Viele Banken verzichten bereits seit einiger Zeit auf die als unsicher geltende Zertifizierung – beispielsweise die Postbank, die Sparkassen sowie die Volks- und Raiffeisenbanken. Die Consorsbank hat die iTAN-Liste aus Sicherheitsgründen gar nicht erst eingeführt. Die übrigen Banken informieren derzeit ihre Kunden über das bevorstehende Ende der iTAN-Liste und raten ihnen zum Wechsel in ein neues Verfahren. Comdirect und Deutsche Bank legen dazu ihren Kunden das PhotoTAN-Verfahren ans Herz, die DKB favorisiert die Erzeugung von Transaktionsnummern mittels ihrer TAN2go-App.
Hintergrund: Die TAN ist eine Art Unterschrift, mit der Online-Überweisungen oder Daueraufträge via Internet final freigegeben werden. Zur Sicherheit der Bankgeschäfte gilt jede TAN immer nur für einen bestimmten Auftrag. Das bedeutet: Sie brauchen stets Nachschub an neuen Transaktionsnummern.
Diesen Nachschub lieferte bislang die klassische iTAN-Liste, auf der 100 Transaktions-Nummern zur Verfügung standen. Direktbanken wie DKB, ING und Comdirect haben sie bis jetzt genauso im Angebot wie Deutsche Bank und Commerzbank. Doch die per Post versendeten Listen haben einen Haken: Sie können leicht in falsche Hände geraten.
Auf Druck der EU müssen alle Banken die TAN-Zettel spätestens im September 2019 aus dem Verkehr ziehen und durch neue, sicherere Zertifizierungs-Verfahren ersetzen. Zahlreiche Alternativen stehen bereit, doch jedes hat Vor- und Nachteile. Der folgende Beitrag stellt die verschiedenen Freischaltmethoden und ihre Funktionsweisen vor.
SMS- oder Mobile-TAN
Zu den ältesten Zertifizierungs-Verfahren zählt die SMS-TAN. Oft auch als Mobil-TAN oder m-TAN bezeichnet, ist sie bis heute weit verbreitet. Alles, was Sie dazu benötigen, ist ein Computer oder Tablet sowie ein klassisches Mobiltelefon oder Smartphone. Die Nummer Ihres Mobiltelefons registrieren Sie bei ihrer Bank. Tätigen Sie eine Online-Überweisung, erhalten Sie von der Bank innerhalb weniger Sekunden eine TAN auf ihr Smartphon geschickt. Mit dieser Nummer bestätigen Sie die Transaktion und schließen den Überweisungsvorgang ab.
Das Problem: Wenn Sie nur ein Gerät für ihre Bankgeschäfte und die Übertragung der SMS-TAN nutzen, etwa das Smartphone, dann laufen Sie Gefahr, von Hackern ausgespäht zu werden. Die EU-Richtlinie fordert deshalb eine Zwei-Kanal-Trennung, also die Bank-Transaktion und den TAN-Empfang auf zwei verschiedenen Geräten. Nutzen Sie daher immer ein separates Handy für den SMS-Empfang.
- Nachteil: Fast alle Banken berechnen inzwischen Geld für den Versand der SMS. In der Regel fallen neun Cent pro SMS an. Der Verbraucherzentrale Bundesverband hatte gegen diese Gebühr geklagt, setzte sich jedoch 2017 vor dem Bundesgerichtshof nicht durch.
- Vorteil: Bankgeschäfte von unterwegs, mit Tablet und Handy, sind unproblematisch. Bei Nutzung unterschiedlicher Empfangsgeräte sind Bankkunden zuverlässig vor kriminellen Angriffen geschützt. Die SMS enthält Details zum Auftrag, damit Kunden sie gegenchecken können, etwa Teile der Kontonummer des Empfängers. Stimmen die Angaben mit denen in der Überweisungsmaske überein, können Sie sicher sein, dass Ihre Überweisung korrekt und sicher versendet wird. Außerdem gilt die TAN-Nummer zeitlich begrenzt und nur für den einen speziellen Auftrag.
Lesen Sie auch: Die besten Banking-Apps im Überblick
Push-TAN-Verfahren
Die Nutzung unterschiedlicher Endgeräte für das Onlinebanking, wie bei der SMS-TAN gefordert, widerspricht allerdings dem modernen Mobile-Banking via Smartphone. Um das Problem zu lösen, verwenden viele Banken inzwischen zwei unterschiedliche Apps. Diese gewährleisten die Trennung von Bankvorgang und TAN-Erzeugung bei der Nutzung ein und desselben Endgeräts.
Ein Verfahren hierfür ist das sogenannte Push-TAN-Verfahren, das zum Beispiel bei Sparkassen, Sparda-Banken, Volks- und Raiffeisenbanken sowie der Direktbank DKB zum Einsatz kommt. Die Namen für das Verfahren variieren je nach Bank. So gibt es zum Beispiel das VR-SecureGo-, das SpardaSecure-Go- und bei der DKB das Tan2go-Verfahren.
Funktionsweise
Beim Push-TAN-Verfahren erhalten Sie die TAN über eine spezielle App direkt auf das Tablet oder Smartphone gesendet. Banking-App und TAN-App arbeiten unabhängig voneinander und sind nach neuestem Stand der Technik kryptographisch verschlüsselt. Dadurch ist das Mobile-Banking mit nur einem Endgerät sicher. Der TÜV Saarland, der das Verfahren einer umfangreichen Prüfung unterzog, hatte an dieser Methode nichts auszusetzen.
Um eine push-TAN nutzen zu können, benötigt man ein Girokonto, das für das Onlinebanking freigeschaltet ist. Mit diesem meldet man sich für das push-TAN-Verfahren bei seiner Bank an und erhält von ihr die Zugangsdaten für die App. Die App selbst laden Sie im App-Store von Apple oder im Play Store von Google kostenlos auf Ihr Mobiltelefon oder Tablet herunter.
Anschließend gibt man die Überweisungsdaten in die Onlinebanking-Maske ein und sendet diese ab. Jetzt wechselt man zur Push-TAN-App, gibt sein Passwort ein und prüft die angezeigten Auftragsdaten. Gleichzeitig generiert die App eine TAN, die man in das Onlinebanking-Formular eingibt. Nun können Sie Ihre Überweisung freigeben.
- Risiko: Rein theoretisch kann jede App gehackt werden. Da bei der Push-TAN allerdings zwei Apps mit unterschiedlichen Passwörtern unabhängig voneinander arbeiten, ist dies für Angreifer ziemlich schwierig.
- Vorteil: Das Verfahren verursacht keine Kosten und ist sehr flexibel. Bankgeschäfte von unterwegs sind mit Tablet und Smartphone kein Problem. Die Nutzung unterschiedlicher Empfangsgeräte ist einen Tick sicherer als die Transaktion mit nur einem Gerät.
Chip- oder Smart-TAN
Als noch sicherer als das Push-TAN-Verfahren gilt die Chip- oder Smart-TAN: Hier wird die TAN durch einen externen Generator in Verbindung mit der eigenen Girokarte erzeugt. Dazu muss das Girokonto für das Onlinebanking freigeschaltet sein, außerdem benötigen Sie eine Girocard und einen TAN-Generator. Diesen bekommen Sie bei Ihrer Bank. Meist kosten die Geräte Geld. Einfache Generatoren gibt es ab etwa zehn Euro – teure, mit umfangreichen Funktionen ausgestatte, kosten bis zu 60 Euro.