TAN per App – SecureGo und SecureSign

Der TAN-Empfang per App (SecureGo, my SecureSign) hat im Vergleich zur mobileTAN per SMS einige Vorteile:

  • verschlüsselt: Der Provider und SMS-Apps können nicht mitlesen
  • mit separatem Passwort geschützt
  • im Ausland zuverlässiger nutzbar
  • auch ohne Sim-Karte (Tablet) und im Wlan verwendbar
  • Sicherheitslücke SIM-Doublette existiert nicht
  • nicht zuletzt: zukunftssicherer als die SMS
  • Wechsel des Gerätes möglich durch Übertragungsfunktion
  • keine Sicherheits-Schwächen des Handynetzes (SMS-Hacks)
  • nicht zuletzt: Ermöglicht Banking auf einem Gerät

Offensichtliche Nachteile:
Die Freischaltung und Einrichtung sind aufwändiger: Man muss eine App installieren, sich noch ein zusätzliches Passwort merken und den Freischaltbrief abwarten und damit die App bzw. den Bankzugang aktivieren. Da die Genossenschaftsbanken aktuell noch zwei Banksysteme haben, gibt es auch zwei Apps deren Zugänge beim Systemwechsel der Bank nicht einfach übertragen werden können. SecureGo ist z.B. bei der GLS Bank frühestens ab 22. Juli nutzbar. Nutzer*innen der alten App my SecureSign müssen also eine Neuanmeldung durchführen und die Freischaltung abwarten.
Eine App hat wesentlich höhere technische Ansprüche an Hardware und Betriebssystem. Z.B. muss die Verschlüsselung zum TAN-Server aktuellen Sicherheitsempfehlungen genügen. Dies können alte Betriebssysteme nicht mehr erfüllen, weil keine Updates mehr geliefert werden. Ich persönlich sehe dies eher als Vorteil, denn die Risiken steigen mit jedem verpasstem Update auf alter Hard- und Software immens.

Die App kann nur über offizielle Stores bezogen werden.


Mögliche Fehlerquellen bei der Einrichtung und Nutzung von VR-SecureGo:

  • Das Anmelde-Passwort wird gerne verwechselt oder vergessen: Es handelt sich um ein separates Passwort, das so erstmal nichts mit der AnmeldePIN im Onlinebanking, der Startpin, dem Alias oder ähnlichem zu tun hat. Ist ja auch logisch, schließlich können mehrere genossenschaftliche Banken in der App angemeldet werden, sofern sie das Verfahren anbieten.
    Passwort. 8-20 Zeichen lang und mindestens einen Groß- und 1 Kleinbuchstaben und eine Zahl
  • Hardwarewechsel (Handytausch):
    Der Zugang kann kann nur durch eine Umstellungsfunktion übertragen werden. Über ein simples Backup ist der Wechsel aus Sicherheitsgründen nicht möglich, weil sich die App mit der Hardware verbindet.
  • Neuinstallation: Vorher sauber deinstallieren, also App-Cache löschen (Fehler 304). Unter Android in den App-Einstellungen zu finden.
  • Wenn die Anmeldung nicht vollständig durchgeführt wurde, erhält man einen Fehler 501.
  • Nach der fünften Falschanmeldung in Folge löscht die App automatisch die Daten und setzt sich zurück. Die Anmeldung muss dann neu durchgeführt werden.

Rooting/Jailbreak-Fehler:
Das Gerät darf nicht gerootet sein (beim iPhone jailbreak), da sonst wichtige Sicherheitsfunktionen von Schadsoftware unterlaufen werden können.