Betrüger sollen es künftig noch schwerer haben, aus Online-Banking Kapital zu schlagen. Deshalb sind die Tage der klassischen TAN-Listen auf Papier jetzt gezählt.
Am 14. September 2019 hat die Transaktionsnummer ausgedient. Wir klären über die Alternativen auf.
TAN-Listen werden abgeschafft
Das Online-Banking soll sicherer werden – dieses Vorhaben stand Anfang 2016 im Vordergrund, als die sogenannte „Zweite Zahlungsdienstrichtlinie“ auf europäischer Ebene erlassen wurde. Seitdem wird die Richtlinie Schritt für Schritt auch in deutsches Recht umgesetzt. Oberstes Ziel ist, die Sicherheit von Zahlungen im Internet und damit den Schutz der Bankkunden beim eBanking zu verbessern. Darüber informiert unter anderem das Bundesfinanzministerium.
Das Gesetz mit dem komplizierten Namen „Zahlungsdiensteaufsichtsgesetz“ sieht zum Beispiel vor, dass bei Online-Zahlungen eine starke Kundenauthentifizierung stattfindet. Das bedeutet: Über mindestens zwei Sicherheitselemente müssen Online-Zahlungen künftig legitimiert werden. Das konnte bislang zum Beispiel die Eingabe eines Passworts für den Eintritt ins eBanking-Portal und die anschließende Eingabe einer TAN-Nummer sein. Bei der TAN-Nummer handelt es sich um eine einmalig gültige Transaktionsnummer, die bis vor kurzem auf TAN-Listen aus Papier zu finden waren. Grundsätzlich galt und gilt, dass die beiden Sicherheitselemente voneinander unabhängig sein müssen. Wissenswertes dazu lest ihr auch in unserem Ratgeber Zwei-Faktor-Authentifizierung.
Die klassischen TAN-Listen auf Papier sind schon bald Geschichte. Bild: PC-SPEZIALIST
Betrüger nutzen den „Faktor Mensch“
Die bisher klassischen TAN-Listen erfüllten zwar dieses Kriterium, allerdings boten sie Betrügern eine willkommene Angriffsfläche. Stichwort: Social Enginieering – der Mensch als Schwachstelle. Der Grundgedanke ist hierbei der, dass das Thema Cyber-Sicherheit nicht nur Computersysteme und Netzwerke betrifft, sondern auch den „Faktor Mensch“. Durch geschickte Manipulation verleitet der Täter sein Opfer dazu, vertrauliche Informationen preis zugeben.
Vielleicht ruft also – vermeintlich – der Servicemitarbeiter einer Bank an, fragt den Nutzer zum Abgleich der Daten nach seiner Kontonummer und bittet ihn, aus Gründen der Unterstützung möglichst viele seiner TAN-Nummern auf einer Website einzugeben. Fällt der Nutzer darauf herein, kann der Angreifer kurz darauf das Konto leer räumen. Immer wieder gelingt es Kriminellen, sich auf diese oder ähnliche Weise PIN- und TAN-Nummern von Bankkonten abzufischen und sich Zugang zu den Online-Konten zu verschaffen.
Nach und nach sind Alternativen zu den klassischen TAN-Listen entwickelt worden, die es Betrügern deutlich schwerer machen. Und den alten Papier-Listen steht bald die weitgehende Abschaffung bevor. Aber welche Verfahren sind nun die Alternative? Und sind die wirklich sicherer?
Alternativen zu den TAN-Listen
Alternative TAN-Verfahren gibt es so einige. Da wären die Chip-TAN, die SMS-/Mobile-TAN, die TAN-App und HBCI. Viele Banken verwenden für die genannten Verfahren allerdings auch eigene Bezeichnungen, was das Ganze noch verwirrender macht. Um ein bisschen Licht ins Dunkel zu bringen, stellen wir euch die Verfahren in Anlehnung an das Dossier Online-Banking des Bundesamts für Sicherheit in der Informationstechnik (BSI) kurz im Einzelnen vor.
Chip-TAN
Bei der Chip-TAN generieren sich Nutzer ihre TAN ganz einfach selbst. Dazu benötigen sie einen TAN-Generator, ein kabelloses Gerät, das einem kleinen Taschenrechner ähnelt und mit einem Kartenschlitz versehen ist. Das Verfahren ist schon recht alt, aber bewährt. Hier die Schritt-für-Schritt-Erklärung:
- Gebt, wie gewohnt, beim Online-Banking am PC, Laptop oder Smartphone die Überweisungsdaten ein. Daraufhin öffnet sich ein Fenster mit einer Grafik.
- Nehmt den TAN-Generator, steckt eure Bankkarte in den Kartenschlitz und haltet anschließend das Gerät vor die Grafik. Auf diese Weise lesen die lichtempfindlichen Kontakte auf der Rückseite die Auftragsdaten ein. Alternativ können die Daten manuell in das Gerät eingegeben werden.
- Der Generator weist zur Prüfung noch einmal die Daten aus. Per Knopfdruck bestätigt ihr die Daten und erhaltet sogleich eine frisch generierte TAN-Nummer.
- Gebt die TAN-Nummer noch im Online-Banking ein und schließt das Verfahren damit ab.
SMS-/Mobile-TAN
Beim SMS-TAN-Verfahren, auch Mobile-TAN-Verfahren genannt, erhält der Bankkunde in wenigen Sekunden eine frische TAN auf sein Mobiltelefon. Wichtig hierbei: Das Handy muss SMS-fähig sein. Die TAN gilt zeitlich begrenzt für einen speziellen Auftrag. Und wie funktioniert’s genau?
- Erfasst wie gewohnt beim Online-Banking am PC, Laptop oder Smartphone die Überweisung und schickt sie ab.
- Nach einigen Sekunden erhaltet ihr eine SMS auf eurem Handy. Sie enthält die TAN-Nummer und Details zur Überweisung, die ihr zu Sicherheitszwecken mit dem Original abgleichen solltet.
- Mit der TAN könnt ihr die Überweisung im Online-Banking-Portal freischalten.
Kritisiert wird an diesem Verfahren allerdings, dass der SMS-Verkehr nicht abhörsicher ist. Zudem sollten Nutzer aus Sicherheitsgründen nie dasselbe Handy für das Online-Banking und das Zusenden der TAN-Nummer verwenden. Einige Banken, zum Beispiel die Sparkasse, setzen zum Beispiel voraus, dass immer zwei Geräte verwendet werden.
TAN-App
Manche Banken bieten auch eine spezielle App für das Smartphone oder Tablett an, über die das Online-Banking und das Anfordern der TAN erfolgt. Die App muss aus dem App Store oder Google Play Store heruntergeladen und mit den Zugangsdaten der zugehörigen Bank aktiviert werden. Auch hier erklären wir den Ablauf:
- Gebt wie gewohnt die Überweisungsdaten im Online-Banking ein und sendet die Überweisung ab.
- Ruft dann die App auf und prüft die eingegangenen Auftragsdaten.
- Eine einmalig und zeitlich begrenzte TAN-Nummer wird euch über die App angezeigt.
- Tragt die Zahl in das Online-Banking-Formular ein und gebt die Überweisung frei.
Auch bei diesem Verfahren ist zu aus Sicherheitsgründen zu empfehlen, verschiedene Geräte für Online-Banking und App zu verwenden. Wird beides auf demselben Smartphone genutzt und dieses von einem Hacker geknackt werden, hat der ansonsten leichtes Spiel.
HBCI
Der HBCI ist ein sogenannter offener Standard im Bereich des Online-Banking. Dabei steht die Abkürzung HBCI für den Begriff Homebanking Computer Interface. Dabei benötigt man statt einer TAN-Nummer einen digitalen Schlüssel, der auf einer Chipkarte gespeichert ist. Anwender benötigen dafür sowohl eine Finanzsoftware als auch ein Signaturkarten-Lesegerät, das direkt mit dem Rechner verbunden sein muss. Das Verfahren funktioniert wie folgt:
- Gebt die Überweisungsdaten in der Finanzsoftware ein.
- Steckt die Signaturkarte in das Lesegerät und gebt eure zuvor festgelegte PIN ein. Die Signaturkarte bestätigt die Richtigkeit und verschlüsselt die Transaktion daraufhin. Dann geht der Auftrag auf die digitale Reise an eure Bank. Diese entschlüsselt die Daten und prüft die digitale Unterschrift. Erst dann erfolgt die Ausführung des Auftrags.
Dieses Verfahren gilt als besonders sicher, ist aber auch aufwendiger und wegen der Anschaffung des Lesegeräts kostenintensiver. Zudem sollte das Lesegerät zur verstärkten Sicherheit über eine eigene Tastatur verfügen, da Hacker die Eingabe über die PC-Tastatur per Schadsoftware aufzeichnen und für unerwünschte Überweisungen missbrauchen könnten.
Mehr Sicherheit im Online-Banking
Das Online-Banking hat generell einen sehr großen Vorteil: Ihr könnt es ganz einfach von zuhause erledigen. Kein Wunder also, dass immer mehr Bankkunden eines der genannten Verfahren nutzen. Informiert euch, welche Verfahren eure Bank anbietet. Für welches Verfahren ihr euch nach der Abschaffung der klassischen TAN-Liste auch entscheidet: Jedes von ihnen müsst ihr vor der Benutzung bei der jeweiligen Bank anmelden und freischalten lassen.
Nicht zu vergessen ist, dass ihr für den Schutz der Geräte sorgt, die ihr für das Online-Banking verwendet. Wir empfehlen dafür unser Servicepaket. Euer PC-SPEZIALIST vor Ort berät euch gerne zu dem Angebot und hilft euch bei der Einrichtung. Auch ein aktueller Virenschutz trägt zur Sicherheit beim eBanking bei. Und wer ganz sicher gehen will, verwendet außerdem einen Passwortmanager, um seine Passwörter sicher zu verwalten. In unserem Blog-Artikel Online-Banking-Sicherheit geben wir euch außerdem zehn Tipps zum Schutz vor Betrügern.
Schreiben Sie einen Kommentar