Transaktionsnummern auf Papier werden bis 2018 abgeschafft

Chip-TAN, Push-TAN & Co.: Wie man beim Online-Banking auf Nummer sicher geht

Die überarbeitete Zahlungsdiensterichtlinie der EU sieht vor: Die Banken schaffen die Papier-TAN-Listen bis 2018 ab. Online-Banking-Kunden sollten sich daher schon mal mit den Alternativen vertraut machen. Hier gibt’s den Überblick.

Foto: Fotolia

Foto: Fotolia

Es war eine ziemlich einfache Sache: Wer früher per Online-Banking eine Rechnung begleichen wollte, hatte eine Liste mit TANs neben sich liegen. Bei jedem Überweisungsvorgang wurde beliebig einer der meist sechsstelligen Zahlencodes ausgewählt und durchgestrichen. Danach kamen die indizierten TAN-Listen – iTAN: Die Einmal-Codes sind nummeriert, und bei jedem Bankvorgang wird eine von der Bank bestimmte TAN abgefragt.

Ab Januar 2018, so will es die überarbeitete Zahlungsdiensterichtlinie, ist die indizierte TAN aber nicht mehr ausreichend. „Die Transaktionsnummer muss jetzt auch dynamisch und verschlüsselt sein“, erklärt Julia Topar, Pressesprecherin beim Bundesverband deutscher Banken. Und das ist mit einer bereits ausgedruckten Liste nicht zu bewerkstelligen. Darum dürfen sie ab 2018 nicht mehr ausgegeben werden. „Die noch vorhandenen Listen können jedoch noch verbraucht werden“, sagt Topar.

Sicheres Smartphone

Um eine individuelle und vor allem dynamische TAN zu bekommen, gibt es verschiedene Möglichkeiten. Welche Bank welche Methode einsetzt, ist ihr überlassen. Manche Banken bieten auch mehrere Möglichkeiten an. „Sicher sind sie alle“, so Topar. Schließlich müssen Banken im Umgang mit Daten besonders sorgsam und restriktiv sein.

Das Problem seien aber häufig eher Sicherheitslücken in der Infrastruktur des Kunden, sagt Topar. Zwar unterschreibt der Kunde, wenn er sich für Online-Banking entscheidet, dass er sein System sicher hält. Tatsächlich kommt es aber immer wieder vor, dass Software nicht aktualisiert wird oder dass die Firewall ausgeschaltet beziehungsweise der Virenscanner veraltet ist.

„Es weiß auch nicht jeder, dass man das Smartphone genauso gut mit Sicherheitssoftware ausstatten sollte wie den Computer“, sagt Topar. Speziell Android-Geräte sollten einen Virenschutz haben, da für sie besonders viele Schädlinge im Umlauf sind.

Wenn es Sicherheitslücken gibt

Auch Ralf Scherfling aus dem Finanzenteam der Verbraucherzentrale Nordrhein-Westfalen weist darauf hin, wie wichtig es ist, beim Online-Banking Virenscanner und Firewall zu nutzen. Sie sollten, wie auch das Betriebssystem und der Internetbrowser, immer auf dem neuesten Stand sein.

„Wer das nicht macht, läuft Gefahr, einen Virus oder Trojaner auf den Computer zu bekommen“, sagt Scherfling. Im Zweifelsfall würden sonst statt 50 Euro 500 oder 5.000 oder eine noch höhere Summe überwiesen – allerdings nicht an den gewünschten Adressaten, sondern auf ein Konto eines Betrügers.

Diese TAN-Macher gibt es

Sind Smartphone und Computer sicher, steht der Nutzung der modernen TAN-Macher nichts im Weg. Allerdings gibt es eine Vielzahl an Möglichkeiten, um eine TAN zu generieren:


Mobile-TAN (mTAN)

Es gibt Banken, bei denen eine SMS ausgelöst wird, sobald man seine Überweisung so weit vorbereitet hat – beispielsweise bei der ING-DiBa. Bei der Targobank und der Deutschen Bank etwa hat der Kunde noch die Wahl zwischen iTAN und Mobile-TAN. Diese TANs werden per SMS aufs Handy geschickt, abgetippt – und schon hat man das Geld überweisen.

Ob die mTAN den Kunden Geld kostet, hängt vom Kreditinstitut ab. Manche übernehmen die Kosten, andere stellen dafür niedrige Cent-Beträge in Rechnung. Zur Sicherheit bei der Bank nachfragen.

Chip-TAN

Bei einigen Banken bekommt man einen sogenannten Generator. Hier sind viele Modelle im Umlauf – meistens ähneln die elektronischen Geräte optisch einem Taschenrechner oder einem EC-Karten-Lesegerät an der Supermarktkasse. Im Sparkassen-Shop beispielsweise kosten sie um die 11 Euro, ein Generator mit Sprachausgabe für Menschen mit Sehschwäche liegt dort bei rund 55 Euro. Dieser Generator gibt die nötigen Bedienungsschritte akustisch wieder.

Beim TAN-Generator gibt es außerdem unterschiedliche Möglichkeiten, den Transaktionscode zu generieren: Entweder steckt man seine Karte ein und bekommt dann eine Nummer angezeigt (Bild oben rechts). Oder man muss die Karte einstecken und den Generator an ein sogenanntes Flimmerbild am Monitor halten, um so eine Zahl auf das Gerät zu bekommen.

Anders geht es etwa bei der RaboDirect: Dort hat man eine PIN, also eine Personal Identification Number, eine Geheimzahl für den Generator. Will man eine Überweisung bestätigen, muss man zunächst die PIN eingeben. Dann aktiviert man den sogenannten Digitalpass, wie es auf der Homepage beschrieben wird. Jetzt muss man dort eine Nummer eingeben, die die Homepage vorgibt, und bekommt schließlich auf dem Generator eine Nummer angezeigt, die man dieses Mal auf der Homepage eingibt.

Photo-TAN

Beispielsweise die Commerzbank arbeitet mit diesem Verfahren. Dabei installiert man sich die App der Bank auf dem Smartphone und klickt die Schaltfläche „scannen“ an. Damit wird nun eine entsprechende Grafik auf dem PC-Bildschirm gescannt und daraufhin eine Nummer angezeigt, die zur Überweisung eingegeben wird.

Push-TAN

Bei der DKB etwa benutzt man ebenfalls die bankeigene App. Dort muss man sich einloggen und bekommt im Anschluss eine Nummer angezeigt, die man am Computer für die Überweisung eintippt.

Kontrolle ist besser

Mit der Mobile-TAN werden zusätzlich Informationen zur Überweisung verschickt: Welcher Betrag wird an welches Konto überwiesen? Der Kunde sollte diese Informationen auf jeden Fall in der SMS nochmals überprüfen, bevor er die Überweisung bestätigt. Verbraucherschützer Scherfling warnt außerdem davor, SMS-TANs zu benutzen, wenn man das Smartphone mit dem PC verbindet. Dann beispielsweise könnte nämlich ein Trojaner überspringen, und es hilft im Zweifelsfall auch der Kontrollblick auf die TAN in der SMS nichts mehr.

Auch wer eine Transaktion komplett über das Smartphone abwickelt und dazu zwei verschiedene Banking-Apps nutzt, sei nicht ganz sicher. Dabei wird die Überweisung in einer App vorbereitet – die Push-TAN kommt aber in einer anderen App an. Somit besteht die wichtige Trennung zwischen dem eigentlichen Vorgang und der Transaktionsnummer, wie man sie auch hat, wenn man das Chip-TAN-Verfahren nutzt oder das Bankgeschäft am Computer erledigt, die TAN aber aufs Handy bekommt. Allerdings befinden sich beide Apps auf einem Gerät. Sollte ein Trojaner auf dem Handy sein, könnte das trotz dieser Trennung dazu führen, dass Daten ausgespäht und benutzt werden. Dagegen schützt man sich, indem man sein Handy sicher hält – also: Betriebssystem, Programme und Virenscanner regelmäßig updaten sowie Firewall aktivieren. (Zehn Sicherheits-Tipps für das Smartphone lesen Sie hier auf AKTIVonline.)

Bekannt, aber eher selten seien außerdem Fälle, in denen Betrüger einen Trojaner auf dem PC von Bankkunden installiert haben, zusätzlich eine SIM-Karte freischalten ließen und so das Konto abräumen konnten.

Wer das Chip-TAN-Verfahren nutzt, gerät erst gar nicht in diese Gefahr. „Der TAN-Generator lässt sich nicht von außen manipulieren. Darum ist dieses Verfahren im Moment das sicherste“, sagt Scherfling. „Denn um hierbei an mein Geld zu kommen, benötigen die Betrüger nicht nur meine Online-Banking-Zugangskarten, sondern auch meine Girokarte“, so Scherfling. Das jedoch ist nur schwer möglich. Doch auch hier gilt: Der Kontrollblick auf die Anzeige ist zwingend notwendig, bevor man die Überweisung bestätigt. „Stimmen die Summe und der Adressat nicht überein, sollte man sofort den Vorgang abbrechen“, sagt Scherfling.

Mehr zum Thema:

Immer mehr Banken führen immer mehr oder höhere Gebühren für Privatkonten und damit verbundene Dienstleistungen ein. Gleichzeitig sorgen mickrige Zinsen für Frust auf Seite der Kunden. Wie man aus der Preisschraube am besten rauskommt.

Fast die Hälfte aller Deutschen will bald so gut wie immer auf Bargeld verzichten, so ein Studie des Digitalverbands Bitkom. Die Technik dafür steckt schon in vielen Giro- und Kreditkarten: ein Funkchip.

Online-Banking per Smartphone: Das kann man machen – wenn man sehr vorsichtig ist. Die folgenden Experten-Tipps sollten allerdings nur diejenigen lesen, die die Mindestvoraussetzung schon erfüllt haben: Virenschutz fürs Handy.

Ein sorgloser Umgang mit dem Smartphone kann gefährlich sein: Fotos, E-Mails, Banking-Informationen – Cyber-Kriminelle versuchen systematisch, an persönliche Daten zu kommen. AKTIVonline zeigt, wie Ihr Handy schützen können.

Mit dem Smartphone Rechnungen bezahlen oder einen Kredit aufnehmen: „Fintechs“ machen es möglich. Die neuen Finanzdienstleistungs-Apps von Start-up-Unternehmen ermöglichen fast alle Geldgeschäfte.

Per Smartphone-App auf dem Weg zur Bank schon die Summe eintippen. Die App erzeugt einen QR-Code, den der Kunde am Automaten vorzeigt. Und schon kommt das Geld. So werden Warteschlangen kürzer. Aber Geldautomaten können bald noch mehr.

Artikelfunktionen


Diese Beiträge könnten Sie auch interessieren:

'' Zum Anfang