+
Onlinebanking wird sicherer: Ein TAN-Generator scannt die Überweisungsdaten vom Bildschirm ab und gibt dann eine TAN aus.

Zahlungsdienstrichtlinie PSD2

Warum TAN-Listen im Online-Banking seit Mitte September ungültig sind

  • schließen

Bis September schaffen alle Geldhäuser die klassischen TAN-Listen auf Papier ab. Neue Verfahren für das Onlinebanking sollen es Betrügern schwerer machen.

Die klassische TAN-Liste aus Papier hat bald ausgedient. Spätestens ab dem 14. September dürfen Banken und Sparkassen ausschließlich andere Verfahren für ihr Online-Banking anbieten. Überweisungen können dann nur noch mittels eines Smart-phones oder anderer technischer Geräte getätigt werden. Damit soll die Sicherheit vor Betrügern erhöht werden. Dass die TAN-Liste aus Papier, die zu Hause in der Schublade liegt, sicherer ist als ein digital generierter Schlüssel, ist nämlich ein Trugschluss.

„Zwar kann eine TAN-Liste aus Papier nicht digital ausgelesen werden, die Gefahr dass sogenannte Phishing-Attacken erfolgreich sind, ist aber in diesem Fall um einiges höher“, sagt David Riechmann von der Verbraucherzentrale Nordrhein-Westfalen. Um Phishing-Attacken handelt es sich, wenn Betrüger über gefälschte Webseiten oder fingierte Mails Zugangsdaten wie eine TAN erfragen, die gutgläubige Nutzer dann leichtfertig freigeben. Das geht, wenn die TAN-Nummern vorrätig auf Papier vorliegen.

Onlinebanking mit digital generierter TAN: Betrügern wird es schwerer gemacht

Mit den neueren Verfahren sollen Kunden überhaupt erst eine neue TAN-Nummer generieren können, wenn sie diese für eine konkrete Überweisung anfordern. Betrügern wird es so schwieriger gemacht.

Hintergrund der Umstellung ist die zweite europäische Zahlungsdienstrichtlinie, kurz PSD2, die neue Sicherheitsvorkehrungen EU-weit vorschreibt. Banken sind verpflichtet, sie umzusetzen. Auch Kunden müssen handeln und sich gegebenenfalls für ein neues Verfahren entscheiden.

Kommen Bankkunden darum herum, sich ein neues Gerät anzuschaffen? Was, wenn man kein Smartphone besitzt? Zwar muss es nicht zwingend ein Smartphone sein, irgendein technisches Gerät ist aber bei allen Verfahren unabdingbar – Alternativen sind TAN-Generatoren, die in der Regel kostenpflichtig sind, oder spezielle USB-Sticks. Für die SMS-TAN tut es auch noch ein einfaches Handy ohne Internetzugang. Ohne eines der Geräte wird Online-Banking aber nicht mehr möglich sein.

Onlinebanking: Welche Alternativen zur Papier-TAN-Liste gibt es?

Sechs alternative Verfahren zur Papier-TAN-Liste, die die strengere EU-Richtlinie umsetzen, haben sich bereits etabliert. Ein Überblick: 

Die App-TAN: Bei dem auch als Push-TAN bezeichneten Verfahren funktioniert die TAN-Generierung über eine Smartphone-App der Bank. Der Vorteil: Überweisung und TAN-Generierung können theoretisch über ein und dasselbe Gerät getätigt werden. Sicherer ist es aber, wenn unterschiedliche Endgeräte genutzt werden.

Die Chip-TAN: Hierfür wird ein TAN-Generator benötigt. Er sieht aus wie ein kleiner Taschenrechner und wird von der Bank gegen Gebühr ausgegeben. Die Überweisungsdaten am Computerbildschirm können mit dem Generator gescannt werden, erst dann wird die TAN auf dem Gerät angezeigt. Während die Sicherheit hierbei als sehr hoch eingeschätzt wird, weil das Gerät nicht mit dem Internet verbunden ist, kann es nachteilig sein, dass das Gerät immer mitgeführt werden muss – ohne Generator, keine Überweisung.

Auch interessant: Die sichersten Verfahren fürs Online-Banking

Lesen Sie auch: Mobilebanking ist sicher

Die Photo-TAN: Für dieses Verfahren braucht man entweder ein spezielles Lesegerät oder eine App auf dem Smartphone. Ähnlich wie bei der Chip-TAN scannt der Kunde damit während des Überweisungsvorgangs ein Bild auf dem Desktop ein, das sich auf dem Lesegerät beziehungsweise in der App in eine TAN umwandelt.

Die QR-TAN: Ähnlich wie die Photo-TAN funktioniert auch die QR-TAN. Um den QR-Code umzuwandeln, ist ein Smartphone nötig, das über diese Funktion verfügt.

Die SMS-TAN: Um eine SMS-TAN zu empfangen, braucht es nicht unbedingt ein internetfähiges Handy, ein älteres Modell tut’s auch. Es steigert sogar die Sicherheit, eine TAN auf einem Gerät ohne Internet zu empfangen.

Das Best-Sign-Verfahren: Der Bankauftrag kann über ein Zusatzgerät oder auch eine App freigegeben werden. Dafür wird keine TAN benötigt, sondern die Freigabe kann per Knopfdruck, Fingerabdruck, Gesichtserkennung oder Passwort erteilt werden.

Neue TAN-Verfahren im Onlinebanking: Bieten alle Banken alle Verfahren an?

Nein. Zwar hat man als Kunde meist zumindest die Auswahl zwischen zwei verschiedenen Verfahren, trotzdem kann es sein, dass die favorisierte Methode bei der eigenen Bank nicht möglich ist. Einige Sparkassen schalten zum Beispiel derzeit das SMS-TAN-Verfahren ab. Denn im Vergleich zu anderen Authentifizierungsverfahren hat der Anteil der SMS-TAN-Nutzer deutlich abgenommen. Betroffene Kunden müssen nun entweder ein Smartphone besitzen oder sich für das Chip-TAN-Verfahren einen Generator für etwa elf Euro anschaffen.

Auch interessant:  Was ein Konto in Niedrigzinszeiten kosten darf

„Die Umstellung des TAN-Verfahrens kann auch ein Anlass sein, zu schauen, ob man bei der Bank bleiben möchte oder zu einem anderen Anbieter wechselt“, sagt Riechmann. Denn die Kosten sind unterschiedlich. Bei der Chip-TAN kostet die Anschaffung des Generators etwas, auf der anderen Seite berechnen einige Banken bei der SMS-TAN einen kleinen Betrag für jede verschickte Nummer. Demgegenüber sind App-TANs komplett kostenlos.

Das war's für die TAN-Liste: Neue Sicherheitsverfahren beim Online-Banking

Was sollte mit der alten TAN-Liste aus Papier passieren?

Die Liste sollte erst einmal sicher aufbewahrt werden. Sie kann zum Beispiel noch angefordert werden, wenn die Bank endgültig auf ein anderes Verfahren umstellt.

Woran man Phishing erkennt

Fragt der Absender persönliche Informationen, Geheimnummern und Passwörter ab, sollte Vorsicht geboten sein. Niemals weitergeben! Ein Hinweis auf eine Phishing-Mail kann es außerdem sein, wenn die Anrede unpersönlich formuliert ist oder Fehler enthält.

Die Bank übernimmt den Schaden bei Betrug nur, wenn dieser nicht durch grob fahrlässiges Verhalten des Kunden zustande gekommen ist. Was als grob fahrlässig gilt, ist allerdings Auslegungssache. Die Beweislast liegt immer bei der Bank.

Lesen Sie auch:

Spoofing: Bei Anruf Betrug - wenn plötzlich der falsche Polizist anruft

Microsoft: Der Softwarekonzern geht gegen Betrüger vor, die sich als Softwarespezialisten tarnen

Adcloaking: Falsches Google-Gewinnspiel oder angebliche Virenwarnung: So schützen Sie sich

Das könnte Sie auch interessieren

Kommentare