- Ratgeber
- Onlinebanking
Eine Gnadenfrist für die SMS-TAN
Wie sicher sind andere »Authentifizierungsverfahren« im Bankengeschäft?
»Ich bin alt, aber kein Idiot!« Unter diesem Motto startete der pensionierte Arzt Carlos San Juan de Laorden Anfang des Jahres eine Internet-Protestkampagne und wurde für zigtausende Spanier zum gefeierten Helden und zu einem Sprachrohr für die »Verlierer der Digitalisierung« – nämlich den älteren Menschen. Sein Aufschrei fand international ein derart großes Echo, dass Spaniens Wirtschaftsministerin ihn höchstpersönlich empfing.
Wieder einmal werden eingefahrene Verfahren von der Geldindustrie umgemodellt, wobei sie nicht einfacher werden. Branchenweit werden die »Authentifizierungsverfahren« für die Nutzung des Onlinebankings umgestellt. Mit der Umstellung soll die Sicherheit für Kunden und Banken erhöht werden. Allerdings galt das bisherige Verfahren aus Kundensicht durchaus auch als sicher. Aus Bankensicht ist es »gut, aber nicht gut genug«. Die Kriminalitätsrate liegt zwar im Promillebereich, soll aber vor allem im grenzüberschreitenden Zahlungsverkehr weiter minimiert werden. Im Trend versuchen die Banken zudem, das Onlinebanking stärker zu standardisieren, um Kosten zu senken.
Alle Vorgänge, die Sie als Kunde digital durchführen, erfordern eine Legitimation. Dies ist mittels verschiedener PIN-TAN-Verfahren möglich. Das PIN-TAN-Verfahren erfordert zwei Nummern – die Persönliche Identifikationsnummer (PIN) und die Transaktionsnummer (TAN). Wie aber funktionieren die einzelnen Verfahren?
App-basierte-TAN-Verfahren: Zunächst geben Sie die Überweisungsdaten ein. Im Anschluss erhalten Sie in der Banking-App eine Nachricht mit den Daten. Erst nach Ihrer Bestätigung wird die TAN angezeigt. Diese können Sie bei Nutzung einer Banking-App automatisch in die Überweisungsvorlage übernehmen, ansonsten muss sie abgetippt werden.
Photo-TAN: Bei diesem Verfahren benötigen Sie einen Computer (oder Tablet) und ein Smartphone mit einer entsprechenden App. Nachdem Sie die Überweisungsdaten eingegeben haben, müssen Sie mit der Photo-TAN-App einen QR-Code scannen. Im Display erscheinen nun die Überweisungsdaten sowie eine TAN.
»mTAN«, »mobileTAN«, SMS-TAN: »mTAN« steht für »mobile TAN«, wird aber auch »SMS-TAN« genannt. Für Ihre Bankgeschäfte brauchen Sie zwei Geräte: Computer und Mobiltelefon. Das Mobiltelefon dient zur Übertragung für die TAN: Diese wird per SMS auf das Handy gesendet.
chipTAN», «smartTAN»: Auch hier sind zwei getrennte Geräte erforderlich: der Computer und ein sogenannter TAN-Generator, etwa in Größe und Format eines kleinen Taschenrechners. Um den TAN-Generator verwenden zu können, benötigen Sie ihre Bankkarte. Nachdem der Generator die TAN erzeugt hat, müssen Sie auch diese in dem Onlinebanking-Portal eingeben.
Onlinebanking kann man auch per HBCI-Verfahren (Home-Banking-Computer-Interface Verfahren) praktizieren. Neben einer speziellen Software und einem Lesegerät brauchen Sie für dieses Verfahren eine Chipkarte. Die Chipkarte wird in das mit dem Computer verbundene Lesegerät gesteckt. Die PIN wird in das Lesegerät eingegeben, die Chipkarte erstellt eine digitale Unterschrift, und der Auftrag wird verschlüsselt an die Bank gesendet. Dieses Verfahren gilt unter Experten als das sicherste.
Dennoch gibt es immer wieder Versuche von Kriminellen, TANs in Erfahrung zu bringen. Beim «Phishing», dem Abfischen von Daten, werden Sie beispielsweise per E-Mail aufgefordert, mit dem vermeintlich eigenen Kreditinstitut Kontakt aufzunehmen. Um das PIN-TAN-Verfahren sicherer zu machen, haben die Kreditinstitute daher einige weitere Vorsichtsmaßnahmen eingebaut, die die Sache nicht leichter machen. So wird beispielsweise die Onlinebanking-PIN automatisch gesperrt, wenn Sie dreimal hintereinander eine falsche Nummer eingeben. Auch gilt für die Durchführung einer Transaktion eine zeitliche Begrenzung von fünf Minuten.
«Prüfen Sie immer die angezeigten Auftragsdaten in der TAN-App oder auf dem Display des TAN-Generators mit den Originaldaten – zum Beispiel auf einer Rechnung –, bevor Sie eine Transaktion bestätigen», empfiehlt der Sicherheitsexperte des Bankenverbandes BdB. Wenn Sie Unregelmäßigkeiten in den Auftragsdaten feststellen, führen Sie den Auftrag nicht aus und informieren Sie die Bank. Wer partout das Verfahren nicht mag, welches ihm seine Bank oder Sparkasse zukünftig anbietet, bleibt nur der Wechsel des Geldinstituts. Doch was ist mit Kunden, die kein Smartphone benutzen? Dann wird es aus rechtlichen Gründen eben weiterhin analog gehen müssen.
Das »nd« bleibt. Dank Ihnen.
Die nd.Genossenschaft gehört unseren Leser*innen und Autor*innen. Mit der Genossenschaft garantieren wir die Unabhängigkeit unserer Redaktion und versuchen, allen unsere Texte zugänglich zu machen – auch wenn sie kein Geld haben, unsere Arbeit mitzufinanzieren.
Wir haben aus Überzeugung keine harte Paywall auf der Website. Das heißt aber auch, dass wir alle, die einen Beitrag leisten können, immer wieder darum bitten müssen, unseren Journalismus von links mitzufinanzieren. Das kostet Nerven, und zwar nicht nur unseren Leser*innen, auch unseren Autor*innen wird das ab und zu zu viel.
Dennoch: Nur zusammen können wir linke Standpunkte verteidigen!
Mit Ihrer Unterstützung können wir weiterhin:
→ Unabhängige und kritische Berichterstattung bieten.
→ Themen abdecken, die anderswo übersehen werden.
→ Eine Plattform für vielfältige und marginalisierte Stimmen schaffen.
→ Gegen Falschinformationen und Hassrede anschreiben.
→ Gesellschaftliche Debatten von links begleiten und vertiefen.
Seien Sie ein Teil der solidarischen Finanzierung und unterstützen Sie das »nd« mit einem Beitrag Ihrer Wahl. Gemeinsam können wir eine Medienlandschaft schaffen, die unabhängig, kritisch und zugänglich für alle ist.