Es war eine ziemlich einfache Sache: Wer früher per Online-Banking eine Rechnung begleichen wollte, hatte eine Liste mit TANs neben sich liegen. Bei jedem Überweisungsvorgang wurde beliebig einer der meist sechsstelligen Zahlencodes ausgewählt und durchgestrichen. Danach kamen die indizierten TAN-Listen – iTAN: Die Einmal-Codes sind nummeriert, und bei jedem Bankvorgang wird eine von der Bank bestimmte TAN abgefragt.
Nach der neuen EU-Zahlungsdiensterichtlinie ist die indizierte TAN aber nicht mehr ausreichend. „Die Transaktionsnummer muss nun dynamisch generiert werden. Für Zahlungen und zum Einloggen in ein Online-Konto müssen mindestens zwei der drei Elemente Wissen, Besitz oder ein biometrisches Merkmal zum Einsatz kommen“, erklärt Fabian Schuster, Experte für Zahlungsverkehr und Online-Banking beim Bundesverband deutscher Banken.
Für „Wissen“ stehe beispielsweise das Passwort, für „Besitz“ zum Beispiel das Mobiltelefon und für „biometrisches Merkmal“ beispielsweise der Fingerabdruck. Diese Anforderungen sind mit einer bereits ausgedruckten Liste nicht mehr zu bewerkstelligen.
Beispiele für die drei Elemente in der Praxis
Wie das konkret aussehen kann, wissen Kunden der ING schon heute: Dort funktioniert die Anmelde- und die Transaktionsbestätigung beim Onlinebanking über die App Banking to go. Wer die App erstmals öffnet, wird durch einen Freigabeprozess geführt, für den er einmalig zwei iTANs benötigt. Während dieses Prozesses legt man eine mobile PIN selbst fest. Mit dieser PIN bestätigt man von nun an jede Transaktion. Noch einfacher geht das, wenn man sein Smartphone so eingestellt hat, dass statt der PIN auch der Fingerabdruck zur Bestätigung benutzt werden kann. Es kommen also die beiden Elemente „Besitz“ und „biometrisches Merkmal“ zum Tragen.
Ähnlich funktioniert es bei der Targobank. Auch dort legt man für das Smartphone eine mobile PIN fest, die man sowohl zur Anmeldung als auch als Bestätigung braucht. Da auf den Tasten in der App nicht nur Zahlen zu sehen sind, sondern auch wie auf den Telefontasten in Dreierblöcken die Buchstaben des Alphabets, kann man sich statt einer Zahlenkombination auch ein Wort merken.
Ganz praktisch sieht das dann so aus: Man meldet sich am Computerbildschirm an. Doch bevor man Zugang zu seinem Konto bekommt, wird man darauf hingewiesen, dass man sich aufgrund der sogenannten zweiten Zahlungsdiensterichtlinie zusätzlich über das Smartphone identifizieren muss. Dort wird dann der Zugang in die App per Fingerscan geregelt, danach muss man seine PIN eingeben – und erst dann hat der Kunde Zugang zum Konto. Möchte man online dann Geld überweisen, wird man vom Computerbildschirm aufs Smartphone (Besitz) verwiesen. Dort bestätigt man die Überweisung mit der selbst festgelegten PIN (Wissen).
Die Postbank nutzt ein Verfahren, das sie BestSign nennt. Dabei kann der Kunde per Passwort, Fingerabdruck, Knopfdruck oder per FaceID, also durch den Scan seines Gesichts über die Kamera im Smartphone Überweisungen freigeben. BestSign ist auch als SealOne bekannt.
Sicheres Smartphone
Um eine spezifische und vor allem dynamische TAN zu bekommen, gibt es verschiedene Lösungen. Welche Bank welche Methode einsetzt, ist ihr überlassen. Die meisten Banken bieten mehrere Verfahren an. „Den neuen Sicherheitsanforderungen genügen diese Verfahren alle“, so Schuster. Schließlich müssen Banken im Umgang mit Daten besonders sorgsam und restriktiv sein.
Das Problem seien häufig eher Sicherheitslücken in der Umgebung des Kunden, sagt Schuster. Zwar unterschreibt der Kunde, wenn er sich für Online-Banking entscheidet, dass er sein System sicher hält. Tatsächlich kommt es aber immer wieder vor, dass Software nicht aktualisiert wird oder dass die Firewall ausgeschaltet beziehungsweise der Virenscanner veraltet ist.
„Es weiß auch nicht jeder, dass man das Smartphone genauso gut mit Sicherheitssoftware ausstatten sollte wie den Computer“, sagt Schuster. Speziell Android-Geräte sollten einen Virenschutz haben, da für sie besonders viel Schadsoftware im Umlauf ist.
Wenn es Sicherheitslücken gibt
Auch Ralf Scherfling aus dem Finanzenteam der Verbraucherzentrale Nordrhein-Westfalen weist darauf hin, wie wichtig es ist, beim Online-Banking Virenscanner und Firewall zu nutzen. Sie sollten, wie auch das Betriebssystem und der Internetbrowser, immer auf dem neuesten Stand sein.
„Wer das nicht macht, läuft Gefahr, einen Virus oder ein trojanisches Pferd, umgangssprachlich besser bekannt als Trojaner, auf den Computer zu bekommen.“ Im Zweifelsfall würden sonst statt 50 Euro 500 oder 5.000 oder eine noch höhere Summe überwiesen – allerdings nicht an den gewünschten Adressaten, sondern auf ein Konto eines Betrügers.
Diese TAN-Macher gibt es
Sind Smartphone und Computer sicher, steht der Nutzung der modernen TAN-Macher nichts im Weg. Allerdings gibt es eine Vielzahl an Möglichkeiten, um eine TAN zu generieren:
Mobile-TAN (mTAN)
Es gibt Banken, bei denen eine SMS ausgelöst wird, sobald man seine Überweisung so weit vorbereitet hat – beispielsweise bei der ING. -DiBa. Diese TANs werden per SMS aufs Handy geschickt, abgetippt – und schon hat man das Geld überwiesen. Ob die mTAN den Kunden Geld kostet, hängt vom Kreditinstitut ab. Manche übernehmen die Kosten, andere stellen dafür niedrige Cent-Beträge in Rechnung. Zur Sicherheit bei der Bank nachfragen.
Chip-TAN
Bei einigen Banken bekommt man einen sogenannten Generator. Hier sind viele Modelle im Umlauf – meistens ähneln die elektronischen Geräte optisch einem Taschenrechner oder einem EC-Karten-Lesegerät an der Supermarktkasse. Im Sparkassen-Shop beispielsweise kosten sie ab 11 Euro. Beim TAN-Generator gibt es unterschiedliche Möglichkeiten, den Transaktionscode zu generieren: Zum Beispiel steckt man seine Karte ein und bekommt dann eine Nummer angezeigt (Bild oben rechts). Anders geht es etwa bei der RaboDirect: Dort hat man einen Digipass, den man per PIN freischaltet. Will man eine Überweisung bestätigen, generiert er einen Zufallscode.
Photo-TAN
Beispielsweise die Commerzbank arbeitet mit diesem Verfahren. Dabei installiert man sich die App der Bank auf dem Smartphone und klickt die Schaltfläche „scannen“ an. Damit wird nun eine entsprechende Grafik auf dem PC-Bildschirm gescannt und daraufhin eine Nummer angezeigt, die zur Überweisung eingegeben wird.
Push-TAN oder App-TAN
Bei der DKB etwa benutzt man ebenfalls die bankeigene App. Dort muss man sich einloggen und bekommt im Anschluss eine Nummer angezeigt, die man am Computer für die Überweisung eintippt. Das System heißt dort TAN2go.
Kontrolle ist besser
Beispielsweise mit der Mobile- oder der App-TAN werden zusätzlich Informationen zur Überweisung angezeigt: Welcher Betrag wird an welches Konto überwiesen? Der Kunde sollte diese Informationen auf jeden Fall nochmals überprüfen, bevor er die Überweisung bestätigt. Verbraucherschützer Scherfling warnt außerdem davor, SMS-TANs zu benutzen, wenn man das Smartphone mit dem PC verbindet. Dann beispielsweise könnte nämlich ein Trojaner überspringen, und es hilft im Zweifelsfall auch der Kontrollblick auf die TAN in der SMS nichts mehr.
Auch wer eine Transaktion komplett über das Smartphone abwickelt und dazu zwei verschiedene Banking-Apps nutzt, sei nicht ganz sicher. Dabei wird die Überweisung in einer App vorbereitet – die Push-TAN kommt aber in einer anderen App an. Somit besteht die wichtige Trennung zwischen dem eigentlichen Vorgang und der Transaktionsnummer, wie man sie auch hat, wenn man das Chip-TAN-Verfahren nutzt oder das Bankgeschäft am Computer erledigt, die TAN aber aufs Handy bekommt.
Allerdings befinden sich beide Apps auf einem Gerät. „Daher ist es sinnvoll, wichtige Apps mit einem eigenen Passwort zu schützen. Denn sollte ein Trojaner auf dem Handy sein, könnte das sonst trotz dieser Trennung dazu führen, dass Daten ausgespäht und benutzt werden“, sagt Ralf Scherfling. Dagegen schützt man sich, indem man sein Handy sicher hält – also: Betriebssystem, Programme und Virenscanner regelmäßig updaten sowie Firewall aktivieren.
Bekannt, aber eher selten seien außerdem Fälle, in denen Betrüger einen Trojaner auf dem PC von Bankkunden installiert haben, zusätzlich eine SIM-Karte freischalten ließen und so das Konto abräumen konnten.
Wer das Chip-TAN-Verfahren nutzt, gerät erst gar nicht in diese Gefahr. „Der TAN-Generator lässt sich nicht von außen manipulieren. Darum ist dieses Verfahren im Moment das sicherste“, sagt Scherfling. „Denn um hierbei an mein Geld zu kommen, benötigen die Betrüger nicht nur meine Online-Banking-Zugangskarten, sondern auch meine Girokarte“, so Scherfling. Das jedoch ist nur schwer möglich. Doch auch hier gilt: Der Kontrollblick auf die Anzeige ist zwingend notwendig, bevor man die Überweisung bestätigt. „Stimmen die Summe und der Adressat nicht überein, sollte man sofort den Vorgang abbrechen“, sagt Scherfling.
