MenüZurück
Wird geladen.

24.07.2018

20:24

Elektronischer Zahlungsverkehr

Welche TAN-Verfahren beim Online-Banking als sicher gelten

Von: Katharina Schneider

Wer per Onlinebanking sicher Geld überweisen will, braucht dafür eine TAN. Kommt diese per SMS, fallen häufig Kosten an. Doch es gibt Alternativen.

Der Kunde einer Online-Bank erhält auf seinem Smartphone eine mTAN, um einen Überweisung freizugeben. Dieses Verfahren kostet mittlerweile in vielen Fällen. Photothek/Getty Images

mTAN-Verfahren

Der Kunde einer Online-Bank erhält auf seinem Smartphone eine mTAN, um einen Überweisung freizugeben. Dieses Verfahren kostet mittlerweile in vielen Fällen.

FrankfurtBankgeschäfte per Onlinebanking zu erledigen ist eigentlich ganz einfach, und laut einer Umfrage des Digitalverbands Bitkom machen das schon 63 Prozent der Deutschen. Etwas kompliziert wird es aber bei der Frage, welches TAN-Verfahren man dafür nutzen sollte. TANs sind Transaktionsnummern, mit denen Nutzer im Internetportal ihrer Bank beispielsweise eine Überweisung oder eine Wertpapierorder freigeben. Die Verfahren sind unterschiedlich sicher und für die Kunden teils mit Kosten verbunden.

iTAN

Die Papierlisten mit durchnummerierten Transaktionsnummern stammen noch aus den Anfängen des Onlinebankings. Aus Sicherheitsgründen raten Experten davon ab. Das Problem: „Haben Kriminelle Schadsoftware auf dem Computer oder Smartphone des Kunden installiert, können sie beim iTAN-Verfahren in Echtzeit in die Kommunikation zwischen Kunde und Bank eingreifen und unbemerkt den Überweisungsbetrag und den Empfänger ändern“, sagt Ralf Scherfling, Finanzexperte der Verbraucherzentrale Nordrhein-Westfalen. Spätestens ab September 2019 ist die iTAN wegen Vorgaben der EU-Zahlungsdiensterichtlinie PSD2 aber passé.

mTAN

Dieses Verfahren wird mal als „mobile TAN“, mal als „SMS-TAN“ bezeichnet. Das Prinzip: Wer online eine Transaktion freigeben will, fordert im Bankportal eine TAN an und bekommt sie prompt per SMS. „Im Vergleich zu iTAN ist es sicherer, da Hacker gleich zwei Geräte – den PC und das Smartphone – angreifen müssen“, sagt Scherfling. Bei der Kombination aus Onlinebanking per Handy und mTAN ist dieser Vorteil aber dahin, weil nur ein Gerät verwendet wird.

Mobiles Bezahlen: Volksbanken machen mit beim Handy-zu-Handy-Zahlsystem der Sparkassen

Mobiles Bezahlen

Volksbanken machen mit beim Handy-zu-Handy-Zahlsystem der Sparkassen

Volksbanken und Sparkassen haben keine Angst mehr vor dem Kartellamt – und bieten das Überweisen per Smartphone unter einer gemeinsamen Marke an.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt sogar, auf den Einsatz des mTAN-Verfahrens zu verzichten. Wer es dennoch nutzt, sollte sich die SMS genau ansehen. Darin sollten auch die Kontonummer des Zahlungsempfängers und der Überweisungsbetrag enthalten sein. Bei Unstimmigkeiten sollten sie die Transaktion abbrechen und sich bei der Bank melden. Weiterer Nachteil: Immer mehr Banken verlangen pro genutzter TAN neun Cent Gebühren.

chipTAN

Für dieses Verfahren benötigen Kunden einen sogenannten TAN-Generator ihrer Bank, in den sie ihre Girocard einstecken. Dieser ist oftmals kostenpflichtig. Bei einer Variante müssen Bankkunden zudem eine Kontrollnummer und einen Teil der Transaktionsdaten – etwa die Kontonummer – von Hand in den TAN-Generator eingeben. In einer komfortableren Variante werden die Daten über Lichtsignale vom Computerbildschirm auf das kleine Gerät übertragen. Über das Display des Generators können Nutzer die Daten nochmals prüfen. Mit diesem Verfahren sind die Kunden laut BSI „relativ sicher“ vor Angriffen durch Phishing-Attacken und solchen, bei denen sich Angreifer zwischen Kunde und Bank schalten.

photo-TAN

Dieses Verfahren kann entweder mit dem Smartphone oder einem speziellen, meist kostenpflichtigen Lesegerät der Bank genutzt werden. Für die Nutzung per Handy müssen Kunden eine App ihrer Bank herunterladen und erhalten dafür per Post einen Aktivierungscode. Um eine TAN zu erhalten, müssen sie mit dem Smartphone oder dem Lesegerät einen farbigen Barcode auf dem Computerbildschirm fotografieren. Die Variante mit speziellem Lesegerät zählt das BSI zu den Hardware-TAN-Generatoren mit höheren Sicherheitseigenschaften.

Signaturverfahren

Statt mit einer TAN bestätigen Nutzer eine Transaktion mithilfe eines digitalen Schlüssels, der auf einer Chipkarte gespeichert ist. Notwendig sind eine Finanzsoftware und ein oft kostenpflichtiges Lesegerät für Signaturkarten, das direkt mit dem Rechner verbunden sein muss. Das Verfahren basiert auf dem sogenannten HBCI-Standard und bietet laut BSI die höchste Sicherheit. Am Markt ist es aber noch wenig verbreitet.

Sicherheitsversprechen

Viele Banken versprechen ihren Kunden, für etwaige Schäden durch nichtautorisierte Transaktionen aufzukommen. Das ist in der Regel an die Bedingung geknüpft, dass die Kunden nicht vorsätzlich gehandelt, die Bank sofort informiert und Strafanzeige bei der Polizei gestellt haben. „Mit Kulanz hat das aber wenig zu tun, die Banken sind per Gesetz verpflichtet, den Betrag zu erstatten“, sagt Scherfling. „Dies gilt auch dann, wenn der Kunde fahrlässig war, dann haftet er mit maximal 50 Euro.“

Bei grober Fahrlässigkeit hingegen könne die Bank verlangen, dass der Kunde den gesamten Schaden trägt. „Wann Kunden ‚grob fahrlässig‘ handeln, ist allerdings nicht genau definiert und muss im Einzelfall gerichtlich geklärt werden“, sagt der Verbraucherschützer. „Letztlich sollten Bankkunden ein TAN-Verfahren wählen, das zum eigenen Sicherheitsbedürfnis passt und mit dem sie technisch gut umgehen können.“

Grundsätzlich wichtig: Auf dem PC und dem Handy sollte eine Antivirensoftware laufen, auch Updates für den Internetbrowser und das Betriebssystem sollten regelmäßig ausgeführt werden, um Sicherheitslücken zu schließen.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×