Auslaufmodell TAN-Liste Neue Regeln für das Online-Banking

Von  

TAN-Listen stehen vor der Abschaffung. Auch einige TAN-Generatoren müssen ersetzt werden, dies betrifft Kunden der BW-Bank. Die neuen Verfahren sollen die Sicherheit verbessern.

Für Überweisungen und Daueraufträge wird beim Online-Banking eine Transaktionsnummer (TAN) benötigt. Foto: dpa
Für Überweisungen und Daueraufträge wird beim Online-Banking eine Transaktionsnummer (TAN) benötigt. Foto: dpa

Frankfurt - Mitte September greifen neue Sicherheitsvorschriften für das Online-Banking: TAN-Listen auf Papier verlieren ihre Gültigkeit, auch einige TAN-Generatoren müssen ersetzt werden. Letzteres betrifft alle Kunden der BW-Bank, die Überweisungen und andere Bankgeschäfte im Internet erledigen. Sie müssen bis Ende Juni entscheiden, ob sie einen moderneren TAN-Generator kaufen oder künftig ihr Smartphone für die Erzeugung der Transaktionsnummern verwenden wollen.

Welche Bankkunden sind noch betroffen?

Alle, die derzeit mit Listen hantieren. Bei den Sparkassen sowie den Volks- und Raiffeisenbanken kommen die Zettel schon lange nicht mehr zum Einsatz. Viele andere Institute bieten bei der Eröffnung neuer Konten zwar seit Jahren keine TAN-Listen mehr an, müssen nun aber auch Altkunden zur Umstellung auf TAN-Generator oder Smartphone-App bewegen. Das Kürzel TAN steht für Transaktionsnummer.

Während für den Abruf des Kontostandes im Internet in der Regel ein Login mit Benutzernummer und Passwort ausreicht, ist für Zahlungen zusätzlich eine TAN erforderlich. Sie muss beispielsweise bei Überweisungen oder der Einrichtung von Daueraufträgen eingegeben werden. Anstelle von TAN ist bei vielen Banken auch von iTan die Rede. Das „i“ steht für indiziert und bezieht sich darauf, das auf den heute noch umlaufenden Listen die Zahlencodes durchnummeriert sind. Bei jeder Transaktion wird dann die Eingabe der x-ten TAN gefordert. Das Kürzel „iTAN“ hat sich im allgemeinen Sprachgebrauch aber nicht durchgesetzt.

Welche neuen Verfahren gibt es?

Bei den meisten Banken haben die Kunden die Wahl zwischen einem TAN-Generator, also einem eigenen Gerät nur für die Erzeugung von Transaktionsnummern, und verschiedenen Verfahren über das Handy. Für den TAN-Generator fallen einmalig Gebühren an. Dafür gelten diese winzigen Lesegeräte als besonders sicher, weil sie nur in Kombination mit der Girokarte funktionieren. Betrüger bräuchten also neben dem Passwort zum Online-Banking und dem TAN-Generator auch noch die Bankkarte.

Wie funktioniert ein TAN-Generator?

Nachdem der Kunde beim Online-Banking die Überweisungsdaten eingegeben hat, wird auf der Website eine flackernde oder farbige Grafik angezeigt. Der Kunde steckt nun seine Girokarte in den TAN-Generator und hält diesen vor die Grafik. Auf diese Weise werden Daten wie Überweisungsbetrag und Kontonummer des Empfängers übertragen. Sobald ihre Richtigkeit vom Nutzer bestätigt wird, errechnet der Generator eine TAN. Beim bisherigen TAN-Generator der BW-Bank mussten die Auftragsdaten noch per Hand eingetippt werden. Gemäß den neuen Sicherheitsstandards wären weitere Eingaben erforderlich geworden – um den Kunden diesen Aufwand zu ersparen, führt nun auch die BW-Bank Generatoren ein, die die Auftragsdaten aus einer Grafik auslesen.

Welche Smartphone-Verfahren gibt es?

Eine Variante ist das sogenannte Photo-TAN-Verfahren. Auch hier wird eine im Online-Banking-Portal eingeblendete Grafik gescannt, nur dass dafür anstelle eines TAN-Generators auch ein Smartphone benutzt werden kann. Wer den gesamten Überweisungsvorgang auf dem Handy tätigt, kann auf das Scannen verzichten.

Bei einer anderen Variante, dem Push-TAN-Verfahren, muss so oder so keine Grafik eingelesen werden. In beiden Fällen gilt: Wenn die Überweisung per Banking-App erfolgt, wird die TAN direkt innerhalb des Smartphones übertragen und muss nicht mehr per Hand eingetippt werden. Der Nutzer bekommt vor Ausführung der Überweisung aber noch einmal die Auftragsdaten angezeigt und muss die Transaktion freigeben. Das Push-TAN-Verfahren trägt je nach Bank verschiedene Namen wie TAN2Go oder SecureGo, wieder andere Institute haben es direkt in ihre allgemeine Banking-App integriert.

Kann ich auch ein herkömmliches Handy nutzen?

Viele Kreditinstitute bieten auch den Versand von TAN per SMS an, dafür ist kein Smartphone erforderlich. Für das SMS-TAN-Verfahren, auch mobileTAN oder mTAN genannt, können allerdings Gebühren anfallen. Wer ein Smartphone besitzt und es für Überweisungen nutzen will, für den ist der SMS-Versand unpraktisch. Denn das Gerät, auf das die Kurznachricht geschickt wird, darf aus Sicherheitsgründen nicht für die eigentliche Transaktion genutzt werden.

Bei der Erzeugung von TAN durch moderne Smartphone-Apps ist das dagegen möglich. Der Grund: „Das Betriebssystems eines Smartphones isoliert Apps gegeneinander, sodass ein Angreifer das Betriebssystem kompromittieren und danach beide Apps erfolgreich angreifen müsste“, erläuterte die Commerzbank auf Anfrage. Das Ausspionieren von per SMS versandten TAN ist Kriminellen in der Vergangenheit dagegen bereits geglückt.

Warum werden die TAN-Listen abgeschafft? Die europäische Zahlungsdienstrichtlinie PSD2 gibt für Zahlungen im Internet neue Sicherheitsstandards vor, die spätestens zum 14. September umgesetzt sein müssen. TAN-Listen können gestohlen oder kopiert werden. Ein weiteres Risiko: Wenn während eines Überweisungsvorgangs Hacker in ein Online-Banking-System eindringen und unbemerkt etwa den Zahlungsempfänger oder den Betrag ändern sollten, wäre das Geld bei Nutzung einer TAN-Liste verloren. Bei den per Generator oder Smartphone jeweils für den konkreten Auftrag erzeugten Transaktionsnummern hingegen würde „jede Änderung der Zahlungsdaten die übermittelte TAN ungültig machen“, erläutert die Finanzaufsicht Bafin auf ihrer Website.

Was ändert sich noch?

Auch beim Login können Bankkunden künftig aufgefordert werden, zusätzlich zum Passwort (Pin) eine TAN einzugeben. Die PSD2 verlangt eine solche Zusatzkontrolle mindestens alle 90 Tage. Dadurch soll Missbrauch mit ausgespähten Passwörtern begrenzt werden. Auch die Regeln für Kreditkartenzahlungen im Internet werden verschärft. Bislang muss dafür außer den auf der Karte befindlichen Informationen oft nur das Geburtsdatum des Besitzers eingetippt werden. Auch hier können künftig Zusatzeingaben wie ein Passwort und eine aufs Handy geschickte TAN erforderlich werden.

Laut Bafin sind allerdings Ausnahmen möglich, wenn nach Analysen des Zahlungsdienstleisters ein geringes Betrugsrisiko vorliegt. Bei Kreditkarteninhabern kann zum Beispiel das bisherige Kaufverhalten des Inhabers als Basis für eine solche Einschätzung dienen.