Es war eine ziemlich einfache Sache: Wer früher per Online-Banking eine Rechnung begleichen wollte, hatte eine Liste mit TANs neben sich liegen. Bei jedem Überweisungsvorgang wurde beliebig einer der meist sechsstelligen Zahlencodes ausgewählt und durchgestrichen. Danach kamen die indizierten TAN-Listen – iTAN: Die Einmal-Codes sind nummeriert, und bei jedem Bankvorgang wird eine von der Bank bestimmte TAN abgefragt.

Nach der neuen EU-Zahlungsdiensterichtlinie ist die indizierte TAN aber nicht mehr ausreichend. „Die Transaktionsnummer muss nun dynamisch generiert werden. Für Zahlungen und zum Einloggen in ein Online-Konto müssen mindestens zwei der drei Elemente Wissen, Besitz oder ein biometrisches Merkmal zum Einsatz kommen“, erklärt Fabian Schuster, Experte für Zahlungsverkehr und Online-Banking beim Bundesverband deutscher Banken.

Für „Wissen“ stehe beispielsweise das Passwort, für „Besitz“ zum Beispiel das Mobiltelefon und für „biometrisches Merkmal“ beispielsweise der Fingerabdruck. Diese Anforderungen sind mit einer bereits ausgedruckten Liste nicht mehr zu bewerkstelligen. „Die noch vorhandenen Listen können jedoch noch verbraucht werden“, sagt Schuster.

Beispiele für die drei Elemente in der Praxis

Wie das konkret aussehen kann, wissen Kunden der ING schon heute: Dort funktioniert die Transaktionsbestätigung beim Onlinebanking über die App Banking to go. Wer die App erstmals öffnet, wird durch einen Freigabeprozess geführt, für den er einmalig zwei iTANs benötigt. Während dieses Prozesses legt man eine mobile PIN selbst fest. Mit dieser PIN bestätigt man von nun an jede Transaktion. Noch einfacher geht das, wenn man sein Smartphone so eingestellt hat, dass statt der PIN auch der Fingerabdruck zur Bestätigung benutzt werden kann. Es kommen also die beiden Elemente „Besitz“ und „biometrisches Merkmal“ zum Tragen.

Ähnlich funktioniert es bei der Targobank. Auch dort legt man für das Smartphone eine mobile PIN fest, die man künftig für jede Bestätigung eingibt. Da auf den Tasten in der App nicht nur Zahlen zu sehen sind, sondern auch wie auf den Telefontasten in Dreierblöcken die Buchstaben des Alphabets, kann man sich statt einer Zahlenkombination auch ein Wort merken. Möchte man online dann Geld überweisen, wird man vom Computerbildschirm aufs Smartphone (Besitz) verwiesen. Dort bestätigt man die Überweisung mit der selbst festgelegten PIN (Wissen).

Sicheres Smartphone

Um eine spezifische und vor allem dynamische TAN zu bekommen, gibt es verschiedene Lösungen. Welche Bank welche Methode einsetzt, ist ihr überlassen. Die meisten Banken bieten mehrere Verfahren an. „Den neuen Sicherheitsanforderungen genügen diese Verfahren alle“, so Schuster. Schließlich müssen Banken im Umgang mit Daten besonders sorgsam und restriktiv sein.

Das Problem seien häufig eher Sicherheitslücken in der Umgebung des Kunden, sagt Schuster. Zwar unterschreibt der Kunde, wenn er sich für Online-Banking entscheidet, dass er sein System sicher hält. Tatsächlich kommt es aber immer wieder vor, dass Software nicht aktualisiert wird oder dass die Firewall ausgeschaltet beziehungsweise der Virenscanner veraltet ist.

„Es weiß auch nicht jeder, dass man das Smartphone genauso gut mit Sicherheitssoftware ausstatten sollte wie den Computer“, sagt Schuster. Speziell Android-Geräte sollten einen Virenschutz haben, da für sie besonders viel Schadsoftware im Umlauf ist.

Wenn es Sicherheitslücken gibt

Auch Ralf Scherfling aus dem Finanzenteam der Verbraucherzentrale Nordrhein-Westfalen weist darauf hin, wie wichtig es ist, beim Online-Banking Virenscanner und Firewall zu nutzen. Sie sollten, wie auch das Betriebssystem und der Internetbrowser, immer auf dem neuesten Stand sein.

„Wer das nicht macht, läuft Gefahr, einen Virus oder ein trojanisches Pferd, umgangssprachlich besser bekannt als Trojaner, auf den Computer zu bekommen.“ Im Zweifelsfall würden sonst statt 50 Euro 500 oder 5.000 oder eine noch höhere Summe überwiesen – allerdings nicht an den gewünschten Adressaten, sondern auf ein Konto eines Betrügers.

Diese TAN-Macher gibt es

Sind Smartphone und Computer sicher, steht der Nutzung der modernen TAN-Macher nichts im Weg. Allerdings gibt es eine Vielzahl an Möglichkeiten, um eine TAN zu generieren:

  • Mobile-TAN (mTAN)

    Es gibt Banken, bei denen eine SMS ausgelöst wird, sobald man seine Überweisung so weit vorbereitet hat – beispielsweise bei der ING-DiBa. Bei der Targobank und der Deutschen Bank etwa hat der Kunde noch die Wahl zwischen iTAN und Mobile-TAN. Diese TANs werden per SMS aufs Handy geschickt, abgetippt – und schon hat man das Geld überwiesen. Ob die mTAN den Kunden Geld kostet, hängt vom Kreditinstitut ab. Manche übernehmen die Kosten, andere stellen dafür niedrige Cent-Beträge in Rechnung. Zur Sicherheit bei der Bank nachfragen.

  • Chip-TAN

    Bei einigen Banken bekommt man einen sogenannten Generator. Hier sind viele Modelle im Umlauf – meistens ähneln die elektronischen Geräte optisch einem Taschenrechner oder einem EC-Karten-Lesegerät an der Supermarktkasse. Im Sparkassen-Shop beispielsweise kosten sie um die 11 Euro, ein Generator mit Sprachausgabe für Menschen mit Sehschwäche liegt dort bei rund 55 Euro. Dieser Generator gibt die nötigen Bedienungsschritte akustisch wieder. Beim TAN-Generator gibt es außerdem unterschiedliche Möglichkeiten, den Transaktionscode zu generieren: Entweder steckt man seine Karte ein und bekommt dann eine Nummer angezeigt (Bild oben rechts). Oder man muss die Karte einstecken und den Generator an ein sogenanntes Flimmerbild am Monitor halten, um so eine Zahl auf das Gerät zu bekommen. Anders geht es etwa bei der RaboDirect: Dort hat man eine PIN, also eine Personal Identification Number, eine Geheimzahl für den Generator. Will man eine Überweisung bestätigen, muss man zunächst die PIN eingeben. Dann aktiviert man den sogenannten Digitalpass, wie es auf der Homepage beschrieben wird. Jetzt muss man dort eine Nummer eingeben, die die Homepage vorgibt, und bekommt schließlich auf dem Generator eine Nummer angezeigt, die man dieses Mal auf der Homepage eingibt.

  • Photo-TAN

    Beispielsweise die Commerzbank arbeitet mit diesem Verfahren. Dabei installiert man sich die App der Bank auf dem Smartphone und klickt die Schaltfläche „scannen“ an. Damit wird nun eine entsprechende Grafik auf dem PC-Bildschirm gescannt und daraufhin eine Nummer angezeigt, die zur Überweisung eingegeben wird.

  • Push-TAN

    Bei der DKB etwa benutzt man ebenfalls die bankeigene App. Dort muss man sich einloggen und bekommt im Anschluss eine Nummer angezeigt, die man am Computer für die Überweisung eintippt.

Kontrolle ist besser

Mit der Mobile-TAN werden zusätzlich Informationen zur Überweisung verschickt: Welcher Betrag wird an welches Konto überwiesen? Der Kunde sollte diese Informationen auf jeden Fall in der SMS nochmals überprüfen, bevor er die Überweisung bestätigt. Verbraucherschützer Scherfling warnt außerdem davor, SMS-TANs zu benutzen, wenn man das Smartphone mit dem PC verbindet. Dann beispielsweise könnte nämlich ein Trojaner überspringen, und es hilft im Zweifelsfall auch der Kontrollblick auf die TAN in der SMS nichts mehr.

Auch wer eine Transaktion komplett über das Smartphone abwickelt und dazu zwei verschiedene Banking-Apps nutzt, sei nicht ganz sicher. Dabei wird die Überweisung in einer App vorbereitet – die Push-TAN kommt aber in einer anderen App an. Somit besteht die wichtige Trennung zwischen dem eigentlichen Vorgang und der Transaktionsnummer, wie man sie auch hat, wenn man das Chip-TAN-Verfahren nutzt oder das Bankgeschäft am Computer erledigt, die TAN aber aufs Handy bekommt.

Allerdings befinden sich beide Apps auf einem Gerät. Sollte ein Trojaner auf dem Handy sein, könnte das trotz dieser Trennung dazu führen, dass Daten ausgespäht und benutzt werden. Dagegen schützt man sich, indem man sein Handy sicher hält – also: Betriebssystem, Programme und Virenscanner regelmäßig updaten sowie Firewall aktivieren.

Bekannt, aber eher selten seien außerdem Fälle, in denen Betrüger einen Trojaner auf dem PC von Bankkunden installiert haben, zusätzlich eine SIM-Karte freischalten ließen und so das Konto abräumen konnten.

Wer das Chip-TAN-Verfahren nutzt, gerät erst gar nicht in diese Gefahr. „Der TAN-Generator lässt sich nicht von außen manipulieren. Darum ist dieses Verfahren im Moment das sicherste“, sagt Scherfling. „Denn um hierbei an mein Geld zu kommen, benötigen die Betrüger nicht nur meine Online-Banking-Zugangskarten, sondern auch meine Girokarte“, so Scherfling. Das jedoch ist nur schwer möglich. Doch auch hier gilt: Der Kontrollblick auf die Anzeige ist zwingend notwendig, bevor man die Überweisung bestätigt. „Stimmen die Summe und der Adressat nicht überein, sollte man sofort den Vorgang abbrechen“, sagt Scherfling.