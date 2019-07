Die gute, alte TAN-Liste stammt noch aus den Anfängen des Online-Bankings: Wer einen Geldbetrag überweisen wollte, musste erst auf einem Zettel mit aufgelisteten Zahlenkolonnen die richtige aussuchen und dann händisch eintragen. Waren alle Transaktionsnummern (kurz TAN) auf der Liste verbraucht, bestellt man eine neue. Per Post, klar.

Dieses Verfahren wirkt nur wenige Jahre später sehr antiquiert. Zettelwirtschaft für Online-Banking? Das ist nicht nur fehleranfällig, sondern macht es auch Betrügern sehr einfach. Experten warnen schon seit Jahren vor diesem unsicheren Verfahren. Mit der europäischen Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) ist nun Schluss. Ab dem 14. September greift diese Richtlinie voll. Das bedeutet: Die Sicherheitsverfahren beim Geld-Überweisen müssen mit der individuellen Zahlung verknüpft sein. Irgendeine Nummer auf einem Zettel raussuchen? Das geht dann nicht mehr.

Aber nicht nur die Zahlen-Listen auf Papier müssen weichen. Auch das Verfahren per SMS steht vor dem Aus. mTAN (auch mobileTAN oder smsTAN) war der erste digitale Schritt beim Überweisen. Per Aufforderung verschicken Banken eine TAN per SMS an ein vorher registriertes Mobiltelefon. Das war deutlich praktischer als die Zettel mit den durchgestrichenen TAN, doch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) warnte früh: "Unter Umständen können Kriminelle die zur Authentifizierung verschickten SMS-Nachrichten abfangen oder umleiten. So besteht die Gefahr, dass die in der SMS enthaltene TAN missbraucht wird." Dieses Verfahren konnten bislang auch Bankkunden nutzen, die kein Smartphone, sondern nur ein altes Handy besitzen.

Onlinebanking: Diese TAN-Verfahren stehen vor dem Aus

Wie das "Handelsblatt" berichtet, steht das smsTAN-Verfahren bei vielen Geldhäusern vor dem Aus. Demnach gehen Mitarbeiter der Volks- und Raiffeisenbanken davon aus, dass der zentrale IT-Dienstleister die TAN-Methode per SMS bald auslaufen lassen wird. Auch einzelne Sparkassen würden laut des Berichts Abstand nehmen. So wolle die Berliner Sparkasse, eine der größten in Deutschland, die smsTAN bis Ende Oktober abschaffen. Postbank-Kunden sind schon früher dran: Per SMS klappt die Überweisung nur noch bis 11. August. Dann wird das Verfahren eingestellt. Die Deutsche Bank und die Commerzbank wollen laut dem "Handelsblatt" das Verfahren zunächst nicht abschaffen. Die Consorsbank plant das Aus für das Verfahren Ende des Jahres. Bei der DKB wurde smsTAN nie angeboten.

Kunden, die bislang noch Listen auf Papier oder TAN via SMS genutzt haben, müssen sich nun zeitnah eine neue Methode zum Überweisen zulegen. Zwei Verfahren gelten als sicher: PushTan per App oder Überweisungen mit einem TAN-Generator.

So funktioniert das Onlinebanking per PushTAN

Wer Überweisungen vor allem mit seinem Smartphone tätigt, setzt auf das Push-TAN-Verfahren. Eine gesonderte App schickt im Zuge der Überweisung eine digital generierte TAN direkt aufs Smartphone. Das ist praktisch, allerdings gelang es Wissenschaftlern unter Laborbedingungen, dieses Verfahren zu knacken und eine Überweisung auf ein anders Konto umzuleiten. Dennoch stuft die Stiftung Warentest dieses Verfahren bei der Sicherheit als "hoch" ein.

Der TAN-Generator hingegen gilt bei den Warentestern als sicherste Variante. Um eine TAN zu erzeugen, brauchen Kunden ein Extra-Gerät. Dort wird bei einigen Generatoren die Bankkarte hinein geschoben, bei anderen klappt das auch ohne die Karte. Dann wird ein flimmernder Strichcode auf dem Bildschirm beim Online-Banking gescannt. Die Geräte müssen bei den Banken (oder im Elektronikmarkt) gekauft werden und kosten zwischen 9 und 30 Euro. Dieses Verfahren mit zwei Geräten präferiert auch das BSI. Allerdings muss der Generator zur Hand sein, um eine Überweisung zu tätigen.

Bislang weniger verbreitet sind die Verfahren per QR-Code und mit der Photo-Tan-Methode. Bei letzterer werde dem User eine Grafik angezeigt, die er wiederum mit einem Lesegerät scannt. Der externe TAN-Generator kostet rund 30 Euro. Einige Banken setzen statt auf einen externen Generator auf das Fotografieren mit dem Smartphone. Doch auch hier gelang es Wissenschaftlern bereits, das Verfahren zu hacken.

Wer haftet für Schäden beim Onlinebanking?

Die Lösung mit dem QR-Code ist ähnlich wie die Photo-TAN, nur dass mit der Kamera des Smartphones ein QR-Code ausgelesen wird und nach der Prüfung der Daten eine TAN angezeigt wird. Praktisch: Kunden brauchen keinen extra Generator kaufen, sondern nur eine App für QR-Codes. Die Stiftung Warentest stuft die Sicherheit des Verfahrens als "sehr hoch" ein. Dennoch konnten Wissenschaftler mit einer Schadsoftware auf dem PC das System knacken.

Die noch recht junge Smartphonebank N26 hat bislang auf ein eigenes Sicherheitsverfahren per App und Co. verzichtet. Wer dort eine Überweisung freigeben möchte, muss nur ein selbst gewähltes Passwort eingeben. Dieses Verfahren sei PSD2-Konform, so eine Sprecherin der Bank zum "Handelsblatt", da die Banking-App mit dem Smartphone verknüpft sei und zudem im Hintergrund für jede Überweisung ein neues Zertifikat erzeugt werde. Allerdings werde die Bank künftig auf ein zweistufiges Verfahren umstellen: Nach der Eingabe des Passwortes bekommen User eine Push-Nachricht auf das Smartphone.

Kunden sind beim Onlinebanking durch ihre Bank geschützt - zumindest eigentlich. Denn sie dürfen nicht grob fahrlässig handeln. Was das genau bedeutet, müssen Gerichte im Einzelfall entscheiden. Wer Onlinebanking auf einem Rechner betreibt, der keinen Virenschutz hat, agiert leichtsinnig. Und: Auch Phisingmails schützen Kunden nicht. In einem konkreten Fall hatte ein Bankkunde eine Mail bekommen, in der er von seiner Bank aufgefordert wurde, eine Testüberweisung zu schicken. Per Link waren schon alle Felder ausgefüllt, überall stand das Wort "Muster" - nur die TAN sollte er noch eingeben. Das tat er - und merkte schnell, dass er gerade 8000 Euro auf ein Konto in Polen überwiesen hatte. Der Mann hatte einen Trojaner, also ein Schnüffelprogamm von Internetkriminellen, auf seinem Rechner. Er forderte den Betrag von seiner Bank zurück, doch die weigerte sich. Und das Oberlandesgericht Oldenburg gab der Bank recht: Hätte der Mann seinen Rechner abgesichert und die Überweisung genau geprüft, wäre er den Betrügern schnell auf die Schliche gekommen.