Der Begriff Zwei-Faktor-Authentifizierung (2FA) wird oft gleichgesetzt mit der Zwei-Faktor-Authentisierung. Zahlreiche Banken und Finanzdienstleister setzen inzwischen bei ihrer Sicherheitslösung auf Zwei-Faktor-Authentifizierung. Dabei gibt es drei Gruppen von Merkmalen, mit deren Hilfe sich ein Nutzer anmelden („authentisieren“) kann und über die der Service ihn dann als berechtigten Nutzer klassifiziert („authentifiziert“). Neben den Wissensmerkmalen, etwa einem Passwort oder Zugangscode oder einer Sicherheitsfrage, deren Antwort nur der Nutzer kennt, gibt es auch Besitzmerkmale, also beispielsweise ein bestimmtes Gerät, ein Smartphone oder eine Smartwatch, und ferner Biometriemerkmale, also unveränderliche Kennzeichen des Nutzers, die etwa per Fingerabdrucksensor, Irisscan oder Gesichtserkennung abgefragt werden.

Zwei dieser drei Faktoren müssen – so sieht es eine EU-Verordnung für die Banken (PSD2) vor – bei bestimmten Geldgeschäften genutzt werden. Dabei stellt die 2FA eine deutliche Erhöhung der Sicherheitsrichtlinien dar. Gerade angesichts einer wachsenden Anzahl von Mobilgeräten, die verloren gehen oder aufgrund von Diebstahl in falsche Hände gelangen können, bedeutet dies eine entscheidende Verbesserung der Sicherheit unter möglichst weitgehender Beibehaltung der Convenience.

Tausende von Kunden erhalten dieser Tage Post von ihrer Bank. Die teilt ihnen mit, dass sie in Zukunft eine neue Sicherheitslösung wählen müssen. Doch gerade weniger technikaffine Kunden, die gewohnheitsmäßig seit Jahren dieselbe bequeme (und vor allem gelernte) Lösung nutzen, wollen sich nicht umstellen, wie zahlreiche Forenbeiträge bei Banken und in sozialen Medien dokumentieren. Dabei sind die Alternativen zahlreich und gar nicht so schwierig in der Umstellung:

Chip TAN: Die Chip TAN eignet sich vor allem für Kunden, die nicht über ein Smartphone verfügen. Der Kunde erhält einen TAN-Generator mit Schlitz für die Bank-Card oder Girocard. Dabei wird nach einmaliger Synchronisierung mit dem Konto die Karte in den Schlitz gesteckt und die Überweisung nach Eingabe in den PC ausgeführt. Am PC wird eine Grafik generiert, die strichcode-artig oder wie ein QR-Code aussieht, in manchen Fällen auch farbig ist. Diese wird durch den Generator gescannt und eine entsprechende Zahlenkombination generiert, die dann wiederum am PC als Freigabecode eingegeben wird. Der TAN-Generator stellt hier das Besitz-Element dar. Dank integrierter Zehnertastatur kann ein Code auch dann generiert werden, wenn das Ablesen des Scan-Codes vom PC-Monitor nicht funktioniert.

Photo TAN: Ähnlich funktioniert die Photo TAN, die ebenfalls mit einem externen Gerät vonstatten geht. Das Lesegerät wird dabei durch die Bank codiert und ist somit nur für das eigene Konto nutzbar. Abgescannt wird ebenfalls ein farbige Klötzchengrafik vom Notebook-Bildschirm. Auch hier wird ein entsprechendes Code-Gegenstück erstellt, das der Kunde als TAN ins Notebook einträgt.

Photo TAN per App: Neben der Lösung als eigenes Gerät, das man bei Überweisungen somit immer dabei haben muss, gibt es die Photo TAN auch als App-Lösung, bei vielen Banken die am weitesten verbreitete Lösung, nachdem fast alle Kunden über ein Smartphone verfügen.

App TAN: Ähnlich verhält es sich mit TAN-Lösungen, die je nach Bank als VR Secure Go, TAN 2 Go, Push TAN oder Sparda-Secure-App bezeichnet werden. In allen Fällen lassen sich die Daten, die am PC eingegeben wurden, über die App freigeben. Anders als bei den meisten anderen Verfahren ist hier auch die Beauftragung und die Freigabe auf demselben Gerät möglich, weil die App entsprechend passwort- beziehungsweise codegeschützt ist.

SMS TAN: Ohne Extra-Gerät und Smartphone ist die SMS TAN noch eine vertretbare Lösung. Hierbei wird der Überweisungsauftrag wie gewohnt beim Onlinebanking am PC eingegeben und per Klick auf einen Button dort ein Freigabe-Code angefordert, der per SMS aufs Handy oder Smartphone übertragen wird. Auch hier ist im Prinzip eine 2FA realisierbar – ganz so sicher wie die anderen Verfahren ist das aber nicht. Deshalb nehmen inzwischen viele Banken Abstand von der SMS TAN, da es theoretisch möglich ist (und auch bereits Fälle gab, in denen das vorkam), dass eine Telefonnummer auf einen fremden (betrügerischen) Kunden unter Mithilfe des Providers umgeleitet wurde.

QR TAN: Die QR TAN ist eine Variante der Photo TAN. Anders ist hier nur der Code: ein klassischer QR-Code, der auch unter schlechten Bedingungen aufgrund von Redundanzdarstellungen funktioniert – auch wenn nur ein Teil scharf dargestellt wird, reicht das aus, um die Verifizierung durchzuführen. Auch hier wird die Überweisung am PC durchgeführt und dort ein QR-Code generiert, der via Handykamera gescannt wird. Das Smartphone erstellt dabei einen Quittungscode, mit dem die Zahlung am PC „abgesegnet“ wird.

Bestsign TAN: Ein spezielles, bei der Postbank verwendetes Verfahren ist die Bestsign-Lösung, die mit einem speziell codierten USB-Stick kommt, der ins Notebook gesteckt wird und als eine Art Dongle fungiert. Per ID und durch die Postbank vergebenen Code wird der Stick verifiziert und mit dem Konto verknüpft. Das Handling zwischen Stick und PC erfolgt dabei automatisch, ohne dass eine explizite TAN durch den Kunden eingegeben werden muss. Neben der USB-Lösung kann die Bestsign TAN auch per Bluetooth genutzt werden.

So vielfältig die hier beschriebenen Verfahren sind, so einheitlich ist doch deren Funktionsweise: Eingabe des Auftrags über PC oder Smartphone (in einigen Fällen), Generierung eines Codes mit gegebenenfalls Scannen des Bildschirms und Eingabe des Codes in das Gerät, über das der Auftrag erledigt wird. In allen Fällen ist ein externes Gerät sicherer als die Lösung mit Hilfe des (zumindest potenziell angreifbaren) Smartphones – und die Lösung mit dem Smartphone einfacher zu handhaben. Denn das Smartphone hast du in aller Regel dabei.

Doch gleichzeitig ist all das sicherer als die alte TAN-Liste, die nicht nur in falsche Hände geraten kann, sondern in vielen Fällen aufgrund der vielen vorhandenen Zahlenkombinationen mehr Rückschlüsse auf den dahinter liegenden Algorithmus zuließ. Somit es die 2FA-Lösung der europäischen Banken ein Schritt in die richtige Richtung. Doch auch die 2FA-Lösungen beim Banking sollten nicht darüber hinweg täuschen, dass ein Restrisiko bleibt und dass man insbesondere gegen Social Engineering nur mit einem gesunden Menschenverstand und etwas Misstrauen gewappnet ist.