Umstellungen beim Online-Banking

Wann Banken ihr TAN-Verfahren ändern

Dieser Tage bekommen Kunden Mails ins Postfach von ihren Geldinstituten. Denn sie ziehen der alten TAN-Liste oder dem SMS-TAN-Verfahren den Stecker. Experten waren diese Überweisungsmethoden zu unsicher. Zum Herbst kommen nun auch im Tal auf die Kunden Änderungen zu, die oftmals nicht leicht zu durchschauen sind.

Aus für die Zettelwirtschaft mit der TAN-Liste

Die gute alte TAN-Liste stammt noch aus den Anfängen des Online-Bankings: Wer einen Geldbetrag überweisen wollte, musste erst auf einem Zettel mit aufgelisteten Zahlenkolonnen die richtige aussuchen und dann händisch eintragen. Waren alle Transaktionsnummern (TAN) auf der Liste verbraucht, bestellt man eine neue. Per Post, und das im digitalen Zeitalter. Es wirkte wenige Jahre später antiquiert.

Die Zettelwirtschaft für Online-Banking ist nicht nur fehleranfällig, sondern macht es auch Betrügern sehr einfach. Experten warnen schon seit Jahren vor diesem unsicheren Verfahren. Damit ist nun Schluss. Ab dem 14. September treten neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft. Das bedeutet: Die Sicherheitsverfahren beim Geld-Überweisen müssen mit der individuellen Zahlung verknüpft sein. Irgendeine Nummer auf einem Zettel raussuchen geht dann nicht mehr.

Kriminelle können smsTANs abfangen

Aber nicht nur die Zahlen-Listen auf Papier müssen weichen. Auch das Verfahren per SMS steht vor dem Aus. mTAN (auch mobileTAN oder smsTAN) war der erste digitale Schritt beim Überweisen. Per Aufforderung verschicken Banken eine TAN per SMS an ein vorher registriertes Mobiltelefon. Das war deutlich praktischer als die Zettel mit den durchgestrichenen TAN.

Doch Sicherheitsexperten warnten früh: “Unter Umständen können Kriminelle die zur Authentifizierung verschickten SMS-Nachrichten abfangen oder umleiten. So besteht die Gefahr, dass die in der SMS enthaltene TAN missbraucht wird.” Dieses Verfahren konnten bislang auch Bankkunden nutzen, die kein Smartphone, sondern nur ein altes Handy besitzen.

Diese TAN-Verfahren stehen vor dem Aus

Auch dieses smsTAN-Verfahren steht in den ersten Regionen Deutschlands bei vielen Geldhäusern vor dem Aus. Demnach gehen Mitarbeiter der Volks- und Raiffeisenbanken davon aus, dass der zentrale IT-Dienstleister die TAN-Methode per SMS bald auslaufen lassen wird. Auch einzelne Sparkassen wollen davon Abstand nehmen. Jedoch gewährt die Kreissparkasse Miesbach-Tegernsee (KSK) noch eine Frist, wie deren Sprecher Peter Friedrich Sieben erklärt: „Privatkunden können dieses Verfahren, wenn sie wollen, noch etwa bis nächstes Jahr nutzen. Es werden aber keine neuen Verträge hierfür abgeschlossen“.

Postbank-Kunden sind schon früher dran: die smsTAN klappt bei Überweisung nur noch bis 11. August. Dann wird das Verfahren eingestellt. Die Deutsche Bank und die Commerzbank wollen laut dem „Handelsblatt“ das Verfahren zunächst nicht abschaffen. Kunden, die bislang noch Listen auf Papier oder TAN via SMS genutzt haben, müssen sich nun, je nach Geldinstitut, zeitnah bis mittelfristig eine neue Methode zum Überweisen zulegen. Zwei Verfahren gelten als sicher: PushTan per App oder Überweisungen mit einem TAN-Generator.

So funktioniert das Onlinebanking per PushTAN

Wer Überweisungen vor allem mit seinem Smartphone tätigt, setzt auf das Push-TAN-Verfahren. Eine gesonderte App schickt im Zuge der Überweisung eine digital generierte TAN direkt aufs Smartphone. Das ist praktisch, allerdings gelang es Wissenschaftlern unter Laborbedingungen dieses Verfahren zu knacken und eine Überweisung auf ein anders Konto umzuleiten. Dennoch stuft die Stiftung Warentest dieses Verfahren bei der Sicherheit als “hoch” ein, berichtet „CHIP digital online“.

Der TAN-Generator gilt als sicherste Variante beim Online-Banking

Der TAN-Generator hingegen gilt bei den Warentestern als sicherste Variante. Um eine TAN zu erzeugen, brauchen Kunden ein Extra-Gerät. Dort wird bei einigen Generatoren die Bankkarte hineingeschoben, bei anderen klappt das auch ohne die Karte. Dann wird ein flimmernder Strichcode auf dem Bildschirm beim Online-Banking gescannt. Die Geräte müssen bei den Banken (oder im Elektronikmarkt) gekauft werden und kosten zwischen 9 und 30 Euro. KSK-Sprecher Sieben: „Wir denken auch an die, die kein Smartphone besitzen: Dann bekommt der Kunde die TAN über den Chip-Tan-Generator“. Dieses Verfahren mit zwei Geräten präferiert auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI).

QR-Code und Photo-TAN

Bislang weniger verbreitet sind die Verfahren per QR-Code und mit der Photo-TAN-Methode. Bei letzterer werde dem User eine Grafik angezeigt, die er wiederum mit einem Lesegerät scannt. Der externe TAN-Generator kostet rund 30 Euro. Einige Banken setzen statt auf einen externen Generator auf das Fotografieren mit dem Smartphone.

Die Lösung mit dem QR-Code ist ähnlich wie die Photo-TAN, nur dass mit der Kamera des Smartphones ein QR-Code ausgelesen und nach der Prüfung der Daten eine TAN angezeigt wird. Praktisch ist daran, dass Kunden keinen extra Generator kaufen brauchen, sondern nur eine App für QR-Codes. Die Stiftung Warentest stuft die Sicherheit des Verfahrens als “sehr hoch” ein. Dennoch konnten Wissenschaftler mit einer Schadsoftware auf dem PC das System knacken.

Vorsicht ist also geboten, auch vor Phisingmails der vermeintlichen Hausbank. Immer wieder gelingt es Internetkriminellen mit ihrem Schnüffelprogramm Trojaner auf dem Rechner zu platzieren. Schnell landen Tausende von Euro im Ausland. Wer in diesen Zeiten keinen aktualisierten Virenschutz hat, agiert grob fahrlässig, urteilten jüngst Gerichte.


Aktuelle Jobangebote aus der Region

Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO). Wir haben unsere Seite und das Kommentarsystem technisch umgestellt und so DSGVO-konform gemacht.

Das bedeutet für die Kommentarfunktion, dass man sich zum Kommentieren bei unserem Dienstleister DISQUS anmelden muss. Sollten Sie zuvor bereits ein Profil bei DISQUS angelegt haben, können Sie dieses weiter verwenden. Das Lesen der Kommentare ist selbstverständlich weiterhin möglich. Sie müssen nur auf den unten stehenden Button "Kommentare anzeigen" klicken.

Tegernseerstimme

Tegernseerstimme