TAN-Umstellung kompliziert und teuer: Sag zum Abschied leise TAN
Ab Mitte September gelten Tan-Listen beim Onlinebanking nicht mehr, das Verfahren soll sicherer werden. In Foren wüten nun zahlreiche Kund:innen.
Also: 123456, ficken, hallo, passwort. Kein Witz, sondern laut einer Analyse des Hasso-Plattner-Instituts vier der zehn meistgewählten Passwörter, die Nutzer:innen in Deutschland im vergangenen Jahr verwendeten. Die Deutschen, so folgerte Institutsdirektor Christoph Meinel, sind nicht nur wenig kreativ. Sondern auch leichtsinnig.
Beim Onlinebanking wird es demnächst schwieriger mit der Leichtsinnigkeit. Spätestens zum 14. September schaffen die Banken flächendeckend das iTAN-Verfahren ab. Wer dann eine Überweisung tätigen will, darf nicht länger aus einer Papierliste die dafür angeforderte Transaktionsnummer (TAN) heraussuchen, sondern muss sich ein alternatives Verfahren suchen.
Grundlage dafür ist eine europäische Richtlinie, die kurz PSD2 genannt wird. Erste Elemente sind bereits 2018 in Kraft getreten, zum Beispiel wurden zusätzliche Gebühren bei der Kartenzahlung abgeschafft. Doch nun, im September, wird es für Verbraucher:innen unbequemer: „TANs dürfen damit künftig nicht mehr auf Vorrat erzeugt werden, wie bei einer Liste, sondern erst in dem Moment, in dem sie gebraucht werden“, sagt David Riechmann, Banken-Experte bei der Verbraucherzentrale Nordrhein-Westfalen.
Kund:innen müssen sich dann für eine Überweisung sicherer authentifizieren als bislang. Sicherer, das heißt: Von den drei Kategorien Wissen, Haben und Sein müssen sie zwei erbringen und die beiden Elemente müssen voneinander unabhängig sein. Wissen, das wäre beispielsweise das Passwort für den Login. Haben, das kann zum Beispiel ein zusätzliches Gerät sein, das die TAN erzeugt. Und Sein, darunter fallen biometrische Merkmale, etwa der Fingerabdruck.
Schönes Wirrwarr
Und da fangen die Probleme an. Denn statt auf eine – zumindest fakultativ angebotene – branchenweite Alternative setzen die Banken viel daran, ihre eigenen Insellösungen zu schaffen: Die meisten haben eine eigene App, viele bieten Kund:innen an, die TAN per SMS zu versenden, häufig allerdings gegen extra Gebühren pro verschickter Nachricht. Wer weder App noch SMS möchte, kann einen TAN-Generator verwenden, der mal ein Lesegerät ist, in das man die Karte stecken muss, mal nicht, aber bei beiden Varianten gilt: Kund:innen müssen das Gerät in der Regel kaufen.
Eine Familie, deren Mitglieder Girokonten bei drei verschiedenen Banken haben, kann sich damit in folgender Situation wiederfinden: Bank A hat die Listen schon abgeschafft und schickt die Transaktionsnummer per SMS. Wer das nicht möchte oder kein Handy hat, muss in ein Gerät investieren, das die TAN per animierter Grafik, QR-Code oder Bluetooth überträgt. Das kostet dann zwischen knapp 10 und gut 30 Euro. Immerhin: pro Gerät, nicht pro TAN.
Die Zahl der Kund:innen, die von der Umstellung überrascht werden, steigt, je näher der September kommt
Bank B dagegen bietet noch bis September das iTAN-Verfahren an, versucht aber schon heute, ihre Kund:innen zu überzeugen, dass sie stattdessen besser die eigens programmierte App nutzen mögen. Zu haben ist die über iTunes oder Googles Play-Store. Menschen, die ihr Smartphone ohne Google-Dienste nutzen, können sich den Code zwar per SMS schicken lassen, und für alle anderen soll es rechtzeitig vor September auch noch einen TAN-Generator geben. Dessen Preis ist noch unklar, doch was schon sicher feststeht: Kompatibel mit anderen Banken soll er nicht sein.
Bank C hingegen bietet ebenfalls TANs per SMS und per Generator (Kostenpunkt bei dieser Bank zwischen knapp 20 und über 70 Euro), empfiehlt jedoch allen, die auch mal aus dem Auslandsurlaub eine Überweisung vornehmen wollen, Letzteres. Denn SMS kämen da manchmal verspätet an.
„Für Kunden kann die Umstellung Anschaffungskosten oder Komplikationen bedeuten“, fasst Verbraucherschützer Riechmann zusammen. Im Onlineforum der ING-Bank – nach eigenen Angaben kundenmäßig die drittgrößte Bank Deutschlands – liest sich das zum Beispiel so: „Ich bin betrübt dazu, dass meine jahrelange Hausbank mich gefühlt im Regen stehen läßt, indem MEINE Bedürfnisse im Vorfeld gar nicht abgefragt wurden“, schreibt ein Nutzer, ein anderer, weniger diplomatisch: „Ich bin soeben von der Postbank auch mit dem Girokonto zu ING gewechselt und finde hier jetzt dieselbe Sch… vor.“
Denn ob man sich für SMS, App oder TAN-Generator entscheidet, hat nicht nur etwas mit den individuellen Vorlieben in Sachen Bequemlichkeit und Kosten zu tun. Sondern auch mit der Frage: Wie sicher darf es denn sein?
Das Dilemma von ING-Kund:innen, die künftig die Auswahl zwischen drei Verfahren haben, ist typisch – denn diese Wahlmöglichkeiten sind es, die üblicherweise angeboten werden: Option 1: Die TAN kommt per SMS. Das klingt bequem, ist aber nicht besonders sicher – in der Praxis haben es Kriminelle schon geschafft, die Codes mit SIM-Karten-Duplikaten abzufischen.
Option 2: eine App. Voraussetzung dafür ist ein Smartphone, dessen Betriebssystem nicht zu alt sein darf, und die Bereitschaft, je nach Betriebssystem Apple oder Google an der Information teilhaben zu lassen, bei welcher Bank man das Girokonto unterhält. Das Verfahren per App gilt als weitgehend sicher – aber nur, wenn Kund:innen für die Überweisung selbst ein zweites Gerät, zum Beispiel ein Notebook, nutzen. Sonst ist das Risiko zu hoch, dass Angreifer:innen das Gerät hacken und Überweisungen umleiten können.
Option 3: ein TAN-Generator. Der gilt derzeit als sicherste Methode – allerdings müssen die Kunden hier in aller Regel für die Anschaffung zahlen. Die Preise unterscheiden sich von Bank zu Bank beträchtlich und gehen etwa bei 10 Euro los. Die ING kündigte bereits an, dass der Generator kostenpflichtig sein wird und nicht für andere Banken verwendet werden kann.
Jeder Klick ein Risiko
Zsófia Köhler, Sprecherin der ING, erklärt, man habe sich gegen ein offenes System entschieden, „weil wir als Bank ein Sicherheitsversprechen für unsere Kunden geben, welches wir nur für eigene Lösungen garantieren können“. Andere Banken scheinen das allerdings durchaus hinzukriegen: So bieten etwa Volksbanken ein Gerät an, das auch bei anderen Instituten einsetzbar ist. Umgekehrt können Kund:innen dann auch Geräte von anderen Banken verwenden, wenn sie den entsprechenden technischen Standard unterstützen. Auf eigene Faust zu probieren, ob nicht auch andere Geräte funktionieren, sollten allerdings nur Menschen, die wirklich wissen, was sie da technisch tun. Denn falls es dann Kriminellen gelingt, Geld von dem Konto abzugreifen, wäre es für die Bank ein Leichtes, eine Erstattung zu verweigern.
David Riechmann rechnet damit, dass die Zahl der Kund:innen, die von der Umstellung überrascht werden, zunimmt, je näher der September kommt. Und damit auch die Zahl der Beschwerden. „Wer nur alle paar Monate mal online auf sein Konto schaut, wird sich dann fragen, wie er eine – zumal kostenfreie – Überweisung tätigen kann.“
Banken, die noch auf die Listen setzen, versuchen daher jetzt schon, Kund:innen zum Umstieg zu bewegen. Und tatsächlich: Auch das nutzen Kriminelle bereits aus. In fingierten Bank-E-Mails versuchen sie, die Empfänger:innen dazu zu bewegen, ihre Daten auf Webseiten, die vermeintlich von der eigenen Bank stammen, einzugeben. Die nächste Sicherheitslücke ist eben immer nur einen Klick entfernt.
Leser*innenkommentare
Anja Viktoria
Was hat der erste Absatz mit dem Rest des Artikels zu tun?
Passwort und TAN sind doch zwei völlig verschiedene Baustellen, und an unsicheren Passworten ändert sich durch die Neuerung bei den TANs nichts.
Rainer B.
@Anja Viktoria Das ist richtig, aber die Anmeldung am Online-Banking wird nun durch ein zweistufiges Verfahren ergänzt, wobei man sich neben seinem Passwort zusätzlich noch mit einer geräteinduzierten TAN, oder alternativ mit einem biometrischen Merkmal (Fingerabdruck etc.) gegenüber der Bank identifizieren muss.
Reiner Lorber
Ich persönlich bevorzuge die SMS-TAN, weil ich die SMS auf ein Handy senden lasse, das ich nie dabei habe und außerdem kein Smartphone ist. Das ist für mich sicher genug. Jetzt will meine Bank wegen den EU-Auflagen die Push-TAN vorziehen, dazu muss ich ein aktuelles Smartphone haben, eine Bankingsoftware und die App für den Pushempfang. Ich sehe keinen besonderen Vorteil für mich darin. Deshalb nutze ich das für mich beste Verfahren solange es noch geht, bisher ohne Probleme.
Josef Hahn
Genießt es, wie es heute ist.
Payment ist ein Feld, auf dem wir noch viel sehen werden. Und es wird sich alles gegen uns richten. Am Ende könnt ihr kein Brötchen mehr kaufen, ohne dass Google es weiß. Es wird sich dennoch _alles_ durchsetzen. Und 99% werden laut nach mehr schreien. Wie heute...
Mal sehen, was das Menschenkind nach Libra erfindet, über das man sich dann wieder derart ärgern kann, dass man dann das wieder für eine Nebensächlichkeit hält.
Hanno Homie
Was der Artikel nicht erwähnt: Das Problem sind die eh aus verschiedensten Gründen immer schon ethisch und vom Vertrauen her fragwürdigen Banken aus dem privaten Sektor.
Nach meiner Erfahrung haben die R&V-Banken und Sparkassen schon seit Jahrzehnten (!) umgestellt.
Hampelstielz
Es gab da mal so etwas verrücktes wie den Bankschalter und dahinter eine/n Bankkaufmann/frau. Das war ein ziemlich phishingsicheres Verfahren und Leute hatten Arbeitsplätze.
swordeli
@Hampelstielz Es gibt da diese verrückte Idee, das zu automatisieren, was sich autmatisieren lässt und die Maschinen-, Roboter-, oder Softwaredividende in Form eines Grundeinkommens an alle auszuschütten. Dann _müssen_ Menschen keine repetitiven, stupiden Aufgaben mehr erledigen, sondern _können_ es, wenn sie das möchten.
Oder anderen Dingen widmen, die sie sinnvoller finden.
Crazy.
Hampelstielz
@swordeli Das ist eine schöne Utopie mit der sich der Artikel aber nicht befasst hat. Wäre mir auch lieber, ganz nach der Aussage in "Das Recht auf Faulheit" von Lafargue. Wie gesagt war das hier aber nicht Thema und der aktuelle Fortschritt bietet Menschen nach der Automatisierung ein Leben in einer Dystopie, sprich Arbeitslosigkeit, prekäre Beschäftigung und einer zusehends maschinenartigen Gesellschaft.
4813 (Profil gelöscht)
Gast
@Hampelstielz Es gab mal etwas verrücktes, das nannte sich Banköffnungszeiten. Freitags nur vormittags, Wochenende garnicht und lange Schlangen inklusive.
Da will doch keiner mehr hin!
Rainer B.
Hab mit dem iTAN-Verfahren nie ein Problem gehabt. Für die Leute, die mit iTAN schon einmal abgezockt wurden, dürfte es bei den neuen Verfahren eher noch dicker kommen. Jede blöde Fehlermeldung wird demnächst zu einer fundamentalen, existenziellen Bedrohung werden können. Wer dann immer noch Geld hat, wird es ganz freiwillig abgeben wollen.
SaberRider
Die Tan Liste ist das einzige sichere Verfahren was es gab, jedes andere Verfahren ist per se unsicherer. Bei der Liste musste ein Einbrecher zu mir kommen, oder ich blöd sein und die einfachsten sicherheitsregeln nicht beachten.
APP es leben die updates bei Android vergess es
Smartphone per SMS das selbe Problem.
Alternativ Handy SMS Verfahren SMS unsicher.
Generator , nein Danke funktioniert auf keinen sicheren PC
Jörgerich
Der Kommentar mag vielleich fachlich richtig sein, aber für den normalen Bankkunden ist er unverständlich.
kleinalex
Es gibt genau zwei akzeptable Arten zur Bestätigung von Transaktionen:
a) HBCI-Standard, mit Lesegerät, das die Transaktionsdetails vor der Bestätigung anzeigt
b) ChipTAN-Standard, mit Lesegerät, das die Transaktionsdetails vor der TAN-Erzeugung anzeigt
Jedes andere Verfahren ist entweder bereits vollständig gebrochen (TAN-Listen, iTAN-Listen, SMS-TAN), oder inhärent unsicher (Security by Obscurity, wie es spezielle TAN-Generatoren von einer Bank sind; TAN-Erzeugung auf Geräten, die auch für andere Zwecke eingesetzt werden, wie Smartphones).
Und nein, liebe taz, TAN-Erzeugung auf dem Smartphone gilt ganz sicher nicht als 'weitgehend sicher'. Sie ist _etwas_ sicherer als TAN-Listen, weil 2 Geräte kompromittiert werden müssen statt nur einem, um das ganze Geld abräumen zu können (wenn der User ordentlich ist, sonst auch nur einse). Da diese aber miteinander in einer direkten Beziehung stehen, ist das mit ein wenig social engineering nicht sooo schwierig.
HBCI-Geräte und Hardware-TAN-Generatoren hingegen haben keine Funktionalitäten, über die sie 'einfach mal so' angegriffen werden können. Keine Browser, über die eine Angreifer-Webseite eine Sicherheitslücke ausnutzen könnte, etc. TAN-Generatoren zumindest haben üblicherweise nicht mal eine Funktion für ein Firmware-Update. Das Gerät bleibt für immer so, wie es ist, und niemand kann irgend etwas daran drehen.
Perfekt sicher ist gar kein Verfahren (bspw. könnte der TAN-Generator reeein theoretisch ausgetauscht werden. Oder jemand klaut Zugangsdaten UND Chipkarte). 'Weitgehend sicher' sind HBCI und TAN-Generator-Verfahren, da diese schon prinzip-bedingt nur durch physische Angriffe verletzbar sind (Gerätetausch, Kartenklau).
Alle anderen Verfahren, ausnahmslos, sind gefährlich. Sie mögen sicherer sein als TAN-Listen, aber das macht sie noch lange nicht sicher.
danny schneider
@kleinalex Blödsinn, die "einfachen" Generatoren die aus Kontonummer und Uhrzeit einen für kurze Zeit gültige TAN erzeugen sind genau so sicher wie QR TAN oder andere Verfahren!!!
Und was bringt mir die Anzeige der Transaktionsdetails. Mit ner doppelten Man in the Middle Attack wurde schon gezeigt das man auch diese Verfahren manipulieren kann.
Also nochmal das ist Blödsinn. Technisch nicht haltbare Argumentation
danny schneider
@kleinalex a.) schon vorher hatte ich einen TAN Generator. Meine Einschätzung als Ingenieur: sehr sicher. Aber er zeigt die Tranaktionsdaten nicht an... darum blieb mir die Wahl QT Tan oder Smartphone APP
b.) Smartphone App ist eher unsicher!!!
c.) wieso muss ich der Bank die mit mir tausende Euro Verdient einen QR TAN Generator abkaufen? ICH WOLLTE DIE UMSTELLUNG JA NICHT
d.) der neue Tan Generator ist WIEDER größer und Schwerer - toll auf Reisen.
e.) angeblich braucht man die Umstellung auch wegen neuer alternativer Zahlungsdienstleister - DIE ICH ALS KUNDE NICHT WILL!
PS: und warum kann der Kunde nicht mal OptOut aus dem bezahlen per NFC machen... zumindest nicht bei jeder Bank für jede Karte
nelly_m
Nur ein kleiner Tipp an alle diejenigen, die jetzt erwägen die Bank zu wechseln:
es lohnt sich, gleich mit berücksichtigen ob das neue Institut Kohlekraft, Fracking, Kriege, Nahrungsmittelspekulationen und dergleichen unterstützt ;-)
Sven2000
@nelly_m Habe meine Knete im privaten Geldspeicher. Da kann nichts gehackt werden und die Panzerknacker haben noch immer am Ende verloren.