AT513337A1

AT513337A1 - Method for generating and checking a transaction signature

Info

Publication number: AT513337A1
Application number: ATA290/2013A
Authority: AT
Original assignee: Res Ind Systems It Engineering Rise Forschungs Entwicklungs Und Grossprojektberatung Gmbh
Priority date: 2012-09-11
Filing date: 2013-04-11
Publication date: 2014-03-15
Also published as: AT12913U2; AT12913U3

Abstract

Verfahren zur Generierung und Prüfung einer Transaktionsunterschrift mittels eines ersten TAN-Objekts (4) und eines zweiten TAN-Objekts (8) (transaction authentication number), wobei das erste TAN-Objekt (4) von einem Server (3) zufällig generiert und entsprechend eines definierten benutzerindividuellen Schemas (11) in ein Rasterobjekt (6) eingebettet, dieses Rasterobjekt (6) über eine erste Kommunikationsverbindung (2) an ein Clientendgerät (1) übermittelt und einem Benutzer (10) über eine Ausgabevorrichtung (7) des Clientendgeräts (1) angezeigt wird, wobei der Benutzer (10) ein zweites TAN-Objekt (8) über eine Eingabevorrichtung (9) des Clientendgeräts (1) eingibt.Method for generating and checking a transaction signature by means of a first TAN object (4) and a second TAN object (8) (transaction authentication number), wherein the first TAN object (4) is randomly generated by a server (3) and correspondingly of a defined user-specific schema (11) embedded in a raster object (6), this raster object (6) via a first communication link (2) to a client terminal (1) and a user (10) via an output device (7) of the client terminal (1 ), wherein the user (10) inputs a second TAN object (8) via an input device (9) of the client terminal (1).

Description

* * 1* * 1

52034/AG/FI52034 / AG / FI

Research Industrial Systems...Research Industrial Systems ...

Verfahren zur Generierung und Prüfung einer TransaktionsunterschriftMethod for generating and checking a transaction signature

Die Erfindung betrifft ein Verfahren zur sicheren Prüfung einer Transaktionsunterschrift bei Verwendung derselben TAN-Empfangs- und Rückübermittlungsvorrichtung („TANsquare“-, „TAN2“- oder „TANgible'-Verfahren).The invention relates to a method for securely checking a transaction signature using the same TAN receive and return device ("TANsquare", "TAN2" or "TANgible" method).

IDEE UND STAND DER TECHNIKIDEA AND PRIOR ART

Zuverlässige Autorisierungsverfahren spielen bei der Verwendung von insbesondere Online-Applikationen (Webapplikationen oder Software As A Service, kurz SaaS) zusehends eine bedeutende Rolle. Mit Hilfe solcher Verfahren soll sichergestellt werden, dass bestimmte Aktionen oder Transaktionen von einer (Web-)Applikation nur dann ausgeführt (Autorisiert) werden, wenn ein berechtigter Benutzer dafür seine Zustimmung gegeben hat bzw. entsprechend qualifiziert mitgewirkt hat Dafür ist es folglich notwendig, dass sich die (berechtigte) Person gegenüber der Applikation authentifiziert. Für besonders kritische Transaktionen- wie beispielsweise im Online-Banking - kommen regelmäßig Verfahren zur Zwei- oder Mehr-Faktoren-Authentifizierung zum Einsatz. Hierbei muss der Benutzer mittels zweier oder mehrerer bestimmter Faktoren nachweisen, über bestimmte Berechtigungen zu verfügen. In der Regel sind dies zum aktuellen Zeitpunkt Wissen und Besitz, wie beispielsweise der Besitz einer Chipkarte und die Kenntnis des entsprechenden Passwortes bzw. der entsprechenden PIN (Personal Identification Number).Reliable authorization processes are increasingly playing an important role in the use of online applications in particular (web applications or software As A Service, SaaS for short). With the help of such procedures, it is intended to ensure that certain actions or transactions are executed (authorized) by a (web) application only if an authorized user has given his consent or has participated in a correspondingly qualified manner the (authorized) person authenticates himself to the application. For particularly critical transactions - such as in online banking - procedures for two- or multi-factor authentication are regularly used. In this case, the user must prove by means of two or more specific factors to have certain permissions. As a rule, at the present time, these are knowledge and possession, such as, for example, the possession of a chip card and the knowledge of the corresponding password or the corresponding PIN (Personal Identification Number).

Vor allem bei der Authentifiziert! ng gegenüber einer Webapplikation stellt die Notwendigkeit der Verwendung einer Chipkarte jedoch eine nicht unerhebliche Barriere dar, da dies einerseits voraussetzt, dass dem zu authentifizierenden Benutzer einerseits eine (gültige) Chipkarte ausgestellt und (sicher) in dessen Verfügungsmacht übermittelt wird und der Benutzer andererseits überein Kartenlesegerät verfügen muss. Hier zeigen sich bereits sehr deutlich die Nachteile derartiger kartenbasierter Authentifizierungsverfahren: Die Notwendigkeit der Ausstellung, Gültigkeitsverwaltung, regelmäßigen (zB Zertifikatsablauf) oder anlassbezogenen (zB Verlust) Neuausstellung solcher Karten und der Umstand, dass zum aktuellen Zeitpunkt kaum jemand über ein Kartenlesegerät verfügt. • · · « ·· · · · ί· · ® · · * « · • · · · · » · ·Especially with the authenticated! However, compared to a web application, the necessity of using a chip card represents a not insignificant barrier, since this requires on the one hand that the user to be authenticated on the one hand issued a (valid) chip card and (safely) in its power and the user on the other hand card reader must have. This clearly shows the disadvantages of such card-based authentication methods: the necessity of issuing, validity management, regular (eg certificate expiration) or event-related (eg loss) reissuing of such cards and the fact that hardly anyone currently has a card reader at their disposal. • · · «· · · · · · · · · · · · · · · · · · · · · · · · ·

*..* *·**2*··* ’··’ *··' 52034/AG/FI* .. * * · ** 2 * ·· * '··' * · '52034 / AG / FI

Research Industrial Systems...Research Industrial Systems ...

Vor allem das Erfordernis des Besitzes eines Kartenlesegeräts stellt insbesondere im Privatnutzungsbereich eine erhebliche Einstiegs- bzw. Verwendungsbarriere für (Web-) Applikation, die auf einem solchen Authentifizierungsverfahren basieren, dar. Die Praxis hat gezeigt, dass dies sogar so weit führen kann, dass aufgrund eines solchen Erfordernisses die Verwendung einer Applikation durch die Nutzer gänzlich unterbleiben kann.Above all, the requirement of the possession of a card reader, in particular in the private use sector, constitutes a considerable entry or use barrier for (web) applications based on such an authentication method. Practice has shown that this can even lead so far that on the basis of Such a requirement may be completely eliminated by the use of an application by the users.

Um die Notwendigkeit der Verwaltung solcher Chipkarten und des Besitzes von Kartenlesegeräten zu vermeiden, kommen insbesondere für den webbasierten Privatnutzerbereich zusehends Zwei-Faktoren-Authentifizierungsverfahren zum Einsatz, welche auf die Verwendung einer Chipkarte gänzlich verzichten und stattdessen auf den Besitz eines Mobiltelefons abstellen. Zur Benutzung eines solchen Verfahrens muss der Kunde der Bank seine Mobiltelefonnummer bekanntgeben und aktivieren lassen. Möchte der Nutzer nun, nachdem er sich mit seiner Verfügernummer und seinem Passwort bei der (Web-)Applikation authentifiziert hat (Faktor Wissen), eine Transaktion autorisieren, so wird ihm auf dessen Veranlassung per SMS (Short Message Service) eine TAN (Transaction Authentication Number) auf sein Mobiltelefon übermittelt. In der Folge muss der Benutzer diese TAN wiederum in ein Eingabefeld der (Web-)Applikation eingeben und so die Ausführung der Transaktion bestätigen. Auf diese Weise kann sichergestellt werden, dass sich der Benutzer tatsächlich im Besitz des Mobiltelefons mit der hinterlegten Nummer befindet (Faktor Besitz).In order to avoid the need to manage such smart cards and the possession of card readers, especially for the web-based private user area increasingly two-factor authentication method are used, which completely dispense with the use of a smart card and instead turn to the possession of a mobile phone. To use such a procedure, the customer must have the bank announce and activate their mobile phone number. If the user now wants to authorize a transaction after he has authenticated himself with his / her access number and password in the (web) application (factor knowledge), a TAN (Transaction Authentication Number) transmitted to his mobile phone. Subsequently, the user must enter this TAN in an input field of the (web) application and confirm the execution of the transaction. In this way it can be ensured that the user is actually in possession of the mobile phone with the stored number (factor possession).

Notwendige Komponenten: • Verfügernummer und Passwort • Bestimmte SIM/TelefonnummerNecessary components: • User number and password • Specific SIM / telephone number

NACHTEILE DES STANDES DER TECHNIKDISADVANTAGES OF THE PRIOR ART

Im Zuge der fortschreitenden Verbreitung von app-basierten Benutzerendgeräten wie insbesondere Smartphones oder Tablet-PCs werden zusehends auch derartige Geräte für die Authentifizierung bestimmter Transaktionen verwendet. 3/20 ··· · I · · · · • · · · · # · · · » 9 · · f · · · · • #» ·· I · · · · · *As the proliferation of app-based user terminals such as, in particular, smartphones or tablet PCs, such devices are increasingly being used to authenticate certain transactions. 3/20 ··· · I · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·

.. .. .. 3 .· .. .. 52034/AG/FI.. .. .. 3. · .. .. 52034 / AG / FI

Research Industrial Systems...Research Industrial Systems ...

Dafür kann beispielsweise die Internetseite der (Web-)Applikation direkt in einem auf dem mobilen Endgerät installierten Browser aufgerufen werden oder auch eine entsprechende Applikation (App) zum Einsatz kommen.For example, the website of the (web) application can be called directly in a browser installed on the mobile device, or a corresponding application (app) can be used.

In diesem Fall ist die Benutzung mobiler TANs jedoch potentiell unsicher, da keine echte Zwei-Faktoren-Authentifizierung mehr stattfindet, da das mobile Endgerät, mit welchem die Authentifizierung der Transaktion erfolgen soll, ident mit jenem ist, mit welchem auch die SMS empfangen wird. Somit geht bei dieser Variante des Online-Bankings der Sicherheitsfaktor der Nutzung zweier Kommunikationskanäle bzw. zweier Endgeräte verloren (1. Kanal: PC/Notebook per Festnetz-Internetverbindung, 2. Kanal: Mobiltelefon per Mobilfunknetz).In this case, however, the use of mobile TANs is potentially insecure, since true two-factor authentication no longer takes place, since the mobile terminal with which the authentication of the transaction is to take place is identical to that with which the SMS is also received. Thus, in this variant of online banking, the security factor of using two communication channels or two terminals is lost (1st channel: PC / notebook via landline Internet connection, 2nd channel: mobile phone via mobile network).

Ein weiterer Nachteil dieses Authentifizierungsverfahrens ist es, dass der Benutzer auf seinem mobilen Endgerät zwischen zwei Applikationen (Apps), nämlich dem Browser bzw. der M-Banking-App und der SMS-App, hin und her wechseln muss. Somit verliert der Benutzer bei jedem Autorisierungsschritt den Fokus, da zwischen zwei Apps hin und her gewechselt werden muss.A further disadvantage of this authentication method is that the user has to switch between two applications (apps), namely the browser or the M-banking app and the SMS app, on his mobile terminal. Thus, with each authorization step, the user loses focus because he needs to switch back and forth between two apps.

AUFGABE DER ERFINDUNGOBJECT OF THE INVENTION

Aufgabe des erfindungsgemäßen Verfahrens ist es, ein Authentifizierungsverfahren bereitzustellen, welches auch für den Fall, dass für die Übermittlung, Darstellung, Eingabe und Rückübermittlung der TAN einerseits dieselbe Kommunikationsverbindung und andererseits dasselbe Endgerät verwendet werden, ausreichende Sicherheit gegen Missbrauch und illegitime Authentifizierung bietet. Da die Übermittlung der TAN an den Benutzer und die Rückübermittlung durch diesen bei Verwendung mobiler Endgeräte, welche gleichzeitig auch das „Mobiltelefon“ implementieren, nicht mehr über zwei voneinander getrennte Kommunikationskanäle und auch nicht auf zwei physisch voneinander getrennten Endgeräten erfolgt, kann in einem solchen Fall nicht mehr von einer (sicheren) Zwei-Faktoren-Authentifizierung gesprochen werden. 4/20The object of the method according to the invention is to provide an authentication method which, even if the same communication connection and the same terminal are used for the transmission, display, input and return of the TAN, offers sufficient security against misuse and illegitimate authentication. Since the transmission of the TAN to the user and the return transmission by the same when using mobile terminals, which also implement the "mobile", no longer two separate communication channels and not on two physically separate terminals, in such a case no longer be talked about a (secure) two-factor authentication. 4.20

V ··· · ··· · · • · · · · · · · ·V ··· · ··· · · · · · · · · · · ·

··' *«·* *··Υ*·β **·* *·· 52034/AG/FI·· '* «· * * ·· Υ * · β ** · * * ·· 52034 / AG / FI

Research Industrial Systems...Research Industrial Systems ...

Aufgabe des erfindungsgemäßen Verfahrens ist es somit, auch für den Fall der Verwendung eines einzigen (mobilen) Endgeräts ein sicheres Zwei-Faktoren-Authentifizierungsverfahren zu implementieren, welches zumindest zwei voneinander unabhängige Kommunikationskanäle verwendet und durch zusätzliches Wissen des Benutzers den Faktor „Wissen“ verstärkt.The object of the method according to the invention is therefore to implement a secure two-factor authentication method even in the case of using a single (mobile) terminal, which uses at least two mutually independent communication channels and amplifies the factor "knowledge" by additional knowledge of the user.

LÖSUNG DER AUFGABESOLUTION OF THE TASK

Bei dem erfindungsgemäßen Verfahren handelt es sich um ein Verfahren zur sicheren webbasierten Autorisierung kritischer Prozesse oder Transkationen. Im Gegensatz zu herkömmlichen SMS-TAN-Verfahren kommt in diesem Verfahren ein zweiter Faktor für eine erhöhte Sicherheit des Authentifizierungsvorgangs zum Einsatz.The method according to the invention is a method for secure web-based authorization of critical processes or transactions. In contrast to conventional SMS TAN methods, this method uses a second factor for increased security of the authentication process.

Initial definiert der Benutzer über eine zweite Kommunikationsverbindung, über welche die spätere TAN-Abfrage eben nicht erfolgt, wie beispieslweise seine private Online-Banking-Applikation, ein TAN-Muster, indem er in einem Raster sowohl die Position als auch die Reihenfolge definiert, wie die einzelnen Zeichen aller ihm zukünftig zuzusendenden TANs in dieses Raster verteilt eingebettet werden. Das bedeutet, dass der Benutzer auf diese Weise ein Schema S definiert, wie jedes einzelne Zeichen der TAN in dieses Raster einzutragen oder in der Folge wieder auszulesen ist. Dieses Schema S gibt somit darüber Auskunft, wie sich der jeweilige konkrete TAN innerhalb dieses Rasters „versteckt“. Die verbleibenden noch „freien“ Rasterelemente werden mit zufällig zu wählenden Zeichen (zB Zufallszahlen oder-Zeichen) befällt und haben für sich keinen Informationswert. Die (zufällige) Auswahl dieser Zeichen kann beispielsweise mit Hilfe eines Zufallszahlengenerators erfolgen.Initially, the user defines a TAN pattern over a second communication link over which the subsequent TAN query does not occur, such as, for example, his private online banking application, by defining both the position and the order in a grid the individual characters of all TANs to be sent to it in the future will be embedded in this grid. This means that the user defines a schema S in this way, as each individual character of the TAN is to be entered in this grid or read out again in the sequence. This scheme S thus provides information about how the respective concrete TAN "hides" within this grid. The remaining "free" grid elements are filled with randomly chosen characters (eg random numbers or characters) and have no informational value for themselves. The (random) selection of these characters can be done, for example, using a random number generator.

Eine Implementierung des erfindungsgemäßen Verfahrens kann auch vorsehen, dass das Schema S nicht vom Benutzer selbst zu definieren ist, sondern vom Betreiber der Vorrichtung, welche das erfindungsgemäße Verfahren ausführt, vorgegeben wird und dem Benutzer über einen vom ersten Kommunikationskanal verschiedenen zweiten Kommunikationskanal (zB auf Papier und per Post) übermittelt wird. 5/20 ···· ·· · * · • ··· *· · · * I · » · · · · · 2An implementation of the method according to the invention can also provide that the schema S is not to be defined by the user, but is specified by the operator of the device which executes the method according to the invention and the user via a second communication channel (eg on paper and by mail). 5/20 ··························································································································

··* *··* *»V·.* %·* 52034/AG/FI·· * * ·· * * »V ·. *% · * 52034 / AG / FI

Research Industrial Systems...Research Industrial Systems ...

Das erfindungsgemäße Verfahren kann weiters auch so ausgestaltet sein, dass die Anzahl der Dimensionen des Rasterobjekts oder die Länge der TAN nicht von der Vorrichtung zur Ausführung des erfindungsgemäßen Verfahrens fix vorgegeben wird, sondern vom Benutzer über eine zweite Kommunikationsverbindung, gegebenenfalls eingeschränkt auf eine maximale Anzahl der Zeichen der TAN nicht die Anzahl der Rasterelemente des Rasters übersteigen darf.The inventive method can also be configured so that the number of dimensions of the raster object or the length of the TAN is not fixed by the device for carrying out the method according to the invention, but by the user via a second communication connection, optionally limited to a maximum number of Sign of TAN not allowed to exceed the number of grid elements of the grid.

Dieses Raster kann beliebige Dimensionierungen aufweisen, also zB zwei- (4x4, 5x5 oder 6x6) oder dreidimensional ausgestaltet sein. Beispielsweise könnte die dritte Dimension auch durch eine entsprechende Farbgebung dargestellt werden, bei welcher jedes Rasterelement eine definierte Anzahl an verschieden gefärbten Zeichen beinhaltet und der Benutzer wissen muss, welche Farbe das korrekte TAN-Zeichen in diesem konkreten Rasterelement aufweist.This grid can have any dimensioning, that is, for example, be configured two (4x4, 5x5 or 6x6) or three-dimensional. For example, the third dimension could also be represented by a corresponding color scheme in which each raster element contains a defined number of differently colored characters and the user must know which color has the correct TAN character in this particular raster element.

Je größer das Raster gewählt wird, desto sicherer ist das Verfahren. Die Anzahl der Variationen lässt sich mathematisch wie folgt darstellen: n\ (n—k)\ n... Anzahl der Positionen k... Anzahl der TAN StellenThe larger the grid is chosen, the safer the process. The number of variations can be represented mathematically as follows: n \ (n-k) \ n ... number of positions k ... number of TAN places

Das erfindungsgemäße Verfahren kann auch die mehrfache Auswahl von Positionen erlauben. Dadurch erhöht sich zwar die Anzahl der möglichen Variationen, jedoch ist die Eingabe von einzelnen TAN-Zeichen an derselben Stelle aus Usability-Sicht schwieriger zu verstehen.The method according to the invention can also allow the multiple selection of positions. Although this increases the number of possible variations, entering single TAN characters in the same place is more difficult to understand from a usability point of view.

Fig. 1 bis Fig. 4 zeigen Beispiele für die Auswahl des persönlichen TAN-Schemas, wobei die Ziffern die Reihenfolge und Position der einzelnen TAN-Zeichen innerhalb des Rasters (im konkreten Fall ein zweidimensionales 6x6 Raster) darstellen. Der Benutzer muss somit genau jene Zeichen in genau dieser Reihenfolge in das dafür vorgesehene TAN-Eingabefeld eintippen, wie sie in seinem benutzerindividuellen Schema S definiert und im Raster dargestellt werden. 6/20 ···· · · · · · · »»··»·· · i · β * · · I · · • · · ·« · .· · 9 · · 4 · ·· » 6 ......Figures 1 to 4 show examples of the selection of the personal TAN scheme, wherein the numbers represent the order and position of the individual TAN characters within the raster (in this case, a two-dimensional 6x6 raster). The user must therefore type exactly those characters in exactly the same order in the designated TAN input field, as defined in his user-specific schema S and displayed in the grid. 6/20 ······································································································································································································ ....

52034/AG/FI52034 / AG / FI

Research Industrial Systems... Möchte ein Benutzer nun eine Transaktion autorisieren, wird ihm im Zuge der Aufforderung zur TAN-Eingabe das Zahlenraster direkt in seiner Applikation (App) angezeigt, das die einzelnen Zeichen der TAN entsprechend dem benutzerindividuellen Schema in den entsprechenden Rasterelementen (Positionen) beinhaltet. Die restlichen Rasterelemente werden mit Zufallszahlen oder Zufallszeichen befüllt. Die Kenntnis der korrekten Position und der Reihenfolge der einzelnen TAN-Zeichen - also des benutzerindividuellen Schemas S - hat nur der Benutzer selbst.Research Industrial Systems ... If a user now wants to authorize a transaction, the numeric grid will be displayed directly in his application (app) in the course of the request for TAN input, which will display the individual characters of the TAN according to the user-specific schema in the corresponding grid elements ( Positions). The remaining grid elements are filled with random numbers or random characters. The knowledge of the correct position and the order of the individual TAN characters - that is, the user-specific schema S - has only the user himself.

Der Versand einer SMS ist im Zuge dieses Authentifizierungsverfahrens nicht notwendig, da der Benutzer diese SMS ohnedies auf dasselbe Endgeräte bekommen würde, was bezüglich dieses Sicherheitsaspekts einer Anzeige direkt in der App gleichzuhalten ist. Erst die unterschiedlichen Kommunikationskanäle und -geräte bei der Definition des benutzerindividuellen Schemas S und der Aufforderung zur TAN-Identifikation sorgen für ausreichende Sicherheit.The sending of an SMS is not necessary in the course of this authentication method, since the user would get this SMS anyway on the same devices, which is the same in terms of security aspect of an ad directly in the app. Only the different communication channels and devices in the definition of the user-specific schema S and the request for TAN identification provide sufficient security.

Notwendige Komponenten: • Verfügernummer und Passwort • Notwendiges Wissen über die korrekten Zeichen (Position, Reihenfolge) • Bestimmte SIM/TelefonnummerNecessary components: • User number and password • Necessary knowledge of the correct characters (position, order) • Specific SIM / telephone number

Bei dieser Methode wird somit der Besitz des (mobilen) Endgeräts bzw. der SIM-Karte mit dem Wissen über das korrekte benutzerindividuelle Schema S kombiniert. Die Definition dieses benutzerindividuellen Schemas S geschieht über einen anderen Kanal (zB Online-Banking-Applikation oder Postweg) als die Aufforderung zur TAN-Eingabe. Sind die korrekte Reihenfolge und Position der Zeichen einem Angreifer nicht bekannt, ergeben sich 16! (16-4)! 43.680 mögliche Kombinationen, bei einer vierstelligen TAN und mehr als 5 Millionen Varianten bei einem 6x6-Raster. 7/20 · ··· ··· · · > · · · ··· · · • · · * · · · · «In this method, the ownership of the (mobile) terminal or the SIM card is thus combined with the knowledge about the correct user-specific schema S. The definition of this user-specific schema S takes place via a different channel (eg online banking application or post office) than the request for TAN input. If the correct order and position of the characters are not known to an attacker, 16! (16-4)! 43,680 possible combinations, with a four-digit TAN and more than 5 million variants with a 6x6 grid. 7/20 · ··· ··· · · > · · · · · · · · · · · · · · · · «

*.· ·.·* *··* *··* 52Q34/AG/FI*. · ·. · * * ·· * * ·· * 52Q34 / AG / FI

Research Industrial Systems...Research Industrial Systems ...

Ing. Fig. 4 wird ein dem Benutzer im Zuge eines Authentifizierungsvorgangs zu übermittelndes TAN-Muster dargestellt.FIG. 4 shows a TAN pattern to be transmitted to the user in the course of an authentication process.

Es handelt sich hierbei um ein 2-dimensionales Rasterobjekt mit 4 Rasterelementen je Dimension. Die fett dargestellten Zeichen zeigen die Position der „versteckten“ Zeichen der TAN, also welche Rasterelemente jeweils ein Zeichen der TAN beinhalten. Die hochgestellten Ziffern zeigen die Reihenfolge der einzelnen TAN-Zeichen an, also die Position innerhalb der TAN, an welcher sich das jeweilige Zeichen dieses Rasterelements befindet. Um die TAN korrekt auslesen zu können, müssen dem Benutzer somit sowohl die Rasterelemente, welche ein TAN-Zeichen beinhalten, bekannt sein, als auch die Reihenfolge, in welcher die Zeichen richtig aneinandergereiht werden müssen. Die restlichen Rasterelemente werden mit zufällig gewählten Zeichen gefüllt, wofür insbesondere ein Zufallszahlengenerator zum Einsatz kommen kann.It is a 2-dimensional grid object with 4 grid elements per dimension. The bolded characters show the position of the "hidden" characters of the TAN, that is, which raster elements each contain one character of the TAN. The superscript numbers indicate the order of the individual TAN characters, ie the position within the TAN at which the respective character of this grid element is located. In order to be able to read out the TAN correctly, the user must therefore know both the raster elements which contain a TAN character and the order in which the characters must be correctly aligned. The remaining raster elements are filled with randomly selected characters, for which a random number generator in particular can be used.

Die eingangs genannte Aufgabe wird erfindungsgemäß durch ein Verfahren gelöst, das folgende Schritte umfasst: 1. Zunächst wird von einem Server ein erstes TAN-Objekt umfassend eine definierte Anzahl an Zeichen generiert, wobei diese Zeichen zufällig aus einer definierten Zeichengrundmenge ausgewählt werden, 2. danach wird dieses erste TAN-Objekt vom Server entsprechend eines in einer Datenbank am Server hinterlegten benutzerindividuellen Schemas S in ein Rasterobjekt eingebettet, wobei die Anzahl der Rasterelemente des Rasterobjekts zumindest gleich groß oder größer sein muss, als die Anzahl der Zeichen des ersten TAN-Objekts, 3. worauf vom Server alle in diesem Rasterobjekt nun noch nicht mit einem Zeichen belegten Rasterelemente je mit einem vom Server zufällig zu wählenden Zeichen aus der definierten Zeichengrundmenge belegt werden, 4. worauf dieses Rasterobjekt über eine erste Kommunikationsverbindung an ein Clientendgerät übermittelt und von diesem dem Benutzer über eine Ausgabevorrichtung angezeigt wird, 8/20 • « · · · · · · · • ·· · · · « · *» 4 « · · ··· · ·The object mentioned in the introduction is achieved by a method which comprises the following steps: 1. First, a server generates a first TAN object comprising a defined number of characters, these characters being randomly selected from a defined basic character set, 2. thereafter this first TAN object is embedded by the server in a raster object according to a user-defined schema S stored in a database on the server, wherein the number of raster elements of the raster object must be at least equal to or greater than the number of characters of the first TAN object, 3. whereupon all the raster objects in this raster object not yet occupied by a character are ever occupied by a character from the defined basic character set to be randomly selected by the server, 4. whereupon this raster object is transmitted to a client terminal via a first communication connection and from this to the client User over an output device is displayed, 8/20 • «· · · · · · · · · · · · ·« · · · · · · · · · · ··· · ·

*·· *··* *··%*··* *··* *·.- 52034/AG/FI* ·· * ·· * * ··% * ·· * * ·· * * · .- 52034 / AG / FI

Research Industrial Systems... 5. worauf der Benutzer nun ein zweites TAN-Objekt entsprechend des benutzerindividuellen Schemas S aus dem Rasterobjekt extrahiert und über eine Ejngabevorrichtung des Clientendgeräts in dieses eingibt, 6. worauf dieses Clientendgerät das zweite TAN-Objekt über die erste Kommunikationsverbindung an den Server übermittelt, 7. worauf der Server bei Übereinstimmung des ersten und des zweiten TAN-Objekts die auszuführende Transaktion ausführt, anderenfalls die Ausführung unterlässt.Research Industrial Systems ... 5. whereupon the user now extracts a second TAN object corresponding to the user-specific schema S from the raster object and enters it via an input device of the client terminal, whereupon this client terminal transmits the second TAN object via the first communication link to which the server executes the transaction to be executed if the first and second TAN objects match, otherwise omits execution.

VORTEILADVANTAGE

Es entstehen keine zusätzlichen Kosten, da auf den Versand von SMS gänzlich verzichtet werden kann. Der Kunde muss auf seinem Endgerät im Zuge einer TAN-Authentifizierung nicht zwischen verschiedenen Apps hin- und herwechseln, wodurch die jeweilige Applikation immer im Vordergrund verbleibt und der Kunde somit den Fokus nicht verliert. Der Authentifizierungsvorgang kann folglich ohne Unterbrechung durchgeführt werden, was zu einem hohen Grad an Benutzerfreundlichkeit und intuitiver Bedienbarkeit führt.There are no additional costs, because the sending of SMS can be dispensed with altogether. The customer does not have to switch between different apps on his end device in the course of a TAN authentication, whereby the respective application always remains in the foreground and the customer thus does not lose the focus. The authentication process can thus be performed without interruption, resulting in a high degree of user-friendliness and intuitive usability.

Weitere Merkmale des erfindungsgemäßen Verfahrens sind der Beschreibung, den Unteransprüchen und den Figuren zu entnehmen.Further features of the method according to the invention can be found in the description, the subclaims and the figures.

FIGURENBESCHREIBUNGDESCRIPTION OF THE FIGURES

Das erfindungsgemäße Verfahren wird im Folgenden anhand einiger Ausführungsbeispiele beschrieben.The inventive method will be described below with reference to some embodiments.

Es zeigenShow it

Fig.5 das erfindungsgemäße Verfahren,5 shows the method according to the invention,

Fig.6 eine erfindungsgemäße Definition eines benutzerindividuellen Schemas S,6 shows a definition according to the invention of a user-specific schema S,

Fig.7 das Beispiel eines Rasterobjekts. 9/20 ··· · · · · · · « · · · t t t · · a l » · · · * ·7 shows the example of a raster object. 9/20 ··· · · · · · «· · · t t · · a l» · · · * ·

·..· ·.*··.. V..· V.* ·..* 52034/AG/FI· .. · ·. * ·· .. V .. · V. * · .. * 52034 / AG / FI

Research Industrial Systems...Research Industrial Systems ...

Fig.5 zeigt der erfindungsgemäße Verfahren zur Generierung und Prüfung einer Transaktionsunterschrift. Im ersten Schritt sendet das Clientendgerät 1 aufgrund einer entsprechenden Interaktion des Benutzers 10 über eine Kommunikationsverbindung 2 einen Befehl an einen Server 3 zur Ausführung der zu autorisierenden Transaktion. Der Server 3 generiert daraufhin ein erstes TAN-Objekt 4 vorkonfigurierter oder vom Benutzer über eine zweite Kommunikationsverbindung definierter Länge, wobei die Zeichen dieser TAN zufällig und wiederholt aus einer bestimmten vordefinierten Zeichengrundmenge ausgewählt werden. Der Server 3 lädt in der Folge aus einer Datenbank 5 das diesem Benutzer zugeordnete benutzerindividuelle Schema 11, welches definiert, wie das erste TAN-Objekt 4 in das Rasterobjekt 6 einzubetten ist und befüllt die noch nicht belegten Rasterelemente 12 mit weiteren aus der Zeichengrundmenge zufällig zu wählenden Zeichen. Im Anschluss übermittelt der Server 3 das Rasterobjekt 6 über die erste Kommunikationsverbindung 2 an das Clientendgerät 1, welches das Rasterobjekt 6 auf seiner Ausgabevorrichtung 7 für den Benutzer 10 lesbar und interpretierbar darstellt. Der Benutzer 10 extrahiert nun aus dem Rasterobjekt 6 entsprechend dem Schema 11 das zweite TAN-Objekt 8 und gibt dieses über die Eingabevorrichtung 9 des Clientendgeräts 1 ein. Daraufhin übermittelt des Clientendgerät 1 das zweite TAN-Objekt 8 über die erste Kommunikationsverbindung 2 an den Server 3, welcher nun prüft, ob das erste TAN-Objekt 4 mit dem zweite TAN-Objekt 8 übereinstimmt, ist dies der Fall, wird die zu autorisierende Transaktion ausgeführt, anderenfalls deren Ausführung unterlassen.5 shows the inventive method for generating and checking a transaction signature. In the first step, the client terminal 1 sends a command to a server 3 for execution of the transaction to be authorized on the basis of a corresponding interaction of the user 10 via a communication link 2. The server 3 then generates a first TAN object 4 preconfigured or defined by the user over a second communication link length, the characters of this TAN are randomly and repeatedly selected from a certain predefined basic font set. The server 3 subsequently loads from a database 5 the user-specific schema 11 assigned to this user, which defines how the first TAN object 4 is to be embedded in the raster object 6 and randomly fills the not yet occupied raster elements 12 with others from the basic character set dialing characters. Subsequently, the server 3 transmits the raster object 6 via the first communication link 2 to the client terminal 1, which displays the raster object 6 on its output device 7 for the user 10 in a readable and interpretable manner. The user 10 now extracts the second TAN object 8 from the raster object 6 in accordance with the scheme 11 and inputs this via the input device 9 of the client terminal 1. Subsequently, the client terminal 1 transmits the second TAN object 8 via the first communication link 2 to the server 3, which now checks whether the first TAN object 4 agrees with the second TAN object 8; if this is the case, the one to be authorized Transaction executed, otherwise failing to execute.

Fig. 6 veranschaulicht ein konkretes Beispiel für die erfindungsgemäße Definition eines benutzerindividuellen Schemas 11. Im konkreten Beispiel handelt es sich um ein 2-dimensionales Schema mit der Ausprägung 6x6, wodurch sich 36 mögliche Rasterelemente 12 zur Einbettung einzelner TAN-Zeichen 14 ergeben. Dieses Schema S11 kann abhängig von der konkreten Implementierung des erfindungsgegenständlichen Verfahrens entweder vom Benutzer selbst über eine zweite Kommunikationsverbindung definiert werden oder vom Betreiber der Vorrichtung zur Ausführung des erfindungsgegenständlichen Verfahrens festgelegt und dem Benutzer über einen zweiten Kommunikationskanal übermittelt werden. Der Index 13 definiert, in welcher Reihenfolge die einzelnen TAN-Zeichen 14 des ersten TAN-Objekts 4 in welche Rasterelemente 12 einzutragen sind. 10/20 * · • I *FIG. 6 illustrates a concrete example of the definition of a user-specific schema 11 according to the invention. In the concrete example, this is a 2-dimensional scheme with the expression 6x6, resulting in 36 possible raster elements 12 for embedding individual TAN characters 14. Depending on the specific implementation of the method according to the invention, this scheme S11 can either be defined by the user himself via a second communication connection or determined by the operator of the apparatus for carrying out the method according to the invention and transmitted to the user via a second communication channel. The index 13 defines in which order the individual TAN characters 14 of the first TAN object 4 are to be entered into which raster elements 12. 10/20 * * • I *

52034/AG/FI52034 / AG / FI

Research Industrial Systems...Research Industrial Systems ...

Die Kenntnis dieses Schemas 11 durch den Benutzer 10 ist notwendig, damit es diesem möglich ist, das zweite TAN-Objekt 8 korrekt aus dem Rasterobjekt 6 zu extrahieren.The knowledge of this scheme 11 by the user 10 is necessary for it to be able to correctly extract the second TAN object 8 from the raster object 6.

Fig. 7 zeigt ein konkretes Beispiel für ein erfindungsgemäßes Rasterobjekt 6. Entsprechend des benutzerindividuellen Schemas S11 werden die einzelnen TAN-Zeichen 14 des ersten TAN-Objekts 4 jeweils in das vorgesehene Rasterelement 12 eingetragen, wobei der Index 13 die jeweilige Position des Zeichens innerhalb des ersten TAN-Objekts 4 definiert. Nach Einbettung des gesamten ersten TAN-Objekts 4 werden alle im Rasterobjekt 6 noch nicht belegten Rasterelemente 12 mit Zufallszeichen 15 aus einer definierten Grundzeichenmenge befüllt. Diese Zufallszeichen haben für sich keinerlei Informationswert und dienen lediglich dazu, die einzelnen TAN-Zeichen 14 des ersten TAN-Objekts 4 im Rasterobjekt 6 zu „verstecken“. In diesem Beispiel lautet die korrekte TAN somit „Z3BH“. 11/20 • ·7 shows a concrete example of a raster object 6 according to the invention. According to the user-specific schema S11, the individual TAN characters 14 of the first TAN object 4 are respectively entered into the provided raster element 12, the index 13 indicating the respective position of the character within the raster element first TAN object 4 defined. After embedding the entire first TAN object 4, all grid elements 12 not yet occupied in the raster object 6 are filled with random symbols 15 from a defined basic character set. These random characters have no informational value and only serve to "hide" the individual TAN characters 14 of the first TAN object 4 in the raster object 6. In this example, the correct TAN is "Z3BH". 11/20 • ·

52034/AG/FI Research Industrial Systems...52034 / AG / FI Research Industrial Systems ...

Bezugszeichenliste 1 Clientendgerät 2 Erste Kummunikationsverbindung 3 Server 4 Erstes TAN-Objekt 5 Datenbank 6 Rasterobjekt 7 Ausgabevorrichtung 8 Zweites TAN-Objekt 9 Eingabevorrichtung 10 BenutzerList of Reference Numerals 1 Client Terminal 2 First Communication Connection 3 Server 4 First TAN Object 5 Database 6 Raster Object 7 Output Device 8 Second TAN Object 9 Input Device 10 User

11 Benutzerindividuelles Schema S 12 Rasterelement 13 Indexobjekt 14 TAN-Zeichen 15 Zufallszeichen 12/2011 User-specific scheme S 12 Raster element 13 Index object 14 TAN character 15 Random character 12/20

Claims

.T2*. • * • · 52034/AG/FI Research Industrial Systems... Patentansprüche 1. Verfahren zur Generierung und Prüfung einer Transaktionsunterschrift mittels eines ersten TAN-Objekts (4) und eines zweiten TAN-Objekts (8) (transaction authentication number), wobei das erste TAN-Objekt (4) von einem Server (3) zufällig generiert und entsprechend eines definierten benutzerindividuellen Schemas S (11) in ein Rasterobjekt (6) eingebettet, dieses Rasterobjekt (6) über eine erste Kommunikationsverbindung (2) an ein Clientendgerät (1) übermittelt und einem Benutzer (10) über eine Ausgabevorrichtung (7) des Clientendgeräts (1) angezeigt wird, wobei der Benutzer (10) ein zweites TAN-Objekt (8) über eine Eingabevorrichtung (9) des Clientendgeräts (1) eingibt, wobei das Verfahren folgende Schritte umfasst: a. ) zunächst wird von einem Server (3) ein erstes TAN-Objekt (4) umfassend eine definierte Anzahl an TAN-Zeichen (14) generiert, wobei diese TAN-Zeichen (14) zufällig aus einer definierten Grundmenge an Zeichen ausgewählt werden, b. ) danach wird dieses erste TAN-Objekt (4) vom Server (3) entsprechend des in einer Datenbank am Server (5) für einen Benutzer (10) hinterlegten benutzerindividuellen Schemas S (11) in ein Rasterobjekt (6) eingebettet, wobei die Anzahl der Rasterelemente dieses Rasterobjekts zumindest gleich groß oder größer sein muss, als die Anzahl der Zeichen des ersten TAN-Objekts, c. ) worauf vom Server (3) alle in diesem Rasterobjekt (6) noch nicht mit einem TAN-Zeichen (14) belegten Rasterelemente (12) je mit einem vom Server (3) zufällig aus einer definierten Zeichengrundmenge zu wählenden Zufallszeichen (15) belegt werden, d. ) worauf dieses Rasterobjekt (6) über eine erste Kommunikationsverbindung (2) an ein Clientendgerät (1) übermittelt wird und von diesem über eine Ausgabevorrichtung (7) angezeigt wird, e. ) worauf der Benutzer (10) ein zweites TAN-Objekt (8) entsprechend des benutzerindividuellen Schemas S (11) aus dem Rasterobjekt (6) extrahiert und übereine Eingabevorrichtung (9) des Clientendgeräts (1) wiederum in dieses eingibt, 13/20 .f3* ·· ·· 52034/AG/FI Research Industrial Systems... f) g) worauf dieses Clientendgerät (1) das zweite TAN-Objekt (8) über die erste Kommunikationsverbindung (2) an den Server (3) übermittelt, worauf der Server (3) das erste TAN-Objekt (4) und das zweite TAN-Objekt (8) auf Übereinstimmung prüft und bei Übereinstimmung die auszuführende Transaktion ausführt, anderenfalls die Ausführung unterlässt..T2 *. 1. A method for generating and checking a transaction signature by means of a first TAN object (4) and a second TAN object (8) (transaction authentication number), wherein the first TAN object (4) is randomly generated by a server (3) and embedded in a raster object (6) in accordance with a defined user-specific schema S (11), this raster object (6) being connected to a client terminal (2) via a first communication link (2). 1) and displayed to a user (10) via an output device (7) of the client terminal (1), the user (10) inputting a second TAN object (8) via an input device (9) of the client terminal (1), the method comprising the steps of: a. ) First, a server (3) generates a first TAN object (4) comprising a defined number of TAN characters (14), these TAN characters (14) being randomly selected from a defined basic set of characters, b. Thereafter, this first TAN object (4) is embedded in a raster object (6) by the server (3) corresponding to the user-specific schemas S (11) stored in a database on the server (5) for a user (10), the number the raster elements of this raster object must be at least equal to or greater than the number of characters of the first TAN object, c. ) on which the server (3) all in this raster object (6) not yet occupied with a TAN character (14) raster elements (12) each occupied by the server (3) randomly to be selected from a defined basic character set random character (15) , d. ) to which this raster object (6) is transmitted via a first communication link (2) to a client terminal (1) and is displayed by the latter via an output device (7), e. whereupon the user (10) extracts a second TAN object (8) from the raster object (6) in accordance with the user-specific schema S (11) and in turn enters into it an input device (9) of the client terminal (1), 13/20. f3 * ···· 52034 / AG / FI Research Industrial Systems ... f) g) whereupon this client terminal (1) transmits the second TAN object (8) to the server (3) via the first communication link (2), whereupon the server (3) checks the first TAN object (4) and the second TAN object (8) for correspondence and, if they match, executes the transaction to be executed, otherwise omits the execution.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das erste TAN-Objekt (4) und das Rasterobjekt (6), in welches das erste TAN-Objekt (4) entsprechend des benutzerindividuellen Schemas S (11) eingebettet wird, von einem Server (3), insbesondere einem Webserver, generiert werden, wobei alle nicht mit TAN-Zeichen (14) des ersten TAN-Objekts (4) belegten Rasterelemente (12) des Rasterobjekts (6) vom Server (3) mit aus einer definierten Zeichengrundmenge zufällig auszuwählenden Zufallszeichen (15) befällt werden.2. The method according to claim 1, characterized in that the first TAN object (4) and the raster object (6), in which the first TAN object (4) is embedded according to the user-specific schema S (11), from a server (3), in particular a web server, are generated, wherein all non-TAN characters (14) of the first TAN object (4) occupied raster elements (12) of the raster object (6) from the server (3) coincidentally from a defined basic character set random characters (15) to be selected.

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Rasterobjekt (6) vom Server (3) zuerst gänzlich mit zufällig auszuwählenden Zufallszeichen (15) befüllt wird und danach die jeweiligen Rasterelemente (12) entsprechend dem benutzerindividuellen Schema S (11) mit TAN-Zeichen (14) des ersten TAN-Objekts (4) überschrieben werden.3. The method according to claim 1 or 2, characterized in that the raster object (6) from the server (3) is filled at first entirely with randomly selected random character (15) and then the respective raster elements (12) according to the user-specific scheme S (11) be overwritten with TAN characters (14) of the first TAN object (4).

4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Anzahl an Zeichen, welche das erste TAN-Objekt (4) umfasst, fix vorgegeben oder vom Benutzer (10) über eine zweite Kommunikationsverbindung uneingeschränkt oder eingeschränkt auf eine maximale Anzahl an Zeichen frei definiert wird.4. The method according to any one of claims 1 to 3, characterized in that the number of characters, which comprises the first TAN object (4), fixed predetermined or by the user (10) via a second communication connection unrestricted or limited to a maximum number is freely defined on characters.

5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass das Rasterobjekt (6) mehrere Dimensionen aufweist, wobei die Anzahl der Dimensionen fix vorgegeben oder vom Benutzer (10) über eine zweite Kommunikationsverbindung uneingeschränkt oder eingeschränkt auf eine maximale Anzahl an Dimensionen frei definiert ist. 14/20 UU iUo·.;: _ Research Industrial Systems...5. The method according to any one of claims 1 to 4, characterized in that the grid object (6) has a plurality of dimensions, the number of dimensions given fixed or by the user (10) via a second communication connection unrestricted or limited to a maximum number of dimensions is freely defined. 14/20 UU iUo ·.;: _ Research Industrial Systems ...

6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass das benutzerindividuelle Schema S (11) fix hinterlegt oder vom Benutzer (10) über eine zweite Kommunikationsverbindung frei definiert ist.6. The method according to any one of claims 1 to 5, characterized in that the user-specific scheme S (11) fixed deposited or freely defined by the user (10) via a second communication link.

7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Zeichengrundmenge alphanumerische Zeichen und Sonderzeichen sowie Groß-und Kleinbuchstaben umfasst und Zeichen wiederholt verwendet werden.7. The method according to any one of claims 1 to 6, characterized in that the basic character set comprises alphanumeric characters and special characters as well as upper and lower case letters and characters are used repeatedly.

8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass das Rasterobjekt (6) vom Server (3) über eine erste Kommunikationsverbindung (2), insbesondere ein Netzwerk, das Internet oder ein mobiles Telekommunikationsnetz, an das Clientendgerät (1) übermittelt und von diesem über eine Ausgabevorrichtung (7), insbesondere ein Display oder eine Druckvorrichtung, für einen Menschen les- und interpretierbar ausgegeben wird.8. The method according to any one of claims 1 to 7, characterized in that the raster object (6) from the server (3) via a first communication link (2), in particular a network, the Internet or a mobile telecommunications network, to the client terminal (1) transmitted and output from this via an output device (7), in particular a display or a printing device, readable and interpretable for a human.

9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das Rasterobjekt (6) von einem Menschen gelesen, interpretiert und das zweite TAN-Objekt (8) entsprechend des benutzerindividuellen Schemas S (11) aus dem Rasterobjekt (6) extrahiert wird, wobei dem Benutzer das benutzerindividuelle Schema S (11) bekannt sein muss und dieser somit Kenntnis dahingehend besitzen muss, aus welchen Rasterelementen (12) des Rasterobjekts (6) die einzelnen TAN-Zeichen (14) in welcher Reihenfolge zur Generierung des zweiten TAN-Objekts (8) ausgewählt werden müssen.9. The method according to any one of claims 1 to 8, characterized in that the raster object (6) by a human read, interpreted and the second TAN object (8) corresponding to the user-individual schema S (11) extracted from the raster object (6) The user-specific schema S (11) must be known to the user and the user must therefore know from which raster elements (12) of the raster object (6) the individual TAN characters (14) in which order to generate the second TAN Object (8) must be selected.

10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass das zweite TAN-Objekt (8) über eine Eingabevorrichtung (9) am Clientendgerät (1), insbesondere eine Tastatur, Tastenvorrichtung oder einen Touchscreen, eingegeben und vom Clientendgerät (1) über die erste Kommunikationsverbindung (2) an den Server (3) übermittelt wird. 15/20 ···· · · ft · ft ········ · ο ♦ · · · ♦ ft · • · · · · · · · · · · · 52034/AG/FI Research Industrial Systems...10. The method according to any one of claims 1 to 9, characterized in that the second TAN object (8) via an input device (9) on the client terminal (1), in particular a keyboard, key device or a touch screen, input and from the client terminal (1 ) is transmitted to the server (3) via the first communication link (2). 1520 ············································································· 52034 / AG / FI Research Industrial Systems. ..

11. Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass der Server (3) das erste TAN-Objekt (4) und das zweite TAN-Objekt (8) auf Übereinstimmung prüft, wobei der Server (3) bei Übereinstimmung die auszuführende Transaktion ausführt, anderenfalls die Ausführung der Transaktion unterlässt.11. The method according to any one of claims 1 to 10, characterized in that the server (3) checks the first TAN object (4) and the second TAN object (8) to match, wherein the server (3) in accordance with the otherwise executes the transaction.

12. Verfahren nach Anspruch 11, dadurch gekennzeichnet, dass der Server (3) nach Ausführung oder Verweigerung der Ausführung der auszuführenden Transaktion über die erste Kommunikationsverbindung (2) eine Erfolgs- oder Fehlernachricht an das Clientendgerät (1) zur Anzeige an der Ausgabevorrichtugn (7) übermittelt.12. The method according to claim 11, characterized in that the server (3) after execution or refusal of the execution of the transaction to be executed via the first communication connection (2) a success or error message to the client terminal (1) for display at the Ausgabevorrichtugn (7 ) transmitted.

13. Vorrichtung mit zumindest einem Server (3), zumindest einer ersten Kommunikationsverbindung (2) und zumindest einem Clientendgerät (1) mit zumindest einer EingabevorriGhtung (7) und einer Ausgabevorrichtung (9), dadurch gekennzeichnet, dass die Vorrichtung zur Ausführung des Verfahrens gemäß einem der Ansprüche 1 bis 12 eingerichtet ist.13. Device having at least one server (3), at least one first communication link (2) and at least one client terminal (1) with at least one input device (7) and an output device (9), characterized in that the device for carrying out the method according to one of claims 1 to 12 is set up.

14. Datenträger enthaltend ein Softwareprogramm zur Ausführung des Verfahrens nach einem der Ansprüche 1 bis 12. Wien, am 11. April 2013 durch: Anmelder Puch Reichsr;14. A data carrier containing a software program for carrying out the method according to one of claims 1 to 12. Vienna, 11 April 2013 by: applicant Puch Reichsr;

len 16/2016/20