbank (ZKB) nachgefragt, welche Verfahren sie nutzen – und welche nicht.

Die ZKB fokussiert bei Neukunden ausschliesslich auf PhotoTAN. Bei Bestandskunden gibt es noch mTAN sowie eine «kleine Menge» an ZKB-IdentyKeys (USB-Stick).

Die UBS verzichtet auf SmsTAN, PushTAN sowie Mobile ID und setzt auf das selbstentwickelte Verfahren der UBS-Access-App. Dieses ist ähnlich wie PhotoTAN (siehe im Artikel), ergänzt durch eine PIN.

Beim Mobile-Banking-Login bietet die UBS ausserdem Gesichtserkennung via Face ID von Apple (iPhone) und andere biometrische Verfahren wie z.B. Touch ID an. Allerdings nur als zusätzlichen Authentisierungsfaktor neben einer PIN oder verbunden mit eingeschränktem Funktionsumfang. Das heisst, ein Kunde hat Kontoeinsicht mit biometrischer Authentisierung, aber kann keine Transaktionen durchführen.

Die PostFinance verwendet, wie in diesem Artikel erwähnt, weiterhin ChipTAN (Kästchen) und hat letztes Jahr ein neues E-Banking-Login via PostFinance-App lanciert (PCtipp berichtete). Das E-Finance-Login funktioniert mit Fingerprint und Gesichtserkennung.

Lesen Sie auch unseren Artikel, wie sicher das neue Biometrie-Login der PostFinance ist.

(Dieser Artikel erschien erstmals 2019 und wurde am 6. Oktober 2020 aktualisiert).