Schrift:
Ansicht Home:
Netzwelt

Änderungen beim Onlinebanking

Die Zeit der iTAN ist vorbei

Nutzen Sie für Ihre Onlineüberweisungen noch eine iTAN-Liste? Dann müssen Sie in wenigen Wochen zu einem zeitgemäßen Verfahren wechseln. Auch beim Bezahlen im Internet ändert sich etwas.

David Ebener / DPA

TAN-Generatoren gelten als sehr sicher und gute Alternative zu TAN-Listen

Dienstag, 16.07.2019   10:36 Uhr

Ab dem 14. September könnte das Onlinebanking für manche Nutzer anders ablaufen als bisher: Von da an gilt nämlich die gesetzliche Pflicht zur sogenannten starken Kundenauthentifizierung, darauf weist unter anderem der Bankenverband hin. Das heißt, jeder Kunde muss sich immer mit zwei von drei möglichen Faktoren identifizieren - für Onlineüberweisungen, aber auch beim Einloggen ins Onlinekonto.

Als einer der zwei Faktoren kommen körperliche Merkmale wie ein Fingerabdruck (Faktor "Sein"), aber auch eine Pin (Faktor "Wissen") oder das eigene Smartphone (Faktor "Besitz") infrage. Hintergrund der Änderung ist die im September in Kraft tretende zweite europäische Zahlungsdiensterichtlinie (PSD2).

Viele der aktuell von Banken verwendeten Anmelde- und Authentifizierungsmethoden entsprechen der neuen Zahlungsdiensterichtlinie. Nur das sogenannte iTAN-Verfahren gilt nicht mehr als ausreichend sicher - die TAN-Liste auf Papier hat daher ausgedient.

Das iTAN-Verfahren basiert auf einer durchnummerierten Liste von TANs, von denen etwa bei einer Überweisung eine bestimmte abgefragt wird. Für Bankaufträge soll fortan - mit Ausnahmen für TAN-freie Überweisungen von Kleinbeträgen - jeweils eine eigens generierte TAN genutzt werden, dies kann das iTAN-Verfahren nicht leisten. Kunden, die bisher noch eine iTAN-Liste nutzen, kommen um eine Umstellung also nicht herum.

Für alle Verbraucher gilt: Bei Kartenzahlungen im Internet wird man sich künftig grundsätzlich mit zwei Faktoren identifizieren müssen. Die Kreditkartennummer und die Prüfnummer allein reichen dann nicht mehr, um online einzukaufen. Auch für den Zugang zum Onlinebanking selbst wird spätestens ab dem 14. September ein zweiter Faktor vorausgesetzt.

Diese Alternativen gibt es zu iTAN

Die meisten Banken bieten mehrere Methoden zur Authentifizierung an. Ein kostenpflichtiges Zusatzgerät benötigen Kunden in der Regel bei Verfahren wie BestSign oder ChipTAN. Für PhotoTAN kann häufig alternativ auch eine kostenfreie App verwendet werden. Bei ChipTAN und PhotoTAN wird die TAN durch das Gerät dynamisch erzeugt, BestSign kommt ganz ohne eine sichtbare Transaktionsnummer aus. Ein TAN-Generator kostet je nach Bank zwischen 9 und 35 Euro. Verfahren ganz ohne zusätzliche Hardware sind QR-TAN und AppTAN, hier dient eine App der Bank auf dem eigenen Smartphone als Generator.

Kunden ohne internetfähiges Handy können auf das SMS-TAN-Verfahren zurückgreifen. Hier wird dem Kunden per Kurznachricht eine TAN zugeschickt, sobald er die Überweisungsdaten eingetragen hat. Das SMS-Verfahren gilt als veraltet und wird nicht mehr von allen Banken angeboten.

Aufwendiger, aber sicherer

Die neueren Verfahren sind zwar etwas aufwendiger, aber auch sicherer als frühere Varianten, zu diesem Urteil kommt die Zeitschrift "Finanztest" (Ausgabe 8/2019). Sie hat sich die Angebote von 22 Kreditinstituten genauer angeschaut. Sollten zum Beispiel Zugangsdaten zum Onlinebanking oder vor allem Kreditkartendaten in fremde Händen gelangen, können Hacker in der Regel keine Überweisungen mehr tätigen, ohne etwa auch Zugriff auf ein Smartphone oder ein Tan-Gerät zu erlangen. Das erschwert den Missbrauch von Zahlungsdaten deutlich.

cva/dpa

insgesamt 211 Beiträge
Laemat 16.07.2019
1. Wie sicher
Ist denn das System *Besitz* und *sein* ich nutze dieses System zur Zeit, Smartphone + Fingerabdruck. Wie sicher sind denn die Fingerabdruckdaten oder kann man das System überlisten? Muss ich mein Smartphone jetzt wegschliessen?
Ist denn das System *Besitz* und *sein* ich nutze dieses System zur Zeit, Smartphone + Fingerabdruck. Wie sicher sind denn die Fingerabdruckdaten oder kann man das System überlisten? Muss ich mein Smartphone jetzt wegschliessen?
anon1 16.07.2019
2. Unsicher?
Ich finde immer wieder die Behauptung erstaunlich, iTan wäre unsicher. Da stehen die Zahlen auf Papier, da kommt kein Hacker ran, der nicht gleichzeitig auch ins Haus kommt, wo die Liste liegt. (Vorausgesetzt, die Server bei der [...]
Ich finde immer wieder die Behauptung erstaunlich, iTan wäre unsicher. Da stehen die Zahlen auf Papier, da kommt kein Hacker ran, der nicht gleichzeitig auch ins Haus kommt, wo die Liste liegt. (Vorausgesetzt, die Server bei der Bank sind sicher, aber das gilt für alle Verfahren.) Alle Verfahren, die auf Apps oder SMS basieren, sind unsicher(er), denn da muss der Hacker keinen physischen Zugriff auf eine Liste erlangen, sondern nur 2 Geräte statt einem kompromittieren. Und das ist ja auch schon passiert. Warum also wird die iTan abgeschafft? Keine Ahnung bei den Entscheidern? Zu viel Aufwand für den Versand und Lobbyismus?
Gluehweintrinker 16.07.2019
3. Phishing von TAN-Listen ist nun beendet
Dafür gibt es noch reichlich mehr Möglichkeiten für organisierte Betrügerbande, Menschen um ihr Erspartes zu bringen. Immer wieder wundere ich mich über den Erfolg von Enkeltrick, falschen Polizisten & Co. und frage mich, [...]
Dafür gibt es noch reichlich mehr Möglichkeiten für organisierte Betrügerbande, Menschen um ihr Erspartes zu bringen. Immer wieder wundere ich mich über den Erfolg von Enkeltrick, falschen Polizisten & Co. und frage mich, ob die heute greisen Opfer vor 25 Jahren ebenfalls so gleichgültig waren, dass sie die Warnungen nicht hörten. Meine heute 83jährige Mutter lacht unseröse Anrufer am Telefon aus und wünscht sie dahin wo der Pfeffer wächst. Dubiose Figuren an der Haustür werden achtkanrig über den Gartenzaun vom Hof gejagt. So geht Selbstbewusstsein im Alter. Was aber lesen wir immer wieder? Alte Damen deponieren Bargeld und Gold in Stoffbeuteln des nachts auf Friedhöfen, mehrmals hintereinander. Offensichtlich schöpfen Bankmitarbeiter keinen Verdacht, wenn nervöse Greise Unsummen abheben. Mehrfach fragte ich bei TV-Verbrauchermagazinen oder Printmedien, die über solche Fälle berichteten, ob diese Art der Kriminalität, auch was Kaffeefahrtenabzocke betrifft, ein typisch deutsches Phänomen sei. Ich hege den Verdacht, dass es eine Mentalitätsfrage ist und z.B. in Italien oder Frankreich nicht funktioniert. Bisher schien sich niemand dafür zu interessieren. Wenn man sich aber dafür interessiert, könnte man herausfinden, dass die hohe Opferzahl ein soziokulturelles Phänomen ist und entsprechend Maßnahmen zur Aufklärung entwickeln, die über das offensichtlich unwirksame Vorsicht-Falle-Warnen hinausgehen.
GoaSkin 16.07.2019
4. die iTAN-Listen sind sicherer als alles Andere
Ein Blatt Papier kann man leicht so verstecken, dass es niemand findet. Nun reicht ein geklautes Smartphone oder anderweitiges geklautes Gerät in der Regel schon aus, um Bankgeschäfte zu tätigen, sofern jemand auch noch das [...]
Ein Blatt Papier kann man leicht so verstecken, dass es niemand findet. Nun reicht ein geklautes Smartphone oder anderweitiges geklautes Gerät in der Regel schon aus, um Bankgeschäfte zu tätigen, sofern jemand auch noch das Zugangspasswort hat. Wird das Smartphone genutzt, dann ist nicht nur Schadsoftware ein Risiko, sondern auch die Nutzung noch so seriöser Online-Dienste, sofern die Server des Betreibers gehackt werden. Die neue Regelung ist eine absoute Verschlimmbesserung.
peterpeterweise 16.07.2019
5. Ergebnis von Lobbyarbeit
Jeder Spezialist für wichtige Daten wird bestätigen, dass die Variante, eine Komponente nicht elektronisch abrufbar zu haben, eine deutlich höhere Sicherheit bietet, als wenn alle Komponenten von geschulten Angreifern aus der [...]
Jeder Spezialist für wichtige Daten wird bestätigen, dass die Variante, eine Komponente nicht elektronisch abrufbar zu haben, eine deutlich höhere Sicherheit bietet, als wenn alle Komponenten von geschulten Angreifern aus der Ferne abgerufen werden könnten. Bei den neuen Systemen ist es nur eine Frage der Zeit und der Rechenleistung, wann es die ersten gravierenden Datenverluste gibt. Mit der iTAN auf Papier lag es am Kunden wie sicher er war. Sorgsame Kunden hatten eine extrem hohe Sicherheit, unsorgsame eine deutlich geringere. Jetzt kann auch der sorgsamste Kunde nichts machen, wenn fachlich gute Angreifer das System knacken. Aber es ist billiger für die Banken. Deren Lobby hat es geschafft, die potentiell viel gefährlichere Variante als neuen Sicherheitsstandard zur Pflicht zu machen. In einigen Jahren wird dies wahrscheinlich zur Frage führen: Wie konnte man nur auf die Lobbyisten hereinfallen?

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP