Biallos Ratgeber: Was kommt nach den TAN-Listen?

Von: Max Geißler
Letzte Aktualisierung:
13399715.jpg
Die EU zwingt zum Umdenken: 2018 hat die TAN-Liste auf Papier ausgedient. Foto: Imago/McPhoto

Berlin. 2018 hat die TAN-Liste auf Papier beim Online-Banking ausgedient. Die EU-Zahlungsdienstrichtlinie PSD2 bestimmt, dass die Nummern-Listen zum Freischalten von Bankaufträgen nicht mehr sicher genug sind. Schon jetzt gibt es Alternativen. Welche empfiehlt sich?

Die Consorsbank hat es schon früh gewusst: „Wir haben die unsicheren iTAN-Listen nie eingeführt“, sagt Pressesprecher Dirk Althoff. Bereits vor zehn Jahren sei klar gewesen, dass bankseitig ausgewählte Transaktionsnummern (iTAN) keine signifikante Erhöhung der Sicherheit gegenüber den bisherigen TAN-Nummern bieten, bei denen der Kunde eine beliebige TAN aus einer Liste selbst ausgewählt hat. „Wir haben deshalb 2008 alle TAN-Listen abgeschaltet“, betont Althoff. Ähnlich handelten Postbank, Sparkassen sowie Volks- und Raiffeisenbanken, die seit 2011 auf TAN-Listen verzichten.

Das Problem: Die per Post versandten Listen können in falsche Hände geraten. Die EU zwingt deshalb zum Umdenken.

Photo-TAN: „Comdirect wird spätestens 2018 die iTAN-Listen durch neue Verfahren ersetzen, auch wegen PSD2“, erklärt Katharina Bremer von der Direktbank. „Unser primäres Verfahren wird dann die Photo-TAN sein.“ Dabei geben Bankkunden wie bisher ihre Überweisungsdaten im Online-Banking ein und scannen mit einer Smartphone-App oder einem PC-Lesegerät einen individuellen Code. Dieser ähnelt einem QR-Code. Der Code enthält eine auftragsbezogene TAN-Nummer zur Freigabe der Transaktion. Auch Deutsche Bank, Norisbank und Commerzbank favorisieren die Photo-TAN. Nachteil: Das PC-Lesegerät ist nicht kostenlos. Die Deutsche Bank verlangt 14,90 Euro, Comdirect 24,90 Euro.

SMS-TAN: Weit verbreitet sind SMS- oder Mobile-TAN. Man registriert sein Handy bei der Bank. Zum Freischalten des Auftrags sendet diese dann eine TAN-Nummer per SMS zu. Nachteil: Das von der EU geforderte Zwei-Kanalverfahren, also die Trennung von Banking-Transaktion und TAN-Empfang, ist beim Online-Banking mit nur einem Endgerät nicht gegeben. Gibt der Kunde die Überweisungsdaten am Tablet oder Handy ein und empfängt mit dem gleichen Gerät die SMS, ist er nicht vor Hackern geschützt. Sicherer sind unterschiedliche Geräte, doch das widerspricht dem modernen Mobile-Banking via Smartphone. Um das Problem zu lösen, verwenden viele Banken inzwischen verschiedene Apps.

TAN per App: Beim sogenannten Push-TAN-Verfahren, das bei ING-Diba „Smart-Secure“ und bei den PSD-Banken „Secure-Go“ heißt, wird der Freischaltcode mittels einer speziellen App auf dem Endgerät empfangen. „Banking-App und TAN-App arbeiten unabhängig voneinander und sind nach neuestem Stand der Technik kryptographisch verschlüsselt“, betont ING-Diba-Sprecher Alexander Baumgart. Der TÜV-Saarland prüfte und befand die Methode als sicher.

TAN-Generator: Als noch sicherer gilt die Chip- oder Smart-TAN: Hier werden die TAN-Nummern durch einen externen Generator in Verbindung mit der eigenen Girokarte erzeugt. „Der Generator sorgt für Kanaltrennung und kann weder ausspioniert noch durch Trojaner manipuliert werden, da er nicht mit dem Internet verbunden ist“, betont Althoff. Während die Consorsbank nichts für das Gerät verlangt, berechnen Sparkassen dafür rund zehn Euro. Nachteil: Bankgeschäfte unterwegs statt am heimischen Computer zu erledigen, wird erschwert, da man den TAN-Generator dann bei sich tragen muss.

Fingerabdruck: Neueste Legitimationsverfahren zur Freischaltung von Bankaufträgen arbeiten mit biometrischen Daten. Beispiel Postbank „Best Sign“: „Transaktionen können mit dem Fingerabdruck freigegeben werden“, sagt Pressesprecherin Kerstin Lerch-Palm. Dies gehe sowohl mit Apple- als auch mit Android-Geräten. Risiko: Der Fingerabdruck ist zwar nicht kopierbar, Forscher haben aber Lücken in der Datenverschlüsselung aufgedeckt.

Hier finden Abonnenten unserer Zeitung die ausführliche Langfassung des Biallo-Ratgebers

Leserkommentare

Leserkommentare (0)

Sie schreiben unter dem Namen:



Diskutieren Sie mit!

Damit Sie Artikel kommentieren können, müssen Sie sich einmalig registrieren — bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Beachten Sie unsere Diskussionsregeln, die Netiquette.

Homepage aktualisiert

Finden Sie jetzt neue aktuelle Informationen auf unserer Startseite

Wieder zur Homepage

Die Homepage wurde aktualisiert