Tokens statt PIN/TAN: Sicheres Online-Banking ohne Kartenleser

RSA Security liefert zwei Banken in Österreich und der Schweiz mit insgesamt 15.000 Kunden den Secur-ID-Token. Der Token generiert alle 60 Sekunden eine neue, sechsstellige Nummer auf der Basis eines AES 128bit-Algorithmus. Hier muss der Nutzer keinen Knopf drücken. Der Token generiert die Nummern fortlaufend während seiner ganzen Lebenszeit. Der deutsche Anbieter Kobil aus Worms hat passend zu seinem Midentity-Token eine Anti-Phishing-Software entwickelt, die die Website prüfen soll, bevor Informationen freigegeben werden.

Laut Token-Hersteller Vasco arbeiten bisher nur fünf Prozent aller Banken mit Tokens, die meisten davon in Europa. „Die Vorfälle häufen sich trotz der immensen Informationspolitik der Banken“, sagt Binst, „hier muss eine entsprechende Technologie weiterhelfen.“ Doch in Deutschland setzen die Banken noch immer auf die Kombination von PIN/TAN, weil es eine günstige und unproblematische Lösung für sie ist. Online-Banking war lange ein Problem, da sich die Deutschen mit dem international nicht anerkannten HBCI-Standard selbst eine Barriere gesetzt hatten. „Der Siegeszug des Online-Banking kam erst mit dem Browser-basierten Zugang“, sagt Jürgen Ebert, Pressesprecher Online bei der Postbank. Denn die HBCI-Software war zu kompliziert zu installieren und oft nicht mit der Kunden-Hardware kompatibel. Das gleiche blüht Deutschland nun wieder: Die Banken warten auf das Signatur-Bündnis und die übergreifende Signaturkarte. Die Kunden zwischendurch mit Tokens zu belasten, hält Ebert für aussichtslos.

Michael Lermer, Pressesprecher der Deutschen Bank erklärt außerdem: „Das PIN/TAN-Verfahren ist sicher.“ Man habe Tokens in einem Pilotprojekt geprüft und festgestellt, dass es von den Kunden nicht gut akzeptiert werde. Seit 2003 bietet die Deutsche Bank ihren Kunden stattdessen eine digitale Signaturkarte an, allerdings mit mäßigem Erfolg. Denn dafür müssen die Kunden einen Kartenleser für 36 Euro kaufen – und installieren.