Mein Konto Meine Bibliothek
x
Interview

IT-Experte: "Die TAN-Liste darf ruhigen Gewissens in die Rente"

Kevin Schwarzinger
Redaktionsleitung
Veröffentlicht am: 09.08.2019

Auf einen Blick

  • Ab dem 14. September gehört die klassische TAN-Liste der Vergangenheit an. Zwar mangelt es nicht an Alternativen, doch nicht jedes Verfahren ist auch sicher.
  • IT-Experte Chris Wojzechowski erklärt im Biallo-Interview, worauf Verbraucher beim Onlinebanking achten sollten und welches TAN-Verfahren es zu meiden gilt.
100 % unabhängig dank Ihres Klicks
Kaufen Sie ein Produkt über einen mit (*) oder (a) gekennzeichneten Werbelink, erhalten wir eine kleine Provision. Für Sie ergeben sich keine Mehrkosten und Sie unterstützen unsere Arbeit. Vielen Dank!
Mehr erfahren

Herr Wojzechowski, wie groß ist die Gefahr, dass einem Internetkriminelle Daten stehlen und das Konto abräumen?

Chris Wojzechowski: Die Wahrscheinlichkeit, dass einem Bankkunden Daten gestohlen werden, ist vergleichsweise hoch. Dass dabei das komplette Konto abgeräumt wird, halte ich für äußerst unwahrscheinlich. Das liegt vor allem daran, dass bei jeder Überweisung die sogenannte Zwei-Faktor-Authentifizierung angewendet werden muss. Sprich: Der Angreifer muss sich Zugang zum Bankkonto verschaffen und gleichzeitig eine TAN-Nummer beschaffen, um auch nur eine einzige Transaktion durchzuführen. Diese zwei Sicherheitsfaktoren zu knacken, ist nach wie vor eine große Hürde. Ob Angreifer diese nehmen können, hängt vom Verhalten des Nutzers ab und davon, welches Onlinebanking-Verfahren er einsetzt.

Biallo News

Wollen Sie in Sachen Finanzen auf dem Laufenden bleiben? Dann abonnieren Sie unseren kostenlosen Newsletter!

Wir freuen uns darauf, Ihnen mit Ihrer Zustimmung interessante Inhalte, Empfehlungen und Werbung von uns und unseren Partnern zu schicken, die genau auf Ihre Interessen zugeschnitten sind. Um dies zu ermöglichen, analysieren wir, wie Sie unsere Website nutzen (z.B. Seitenaufrufe, Verweildauer) und wie Sie mit unseren E-Mails interagieren (z. B. Öffnungs- und Klickraten). So erstellen wir ein Nutzungsprofil, das Ihnen die relevantesten Inhalte liefert, und ordnen Sie in passende Werbezielgruppen ein. Ihre Zustimmung können Sie jederzeit widerrufen, z. B. über den Abmeldelink im Newsletter. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Man spricht ja gerne von "Cyberkriminellen", sind das gut organisierte Banden oder oftmals Einzeltäter?

Wojzechowski: Da muss man differenzieren. Zum einem gibt es die sogenannten "Scriptkiddies", also junge Erwachsene die mit rudimentären Programmierkenntnissen versuchen, Grenzen auszutesten. Die treiben allerdings lieber beim Online-Gaming und nicht beim Onlinebanking ihr Unwesen. Hacker, die gezielt das Onlinebanking ins Visier nehmen, brauchen schon erhebliches Know-how, um etwa einen entsprechenden Banken-Trojaner zu programmieren. In diesen Fällen handelt es sich meist um organisierte Kriminalität. Denn so ein Vorhaben benötigt ein erhebliches Maß an Manpower und Ressourcen, das können Einzeltäter in der Regel kaum stemmen.

Haben Sie hierfür ein konkretes Beispiel?

Wojzechowski: Ich kenne einen Fall, bei dem wurde das Kartenlesegerät eines Händlers manipuliert. Dadurch wurden die Kartendaten inklusive PIN gestohlen. Das Geld wurde dann auch direkt in Australien abgehoben. Alle betroffenen Kunden wurden selbstverständlich entschädigt, bei einigen griffen vorab Sicherheitsmechanismen, die einen Schaden verhindert haben. Da steckt schon System dahinter.

Viele Verbraucher scheuen das Mobile-Banking. Doch ist der Desktop wirklich besser vor Cyberangriffen geschützt als das Smartphone?

Wojzechowski: Grundsätzlich ist gegen das Mobile-Banking nichts einzuwenden. Wovon wir allerdings stark abraten, ist, die Überweisung und die TAN-Generierung über dasselbe Gerät abzuwickeln. Diese Sicherheitslücke ist bereits in der Vergangenheit ausgenutzt worden. Wir empfehlen: Wer Mobile-Banking nutzen möchte, sollte das stets mit einem Smartphone und Tablet durchführen.

Gibt es einen Unterschied in Sachen Sicherheit zwischen Android und iOS beim Mobile-Banking?

Wojzechowski: Die meiste Malware gibt es für Android, das steht außer Frage. Das liegt vor allem daran, dass die Plattform offener ist, was Cyberkriminellen in die Karten spielt. Bei iOS sieht die Sache anders aus. Hier handelt es sich um ein vergleichsweise abgeschottetes System, auf dem Drittanbieter von Apps nicht ohne weiteres ihr Produkt im App-Store anbieten können. Diese Einschränkung kommt der Sicherheit zugute. Ein weiterer Vorteil ist, dass auch ältere Smartphone-Modelle nach wie vor mit aktuellen Systemupdates beliefert werden. Das sorgt natürlich für zusätzliche Sicherheit.

Lesen Sie auch: Die besten Banking-Apps

Welche TAN-Verfahren sind riskant?

Wojzechowski: Wer noch immer die SMS-TAN benutzt, sollte schleunigst das Verfahren wechseln. Vor allem die Schwachstellen im SS7-Protokoll machen dieses Verfahren äußerst anfällig für Betrugsmaschen. Deshalb warnt auch das Bundesamt für Sicherheit in der Informationstechnik seit Jahren vor der Nutzung der SMS-TAN. Kein Wunder also, dass immer mehr Banken und Sparkassen sich von diesem vergleichsweise unsicheren Verfahren nach und nach trennen.

Mit welchem TAN-Verfahren sind Verbraucher auf der sicheren Seite?

Wojzechowski: Aus unserer Sicht ist das Chip-TAN-Verfahren sehr sicher. Gleiches gilt im Übrigen auch für das Photo-TAN- und HBCI-Verfahren. Letzteres wird allerdings bis jetzt kaum eingesetzt. Auch die Push-TAN-Technik ist sicher, sofern Bankkunden, wie bereits erwähnt, zwei verschiedene Geräte für die Überweisung nutzen.

War die herkömmliche iTAN-Liste wirklich so unsicher?

Wojzechowski: Das Problem ist, dass bei der TAN-Liste auf einmal rund 100 Transaktionsnummern im Voraus generiert werden, ohne dass dabei eine konkrete Überweisung angefordert wurde. Das heißt: Kommt jemand in den Besitz dieser TAN-Liste, kann er auf einen Schlag das Konto leer räumen.

Aber meistens liegt ja die TAN-Liste an einem sicheren Ort wie beispielsweise im heimischen Safe. Sicherer geht es doch eigentlich nicht.

Wojzechowski: Die alte TAN-Liste ist sicher, wenn Verbraucher sie ordnungsgemäß verwahren und sich aufmerksam verhalten. Das war allerdings nicht immer der Fall. Eine Masche ist beispielsweise bei Betrügern besonders beliebt: Sie versenden sogenannte Phishing-Mails, das sind gefälschte E-Mails, die so aussehen, als würden sie von der eigenen Bank kommen. Darin werden Bankkunden aufgefordert, dutzende TAN-Nummern offenzulegen beziehungsweise die komplette Liste abzufotografieren. Das ist mit den neueren Verfahren nicht mehr so einfach, denn eine TAN-Nummer wird nur erstellt, wenn eine konkrete Überweisung ausgeführt werden soll.

Am 14. September treten weitere Regelungen der Zweiten Europäischen Zahlungsdiensterichtlinie (PSD2) in Kraft. Verbraucher müssen sich dann mit mindestens zwei verschiedenen "Faktoren" authentifizieren. Was ist damit gemeint?

Wojzechowski: Ein Authentifizierungsmerkmal kann auf Wissen, Besitz oder einem biometrischen Merkmal basieren. So kann das Merkmal Wissen etwa das Passwort sein und der zweite Faktor etwa das biometrische Merkmal per Fingerabdruck. Diese Zwei-Faktoren-Regel gilt ab September nicht nur bei Überweisungen, sondern wird auch in regelmäßigen Abständen angefordert, wenn sich Verbraucher ganz normal ins Onlinebanking einloggen möchten, um etwa ihren Kontostand zu prüfen.

Lesen Sie auch: Abschied von der iTAN-Liste – Was sind die Alternativen?

Das klingt aufwändig, aber nicht unbedingt wesentlich sicherer.

Wojzechowski: Die PSD2-Richlinie ist ein wichtiger und richtiger Schritt. Die Regelung betrifft ja nicht nur den Authentifizierungs-Prozess. Es treten noch weitere Änderungen in Kraft, etwa dass Bankkunden nach fünf Minuten Inaktivität automatisch aus dem Onlinebanking ausgeloggt werden, bislang waren es bei den meisten Banken rund zehn Minuten. Damit bleibt Kriminellen deutlich weniger Zeit, um sensible Daten abzugreifen.

Grundsätzlich möchte ich an dieser Stelle erwähnen, dass die PSD2-Richtlinie eine notwendige Modernisierung des Sicherheitsstandards darstellt. Endlich herrscht dann für die gesamte Europäische Union ein einheitliches Sicherheitsniveau für den elektronischen Zahlungsverkehr. Es ist einfach notwendig, solche alten Zöpfe wie die TAN-Listen abzuschneiden. Zudem gibt es zahlreiche Alternativen. Ob Chip-, Photo, oder Push-TAN-Verfahren - da sollte für jeden Nutzertyp etwas dabei sein.

Worauf sollten Verbraucher beim Onlinebanking unbedingt achten?

Wojzechowski: Vor allem sollte man beim Onlinebanking immer wachsam sein. Nutzer sollten bei jedem Schritt schauen, ob wichtige Daten wie IBAN, Überweisungsbetrag, Empfänger schlüssig sind. Sie sollten darauf achten, ob das Sicherheitszertifikat in der Adressleiste vollständig ist, also, ob links vor der https-URL das entsprechende Banner mit dem Sicherheitsschloss erscheint. Grundsätzlich empfiehlt es sich, die Adresse für das Onlinebanking als Bookmark abzuspeichern und nur über diese Bookmark die Banking-Seite aufzurufen. Ganz wichtig auch: Die Antiviren-Software, das Betriebssystem und der Browser sollten immer auf dem neuesten Stand sein. Dann kann eigentlich nichts schiefgehen.

Herr Wojzechowski, vielen Dank für das Gespräch.

Über den Redaktionsleiter Kevin Schwarzinger

Alle Artikel des Redaktionsleiters Kevin Schwarzinger ansehen
Jahrgang 1988, studierte Geschichte und Philosophie an der Ludwig-Maximilians-Universität in München und war währenddessen bereits als Werkstudent bei biallo.de angestellt. Seit 2016 ist er Mitglied der Redaktion und verfasst dort überwiegend Artikel zu Geldanlagethemen. Daneben publiziert er regelmäßig in Tageszeitungen, wie Münchner Merkur, Rhein Main Presse, Frankfurter Neue Presse oder Donaukurier.

So verdient Ihr Geld mehr

Der Newsletter von biallo.de ist eine exzellente Entscheidung, wenn es um Ihre Finanzen geht.

Wir freuen uns darauf, Ihnen mit Ihrer Zustimmung interessante Inhalte, Empfehlungen und Werbung von uns und unseren Partnern zu schicken, die genau auf Ihre Interessen zugeschnitten sind. Um dies zu ermöglichen, analysieren wir, wie Sie unsere Website nutzen (z.B. Seitenaufrufe, Verweildauer) und wie Sie mit unseren E-Mails interagieren (z. B. Öffnungs- und Klickraten). So erstellen wir ein Nutzungsprofil, das Ihnen die relevantesten Inhalte liefert, und ordnen Sie in passende Werbezielgruppen ein. Ihre Zustimmung können Sie jederzeit widerrufen, z. B. über den Abmeldelink im Newsletter. Weitere Informationen finden Sie in unserer Datenschutzerklärung.