Hand aufs Herz: Gehören Sie auch noch zu jenen Onlinebanking-Nutzern, die eine papierene Liste mit fortlaufenden Transaktionsnummern (TAN) in der Schublade liegen haben? Dann bekommen Sie in diesen Wochen Post von Ihrer Bank, dass dieses sogenannte iTAN-Verfahren ab dem 14. September 2019 nicht mehr erlaubt ist - und Sie auf ein neues Sicherungsverfahren umsteigen müssen.

Schon lange galt das iTAN-Verfahren sicherheitstechnisch als überholt, die Consorsbank hat es schon vor mehr als zehn Jahren abgeschafft, die Postbank vor acht, die Sparkassen ebenso, die Volks- und Raiffeisenbanken vor mehr als fünf Jahren. Doch ausgerechnet bei vielen Onlinebanken hält es sich bis heute. Damit ist ab dem Herbst Schluss: Die EU-Zahlungsdiensterichtlinie PSD II schreibt vor, dass das Verfahren zum 14. September ersetzt werden muss - zumindest im Zahlungsverkehr. Die PSD II erhöht das Sicherheitsniveau bei Online-Bankgeschäften, die inzwischen jeder zweite Deutsche tätigt.

Gut zu wissen: Wertpapiertransaktionen fallen nicht unter den Geltungsbereich der PSD II, daher wären dort Orderfreigaben mit iTAN weiterhin möglich. Reine Onlinebroker, die keine Girokonten im Angebot haben, werden das Verfahren daher zum Teil weiternutzen, wie eine exklusive BÖRSE ONLINE-Umfrage zeigt. Bei Filial- und Direktbanken indes wird das iTAN-Verfahren üblicherweise für alle Geschäftsvorgänge abgeschafft, die Kunden auf neue Sicherheitsverfahren (Details dazu siehe Seite 3) umgestellt.

"Wir haben einige Beschwerden von Kunden, die gern an dieser Offlinelösung festhalten möchten", erzählt Sascha Straub, Referatsleiter Finanzdienstleistungen bei der Verbraucherzentrale Bayern. Aber das ist per Gesetz nicht mehr möglich. Elektronische Geldtransfers funktionieren künftig nur noch mithilfe moderner TAN-Verfahren, die jeweils dynamisch auf Anforderung neu erzeugt werden und die wichtige Transaktions­daten mit eincodiert haben, zum Beispiel die Zielkontonummer und den Überweisungsbetrag. Der Kunde kann die angezeigten Daten mit seinem ursprünglichen Auftrag vergleichen und eine Manipulation erkennen. Das ermöglichen indexierte TANs auf Papier eben gerade nicht.

Auf Seite 2: Abzocker versuchen ihr Glück



Abzocker versuchen ihr Glück


Daher versuchen Betrüger immer wieder, PIN und TAN von Kunden "abzufischen", um Zugriff auf das Onlinebanking zu erhalten - das sogenannte Phishing. "Derzeit beobachten wir mehr Phishing-­Mails als sonst üblich", erzählt Marten Ahrens, Senior Produktmanager für Kundensicherheit und Experte für Zahlungsverkehr bei Comdirect. Offenbar versuchen Kriminelle derzeit, die Übergangsphase zu neuen Sicherheitsverfahren noch zu nutzen, um an Kundendaten zu kommen.

"Dass es mehr Phishing-Mails geworden sind, können wir nicht bestätigen, das Niveau ist schon lange konstant hoch", meint indes Verbraucherschützer Straub. Kriminelle versuchen zum Beispiel über gefälschte Websites und vermeintliche E-Mail- oder SMS-Nachrichten der Bank, Kunden zur Preisgabe ihrer PIN und TAN zu bewegen. Mit dynamischen TAN-Verfahren wie mobileTAN per SMS aufs Handy und chipTAN, die einen zweiten Übertragungsweg (Mobiltelefon oder ein nicht mit dem Internet verbundener TAN-Generator) nutzen, werden solche Angriffe erschwert.

Kunden sollten trotzdem auf der Hut sein, rät Michael Wichert aus dem Team IT-Security der Consorsbank und Experte für die EU-Zahlungsdiensterichtlinie PSD II: "Social Engineering wird es auch weiterhin geben - zum Beispiel die Aufforderung, rasch einen QR-Code zu scannen. Damit kann man prinzipiell jedes Sicherheitsverfahren aushebeln."

Jedes Mal oder nur alle 90 Tage


Auch das Konto-Log-in wird künftig stärker abgesichert. Gefordert ist nun die sogenannte Zwei-Faktor-Authentisierung. Das bedeutet: Beim Onlinebanking-Log-in müssen Kunden demnächst nicht mehr nur wie gewohnt ihren Log-in-Code und ihr Passwort eingeben, sondern zusätzlich noch eine ­- moderne - TAN, und zwar mindestens alle 90 Tage. "Es wird künftig für Verbraucher deutlich häufiger erforderlich sein, TANs einzugeben", erklärt Straub.

Die Banken gehen mit dieser Anforderung allerdings unterschiedlich um, wie unsere Umfrage zeigt: Die Mehrheit verlangt die TAN-Eingabe bei jedem Log-in. Von den Banken in unserer Übersicht sehen lediglich die Comdirect, die Hypovereinsbank, die Sparkassen sowie die Volks- und Raiffeisenbanken die 90-Tage-Frist vor. "Viele Kunden loggen sich häufiger mal ins Konto ein, nur um den Kontostand zu checken. Daher möchten wir es ihnen so einfach wie möglich machen", so Ahrens. "Durch die regelmäßige TAN-Abfrage beim Log-in und bei Aufgabe einer Überweisung ist die Sicherheit gewährleistet."

Aus diesem Grund setzen die Banken darauf, dass die TAN möglichst bequem erzeugt und zur Freigabe am besten direkt und ohne umständliches Eintippen übertragen werden. "In Zukunft wird es Onlinebanking ohne Smartphone eigentlich nicht mehr geben", meint daher Verbraucherschützer Straub. Die Tendenz geht klar in diese Richtung, wie ein Blick in die Übersichtstabelle zu den Sicherungsverfahren bestätigt.

Gut möglich, dass auch das mTAN-Verfahren mit SMS aufs Handy schon bald zum Auslaufmodell wird. Das liegt zum einen daran, dass andere Verfahren als sicherer gelten; so rät das Bundesamt für Sicherheit in der Informationstechnik schon länger vom mTAN-Verfahren ab. Zum anderen spielen die Kosten eine Rolle: Wenn künftig für jeden Log-in eine TAN benötigt wird, geht das für die Banken schnell ins Geld. Einige Banken lassen sich daher mTANs, die erfolgreich für Transaktionen verwendet werden, von den Kunden bezahlen. Wer zu app­-basierten Verfahren wechselt, vermeidet das - und erhöht gleichzeitig die Sicherheit. "Wenn ich das Smartphone als TAN-Generator für das Onlinebanking am stationären Rechner nutze, dann ist das Verfahren sehr sicher. Für Kunden, die kein Smartphone nutzen, bietet sich ein TAN-Generator an", sagt Wichert. Besonders sicher sind TAN- ­Generatoren, weil sie keine Internetverbindung haben, die Abzocker für Angriffe nutzen könnten.

Auf Seite 3: Smartphone-basierte Verfahren im Trend



Smartphone-basierte Verfahren im Trend


Was früher die Unterschrift auf dem papierenen Überweisungsträger war, ist in Zeiten des Onlinebankings die TAN. Damit geben Bankkunden eine Transaktion frei. Gemäß der EU-Zahlungsdiensterichtlinie PSD II sind mehrere Verfahren erlaubt; manchmal geben die Banken den Verfahren eigene Namen, aber die Prinzipien sind ähnlich oder gleich.

Ein Überblick: TAN per SMS - mTAN: Der Bankkunde bekommt die TAN als SMS aufs Tablet oder Handy geschickt und tippt sie dann im Onlinebanking-Portal ein; ein Smartphone ist nicht nötig. mTAN ­dürfen die Banken berechnen, wenn der Kunde die TAN für Zahlungen ­genutzt hat (Bundesgerichtshof, Az.: XI ZR 260/15). Gilt als Auslaufmodell.

TAN per Generator - chipTAN oder smartTAN: Der Kunde steckt seine Girocard in den TAN-Generator. Das Verfahren gilt dank Hardwareverschlüsselung mittels Karte als besonders sicher, ist am PC, aber auch bei Banking auf dem Smartphone einsetzbar, wenn man den Generator dabeihat.

TAN per optischem Code - photoTAN: Es gibt zwei Varianten - mit separatem Lesegerät (meist kostenpflichtig) oder appbasiert auf dem Handy. Zum Überweisen loggt man sich ins Onlinebanking ein, startet die App und bekommt eine Grafik am Computer angezeigt. Diese scannt man mit dem Handy ab und bekommt eine TAN, die man am Rechner eingibt.

Appbasierte Verfahren - pushTAN und Co: Entwickelt fürs Banking auf dem Smartphone, aber auch am PC einsetzbar. Bei diesem Verfahren wird das Smartphone technisch in zwei ­Kanäle getrennt: einen für die Auftragseingabe über die Banking-App, und einen weiteren für den Empfang der TAN. Nutzt man die Banking-App, wird die TAN in der Regel automatisch dorthin übernommen. Beim Onlinebanking am Rechner wird die TAN zur Bestätigung zumeist eingegeben.

HBCI-Verfahren mit Chipkarte: ­Sicherheitsverfahren für Onlinebanking-Nutzer, die grundsätzlich vom stationären PC aus überweisen und gern auch spezielle Bankingsoftware nutzen. Man benötigt eine personalisierte Chipkarte und einen Kartenleser. Das Verfahren gilt als sehr sicher und wird schon seit Längerem angeboten, ist aber wenig verbreitet.

Auf Seite 4: So gehen Sie auf Nummer sicher



So gehen Sie auf Nummer sicher


Noch schnell ein paar iTANs "ab­fischen", bevor das Verfahren ab­geschafft wird? Kriminelle nutzen aus, dass Banken derzeit Mails mit Hinweisen zur Umstellung auf neue TAN-Verfahren verschicken, und versuchen daher, Betrügermails mit Links zu verschicken, die zu gefälschten Webseiten führen. Wenn ein Kunde sich dann dort einloggt, greifen sie Kontonummer und Passwort ab. Anschließend wird der Kunde zur Eingabe der iTAN aufgefordert, mit der er die vermeintlich neue TAN-App freischalten soll, warnt der Bundesverband deutscher Banken.

Auch diese greifen Betrüger ab und nutzen sie dann, um sich Zugang zur echten TAN-App zu verschaffen, die sie auf einem eigenen Gerät installiert ­haben. Jetzt können sie unbemerkt Überweisungen im Namen des Kunden tätigen. Ein Horror.

Verbraucher sollten daher misstrauisch sein und Mailabsender genau checken. Tippfehler oder schlechtes Deutsch sind Warnhinweise. Keinesfalls sollte man auf den Link aus einer solchen Mail klicken, sondern immer die Website der Bank direkt aufrufen und in der Browserleiste darauf achten, dass ein Schlosssymbol erscheint und die Adresse mit "https" beginnt.

Außerdem gelten die üblichen Tipps: den Rechner mit Sicherheitssoftware schützen, Internetbrowser aktuell halten und für Onlinebanking nie ein Internetcafé oder ein offenes WLAN nutzen.