11.07.2019 | Technik Ab Herbst ist Schluss mit TAN per Liste oder SMS: Das ändert sich im Online-Banking

Einige Kunden bekommen es schon zu spüren, auf viele kommt es jetzt zu: Sie müssen sich beim Online-Banking und Online-Shopping an neue Abläufe gewöhnen. Denn Banken und Sparkassen schaffen nach und nach Verfahren wie TAN-Listen auf Papier oder die SMS-TAN ab. Spätestens ab Herbst läuft vieles anders.

Wenn im Herbst 2019 die Blätter von den Bäumen fallen, werden sich auch aus der Bankenwelt gewisse Blätter verabschieden. Die Geldhäuser müssen spätestens Mitte September ihre Sicherheitsverfahren für das Online-Banking angepasst haben. Das bedeutet, dass Transaktionsnummern auf Papierlisten - kurz TAN) - der Vergangenheit angehören werden.

Im Zuge der Umstellung werden sich viele Banken und Sparkassen zugleich von der SMS-TAN, ebenfalls als mobile TAN bekannt, verabschieden. Nicht alle, aber einzelne Sparkassen, Volks- und Raiffeisenbanken und die Postbank nehmen bereits Abstand von der Methode. Die Deutsche Bank und die Commerzbank wollen das SMS-Verfahren aber zunächst weiterlaufen lassen.

Banking und Shopping im Netz soll sicherer werden

Hintergrund der anstehenden und zum Teil schon vollzogenen Änderungen ist, dass Experten schon seit Jahren vor den Risiken dieser Verfahren warnen und sie als unsicher einstufen. Durch die europäische Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) wurden die Banken zum Nachbessern gezwungen. Ab dem 14. September 2019 müssen die Sicherheitsverfahren beim Online-Banking höheren Ansprüchen genügen. Aber was bedeutet das konkret?

Das ändert sich beim Online-Banking und Shoppen im Netz

Wer sich künftig bei seiner fürs Online-Banking einloggen möchte, wird mit nur einem Passwort nicht mehr weiterkommen. Zum neuen Grundsatz wird die gesetzliche Pflicht zur „starken Kundenauthentifizierung“, wie der Bankenverband schreibt. Das bedeutet, dass sich jeder Kunde beim Online-Banking und -Shopping immer mit mindestens zwei von drei möglichen Faktoren bzw. Merkmalen identifizieren muss. Beim Login, beim Überweisen, bei Online-Kartenzahlungen usw. Dafür kommen infrage:

  • Faktor „Wissen“, Z.B. eine PIN, ein Passwort, eine geheime Frage
  • Faktor „Sein“, ein biometrisches Merkmal wie ein Fingerabdruck, Stimmerkennung, etc.
  • Faktor „Besitz“, z.B. ein Smartphone, Tablet oder Token

All das soll sicherstellen, dass es sich bei der getätigten Zahlung tatsächlich um den berechtigten Nutzer und Geldinhaber handelt. Dadurch soll das Betrugsrisiko gemindert werden. Weil die Zwei-Faktor-Identifizierung bei jeder Transaktion im Internet Pflicht wird, ändern sich künftig also auch die Verfahren beim Online-Shopping.

Diese TAN-Verfahren gibt es künftig

TAN-Nummern müssen künftig spezifisch für nur eine konkrete Transaktion generiert werden. Diese Nummer müssen dazu noch nach wenigen Minuten verfallen. Die TAN-Liste ist damit raus. Die großen Banken in Deutschland haben unterschiedliche Verfahren, wie sie das sicherstellen wollen. Sie funktionieren mit dem Smartphone oder einem separaten TAN-Generator.

  1. SMS-TAN bzw. mobile TAN: Die TAN wird per SMS aufs Smartphone geschickt. Einige Banken schaffen dieses Verfahren aber zeitnah ab.
  2. Chip-TAN: Für dieses Verfahren benötigt der Kunde ein Lesegerät und die eigene EC-Karte. Nur so kann eine TAN generiert werden. Es gilt als das sicherste Verfahren, allerdings muss man den Generator immer zur Hand haben, um ein Online-Geschäft abwickeln zu können.
  3. TAN-App: Viele Banken bieten zu ihrer Online-Banking-App inzwischen zusätzlich TAN-Apps an. Sie erstellen für Überweisungen und Co. immer frische TANs, die per Push-Mitteilung aufs Smartphone geschickt werden.

4. PhotoTAN: Dieses Verfahren läuft ebenfalls über eine separate App. Angeboten wird es z.B. von der Deutschen Bank oder der Commerzbank. Für eine Transaktion wird ein buntes Muster erzeugt. Dieses Muster wird mit der App fotografiert und das Smartphone generiert daraus die richtige TAN-Nummer. Aber: Dieses Verfahren wurde von Hackern bereits ausgehebelt, auch wenn es schwierig ist.

Foto: Friedrich-Alexander-Universität Erlangen-Nürnberg/dpa Ein Alternativ-Verfahren zur klassischen TAN-Liste: die musterbasierte photoTAN.