Neue TAN-Verfahren sollen Online-Banking sicherer machen
Stand: 30.06.2011
Bildquelle: ©Adobe Stock / Text: dpa/tmn
Bonn/Frankfurt/Main - Wer Bankgeschäfte online von zu Hause aus erledigt, kennt das Verfahren: Für jede einzelne Überweisung muss eine Transaktionsnummer (TAN) eingeben werden. In den Anfangszeiten des Online-Bankings standen diese noch auf Papier, doch das gilt inzwischen als nicht mehr sicher. Daher setzen viele Banken auf neue Verfahren. Noch haben aber nicht alle Institute umgestellt.
Nicht alle Verfahren für die Freigabe der Online-Buchungen schützen die Daten des Nutzers gleich gut. "Am sichersten sind die Systeme, bei denen das eigentliche Online-Banking und die Übertragung der TAN auf getrennten Wegen erfolgen", erklärt Nora Basting vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Das sei beim mobile-TAN- und beim chipTAN-Verfahren gegeben.
Trotz der Sicherheitsbedenken gegen die herkömmlichen TAN-Verfahren sind sie immer noch bei vielen Banken in Gebrauch. Ein einheitliches und abgestimmtes Vorgehen für die Umstellung gibt es nach Angaben des Zentralen Kreditausschusses (ZKA) in Berlin nicht.
Bei den Sparkassen etwa läuft derzeit der Umstieg auf mobileTAN und chipTAN. Ein Drittel der Online-Kunden der Sparkassen habe bislang schon auf eines der neuen TAN-Verfahren umgestellt, sagt Michaela Roth vom Deutschen Sparkassen- und Giro-Verband. Bis Ende des Jahres soll dann der "weit überwiegende Teil" der Institute mobileTAN und chipTAN eingeführt haben.
Besonders weit sind die genossenschaftlichen Banken. Nach Angaben des Bundesverbands der Deutschen Volksbanken und Raiffeisenbanken in Berlin wird mobileTAN bereits seit 2009 flächendeckend angeboten. Das chipTAN-Verfahren können norddeutsche Kunden ebenfalls seit 2009 nutzen, seit Juni auch die Kunden in Süddeutschland. Bis Ende des Jahres soll es dann nur noch die moderneren Verfahren geben.
Die Privatbanken hingegen halten teilweise noch an den herkömmlichen Verfahren fest. Kunden der Commerzbank etwa können bislang nur iTAN nutzen. "Das iTAN-Verfahren, in der Form wie wir es einsetzen, also mit zusätzlichen Schutzmechanismen wie BEN und Wasserzeichen, ist aus unserer Sicht ein sicheres Verfahren", sagt ein Sprecher der Bank. Die BEN ist eine Bestätigungsnummer, die der Kunde nach der Transaktion erhält und die er mit der Nummer auf seiner TAN-Liste zur Kontrolle abgleichen kann. Im Wasserzeichen wird die geforderte TAN noch einmal zusätzlich als Grafik angezeigt.
Die Deutsche Bank bietet ihren Kunden zwar auch mobileTAN und chipTAN an. Nach Angaben einer Unternehmenssprecherin wird aber bis auf weiteres auch das iTAN-Verfahren angeboten. Die HypoVereinsbank aus München bietet bereits seit zwei Jahren mobileTAN an und hält ebenfalls zusätzlich an der iTAN-Technik fest.
"Das herkömmliche iTAN-Verfahren kann aber seit unserer Einführung der mobileTAN aus Sicherheitsgründen nur für Transaktionen unter 1000 Euro genutzt werden", erklärt Unternehmenssprecher Ralf Horak: "Wer sich aber einmal für das mTAN-Verfahren freigeschaltet hat, kann generell ausschließlich nur noch dieses Verfahren verwenden." Er geht daher davon aus, dass sich das mobileTAN-Verfahren bei fast allen Online-Banking-Kunden durchsetzen wird.
Aber auch bei den neueren Verfahren ist man vor Angriffen nicht hundertprozentig gefeit, wie Nora Basting vom BSI erklärt: "So wurden bereits Angriffe auf die mobileTAN-Technik registriert. Dabei greifen die Betrüger per Schadsoftware sowohl auf den PC des Bankkunden als auch auf das Smartphone zu."
Solche Angriffe seien aber nur durch das Zutun des Nutzers möglich, sagt die BSI-Sprecherin: "Man sollte daher nie Daten eingeben, nach denen man normalerweise nicht gefragt wird. Außerdem sollten Kunden das Online-Banking nicht auf einem Smartphone ausführen, wenn man das mobileTAN-Verfahren nutzt."
Verfahren sind nicht immer kostenlos
Neben dem Sicherheits-Aspekt sollte man auch die Kosten beachten, die bei den einzelnen Systemen anfallen. So müssen Kunden etwa bei einigen Banken für den TAN-Generator bis zu zehn Euro zahlen. Andere Banken stellen das Gerät kostenlos zur Verfügung.
"Völlig unverständlich" ist es nach Meinung von Eva Raabe von der Verbraucherzentrale Hessen in Frankfurt/Main, das die Kunden dafür zahlen müssen: "Die Bank ist für die Sicherheit beim Online-Banking verantwortlich. Sie handelt vorrangig im eigenen Interesse und muss deshalb ihren Kunden den TAN-Generator kostenfrei zur Verfügung stellen", meint die Verbraucherschützerin.
Je nach Bank und Kontomodell müssen Kunden auch für jede empfangene SMS bei mobileTAN bezahlen. Bei der Deutschen Bank etwa werden neun Cent pro Buchung fällig. Bei der Hypovereinsbank hingegen ist das System kostenlos. Bei den Sparkassen und den Genossenschaftsbanken werden die Kosten bei jedem Institut unterschiedlich geregelt.
Nach Meinung von Verbraucherschützerin Raabe sollte man seine Bank nicht allein nach dem angebotenen TAN-Verfahren auswählen. Ebenso wichtig seien die Konditionen oder der Service. Wer allerdings nicht zufrieden ist, sollte über eine Kündigung nachdenken: "Es bleibt mir immer die Möglichkeit, die Bank zu wechseln."
Info: TAN-Verfahren beim Online-Banking
Immer mehr Banken setzen beim Online-Banking auf sichere Verfahren wie etwa MobileTAN. Hier bekommt der Nutzer seine Transaktionsnummer (TAN) per SMS-Kurznachricht auf das Handy geschickt. Beim chipTAN-Verfahren bekommt er ein kleines Gerät, das die TAN für die jeweilige Buchung auf einem Display anzeigt.
Diese Verfahren sollen die bisherigen TAN-Listen auf Papier ablösen. Dabei können sich Kunden für jede Überweisung eine beliebige Transaktionsnummer aus der Liste aussuchen. Beim iTAN-Verfahren müssen die Kunden die TAN auf einer bestimmten Position der indizierten Liste eingeben.