TAN-Umstellung kompliziert und teuer: Sag zum Abschied leise TAN

Ab Mitte September gelten Tan-Listen beim Onlinebanking nicht mehr, das Verfahren soll sicherer werden. In Foren wüten nun zahlreiche Kund:innen.

Eine TAN-Liste

Adieu mit ö Foto: imago images/teutopress

Also: 123456, ficken, hallo, passwort. Kein Witz, sondern laut einer Analyse des Hasso-Plattner-Instituts vier der zehn meistgewählten Passwörter, die Nutzer:innen in Deutschland im vergangenen Jahr verwendeten. Die Deutschen, so folgerte Institutsdirektor Christoph Meinel, sind nicht nur wenig kreativ. Sondern auch leichtsinnig.

Beim Onlinebanking wird es demnächst schwieriger mit der Leichtsinnigkeit. Spätestens zum 14. September schaffen die Banken flächendeckend das iTAN-Verfahren ab. Wer dann eine Überweisung tätigen will, darf nicht länger aus einer Papierliste die dafür angeforderte Transaktionsnummer (TAN) heraussuchen, sondern muss sich ein alternatives Verfahren suchen.

Grundlage dafür ist eine europäische Richtlinie, die kurz PSD2 genannt wird. Erste Elemente sind bereits 2018 in Kraft getreten, zum Beispiel wurden zusätzliche Gebüh­ren bei der Kartenzahlung abgeschafft. Doch nun, im September, wird es für Verbraucher:innen unbeque­mer: „TANs dürfen damit künftig nicht mehr auf Vorrat erzeugt werden, wie bei einer­ Liste, sondern erst in dem Moment, in dem sie gebraucht werden“, sagt David Riechmann, Banken-Experte bei der Verbraucherzentrale Nordrhein-Westfalen.

Kund:innen müssen sich dann für eine Überweisung sicherer authentifizieren als bislang. Sicherer, das heißt: Von den drei Kategorien Wissen, Haben und Sein müssen sie zwei erbringen und die beiden Elemente müssen voneinander unabhängig sein. Wissen, das wäre beispielsweise das Passwort für den Login. Haben, das kann zum Beispiel ein zusätzliches Gerät sein, das die TAN erzeugt. Und Sein, darunter fallen biometrische Merkmale, etwa der Fingerabdruck.

Schönes Wirrwarr

Und da fangen die Probleme an. Denn statt auf eine – zumindest fakultativ angebotene – branchenweite Alternative setzen die Banken viel daran, ihre eigenen Insellösungen zu schaffen: Die meisten haben eine eigene App, viele bieten Kund:innen an, die TAN per SMS zu versenden, häufig allerdings gegen extra Gebühren pro verschickter Nachricht. Wer weder App noch SMS möchte, kann einen TAN-Generator verwenden, der mal ein Lesegerät ist, in das man die Karte stecken muss, mal nicht, aber bei beiden Varianten gilt: Kund:innen müssen das Gerät in der Regel kaufen.

Eine Familie, deren Mitglieder Girokonten bei drei verschiedenen Banken haben, kann sich damit in folgender Situation wiederfinden: Bank A hat die Listen schon abgeschafft und schickt die Transaktionsnummer per SMS. Wer das nicht möchte oder kein Handy hat, muss in ein Gerät investieren, das die TAN per animierter Grafik, QR-Code oder Bluetooth überträgt. Das kostet dann zwischen knapp 10 und gut 30 Euro. Immerhin: pro Gerät, nicht pro TAN.

Die Zahl der Kund:innen, die von der Umstellung überrascht werden, steigt, je näher der September kommt

Bank B dagegen bietet noch bis September das iTAN-Verfahren an, versucht aber schon heute, ihre Kund:innen zu überzeugen, dass sie stattdessen besser die eigens programmierte App nutzen mögen. Zu haben ist die über iTunes oder Googles Play-Store. Menschen, die ihr Smartphone ohne Google-Dienste nutzen, können sich den Code zwar per SMS schicken lassen, und für alle anderen soll es rechtzeitig vor September auch noch einen TAN-Generator geben. Dessen Preis ist noch unklar, doch was schon sicher feststeht: Kom­pa­tibel mit anderen Banken soll er nicht sein.

Bank C hingegen bietet ebenfalls TANs per SMS und per Generator (Kostenpunkt bei dieser Bank zwischen knapp 20 und über 70 Euro), empfiehlt jedoch allen, die auch mal aus dem Auslandsurlaub eine Überweisung vornehmen wollen, Letzteres. Denn SMS kämen da manchmal verspätet an.

„Für Kunden kann die Umstellung Anschaffungskosten oder Komplikationen bedeuten“, fasst Verbraucherschützer Riechmann zusammen. Im Onlineforum der ING-Bank – nach eigenen Angaben kundenmäßig die drittgrößte Bank Deutschlands – liest sich das zum Beispiel so: „Ich bin betrübt dazu, dass meine jahrelange Hausbank mich gefühlt im Regen stehen läßt, indem MEINE Bedürfnisse im Vorfeld gar nicht abgefragt wurden“, schreibt ein Nutzer, ein anderer, weniger diplomatisch: „Ich bin soeben von der Postbank auch mit dem Girokonto zu ING gewechselt und finde hier jetzt dieselbe Sch… vor.“

Denn ob man sich für SMS, App oder TAN-Generator entscheidet, hat nicht nur etwas mit den individuellen Vorlieben in Sachen Bequemlichkeit und Kosten zu tun. Sondern auch mit der Frage: Wie sicher darf es denn sein?

Das Dilemma von ING-Kund:innen, die künftig die Auswahl zwischen drei Verfahren haben, ist typisch – denn diese Wahlmöglichkeiten sind es, die üblicherweise angeboten werden: Option 1: Die TAN kommt per SMS. Das klingt bequem, ist aber nicht besonders sicher – in der Praxis haben es Kriminelle schon geschafft, die Codes mit SIM-Karten-Duplikaten abzufischen.

Option 2: eine App. Voraussetzung dafür ist ein Smartphone, dessen Betriebssystem nicht zu alt sein darf, und die Bereitschaft, je nach Betriebssystem Apple oder Google an der Information teilhaben zu lassen, bei welcher Bank man das Girokonto unterhält. Das Verfahren per App gilt als weitgehend sicher – aber nur, wenn Kund:innen für die Überweisung selbst ein zweites Gerät, zum Beispiel ein Notebook, nutzen. Sonst ist das Risiko zu hoch, dass Angreifer:innen das Gerät hacken und Überweisungen umleiten können.

Option 3: ein TAN-Generator. Der gilt derzeit als sicherste Methode – allerdings müssen die Kunden hier in aller Regel für die Anschaffung zahlen. Die Preise unterscheiden sich von Bank zu Bank beträchtlich und gehen etwa bei 10 Euro los. Die ING kündigte bereits an, dass der Generator kostenpflichtig sein wird und nicht für andere Banken verwendet werden kann.

Jeder Klick ein Risiko

Zsófia Köhler, Sprecherin der ING, erklärt, man habe sich gegen ein offenes System entschieden, „weil wir als Bank ein Sicherheitsversprechen für unsere Kunden geben, welches wir nur für eigene Lösungen garantieren können“. Andere Banken scheinen das allerdings durchaus hinzukriegen: So bieten etwa Volksbanken ein Gerät an, das auch bei anderen Instituten einsetzbar ist. Umgekehrt können Kund:innen dann auch Geräte von anderen Banken verwenden, wenn sie den entsprechenden technischen Standard unterstützen. Auf eigene Faust zu probieren, ob nicht auch andere Geräte funktionieren, sollten allerdings nur Menschen, die wirklich wissen, was sie da technisch tun. Denn falls es dann Kriminellen gelingt, Geld von dem Konto abzugreifen, wäre es für die Bank ein Leichtes, eine Erstattung zu verweigern.

David Riechmann rechnet damit, dass die Zahl der Kund:innen, die von der Umstellung überrascht werden, zunimmt, je näher der September kommt. Und damit auch die Zahl der Beschwerden. „Wer nur alle paar Monate mal online auf sein Konto schaut, wird sich dann fragen, wie er eine – zumal kostenfreie – Überweisung tätigen kann.“

Banken, die noch auf die Listen setzen, versuchen daher jetzt schon, Kun­d:innen zum Umstieg zu bewegen. Und tatsächlich: Auch das nutzen Kriminelle bereits aus. In fingierten Bank-E-Mails versuchen sie, die Empfänger:innen dazu zu bewegen, ihre Daten auf Websei­ten, die vermeintlich von der eigenen­ Bank stammen, einzugeben. Die nächste Sicherheitslücke ist eben immer nur einen Klick entfernt.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.