Sicherheit mit Risiken

Spätestens ab Mitte September braucht man eine zusätzliche, elektronisch generierte Authentifizierung beim Log-in zum Bankkonto, bei Überweisungen und Onlinekäufen

Bald vorbei: TAN-Nummern auf Papier gibt es nur noch wenige Wochen Foto: Manngold/imago

Von Hannes Koch

Manche Leute haben sie noch zu Hause – eine Liste auf Papier mit sechsstelligen Nummern, mit denen Überweisungen vom Bankkonto ausgeführt werden können. Dafür wird man sie spätestens ab 14. September nicht mehr brauchen. Dann treten bei allen Geldinstituten europaweit neue Vorschriften für Bezahlverfahren in Kraft. Diese erfordern, dass die sogenannten TAN-Nummern im Augenblick jeder Transaktion elektronisch neu generiert werden.

Das gilt schon beim Einloggen vom Laptop oder Smartphone ins Onlinebanking des jeweiligen Kreditinstituts. Schon bei diesem Schritt braucht man dann grundsätzlich außer dem bisherigen Passwort beispielsweise noch eine zusätzliche TAN-Nummer. Außerdem greift das neue Verfahren für Überweisungen vom eigenen Konto. Beim Bezahlen im Online­handel ist neben den Kreditkartendaten ebenfalls eine neue TAN nötig. Das Verfahren basiert auf einer EU-Richtlinie und soll für mehr Sicherheit sorgen. Hält es dieses Versprechen, und wie funktioniert die Sache?

Wichtig: Manche Banken schaffen bei der Gelegenheit auch gleich die SMS-TAN ab – oder haben das in den vergangenen Monaten bereits erledigt. Das deutet darauf hin, dass die Authentifizierung für die Kund*innen ein bisschen komplizierter wird, damit aber auch weniger anfällig für Datendiebstahl und Betrug.

SMS-TAN funktioniert bisher so: Mit der persönlichen Geheimzahl loggte man sich vom Laptop ins Onlinebanking ein, füllte die Überweisungsmaske aus und bekam dann einen vierstelligen Code aufs Mobiltelefon geschickt. Dessen Eingabe im Onlinebanking löste die Überweisung aus. Künftig wird nun ein weiterer Schritt dazwischengeschaltet. Man muss ein neues Programm, eine sogenannte TAN-App der jeweiligen Bank, aufs Smartphone laden. Um die zu öffnen, ist ein neues persönliches Passwort nötig, das man selbst festlegt. Beim Zugriff auf die App zeigt diese eine sechsstellige Zahlenfolge, die sogenannte Push-TAN. Erst diese kann dann die Überweisung im Onlinebanking freischalten. Die neue Hürde macht Datenklau für Betrüger tatsächlich komplizierter.

Dass die Digitalisierung des Bankwesens auch Tücken birgt, hat sich unlängst wieder gezeigt: So ist die „Smartphone-Bank“ N26 seit Ende März in den Schlagzeilen, weil sich unzufriedene Kund:innen des mobilen Bank-Start-ups vermehrt darüber beschweren, dass die Bank telefonisch nicht erreichbar sei und sogar dann nichts unternehme, wenn Konten gehackt werden. Ende Juni kam es dann beim Onlinebanking der Deutschen Kreditbank (DKB) und der Commerzbank zu Störungen, eine Anmeldung zum Onlinebanking oder Geldabheben am Bankautomaten war zwischenzeitlich nicht möglich. Bei Konflikten mit ihren Banken können sich Kunden an eine der Schlichtungsstellen wenden, die über die Bafin abrufbar sind: www.bafin.de/schlichtungsstelle.

Gleiches gilt beim Onlinekauf vom heimischen Laptop aus. Die Eingabe der Kreditkarten­nummer plus Sicherheitscode auf der Rückseite reicht nicht mehr. Beispielsweise eine zusätzliche Smartphone-App generiert eine weitere TAN-­Nummer, ohne die die Transaktion nicht funktioniert. Auch hier: mehr Sicherheit. Denn geklaute Kreditkartendaten alleine oder der Diebstahl der Karte ermöglichen keine Zahlungen mehr.

Für die zusätzliche Authentifizierung gibt es mehrere unterschiedliche Verfahren, die von Bank zu Bank wechseln. Eines arbeitet mit Push-TAN. Laut Zeitschrift Finanztest am sichersten ist jedoch der ChipTAN-Mechanismus. Dafür brauchen die Kund*innen ein kleines Zusatzgerät, den TAN-Generator. In diesen steckt man die Giro-(EC-)Karte hinein. Das Onlinebanking im Laptop zeigt pro Überweisung eine Grafik, die mit dem TAN-Generator gescannt wird. Daraufhin erzeugt dieser die TAN, die die Überweisung ermöglicht.

Die TAN-Generatoren bieten die jeweiligen Geldinstitute und auch der Elektronikhandel an, Kosten in der Größenordnung 10 bis 35 Euro. Sie sind auch wichtig für diejenigen Personen, die einfache Handys benutzen, jedoch keine Smartphones, die Apps laden können. Ohne die Generatoren wären diese Kund*innen möglicherweise vom Onlinebanking ausgeschlossen. Um den Zugang nicht zu verlieren, ist es ratsam, sich rechtzeitig bei der Bank zu erkundigen, welches Verfahren angeboten wird.

Nach dem sichersten ChipTAN-Mechanismus folgen laut Finanztest die Verfahren BestSign und PhotoTAN. Auch dafür können die Verbraucher*innen Zusatzgeräte verwenden. Außerdem ist das Modell QR-TAN auf dem Markt. Dabei erzeugt das Onlinebanking ein Muster aus schwarzen und weißen Quadraten, das man mit einer neuen QR-App per Smartphone-Kamera scannt. Dann bekommt man von der App den nötigen TAN-Code.

taz🐾thema

recht

die verlagsseite der taz

Diese Zugangsvarianten gelten künftig grundsätzlich schon beim Öffnen des Onlinebankings. Muss man also immer diesen komplizierten Weg gehen, selbst wenn man täglich mehrere Überweisungen tätigt oder mehrmals den Kontostand überprüfen will? Nein. Die Institute haben eine gewisse Flexibilität, heißt es beim Bankenverband. Aber spätestens alle 90 Tage wird man aufgefordert werden, die zusätzliche TAN beim Einloggen einzugeben.

Trotz dieser Verfahren bleibt es ratsam, Laptop, Tablet und Smartphone regelmäßig mit aktuellem Virenschutz auszurüsten. Denn mit Schadsoftware können Betrüger grundsätzlich auch an die neuen TAN-Nummern herankommen. Es ist eine Sicherheit mit Risiken. Um diese zu minimieren, öffnet man am besten keine Anhänge und Links in Mails von Absendern, die man nicht kennt – auch nicht, wenn sie total seriös als Rechnung daherkommen.

Neu infolge der EU-Richtlinie ist außerdem: Die Kund*innen können neuen, externen Dienstleistern erlauben, selbstständig etwa auf den Kontostand zuzugreifen oder Zahlungen auszulösen. Das halten manche Leute für praktisch, um sich einen Überblick über ihre diversen Konten und Karten zu verschaffen. Die Firmen interessieren sich für die Daten, wollen teilweise aber auch überprüfen, ob genug Geld auf dem jeweiligen Privatkonto ist, bevor ein Onlinegeschäft zustande kommt. Zugriff erhalten die Dienstleister jedoch nur bei ausdrücklicher Erlaubnis der Kund*innen.