HOME

Ab Herbst 2019: Banken und Sparkassen ändern TAN-Verfahren - das müssen Sie beim Online-Banking beachten

Einige Banken und Sparkassen ziehen der alten TAN-Liste oder dem Verfahren per SMS-Tan den Stecker. Experten war diese Überweisungsmethode zu unsicher. Ab dem Herbst 2019 kommen Änderungen auf die Kunden zu.

Eine TAN-Liste mit durchgestrichenen Zahlen

Deutschlands Banken stellen ihre TAN-Verfahren um. 

Picture Alliance

Die gute, alte TAN-Liste stammt noch aus den Anfängen des Online-Bankings: Wer einen Geldbetrag überweisen wollte, musste erst auf einem Zettel mit aufgelisteten Zahlenkolonnen die richtige aussuchen und dann händisch eintragen. Waren alle Transaktionsnummern (kurz TAN) auf der Liste verbraucht, bestellt man eine neue. Per Post, klar.

Dieses Verfahren wirkt nur wenige Jahre später sehr antiquiert. Zettelwirtschaft für Online-Banking? Das ist nicht nur fehleranfällig, sondern macht es auch Betrügern sehr einfach. Experten warnen schon seit Jahren vor diesem unsicheren Verfahren. Mit der europäischen Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) ist nun Schluss. Ab dem 14. September greift diese Richtlinie voll. Das bedeutet: Die Sicherheitsverfahren beim Geld-Überweisen müssen mit der individuellen Zahlung verknüpft sein. Irgendeine Nummer auf einem Zettel raussuchen? Das geht dann nicht mehr.

Aber nicht nur die Zahlen-Listen auf Papier müssen weichen. Auch das Verfahren per SMS steht vor dem Aus. mTAN (auch mobileTAN oder smsTAN) war der erste digitale Schritt beim Überweisen. Per Aufforderung verschicken Banken eine TAN per SMS an ein vorher registriertes Mobiltelefon. Das war deutlich praktischer als die Zettel mit den durchgestrichenen TAN, doch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) warnte früh: "Unter Umständen können Kriminelle die zur Authentifizierung verschickten SMS-Nachrichten abfangen oder umleiten. So besteht die Gefahr, dass die in der SMS enthaltene TAN missbraucht wird." Dieses Verfahren konnten bislang auch Bankkunden nutzen, die kein Smartphone, sondern nur ein altes Handy besitzen. 

Onlinebanking: Diese TAN-Verfahren stehen vor dem Aus

Wie das "Handelsblatt" berichtet, steht das smsTAN-Verfahren bei vielen Geldhäusern vor dem Aus. Demnach gehen Mitarbeiter der Volks- und Raiffeisenbanken davon aus, dass der zentrale IT-Dienstleister die TAN-Methode per SMS bald auslaufen lassen wird. Auch einzelne Sparkassen würden laut des Berichts Abstand nehmen. So wolle die Berliner Sparkasse, eine der größten in Deutschland, die smsTAN bis Ende Oktober abschaffen. Postbank-Kunden sind schon früher dran: Per SMS klappt die Überweisung nur noch bis 11. August. Dann wird das Verfahren eingestellt. Die Deutsche Bank und die Commerzbank wollen laut dem "Handelsblatt" das Verfahren zunächst nicht abschaffen. Die Consorsbank plant das Aus für das Verfahren Ende des Jahres. Bei der DKB wurde smsTAN nie angeboten.

Kunden, die bislang noch Listen auf Papier oder TAN via SMS genutzt haben, müssen sich nun zeitnah eine neue Methode zum Überweisen zulegen. Zwei Verfahren gelten als sicher: PushTan per App oder Überweisungen mit einem TAN-Generator.

So funktioniert das Onlinebanking per PushTAN

Wer Überweisungen vor allem mit seinem Smartphone tätigt, setzt auf das Push-TAN-Verfahren. Eine gesonderte App schickt im Zuge der Überweisung eine digital generierte TAN direkt aufs Smartphone. Das ist praktisch, allerdings gelang es Wissenschaftlern unter Laborbedingungen, dieses Verfahren zu knacken und eine Überweisung auf ein anders Konto umzuleiten. Dennoch stuft die Stiftung Warentest dieses Verfahren bei der Sicherheit als "hoch" ein.

Der TAN-Generator hingegen gilt bei den Warentestern als sicherste Variante. Um eine TAN zu erzeugen, brauchen Kunden ein Extra-Gerät. Dort wird bei einigen Generatoren die Bankkarte hinein geschoben, bei anderen klappt das auch ohne die Karte. Dann wird ein flimmernder Strichcode auf dem Bildschirm beim Online-Banking gescannt. Die Geräte müssen bei den Banken (oder im Elektronikmarkt) gekauft werden und kosten zwischen 9 und 30 Euro. Dieses Verfahren mit zwei Geräten präferiert auch das BSI. Allerdings muss der Generator zur Hand sein, um eine Überweisung zu tätigen.

Bislang weniger verbreitet sind die Verfahren per QR-Code und mit der Photo-Tan-Methode. Bei letzterer werde dem User eine Grafik angezeigt, die er wiederum mit einem Lesegerät scannt. Der externe TAN-Generator kostet rund 30 Euro. Einige Banken setzen statt auf einen externen Generator auf  das Fotografieren mit dem Smartphone. Doch auch hier gelang es Wissenschaftlern bereits, das Verfahren zu hacken. 

Wer haftet für Schäden beim Onlinebanking?

Die Lösung mit dem QR-Code ist ähnlich wie die Photo-TAN, nur dass mit der Kamera des Smartphones ein QR-Code ausgelesen wird und nach der Prüfung der Daten eine TAN angezeigt wird. Praktisch: Kunden brauchen keinen extra Generator kaufen, sondern nur eine App für QR-Codes. Die Stiftung Warentest stuft die Sicherheit des Verfahrens als "sehr hoch" ein. Dennoch konnten Wissenschaftler mit einer Schadsoftware auf dem PC das System knacken.

Die noch recht junge Smartphonebank N26 hat bislang auf ein eigenes Sicherheitsverfahren per App und Co. verzichtet. Wer dort eine Überweisung freigeben möchte, muss nur ein selbst gewähltes Passwort eingeben. Dieses Verfahren sei PSD2-Konform, so eine Sprecherin der Bank zum "Handelsblatt", da die Banking-App mit dem Smartphone verknüpft sei und zudem im Hintergrund für jede Überweisung ein neues Zertifikat erzeugt werde. Allerdings werde die Bank künftig auf ein zweistufiges Verfahren umstellen: Nach der Eingabe des Passwortes bekommen User eine Push-Nachricht auf das Smartphone.

Kunden sind beim Onlinebanking durch ihre Bank geschützt - zumindest eigentlich. Denn sie dürfen nicht grob fahrlässig handeln. Was das genau bedeutet, müssen Gerichte im Einzelfall entscheiden. Wer Onlinebanking auf einem Rechner betreibt, der keinen Virenschutz hat, agiert leichtsinnig. Und: Auch Phisingmails schützen Kunden nicht. In einem konkreten Fall hatte ein Bankkunde eine Mail bekommen, in der er von seiner Bank aufgefordert wurde, eine Testüberweisung zu schicken. Per Link waren schon alle Felder ausgefüllt, überall stand das Wort "Muster" - nur die TAN sollte er noch eingeben. Das tat er - und merkte schnell, dass er gerade 8000 Euro auf ein Konto in Polen überwiesen hatte. Der Mann hatte einen Trojaner, also ein Schnüffelprogamm von Internetkriminellen, auf seinem Rechner. Er forderte den Betrag von seiner Bank zurück, doch die weigerte sich. Und das Oberlandesgericht Oldenburg gab der Bank recht: Hätte der Mann seinen Rechner abgesichert und die Überweisung genau geprüft, wäre er den Betrügern schnell auf die Schliche gekommen.

kg
kann man sich gegen eine maßnahme vom jobcenter wehren?
hallo. ich bin quasi arbeitsunfähig seit meinem 18ten lebensjahr. ich wiege 200 kg und habe eine betreuung weil ich sonst gar nichts schaffen würde. sie bringt mich zu terminen und begleitet mich zu arzt besuchen. das einzige was ich noch alleine kann ist einkaufen und das auch nur weil es nunmal lebensnotwendig ist ,jedoch bin ich danach total erschöpft und fertig.ich kann keine 200 meter mehr laufen.und mal ganz abgesehen von meiner körperlich verfassung leide ich seit meiner kindheit an starken depressionen,borderline,panikattacken,einer traumatischen belastungsstörung und angstzuständen. ich bin demnach körperlich sowie auch psychisch ziemlich fertig. gestern war ich beim amtsarzt zur begutachtung sowie auch einmal vor 2 jahren. und die ärztin sagt mir ernsthaft,das es zumindest köperlich nicht ausreichen würde das ich weiterhin krank geschrieben werden kann und sagte,das eine maßnahme sicherlich gut sein kann.und das obwohl ich bereits sagte,das ich körperlich unfähig bin irgendwas alleine zu schaffen und ,meine betreuerin mich überallhin begleiten muss.(ich habe kein auto)ich bin vollkommen entsesetzt und habe nun angst das sie mich in eine maßnahme stecvken welche ich einfach nicht schaffe und sie mir dann das minum an geld nehmen welches ich bekomme und ich dann verhungernd und auf der starße leben muss,eben weil es ein ding der unmöglichkeit für mich darstellt.kann man sich da irgendwie wehren?sie sagt sie findet ich sei zu jung um berentet zu werden (28).ich habe gerade wirklich angst.kann man einen menschen zwingen etwas für ihn unmögliches zu tun?ich hab das gefühl die wollen irgendeine quote erfüllen und solange man die arme bewegen kann,ist man arbeitsfähig...hilfe :(