TAN-Listen auf Papier haben seit Samstag, 14. September, ausgedient: Die sogenannten iTANs werden abgeschafft. Wir erklären, wie Kunden dann Transaktionen beim Online-Banking freigeben und welche Banken was anbieten.
Eine sechsstellige Zahl auf dem Papier heraussuchen, am Computer eintippen, die Ziffern auf dem Zettel durchstreichen: Diese Aufgabe müssen Online-Banking-Nutzer ab diesem Samstag nicht mehr erledigen: Die Banken schaffen die Transaktionslisten ab zum 14. September ab und setzen damit eine EU-Richtlinie um.
Das iTAN-Verfahren gibt es seit 2005. Kunden erhielten dabei eine Liste mit durchnummerierten TANs. Wollten sie eine Überweisung vornehmen, suchten sie mithilfe einer Zahl, die auf dem Bildschirm angezeigt wurde, die passende TAN heraus und tippten diese ein. Doch dieses Verfahren gilt als nicht mehr sicher. Bekommt ein Betrüger die TAN-Liste in die Hände oder bringt er den Nutzer via Phishing-Mail dazu, eine TAN zu verraten, kann er leicht aufs Konto zugreifen.
Aber welche anderen TAN-Methoden können Kunden ab Mitte September nutzen? Von mTAN bis Chip-TAN: Wir stellen die verschiedenen Möglichkeiten vor. Nicht alle Banken bieten alle Verfahren an - und nicht alle sind gleich sicher.
Neuen TAN-Verfahren: TAN per SMS
mTAN, mobile TAN oder SMS-TAN sind verschiedene Namen für dasselbe Prinzip. Nutzer hinterlegen dabei ihre Mobilfunknummer bei ihrer Bank. Bei einer Transaktion fordern sie eine TAN an und erhalten diese per SMS. Kunden sollten unbedingt prüfen, ob die Angaben in der Kurznachricht korrekt sind: Dort stehen neben der TAN auch der Betrag sowie die IBAN des Empfängers.
Einige Banken haben mobile TANS allerdings abgeschafft, so wie die Postbank. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, auf mTANs zu verzichten. Den Grund nennt die Stiftung Warentest: Betrügern sei es schon gelungen, eine zweite SIM-Karte eines Nutzers zu ergattern und so TANs zu generieren - oder seine SMS abzufangen.
Welche Banken bieten mTAN an?
Sparkassen (nicht jedes Institut), VR Banken (nicht jedes Institut; nur bis Ende September), Deutsche Bank (9 Cent pro TAN-SMS), Commerzbank/Comdirect, HypoVereinsbank, INGDiba
PhotoTAN
Beim PhotoTAN-Verfahren scannen Kunden eine Art Barcode. Er erscheint bei einer Überweisung auf dem Bildschirm. Zum Erfassen verwenden sie entweder eine PhotoTAN-App auf dem Smartphone, oder ein kostenpflichtiges Lesegerät der Bank.
App oder Gerät zeigen die TAN nach dem Scan an, und die Nutzer tippen sie im Banking-Portal ein. Dieses Verfahren gilt als sicher, vor allem, wenn Nutzer zwei verschiedene Geräte verwenden - eines, um die Überweisung zu tätigen, und eines, um den Barcode zu scannen.
Welche Banken bieten PhotoTAN an?
VR Banken (nicht jedes Institut), Deutsche Bank, Commerzbank/Comdirect, HypoVereinsbank, INGDiba
PushTAN / TAN per App
Beim PushTAN-Verfahren nutzen Kunden eine Spezial-App ihrer Bank, um TANs zu erzeugen - zusätzlich zur normalen Banking-App. Die für eine Überweisung generierte TAN geben Nutzer dann beim Online-Banking ein.
Um die TAN-App erstmalig freizuschalten, verschickt die Bank einen Authentifizierungscode per Brief. Dieses Verfahren gilt als sicher, vor allem, wenn Kunden zwei verschiedene Geräte nutzen, um Überweisungen zu tätigen - also den Computer sowie das Smartphone mit der TAN-App.
Welche Banken bieten PushTAN an?
Sparkassen (nicht jedes Institut), VR Banken (nicht jedes Institut), HypoVereinsbank, INGDiba, DKB
ChipTAN per Generator
Beim Chip-TAN-Verfahren brauchen Kunden ein zusätzliches Gerät, das etwa so gross ist wie ein Taschenrechner. In diesen TAN-Generator schieben sie ihre Bankkarte, um sich zu authentifizieren.
Je nach Methode gibt es verschiedene Vorgehensweisen: Entweder erscheint die TAN auf dem Geräte-Display, wenn über das Tastenfeld die Überweisungsdaten eingegeben werden.
Oder sie scannen mit dem Gerät eine Grafik auf dem Computerbildschirm. Dieses Verfahren gilt als das sicherste zur Generierung von TANs. Der Grund: Ein Dieb müsste gleichzeitig Zugriff auf TAN-Generator und Online-Banking-Zugangsdaten haben, um Daten abgreifen zu können. Der Nachteil: Die Lesegeräte kosten zwischen 9 und 15 Euro.
Welche Banken bieten ChipTAN an?
Sparkassen (nicht jedes Institut), VR Banken (nicht jedes Institut), Postbank, DKB
Weitere Online-Banking-Freigabe-Verfahren ohne TAN
Statt mit einer TAN geben Nutzer beim BestSign-Verfahren Überweisungen mit digitaler Signatur frei. Sie verwenden dazu entweder eine App oder ein BestSign-Lesegerät. Es kostet circa 45 Euro und ist per USB oder Bluetooth mit dem Computer verbunden.
Kunden identifizieren sich anschliessend mit Fingerabdruck, Gesichtserkennung, Passwort oder einem Knopfdruck. Damit ist die Transaktion abgeschlossen. Dieses Verfahren nutzt allerdings nur die Postbank.
Einige Banken bieten ausserdem die Methode HBCI mit Chipkarte an: Kunden bestätigen eine Transaktion nicht mit einer TAN, sondern mit einem digitalen Schlüssel, der auf einer Chipkarte gespeichert ist. Dafür brauchen sie ein spezielles Lesegerät sowie eine Finanz-Software wie "Starmoney".
Verwendete Quellen:
- www.bankenverband.de: "Bye-bye iTAN-Liste: Was sind die Alternativen für Online- und Mobile-Banking?"
- Bundesamt für Sicherheit in der Informationstechnik: Sicherheit im Online-Banking
- www.bsi-fuer-buerger.de: "Sicherheit im Online-Banking"
- www.chip.de: "Chip: Online-Banking ändert sich für viele: iTANS werden abgeschafft"
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.