SIGN - Push & TAN-Dienste

Softwaregestützte Transaktions-Autorisierung für Smartphone und Desktop. Internet TAN via push- und cloud-Dienst für das Online-Banking sowie für das Online-Payment mit der Kreditkarte.

Internet Banking gibt es seit über 15 Jahren, stets mit einer Authentifizierung des Nutzers (Kontonummer & PIN) und Autorisierung der Transaktion (z. B. TAN). Als primärer Kommunikationskanal werden Web- oder Mobilanwendungen eingesetzt (Überweisung), als zweiter Kanal haben sich spezielle Endgeräte (TAN-Generator, Secoder) oder ein Mobiltelefon für die Übermittlung der Transaktionsnummer (Autorisierung) etabliert. Es liegt nahe, klassische Autorisierungsmechanismen wie iTAN und mTAN direkt auf eine Smartphone-Anwendung zu übertragen.

 

Fotostrecke zur push App SIGN
TAN via push-Verfahren für Banking und Payment.

 

Klassische TAN-Mechanismen sind teuer, unsicher und machen die Bank abhängig vom Telekom-Provider

Viele Banken scheuen sich jedoch vor diesem Schritt, weil man vermeintlich auf den zweiten, sicheren Kommunikationskanal verzichten muss. In Wahrheit bietet der Schritt zu signaturbasierten Banking-Transaktionen jedoch deutliche Vorteile:

  • Einsparung der klassischen Provider- und TAN-Kosten in Millionenhöhe

  • Massiver Sicherheitsgewinn durch verschlüsselte Übermittlung der Transaktionsdaten

  • Keine Abhängigkeiten mehr von unbeweglichen Telekom-Providern (SIM-Cloning)

  • Bei Verfahrenswechsel oder Sicherheitsproblemen keine zusätzlichen Hardwarekosten mehr (Flicker-/TAN-Generator tauschen)

  • Einfache und kostengünstige Anpassung aller künftigen Banking-Prozesse durch schnelle Softwareänderung

  • Durch zusätzliche Softwarehärtung ist SIGN deutlich sicherer als das 20 Jahre alte SMS-Verfahren

 

SIGN ist sicher, schnell und kostengünstig

  • Die Server-Komponente ist als Java Webanwendung lauffähig im Bankensystem

  • Die App-Komponente ist für Android und iOS verfügbar

  • Die TAN-Generierung kann auf dem Banking-Host oder im SIGN-Server erfolgen

  • Durch die Verwendung einer virtuellen Handynummer können die alten "SMS-Out-Schnittstellen“ zum Telekom-Provider ohne technsiche Anpassungen im Rechenzentrum weiterbenutzt werden

  • Durch die Verwendung einer virtuellen Handynummer können alle alten "SMS-basierten" Bankprozesse ohne technsiche Anpassungen am Bank-Arbeitsplatz weiterbenutzt werden

  • Die App besitzt einen kryptografisch gesicherten Messaging Client und kann so für Kunden-Informationsdienste und als Kanal für die garantierte Übermittlung von vertraulichen Unterlagen an den Kunden verwendet werden

  • SIGN verfügt über ein erweitertes Krypto-Berechtigungskonzept und kann so statt eines App-Passworts auch durch zusätzliche Gerätekomponenten, wie etwa eine Smartwatch, geöffnet und bedient werden

  • Bei einem Ausfall der Cloud Dienste von Apple oder Google (push-Kanal) wird die Übermittlung der TAN auf einem separaten poll-Kanal sichergestellt

  • Die Transaktionsnummer kann durch einen Bestätigungsdialog komplett ersetzt werden

  • Jede App ist gegenüber dem Bankensystem als berechtigtes Gerät identifizierbar (Public-Private-Key)

  • Zusätzliche ID-, Hardware- und Software-Merkmale verschmelzen die App mit der Smartphone-Hardware

 

Zusätzliche Härtungs- und Sicherungsmaßnahmen verfügbar

Die SIGN Clients sind als App unter Android und iOS lauffähig. Alle für das jeweilige Betriebssystem verfügbaren Härtungs- und Sicherheitsmaßnahmen können in diese Clients zugeschaltet werden. So übermittelt SIGN auch auf bereits infizierten Arbeitsplätzen sicher alle Transaktionsdaten für das Online-Banking.